Путеводитель по руководству
Что есть в руководстве:
1) Научитесь работать с СС (Credit Card).
2) Сможете находить правильные и хорошие BIN'ы.
3) Настройка системы.
4) Сделаете себе самую безопасную машину. Покажу, как защититься от взлома.
5) Сможете создать сами себе свой VPN.
6) Научитесь обходить защиту (AntiFraud).
7) Найдете хорошие и дающие интернет-магазины.
8) Работа с E-Gift.
9) Enroll. (Онлайн-банкинг)
10) Логи. Brute-аккаунты.
11) Работа с PayPal.
12) Работа с БА.
13) Авибилеты и отели.
14) Множество очень полезных советов.
15) Все нужные и не очень контакты для того, чтобы начать работать, хоть сегодня.
16) И многое, многое, многое другое...
КОГДА Я ПИШУ ЛЕКЦИИ - ЭТО ЗНАЧИТ УРОКИ (Я ПРОСТО ЗАСТРЯЛ В ПРОШЛОМ, СТАРИЧОК)
Тут же сделаю примечание, что я решил сделать это руководство для всех, а значит максимально доступным для понимания каждого. Само руководство разделено на уроки, а перед некоторыми уроками будет список терминов, который необходимо знать и держать в голове. Иногда термины переплетаются и один термин может иметь два разных значения. Об этом я тоже буду предупреждать, чтобы не вышло путаницы.
Также, не забывайте мне писать, если возникают вопросы. Обратная связь очень важна, так как невозможно написать и рассказать обо всем.
Чтобы постоянно не листать и не убивать колесо мыши, то просто введите в поиск нужный вам урок (Например, Урок 5.2), тогда вы сразу перейдете к нему, не тратя свое драгоценное время.
Уроки:
Введение в С (Carding) - Урок 1. Типы карт (СС) - Урок 1.1.
Шифрование. Безопасность. Анонимность. Урок 2.
Введение в безопасность. Выбор ОС. Урок 3.
Виртуальная машина для поиска в теневом интернете. Урок 3.1.
Чистый IP - Урок 4.
Инструменты для вбива - Урок 5.
Подключение к DS - Урок 5.1.
Настройка LS (Linken Sphere) - Урок 5.2.
Создание личного VPN - Урок 5.3.
Как чистить логи на сервере - Урок 5.4.
Связка VPN+TOR+VPN - Урок 5.5.
AntiFraud (AF) - Урок 6.
Как работает AntiFraud - Урок 6.1.
Основные понятие вбива - Урок 7.
Магазины СС (Credit Card) - Урок 8.
Прогрев магазина - Урок 8.1.
Посредники - Урок 9.
Как вбить в Skype? Первый вбив - Урок 9.1.
Как вбить в хороший магазин? - Урок 9.2.
3DSecure - Урок 10.
Подставные лица (Drop'ы) и перехват-сервисы (PickUp) - Урок 11.
Перенаправление посылки (Rerout) - Урок 12.
Работа по Европе и Азии (Особенности) - Урок 13.
Поиск интернет-магазинов - Урок 14.
Парсинг ссылок - Урок 14.1.
E-Gift - Урок 15.
Enroll - Урок 16.
Логи. Brute-аккаунты - Урок 17.
Что видит магазин? - Урок 18.
Настройка Android на примере Nox - Урок 18.1.
Настройка WebRTC - Урок 18.2.
Работа с ПП - Урок 19.
Депозит и способы оплаты с помощью ПП - Урок 20.
Слив денег с ПП - Урок 21.
Банковские аккаунты. БА - Урок 22.
Способы заливов в БА - Урок 23.
Самореги БА - Урок 24.
Документы и их подделка - Урок 25.
Бронирование отелей. Авибилеты - Урок 26.
Схема по Refund - Урок 27.
Небольшая памятка на случай, если вас поймали.
Термины
Добавлю еще то, что я решил не использовать постоянно обычные термины, которые общеприняты в нашем сообществе, так сказать, которые более тривиальные, поэтому будут только официальные термины, которые более легки для понимания.
(Например, СС можно назвать и картоном, и картошкой, и картой, и картографом, и катером, и чем-либо еще угодно. Именно по этой причине - все термины будут написаны так, чтобы смог понять любой человек)
Почему я это сделал? Потому что иногда весь текст - это сплошной набор терминов. Для простоты понимания я «упростил» их. В общем, увидите сами. К терминам, конечно, я буду давать и общепринятые варианты, которые используют на форумах и так далее.
С - Carding, кардинг, карж.
CC - Credit Card, карта. Вообще, это не должна быть обязательно именно кредитная карта. По факту, это вообще любая карта.
BINChecker - Checker, проверяет и пробивает BIN.
BIN - первые 6-7 цифр СС.
CheckerCC - проверяет СС на Valid.
Valid - валидность. Рабочая СС или нет.
КХ (Card Holder, CH) - Держатель и владелец СС.
Введение в С (Carding). Урок 1.
torproject.org/download/download-easy.html.en - TOR-браузер можно скачать только по этой ссылке. TOR позволяет вам оставаться анонимными в сети, то есть, поиск по DarkNet можно делать через TOR-браузер. TOR можно ставить на свою основную систему. Что касается виртуальной машины, обсудим ее на соответствующем уроке. Теперь небольшое отступление, расскажу за руководство.
Основное направление в руководстве - Carding, методов работы в Carding много, кто-то просто бьет с СС (Credit Card), кто-то делает Enroll'ы, кто-то Gift'ы, PayPal, банковские аккаунты. Короче, много не очень понятных слов для многих из вас, здесь все это включено, выбор будет за вами. По опыту скажу, что почти все выбирают себе одно направление и работают с ним. То есть, кто работает, например, с банковскими аккаунтами, редко вбивает карты (Credit Card).
По темам выше - мы рассмотрим все, задача заключается в том, чтобы помочь вам найти свою тему. Стараемся работать организационно, в процессе работы обращайте всегда внимание на свои неудачи и желательно фиксируйте их. Например, вбиваете карту, а вам выскакивает ошибка, делайте снимок экрана, показывайте мне в Telegram и разбираем проблему, так будет намного проще понять в чем проблема и помочь вам. Не нужно стесняться глупых вопросов. Основная суть, даже не в руководстве, руководство - это материал, шаблон по которому можно работать, а главное у нас, что можно всегда обратиться ко мне в индивидуальном порядке, разобрать свою проблему. Но руководство и уроки тоже очень важны, особенно на начальном этапе. Это ваша база.
Полезные сервисы во время обучения:
1) Сервис для снимка экрана - prnt.sc
Скачиваете программу и легко делаете снимки через кнопку на клавиатуре «PrtSc».
2) Сервис анонимных записок - privnote.com
Создали записку, передали и после прочтения она будет уничтожена. Плюс там есть кнопка "параметры" с дополнительными настройками.
Скажу за Jabber. Создайте себе резервный Jabber.
О том, как это сделать написано здесь: xakep.ru/2017/07/21/jabber-otr-howto/
А здесь просто довольно полезная и интересная информация: cryptoworld.su/safe-comunications-tell-snouden/
Jabber можно держать, где вам удобно, а удобней на основной системе. Jabber на серверах «.ru» удаляйте сразу, если есть такие. Это помойка. В идеале - сервер должен находиться в стране, где логи не ведутся. То есть, страна не должна находиться в программе Eyes 14. И да, это не должна быть страна, где вы пребываете в данный момент.
Еще что касается работы в Carding, то воспринимайте это как хобби, дополнительное направление для заработка, не нужно бросать все и зацикливаться только на нем, развивайтесь также вне онлайна. Достаточно вечером уделять время, чтобы иметь стабильный хороший доход. И это касается любой деятельности, всегда развивайте себя в нескольких направлениях. Еще добавлю за VPN. Так вот, VPN мы будем делать свой личный, покупать тоже не нужно, будет работать, как на телефоне, так и на компьютере.
Ладно, начнем с базовых понятий в Carding'е. Основа Carding у нас начинается с чего? Правильно - безопасность. Верно, но первое, что обычно приходит на ум при слове "Carding"
- это все-таки кредитная карта. С нее и начнем. А безопасности еще посвятим несколько отдельных уроков. Кредитная карта - Credit Card. Credit Card - CC. Дальше обозначается - СС. Правильней, конечно, говорить банковская карта, но все называют именно СС, не столько важно кредитная карта это или дебетовая карта. Что такое CC, все знают, но если углубиться, то точно не все. Уточню на всякий случай, что работаем мы с данными карт, без материальной карты, так как у нас Online Carding. Рассмотрим СС на нашем примере. Владелец карты Jonh Doe, даже не представляет, какая ему оказывается честь:
Сделаем разбор. Начнем с номера карты - 4037840052172291. Основа в номере карты у нас что? Правильно - BIN. Поясню. В номере карты есть цифры, в которых содержится информация о том, что из себя представляет карта, 6 первых цифр. Называется БИН / BIN. Это первые 6 цифр любой карты. Хотя, уже начинают появляться карты, где BIN в 7 цифрах. BIN - банковский идентификационный номер. Теперь научимся вытягивать информацию с BIN'a. Можно зайти в Google и вбить простой запрос “BIN Checker”. И перед нами будет список сайтов. Самый первый это - bincodes.com/bin-checker/ Неплохой BINChecker, красивый, но... по опыту далеко не самый точный, а самый точный Google нам на первых страницах не выдает, BINChecker - bins.su. BINChecker сменил домен, видимо индексация еще до него не дошла в полной мере. Заходим на него и вводим BIN с нашего примера СС в поле BINS.
Номер карты - 4037840052172291, значит BIN - 403784. Жмем FIND. Получаем информацию:
403784 US VISA CREDIT PLATINUM U.S. BANK NATIONAL ASSOCIATION ND
Эта информация и заложена в нашем BIN, если у вас есть личная банковская карта, там все также, можно пробить BIN и посмотреть информацию, что у вас за карта. Еще раз обозначу, что бывает разная информация на разных BINChecker'ах, поэтому, если нас интересует точные данные лучше перепроверять на нескольких сервисах. На практике самый точный, как уже и сказал - bins.su. У каждого банка есть свой список BIN'ов, под которым они выпускают карты, то есть, под одним BIN есть много карт. Например, под BIN 403784 есть еще СС, только остальные цифры отличаются, понятно почему.
bincodes.com/bin-search, по этой ссылке можно выбрать страну, тип карты, банк и посмотреть какие BIN'ы есть у какого банка. Ссылку сохраняем в блокнотик или в закладки, как и все остальные полезные сервисы, в процессе работы хороший инструмент. В нашем деле есть такие понятия, как хорошие и плохие BIN'ы. Плохие BIN'ы - BIN'ы старого выпуска, которые часто использовались нашими коллегами, хорошие BIN'ы, наоборот. То есть, если BIN «грязный» (Часто использовался для Carding целей), то банки не особо любят пропускать транзакции с такими BIN'ами при малейшем подозрении в мошенничестве (на Fraud).
BINChecker'ы:
bins.su - Хороший и удобный.
binlist.net
bindb.com/bin-database.html - Авторитетный.
bincodes.com/bin-checker/ - Альтернатива.
bincodes.com/bin-creditcard-generator/ (или же namso-gen.com) - там есть еще и генератор СС.
Совет. Проверяйте BIN на всех ресурсах.
Fraud - вид мошенничества в области информационных технологий, в частности, несанкционированные действия и неправомочное пользование ресурсами и услугами в сетях связи.
Хорошие BIN'ы в Carding очень важны. По работе с СС, это вообще чуть ли не половина успеха. В основном - это BIN'ы НЕ лучших банков, если говорить за США.
https://en.wikipedia.org/wiki/List_of_largest_banks_in_the_United_States - это список крупнейших, а значит и лучших банков США. Все эти моменты, в том числе за BIN'ы, еще более подробно у нас всплывут ниже, как будем углубляться. Сейчас общая информация для понимания процесса, понятия с которых будем стартовать. (Вообще, чем лучше банк, тем сложнее вбить его СС. В идеале - это должны быть достаточно маленькие и локальные банки, у которых мало отделений. В общем, не берите крупные банки, если есть возможность)
Вернемся к нашей CC:
2024 | 11 | - срок действия карты. Ноябрь, 2024 года. То есть, дата, после которой карта будет уже не активна. Expiration Date, если на английском. Уточню, что дата окончания срока действия считается по последнему числу месяца, а не по первому.
475 - CVV код. Уточню, что CVV и CVV2 - это одно и тоже, если столкнетесь с разным написанием. CVV - код для проверки подлинности карты. У Master Card код называется - CVC или CVC2. У VISA и Master этот код из 3 цифр. А у American Express этот код из четырех цифр. CVV - Card Verification Value. И не путаем CVV с PIN-кодом. Если карта без кода CVV, то значит с нее нельзя оплачивать в интернете.
Jonh | Doe - имя и фамилия владельца карты. Jonh Doe. Владелец карты - Card Holder - CH, КХ.
2970 Park View Drive | United States | | IN | Columbus | 47201 - это Billing адрес, на который зарегистрирована карта, обычно адрес проживания КХ. 2970 Park View Drive - улица с номером дома, United States - США, IN - Штат Индиана, Columbus - Город, 47201 - ZIP номер. ZIP - по нашему это индекс. Можно вбить в Google "47201 ZIP Code" и проверить, что он соответствует штату, городу и данные на карте корректны. Если при вбиве вам выдаст ошибку, что ZIP с карты не верный, как это можно исправить? То есть, ZIP в данных карты левый. Да, по адресу с карты найти ZIP. Вбить адрес и посмотреть его ZIP.
В данных СС можно найти еще Email КХ - [email protected]. Еще может быть номер телефона КХ. Иногда номера телефона нет, как и Email'a - есть/нет. Зависит от того, как слили данные. Если Email с карты нам в 90% не нужен, то номер телефона обычно нужен. В магазинах, где продают СС, указывают, какие данные есть (C телефоном/без и так далее).
Зачем нам нужен телефон на карте, еще узнаем. Данные карт, как на нашем примере, добывают путем взлома магазинов и слива базы данных, Fishing'ом. То есть, человек делает покупку в интернет магазине, вбивает данные карты, а ее сливают и базу выставляют на продажу. Немного отвлечемся от конференции, посмотрите часть из сериала, для большего понимания, как это устроено.
Еще раз вернемся к номеру карты:
4037840052172271
По этому номеру можно сразу на глаз понять, что карта у нас VISA. Да, по первой цифре. Карты VISA начинаются с цифры 4. Master Card - 5. American Express - 3. Maestro - это дебетовые карты от Master Card. После цифр BIN'a у нас идут цифры, не считая последней, где зашифрованы данные, о том дебетовая карта или кредитная, валюта карты и регион выпуска. Последняя цифра карты - это проверочное число, через специальный алгоритм проходит проверка соответствия этого числа и номера карты, то есть, последнее число образуется через математические операции с остальными цифрами. Банковские карты могут быть еще дебетовыми и кредитными, как уже поняли. Дебетовые карты имеют свой устойчивый баланс. Кредитные карты могут уходить в минус, то есть, кредитные деньги.
403784 US VISA CREDIT PLATINUM U.S. BANK NATIONAL ASSOCIATION ND
Когда мы пробивали BIN. Level - это статус карты. У нас Level - PLATINUM. Например, у студента и бизнесмена будут разные по статусу карты. То есть, разные лимиты, проценты, возможности и подобные вещи. За более высокий статус карты, клиент больше платит за ее обслуживание. Международные банковские карты используются в международных системах
платежей. Наиболее популярные платёжные системы - Visa, MasterCard, Diners Club, American Express, JCB и China Unionpay.
Наиболее доступны в мире карты Visa Electron, Cirrus/Maestro. В большинстве случаев они являются дебетовыми и, как правило, не позволяют производить электронные платежи через интернет. Это повышает безопасность их использования. Эти карты - самые дешёвые по стоимости выпуска и обслуживания. Самые популярные в мире - карты Visa Classic и MasterCard Standard. Они бывают как дебетовые, так и кредитные, а также позволяют рассчитываться через интернет.
Карты серий Gold/Platinum - престижные карты, подчёркивающие солидность его обладателя. Используются как элемент имиджа. Технически, карты Visa Classic - Visa Gold, MasterCard Standard - MasterCard Gold отличаются дизайном, стоимостью выпуска и обслуживания и, в зависимости от банка-эмитента карты, разными наборами услуг (Например, предоставлением медицинской страховки, или службы «консьерж», позволяющей бронировать билеты на транспорт и в театр, гостиницы и выполнять ещё ряд поручений).
Владельцам карт класса Gold и Platinum некоторые магазины и другие организации предоставляют скидки и другие преимущества (Например, возможность пользования в аэропорту залом бизнес-класса вне зависимости от категории билета, специальные условия при аренде автомобиля).
Кроме того, в связи с распространением карт класса Gold и Platinum, международные платёжные системы вводят новые форматы эксклюзивных карт, свидетельствующих о крайне высоком статусе их обладателя.
Также, существуют титановые (Titanium) карты - самые престижные карты, предоставляющие своим владельцам эксклюзивные привилегии по всему миру. Первой такую карту выпустила компания American Express - карту Центурион.
Теперь о деньгах на карте, баланс карты. Узнать баланс покупая просто данные CC - нельзя. Баланс можно узнать, разве что делая доступ в онлайн-банк, как у нас Сбербанк Онлайн. И то, уже только после того, как купили карту, а потом еще пробили дополнительную информацию о КХ. Но этот момент не сильно нам мешает в работе, в США и Европе деньги в основном хранят на картах, баланс там обычно есть. Также, существует понятие "валидность карты", что означает - жива/активна ли карта. Бывает вариант, мы купили карту, вбиваем, но она не вошла, обычно ошибка - Card Decline. Один из вариантов - наша карта мертва была изначальна, то есть, не Valid, не рабочая. У разных магазинов и продавцов, которые продают карты, на этот счет разные правила возврата такого материала (не Valid'а). Для проверки на Valid карты, есть специальные Checker'ы СС, работают по принципу - вводим карту в CheckerСС, происходит малый вбив карты (Мелкое списание средств), то есть, ее проверка и нам выдает результат - Valid/не Valid. Минус таких Checker'ов СС, что он может убить карту сразу после проверки, даже если покажет, что карта Valid.
CheckerСС работает так - ввели в него данные карты, проверяем. CheckerСС списывает мелкую сумму с карты и возвращает их обратно на карту. Если деньги списываются, то выдает, что карта активна (Valid). Если нет - не Valid. А почему Checker'ы СС делают возврат на карту списанных им средств? Чтобы его не заблокировали (CheckerСС). Через такие Checker'ы СС проходит много карт, и банки знают коды, на которых базируется CheckerСС. То есть, может быть, что проверили карту, показало Valid, но после ее банк уже блокирует.
Такая проблема не на всех Checker'ах СС, чем более приватный CheckerСС, тем лучше. Также карту можно проверять самостоятельно, вбивая какую-то мелочь. Например, вбив в пожертвование. 1$ - 5$. Если транзакция прошла, значит карта Valid. Пожертвования детям, каким-то сайтам и так далее. Также, карту могут заблокировать, если ее вбивать во все подряд, то есть, из-за большого числа транзакций, в короткий промежуток времени, банк может ее заблокировать, поэтому правило, одна СС - один/два вбива.
Лучше делать так, вбили - получили результат с карты и после этого можно пробовать еще, когда мы уже ничем не рискуем. Проблема Valid материала - больная тема сейчас, но от этого всего есть выход.
FAQ:
А: Как подбирать нужные BIN'ы?
Б: BIN'ы вы интуитивно научитесь подбивать в процессе. Это приходит с опытом. Со временем у вас накопится своя личная копилка хороших BIN'ов. Проблема в том, что об этих BIN'ах знаете не только вы, поэтому их достаточно быстро раскупают (СС с хорошими BIN'ами). Решение простое - постоянно мониторить магазины по продаже СС, а также иметь несколько этих магазинов. Я, например, нанял отдельного человека, который ищет для меня BIN'ы и хорошие СС, сразу же их скупает, а я потом уже бью.
А: Насколько острая проблема с Valid материалом?
Б: Острая, но не критично.
А: Есть какая-то градация карт по номиналу на карте, на какую сумму рассчитывать покупая ту или иную карту?
Б: По статусу есть.
А: Что такое VCC и в чем ее особенности в нашем деле?
Б: Virtual Credit Card - Виртуальная карта, еще познакомимся.
Старайтесь уловить в каждой теме суть. Тогда у вас будет формироваться полная картина. Структура - это важно.
Типы карт (СС). Урок 1.1 (Для общего ознакомления)
Итак, начнём с типов карт American Exspress:
Репутация американского гиганта финансовых операций сегодня безупречна и тщательно поддерживается на высочайшем уровне. American Express делает упор на качество услуг и сервиса и выстраивает свои отношения с клиентами, опираясь на многолетний опыт и традиции. Компания предлагает персональные и корпоративные кредитные карты.
Держатели корпоративных карт (Corporate Card) - сотрудники крупных мировых корпораций.
Персональные карты выпускаются четырех видов: Personal Card (Так называемая
«Зеленая»), Gold Card, Platinum Card and Centurion Card (Идет по нарастанию приоритетов). Все они отличаются только классом, поскольку традиционные преимущества полагаются каждому клиенту AmEx.
Далее, идут карты VISA:
Visa Electron - самый простой вид карт. Не имеет выпуклых элементов, что ограничивает возможность использования этого вида карт в терминалах, основанных на снятии оттиска с карты (Механическое копирование без подключения к базе данных). Как правило, установлены минимальные лимиты на операции и минимальные гарантии.
Visa Virtual Card - карта для совершения платежей через интернет. Порой «Выпускается» без физической выдачи карты. Фактически, это предоставление владельцу лишь реквизитов карты (Номер, CVV2, дата действия), которые можно использовать для оплаты через интернет. Удешевляется эмиссия карты, но снижается защищённость. Обычно являются предоплаченными в момент эмиссии и не предусматривают возможность пополнения. Могут быть анонимными, что иногда вызывает трудности при обработке в платёжных системах с обязательной верификацией имени владельца.
Visa Classic - карта со стандартным набором функций. Сюда входят платежи в большинстве торговых точек, принимающих карты, бронирование различных товаров и услуг в интернете, страхование находящихся на счету денег и так далее.
Visa Gold - карта, которая имеет дополнительные гарантии платёжеспособности держателя, более высокие платёжные и кредитные лимиты по сравнению с Classic, а также ряд дополнительных сервисов, среди которых экспресс-выдача наличных и экстренная замена карты в случае утери или кражи карты вдали от банка-эмитента, дополнительные скидки и привилегии в таких сферах, как путешествия, прокат автомобилей, покупки эксклюзивных товаров и услуг. Как правило, вместе с обязательными привилегиями от платёжной системы, банки-эмитенты карт предлагают собственные дополнительные услуги для держателей карт Gold и более высокого уровня.
Visa Platinum - элитная карта, которая обычно предоставляет возможность владельцу
получить дополнительные услуги, скидки, страховки в объёмах, превышающих привилегии для держателей карт Gold.
Visa Signature - карточный продукт для особо состоятельных клиентов, отличительными особенностями которого являются максимальная покупательная способность, повышенные лимиты на различные группы операций по картам, эксклюзивные услуги в области отдыха, покупок и путешествий, а также консьерж-сервис и специальные возможности на личной странице в интернете.
Visa Infinite - позиционируется, как наиболее престижная карта для клиентов с наивысшей платёжеспособностью. В ряде случаев кредитный лимит по такой карте неограничен.
Visa Black Card - имиджевый элитарный продукт. Материалом для изготовления служит не обычный пластик, а патентованный специальный углепласт. Позиционируется, как символ принадлежности держателя к верхушке общества. Из-за повышенных требований, в США владельцами этой карты могут стать не более 1 % жителей. Владелец сможет останавливаться в VIP-салонах международных аэропортов, пользоваться услугами консьерж-сервиса, обеспечивается туристическая страховка, покрытие ущерба при автомобильной аварии, возмещение затрат при отмене поездок.
Visa Business Credit и Visa Business Debit - карты для представителей юридических лиц, предназначенные для расчётов в интересах бизнеса. Данные карты позиционируются, как продукт для малого бизнеса.
Visa Business Electron Card - карты позиционируются платёжной системой, как продукт для малого бизнеса в странах с развивающейся экономикой.
Visa Corporate - карты бизнес-сегмента, предназначенные для компаний среднего и крупного бизнеса.
Visa Fleet - карты бизнес-сегмента, ориентированные на компании, использующие автотранспорт в своей основной деятельности. Этот тип карт помогает компаниям отслеживать эксплуатационные расходы своего автопарка, а также получать дополнительные скидки на топливо и сервисное обслуживание.
Visa Debit - карта для каждодневных расходов. Её особенность состоит в том, что списание средств происходит с депозитного счёта клиента, как если бы он снимал со счёта наличные или выписывал чеки в оплату приобретённых товаров или услуг.
Visa Prepaid Card - карта, баланс которой пополняется при выдаче в банке, и дальнейшие операции проводятся в пределах доступного остатка средств. Разновидностью данного типа карт является подарочная карта - Gift Card. Разновидностью данного типа карт можно считать и карты моментальной выдачи - Visa Instant Issue - заранее персонализованные, но не персонифицированные (Без указания имени держателя). Особенностью этого типа карт является быстрая выдача карты, как правило в течение 15-20 минут с момента обращения клиента в банк.
Visa TravelMoney - карта, предназначенная в первую очередь для безопасной перевозки денежных средств, например в ходе путешествия, являясь более технологичным аналогом дорожных чеков. Как правило, по данному виду карт возможны только операции снятия наличных в банкоматах, однако отдельные банки допускают и покупки по картам TravelMoney.
Visa Mini Card - карта уменьшенного формата, нередко выпускается с отверстием, подразумевая использование и в качестве брелока и не только. Необходимо отметить, что соседство с металлическими ключами крайне нежелательно и может пагубно сказаться как на записанной на магнитной полосе информации, так и привести к повышенному механическому износу карты. В силу нестандартного формата, этот тип карт невозможно использовать в банкоматах, терминалах с контактными чипами (Бесконтактный протокол поддерживается - если карта снабжена таким чипом), также не получится использовать карту в импринтерах. Таким образом, данный продукт пригоден лишь для оплаты покупок или получения наличных в точках, оборудованных электронным терминалом, способным работать по магнитной полосе или бесконтактному чипу. По этой причине данный тип карт, как правило, выпускают в «связке» с картой стандартного формата, имеющей доступ к тому же карточному счёту.
Visa Buxx - целевой аудиторией этой карты являются подростки, не имеющие пока самостоятельного дохода. Родители имеют возможность зачислять на карту «безналичные карманные деньги» и контролировать движения по счёту.
Visa Horizon - дебетовая карта, которая хранит средства на самом чипе, предварительно преавторизовывая их со счёта в банке. При её использовании нет необходимости устанавливать связь в режиме реального времени с банком-эмитентом для получения авторизации. Вся информация о доступном балансе находится на самой карте в памяти встроенного чипа и доступна для чтения терминалом в торговой точке. Держатель карты при необходимости может пополнить баланс на карточке со своего счёта в банке либо через банкомат, либо через один из терминалов в торговой сети или отделениях банка. Visa Horizon идеально подходит в тех случаях, когда существуют проблемы со связью или таковая вообще отсутствует. Поскольку для данного продукта отсутствует риск неплатёжеспособности или перерасхода средств за счёт предварительной авторизации, то Visa Horizon идеально подходит для выдачи клиентам, у которых отсутствуют банковская и кредитная истории. В отличие от карты с электронным кошельком, в котором баланс на карте предоплачивается и в случае потери карты клиент теряет непотраченные средства с карты, Visa Horizon позволяет восстановить остававшиеся к моменту потери карты средства на счету клиента в банке.
Visa Cash или, как ещё её принято называть, «электронный кошелёк», является предоплаченной картой и совмещает в себе удобства платёжных карт с защищённостью и функциональностью встроенного чипа. Карта Visa Cash позволяет легко и быстро оплачивать мелкие расходы, поэтому в основном может использоваться для покупки недорогих предметов, таких, как газеты, билеты в кино, для оплаты непродолжительных телефонных переговоров и так далее. Карта Visa Cash может быть либо пополняемой, либо одноразовой. Решение об этом принимается банком-эмитентом, выдающим карту, и согласовывается с клиентом.
Visa Payroll - обычный тип карт, который сразу при приобретении предоставляет страховку личного имущества человека, приобретённого при помощи данной карты Visa. Общая сумма страховки не может превышать 50 тысяч долларов на человека. На данный момент такие карты выпускаются только в США.
Visa Check, Visa Gold Check и Visa Business Check - карты, созданные для сотрудничества с программами накопления миль у авиаперевозчиков. В основном это касается системы WorldPerks компании NWA.
Visa Platinum Check - аналогична предыдущим трём картам, однако не может быть объединена с программой WorldPerks, хотя предоставляет боо льшие возможности для обладателей, чем Visa Check или Visa Gold Check.
Visa Purchasing - карта предлагается банками с 1994 года и предназначена для учёта затрат на офисные нужды. Карта может быть использована как средними, так и крупными компаниями и выдаётся, как правило, людям, отвечающим в этих компаниях за хозяйственную деятельность. Её использование позволяет компаниям как частного, так и государственного сектора обходиться без требующего много труда и бумаг процесса оформления небольших закупок товаров и услуг. Карта непосредственно предназначена для закупки товаров и оплаты услуг на сумму в пределах 5 тысяч долларов США. Для данных карт к банкам предъявляются требования по специальной форме отчётности при выставлении счетов. Благодаря этой форме предприятие может существенно сэкономить на административных расходах, связанных с приобретением товаров, а также получить информацию, анализ которой может быть взят за основу для проведения переговоров с поставщиками товаров и услуг относительно более выгодных условий сотрудничества.
Visa Commercial - создаёт простую консолидацию расходных данных со всех отделов, подразделений и дочерних предприятий компании, что обеспечивает интегрированный обзор всех расходов по проведению мероприятий и закупкам, а также командировочных расходов.
Следует обратить внимание, что в некоторых странах или регионах доступны не все виды карт. Это может быть связано с особенностями законодательства той или иной страны, а также региональными ограничениями самой платёжной системы.
Далее, рассмотрим карты типа Master Card (Основные):
MasterCard Maestro - это самые доступные банковские карты, вследствие своей низкой стоимости и первоначального взноса. Приобретая ее, вы становитесь обладателем полноправной международной карты, широко применяемой в мире.
MasterCard Standard - наличие таких карточек подчеркивает, что вы - состоявшийся человек, успешно ведущий дела. Отправляясь за границу и имея при себе одну из этих карт, у вас не будет проблем забронировать номер в отеле или взять напрокат автомобиль.
MasterCard Gold - эти карты внушают большее уважение к владельцу этой карты. Они однозначно говорят о том, что его авторитет и вес в обществе выше обычного, что человек достиг в своей жизни серьезных результатов. Это дает владельцу «золотых» карт право на скидки при заказе дорогих номеров в гостиницах и при совершении покупок в престижных магазинах.
MasterCard Platinum - особые банковские карты класса «Премиум». Дают безграничные возможности, полную свободу и эксклюзивность. Владельцу платиновой карты обеспечен статус VIP-персоны в любом месте, в любой точке во всем мире. Это гарантирует одновременно высококлассное обслуживание и существенные скидки.
Помимо уже имеющихся карт, клиентам предлагают обзавестись американской Discover (начинается с цифры 6).
Discover, наоборот, как бы народная, причем изначально ориентированная на кредитные программы. Основная «фишка» системы - бонусы. При покупке товаров и услуг при помощи заемных средств с карты клиенту возвращается какая-то часть суммы (Весьма незначительная), при этом, чем больше тратишь, тем больше процент возврата.
Картами Discover пользоваться невыгодно! Причин тут несколько. Во-первых, совершенно непонятно, где ими можно будет расплачиваться, так как не везде принимают данную платежную систему. А если и принимают, то там, вне всякого сомнения, цены будут несколько завышенными. Во-вторых, проблема с банкоматами - сунуть ее можно будет только в АТМ банка-эмитента. С соответствующим уровнем комиссии. В-третьих, в Европу и Азию с этим «пластиком» тоже не поедешь - логотип с оранжевым «апельсином» в центре крайне редко можно увидеть в Старом свете. Те же, кто часто ездят в США или Канаду всегда могут расплатиться привычной Visa.
Однако, некоторые сторонники, назвали ее лучшей кредитной картой для людей, беспокоящихся о мошенничестве в интернете и защиты личности.
Шифрование. Безопасность. Анонимность. Урок 2.
Поговорим о шифровании. Сразу скажу, что это довольно трудная тема, да и она не является обязательной на все 100%. Скорее, эта информация нужна тем, кто уже чего-то действительно добился (в нашем деле) и желает серьезно заняться своей безопасностью и анонимностью. В этом уроке расписано о том, что такое безопасность, как она достигается и так далее. Если вам кажется, что это слишком сложно для вас или не нужно, то можете смело переходить к следующему уроку.
Повторюсь, эта информация не является обязательной на все 100%, но для общего понимания очень полезна.
Итак, обсудим и разберем фундаментальные основы шифрования, мы изучим симметричное и асимметричное шифрование, также слегка затронем такие понятия как: хеши, SSL, TLS, сертификаты, перехват данных при помощи утилиты SSLStrip и слабости, связанные с шифрованием. Это фундаментальные знания, необходимые для выбора подходящих средств обеспечения безопасности с целью снижения рисков.
В целом, шифрование состоит из двух составляющих - зашифровывание и расшифровывание. С помощью шифрования обеспечиваются три состояния безопасности информации:
1. Конфиденциальность - шифрование используется для скрытия информации от не авторизованных пользователей при передаче или при хранении.
2. Целостность - шифрование используется для предотвращения изменения информации при передаче или хранении.
3. Идентифицируемость - шифрование используется для аутентификации источника информации и предотвращения отказа отправителя информации от того факта, что данные были отправлены именно им.
Для того, чтобы прочитать зашифрованную информацию, принимающей стороне необходимы ключ и дешифратор (Устройство, реализующее алгоритм расшифровывания).
Идея шифрования состоит в том, что злоумышленник, перехватив зашифрованные данные и не имея к ним ключа, не может ни прочитать, ни изменить передаваемую информацию. Давайте представим закрытую дверь на замок для того, чтобы узнать, что находится по ту сторону двери, нам необходимо открыть ее ключом от этого замка. Так и в случае шифрования данных. Только вместо замка у нас выступает алгоритм шифрования данных, а вместо ключа секретный ключ (Пароль) для дешифровки данных.
Основная цель шифрования применяется для хранения важной информации в зашифрованном виде. Вообще, шифрование используется для хранение важной информации в ненадежных источниках и передачи ее по незащищенным каналам связи.
Такая передача данных представляет из себя два взаимно обратных процесса:
1. Перед отправлением данных по линии связи или перед помещением на хранение они подвергаются зашифровыванию.
2. Для восстановления исходных данных из зашифрованных к ним применяется процедура расшифровывания.
Шифрование изначально использовалось только для передачи конфиденциальной информации. Однако впоследствии шифровать информацию начали с целью ее хранения в ненадежных источниках. Шифрование информации с целью ее хранения применяется и сейчас, это позволяет избежать необходимости в физическом защищенном хранилище (USB, SSD-диски).
Какие имеются методы шифрования:
1. Симметричное шифрование - использует один и тот же ключ и для зашифровывания, и для расшифровывания.
2. Асимметричное шифрование - использует два разных ключа: один для зашифровывания (Который также называется открытым), другой для расшифровывания (Называется закрытым) или наоборот.
Эти методы решают определенные задачи и обладают как достоинствами, так и недостатками. Конкретный выбор применяемого метода зависит от целей, с которыми информация подвергается шифрованию. Для того чтобы сделать правильный выбор в подходе по шифрованию, какой метод шифрования где применять, и ответить на другие сопутствующие вопросы, вам будет необходимо понимать, что такое шифрование, как я и говорил ранее.
Например:
• Отправитель отправляет зашифрованное сообщение: "Привет, Антон"
• Злоумышленники перехватывают данное сообщение, но так как у них нет ключа для дешифровки они лишь видят набор символов: "%#&$!"
• Получатель, имея ключ дешифровки, с легкостью может прочитать сообщение которое отправил отправитель в зашифрованном виде, и он уже видит текст отправителя в первозданном виде: "Привет, Антон"
Не будет преувеличением сказать, что шифрование - это самый лучший инструмент, который только есть в нашем арсенале для защиты от хакеров и слежки.
Шифрование - это метод преобразования данных, пригодных для чтения человеком, они называются незашифрованным текстом, в форму, которую человек не сможет прочитать, и это называется зашифрованным текстом. Это позволяет хранить или передавать данные в нечитабельном виде, за счет чего они остаются конфиденциальными и приватными.
Дешифрование - это метод преобразования зашифрованного текста обратно в читабельный человеку текст. Если вы осуществите простой поиск в Google, то увидите надпись HTTPS и наличие зеленой иконки замка, это означает, что все содержимое веб-страниц недоступно для чтения людям, которые отслеживают передачу данных по сети.
Есть два основных компонента шифрования:
1. Алгоритм шифрования - известен публично и многие, многие люди тщательно его изучили в попытке определить, является ли алгоритм сильным.
2. Секретный ключ - можете представить, что секретный ключ - это пароль и он должен держаться в тайне.
Алгоритм можно представить, как замок, а секретный ключ - это ключ к этому замку. В симметричных криптосистемах для шифрования и расшифровывания используется один и тот же ключ.
Давайте рассмотрим пример. Я хочу отправить Антону какой-то файл, но я не хочу, чтобы какие-то третьи лица могли его просмотреть. Для наглядности и простоты использования я решил зашифровать данный файл программой 7-Zip. По этой же аналогичной структуре шифруются сектора/диски в VeraCrypt, TrueCrypt.
Определения:
1. Алгоритм шифрования - это математический процесс преобразования информации в строку данных, которые выглядят, как случайный набор символов и букв.
2. Хеш-функция - это преобразования входных данных в выходную битовую строку. Задача функции обеспечивать целостность и позволять обнаружить непреднамеренные модификации.
На выходе мы получаем зашифрованный архив, который для распаковки и получении информации, что находится внутри необходимо ввести ключ дешифровки, говоря простым языком - пароль. Допустим, что для зашифровки я использовал симметричный алгоритм блочного шифрования - Advanced Encryption Standard (AES). В данном алгоритме используется только один ключ, ключ создается при помощи нашего пароля. Также, вы можете выбрать, какой размер блока будет использован 128 / 256 / 512 / 1024 бит.
Представьте себе дверь и множество замков на ней. У вас займет много времени, чтобы открыть или закрыть эту дверь. Также и с алгоритмами, чем выше битрейт, тем сильнее алгоритм, но тем медленнее он шифрует и дешифрует, можете считать это стойкостью алгоритма.
256 / 512 бит - это также и объем ключевого пространства, то есть цифра, обозначающая суммарное количество возможных различных ключей, которые вы можете получить при помощи этого алгоритма шифрования.
Для взлома симметричного шифра требуется перебрать 2^N комбинаций, где N длина ключа. Для взлома симметричного шифрования с длиной ключа 256 бит можно создать следующее количество комбинаций, то есть возможных ключей: 2^256 = 1.1579209e+77 или если разложить 1.1579209e * 10^7, то при расчете получается следующее число возможных вариаций (Это 78-разрядное число):
Если что, то можете проверить сами это число тут - kalkulyatoronlajn.ru
Таким образом, для всех, кто сомневается в безопасности шансов столкновения 2^256, есть число: где вероятность того, что столкновение будет иметь один из более чем 1.1579209e*10^7= 78-разрядному числу (Число, которое выше). Проще говоря, это само попадание или столкновение практически невозможно.
Все это означает, что ключ крайне сложно подобрать, даже при помощи очень мощных компьютеров, но при условии, что вы использовали длинный и случайный пароль при генерации ключа. Про пароль поговорим отдельно, какой использовать и так далее. Вместе с программами и почему.
Люди и правительства постоянно пытаются взломать алгоритмы шифрования. Я дам вам список алгоритмов, которые хороши, а которые нет, какие из них поддаются взлому, а какие на сегодняшний день невозможно взломать.
Алгоритмы симметричного шифрования:
1. Data Encryption Standard (DES) - алгоритм для симметричного шифрования, разработанный фирмой IBM и утверждённый правительством США в 1977 году, как официальный стандарт (FIPS 46-3). Размер блока для DES равен 64 бита.
2. Triple-DES (3DES) - симметричный блочный шифр, созданный в 1978 году на основе алгоритма DES с целью устранения главного недостатка последнего малой длины ключа (56 бит), который может быть взломан методом полного перебора ключа.
3. Blowfish - криптографический алгоритм, реализующий блочное симметричное шифрование с переменной длиной ключа.
4. RC4 - потоковый шифр, широко применяющийся в различных системах защиты информации в компьютерных сетях (Например, в протоколах SSL и TLS, алгоритмах обеспечения безопасности беспроводных сетей WEP и WPA).
5. RC5 - это блочный шифр, разработанный Роном Ривестом из компании RSA Security Inc. с переменным количеством раундов, длиной блока и длиной ключа. Это расширяет сферу использования и упрощает переход на более сильный вариант алгоритма.
6. RC6 - симметричный блочный криптографический алгоритм, производный от алгоритма RC5.
7. Advanced Encryption Standard (AES) - симметричный алгоритм блочного шифрования (Размер блока 128 бит, ключ 128/192/256 бит), принятый в качестве стандарта шифрования правительством США по результатам конкурса AES. Этот алгоритм хорошо проанализирован и сейчас широко используется, как это было с его предшественником DES.
Симметричные алгоритмы используются в большинстве систем шифрования, которые вы используете ежедневно: HTTPS, Полное шифрование диска (TrueCrypt, VeraCrypt и другие), Шифрование файлов (7-Zip, WinZip и другие), TOR, VPN. Практически везде используется симметричное шифрование.
Advanced Encryption Standard (AES) - это общепринятый стандарт симметричного шифрования. Для максимальной защиты используйте AES-256, где это возможно. AES быстрый и на сегодняшний день его невозможно взломать (При условии, что пароль у вас сильный, про это будет ниже).
Асимметричное шифрование. Очень умные люди изобрели это шифрование с использованием открытого и закрытого ключей и алгоритмы, основанные на сложности определенных математических задач. Я не буду углубляться в математические детали, потому что их понимание не обязательно для вашей защиты. Для правильного выбора средств защиты вам лишь достаточно иметь базовое понимание алгоритмов и стойкости алгоритмов, а также криптографических систем, которые вы собираетесь использовать.
Как мы знаем в симметричном методе шифрование используется один секретный ключ, тогда как в асимметричных методах шифрования (Или криптографии с открытым ключом) для зашифровывания информации используют один ключ (Открытый), а для расшифровывания другой (Секретный). Эти ключи различны и не могут быть получены один из другого.
Закрепим материал:
Симметричный метод шифрования - один ключ, использует один и тот же ключ и для зашифровывания, и для расшифровывания.
Асимметричный метод шифрования - два ключа открытый (Публичный от англ. Public) и закрытый (Приватный от англ. Private).
Итак, допустим, у нас есть файл для Антона, который был зашифрован с помощью программы 7-Zip с использованием алгоритма шифрования AES-256 и сильного пароля, но как нам доставить пароль Антону, чтобы он смог дешифровать файл?
Самый лучший способ, что-либо передать и быть уверенным в доставке информации указанному адресату - это лично в руки. Но это не очень хорошая затея, так как мы можем попросту не знать, где находится адресат, либо он может находится настолько далеко, что доставить что-либо "Лично в руки" становится проблематичным, а быть может нам попросту нужна анонимность.
Асимметричные алгоритмы (с применением открытого и закрытого ключа):
1. RSA (Rivest-Shamir-Adleman) - криптографический алгоритм с открытым ключом. Данный алгоритм очень популярен, один из самых распространенных асимметричных алгоритмов из всех, что вы увидите, и я покажу вам, где вообще их искать и как использовать. Криптостойкость этого алгоритма основана на сложности факторизации или разложения больших чисел в произведение простых множителей.
2. ECC (Elliptic curve cryptosystem) - распространенный и приобретающий популярность алгоритм. Эта криптографическая система на основе эллиптических кривых, или ECC. Стойкость этого алгоритма опирается на задачу вычисления дискретных логарифмов на эллиптических кривых.
3. DH (Diffie-Hellman) - Его стойкость основана на задаче дискретного логарифмирования в конечном поле. Диффи-Хеллман становится все более популярным, потому что у него есть свойство под названием "Прямая секретность", мы обсудим его позже.
4. ElGamal - схема Эль-Гамаля, и криптостойкость этого алгоритма также основана на сложности задачи дискретного логарифмирования в конечном поле.
Криптостойкость (Способность криптографического алгоритма противостоять криптоанализу) - этого алгоритма основана на сложности факторизации или разложения больших чисел произведения простых множителей.
Эти асимметричные алгоритмы помогают решать проблему обмена или согласования ключей, а также позволяют создавать так называемые электронные цифровые подписи. Так что потенциально мы можем использовать открытый и закрытый ключи, чтобы отправить Антону наш секретный ключ защищенным образом, без возможности перехвата его содержимого.
Еще раз отмечу, в алгоритмах с применением открытых и закрытых ключей используются два ключа, а не один, как в симметричном шифровании. Разница в том, что в асимметричном шифровании есть открытый ключ, который создается, чтобы быть известным для любого человека, то есть это публичный ключ, и есть закрытый ключ, который должен всегда храниться в секрете и быть приватным. Эти ключи математически связаны и оба они генерируются в одно и то же время. Они должны генерироваться одновременно, потому что они математически связаны друг с другом. Любой веб-сайт, использующий HTTPS, имеет открытый и закрытый ключи, которые используются для обмена симметричным сеансовым ключом, чтобы отправлять вам зашифрованные данные.
Это немного похоже на Zip-файл. Они используют эти открытые/закрытые ключи и затем им нужно отправить другой ключ, типа ключа, который мы используем для Zip-файла, с целью осуществить шифрование (End-to-end. Разберем дальше).
Запомните:
Если Вы шифруете при помощи закрытого ключа, Вам нужен открытый ключ для дешифровки. Если Вы шифруете при помощи открытого ключа, Вам нужен закрытый ключ для дешифровки.
В асимметричном шифровании, если сообщение зашифровано одним ключом, то необходим второй ключ для дешифровки этого сообщения. Если вы шифруете при помощи закрытого ключа, то вам нужен открытый ключ для дешифровки. Если вы шифруете при помощи открытого ключа, то для дешифровки вам нужен закрытый ключ. Невозможно зашифровать и дешифровать одним и тем же ключом, и это крайне важно. Для шифрования или дешифрования вам всегда нужны взаимосвязанные ключи.
Так вот, вернемся к нашему вопросу. Какие же есть все-таки способы доставить пароль?
Способ первый
В первом способе отправитель шифрует при помощи открытого (Публичного) ключа получателя - Антона. Это означает, что вам нужны анонимность и конфиденциальность,
чтобы никто не смог прочитать сообщение, кроме получателя. Допустим, вы зашифровываете файл при помощи открытого ключа получателя. Сообщение может быть расшифровано только человеком, обладающим подходящим закрытым ключом, то есть закрытым ключом Антона. Так как мы знаем, что данные ключи взаимосвязаны, одним шифруем, другим дешифруем и никак иначе.
Получатель (Антон) не может идентифицировать отправителя этого сообщения. Так как открытый (Публичный) ключ на то и открытый, что он выкладывается обычно в общий доступ, и любой может использовать открытый (Публичный) ключ Антона для шифрования. Когда отправитель шифрует при помощи открытого ключа получателя, сообщение конфиденциально и оно может быть прочитано лишь получателем, у которого есть закрытый ключ для дешифрования сообщения, но как я и говорил ранее возможности идентификации отправителя нет, при условии конечно если вы сами не пришлете там каких-либо данных для последующей вас идентификации
Способ второй
Все выше сказанное выливается во второй способ использования открытых (Публичных) и закрытых (Приватных) ключей. Если вы шифруете своим собственным закрытым ключом, то это означает, что вы заинтересованы в аутентификации. В этом случае вам важно, чтобы получатель знал, что именно вы отправили зашифрованное сообщение. Для этого вы шифруете пароль (Файл) при помощи своего закрытого ключа. Это наделяет уверенностью получателя, что единственным человеком, который мог зашифровать эти данные, является человек, который владеет этим закрытым ключом, вашим закрытым ключом.
Например, вы создатель какого-то программного обеспечения, но правительство не годует и всячески препятствует вашей деятельности.
Смоделируем такую ситуацию:
Допустим, я хочу скачать это программное обеспечение, здесь указана хеш-сумма этого файла, однако, если веб-сайт скомпрометирован, то это означает, что злоумышленники могли подменить данный файл для загрузки и добавить к нему вирус или что-то для слежки за мной, и они также могли подменить и контрольную сумму.
Значит, этот хеш ничего не значит. Он не поможет обнаружить преднамеренную модификацию файла. Нам нужно что-то еще для удостоверения, что данный сайт это в действительности официальный сайт программного обеспечения.
И здесь мы подходим к сертификатам, цифровым подписям и другим средствам. Все эти документы, получаются в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить отсутствие искажения информации в электронном документе с момента формирования подписи (Целостность), принадлежность подписи владельцу сертификата (Авторство), а в случае успешной проверки подтвердить факт подписания электронного документа (неотказуемость).
Шифрование данных с помощью закрытого ключа отправителя называется форматом открытого сообщения, потому что любой человек, обладающий копией соответствующего открытого (Публичного) ключа, может дешифровать сообщение. Можете считать это, как если бы вы официально поместили что-либо в интернет для публичного доступа, и поскольку
вы зашифровали его своим закрытым ключом, любой может убедиться, что именно вы оставили это сообщение. Конфиденциальность или анонимность в данном случае не обеспечивается, но обеспечивается аутентификация отправителя, то есть вас.
Далее. Когда различные технологии шифрования используются в комбинации, типа тех, о которых мы уже говорили ранее, поскольку они все могут быть использованы в комбинации и не могут использоваться по отдельности, то они называются криптографической системой, и криптосистемы могут обеспечить вас целым рядом средств обеспечения безопасности.
Криптографическая система могут обеспечить вас целым рядом средств безопасности. В числе этих средств:
1. Конфиденциальность - необходимость предотвращения утечки (Разглашения) какой-либо информации.
2. Аутентификация - процедура проверки подлинности, то есть мы знаем, что Антон - это реально Антон и никто другой.
3. Предотвращение отказа - что означает, что если вы отправили шифрованное сообщение, то позже вы не сможете начать отрицать этот факт.
4. Достоверность - подлинность того, что сообщение не было модифицировано каким-либо образом.
Примерами криптосистем являются любые вещи, которые используют технологию шифрования, это: PGP, BitLocker, TrueCrypt, VeraCrypt, TLS, даже BitTorrent, и даже 7- Zip.
Например, чтобы мы могли послать наш файл Антону, мы можем использовать открытый ключ Антона для шифрования файлов или для передачи чего угодно в зашифрованном виде. Но для начала, конечно, нам потребуется открытый ключ Антона, нам достаточно получить его один раз неким защищенным способом, и после этого мы сможем всегда посылать зашифрованные сообщения, доступные для чтения исключительно Антону.
PGP - Это система, которую мы можем использовать для этих целей, она использует технологию шифрования сообщений, файлов и другой информации, представленной в электронном виде.
PGP (Pretty Good Privacy) - компьютерная программа, также библиотека функций, позволяющая выполнять операции шифрования и цифровой подписи сообщений, файлов и другой информации, представленной в электронном виде, в том числе прозрачное шифрование данных на запоминающих устройствах, например, на жёстком диске. Для этих целей мы можем использовать Jabber + PGP.
Об этом чуть ниже. Но давайте вернемся к шифрованию. Когда речь заходит о криптографии с использованием открытых и закрытых ключей или асимметричном шифровании, есть как сильные, так и слабые стороны.
Асимметричное шифрование - открытые и закрытые ключи:
1. Лучшее распределение ключей, так как Антон может поместить свой открытый ключ прямо себе в подпись и любой человек будет иметь возможность посылать ей
зашифрованные сообщения или данные, которые сможет прочитать только он.
2. Масштабируемость - если вы используете симметричные ключи и желаете отправить ваш файл Антону и, скажем, еще десяти людям, вам придется передать свой пароль 10 раз. Это совершенно не масштабируемо. Асимметричные алгоритмы имеют более хорошую масштабируемость, нежели чем симметричные системы.
3. Аутентификация, предотвращение отказа - это означает, если вы отправили шифрованное сообщение, то позже вы не сможете начать отрицать этот факт. Так как оно было зашифровано личным приватным ключом, вашим приватным ключом.
4. Медленные - если вы посмотрите на длину сообщения в битах после работы асимметричных алгоритмов, то заметите, что она гораздо больше, чем у алгоритмов шифрования с симметричными ключами, и это свидетельство того, насколько они медленнее.
5. Математически-интенсивные - Чем больше длинна в битах, тем больше число математических операций, а, следовательно, большая нагрузка на систему.
Симметричное шифрование - закрытый ключ:
1. Быстрые - если вы посмотрите на длину сообщения в битах после работы симметричных алгоритмов, то заметите, что она гораздо меньше, чем у алгоритмов шифрования с асимметричными ключами, и это свидетельство того, насколько они быстрее.
2. Надежные - Посмотрите на вышеописанное по поводу AES-256, где был с расчетом числа 2^256 и убедитесь сами, а ведь есть и 384 / 512 /1024 и более.
Для того, чтобы закрепить материал, вернемся к аналогии с количеством замков на двери. С открытыми и закрытыми ключами на двери висит много-много замков, так что шифрование и дешифрование занимает гораздо больше времени. Для центрального процессора это большой объем математических операций, поэтому и существуют гибридные системы, или гибридные криптографические системы. Открытые и закрытые ключи используются для обмена ключами согласования, и мы используем симметричные алгоритмы типа AES для шифрования данных, тем самым извлекая максимальную выгоду. HTTPS, использующий протоколы TLS и SSL, является примером подобного типа гибридных систем, как и PGP.
FAQ:
А: 1. Методы стеганографии как-то применяются в работе? 2. Асимметричное шифрование на примере работает примерно так - зашифровываем публичным AES, расшифровываем условным паролем: qwerty?
Б: 1. Конечно применяйте, все от вас зависит. 2. Создаем взаимопару - приватный и публичный. Одним шифруешь, другим дешифруешь. Приватный также с парольной фазой идет симметричной.
А: Каким методом можно будет передать код Антону? (Пример)
Б: Зависит от ситуации, вообще просто верифицировать его через OTR по отпечатку. И уже потом, когда по OTR верифицировали - можно прямо туда и кинуть, либо другим шифрованным источником, которому вы доверяете и уверены, что Антон - это действительно Антон.
А: Возможно ли модифицировать файл, не изменив его контрольную сумму?
Б: По сути возможно, но не рентабельно, так как в основном весь хэш файла зависит от веса файла, например, вес файла 1 454 458 байт, а файл, который подменили 1 594 137 бай и хэш их будет различаться и тут надо подгонять идеально, и все зависит от типа еще шифрования. По сути, нет. Так как придется что-то удалять из него и чем-то заменять, чтобы заполнить пространство. Думаю, что суть ясна, чтобы сохранить и так далее.
Давайте теперь более детально поговорим из чего состоит шифрование.
Хеширование - преобразование массива входных данных произвольной длины в (Выходную) битовую строку фиксированной длины, выполняемое определенным алгоритмом. Функция, реализующая алгоритм и выполняющая преобразование, называется
«Хеш-функцией» или «Функцией свёртки». Исходные данные называются входным массивом, «Ключом» или «Сообщением». Результат преобразования (Выходные данные) называется «Хешем», «Хеш-кодом», «Хеш-суммой», «Сводкой сообщения».
Хеш-функция принимает входные данные любого размера. Это может быть E-mail, файл,
слово. И происходит конвертация данных при помощи хеш-функции, например, в следующий вид:
Важная особенность хеш-функции - вы не можете конвертировать из хеша обратно в изначальные входные данные. Это односторонняя хеш-функция и для нее не нужны ключи.
Есть много примеров хеш-функций: MD2, MD4, MD5, HAVAL, SHA, SHA-1, SHA-256, SHA-384, SHA-512, Tiger и так далее. В наше время, если вы подбираете криптографическую систему, вам стоит использовать SHA-256 и выше, я имею ввиду SHA- 384 и SHA-512 и так далее.
Чтобы проще разобраться с материалом, отойдем от сухого текста и смоделируем ситуацию. Допустим, вам нужно скачать для себя операционную систему Windows 7 Home Premium.
Мы знаем, что данная операционная система поставляется от разработчика Microsoft, далее уже идем в поиск и совершаем следующий поисковый запрос:
Оператор site: Этот оператор ограничивает поиск конкретным доменом или сайтом. То есть, если делаем запрос: site:microsoft.com Windows 7 Home Premium hash, то результаты будут получены со страниц, содержащих слова «Windows», «7», «Home», «Premium» и «hash» именно на сайте «microsoft.com», а не в других частях Интернета.
Эта информация так же является ключевой для поиска интернет-магазинов с помощью операторов в поисковых системах. Таким способом, можно легко найти хеш-сумму операционной системы Windows 7 Home Premium 64bit на официальном сайте Microsoft: SHA1 Hash value:
6C9058389C1E2E5122B7C933275F963EDF1C07B9
Вообще, я бы рекомендовал находить хеш-суммы и осуществлять поиск начиная от 256 и выше, но на официальном сайте была только данная сумма, так что я возьму то, что есть. Далее, нам необходимо найти файл, который соответствует данной хеш-сумме, для этого так же используем поисковую систему Google и операторы, как искать с помощью операторов и что это такое ссылка выше.
После того, когда вы скачиваете этот файл, то при помощи нашей хеш-суммы можно удостовериться, что этот файл не изменялся, то есть, он обладает целостностью.
Есть инструменты, которые вы можете скачать, чтобы делать это:
Одним из таких инструментов является Quick Hash (quickhash-gui.org), и я покажу, как сверить хеш-суммы и убедиться в целостности полученной информации.
Также, я приложу ниже, информацию по другим хеш-суммам данного файла:
Вы можете заметить, что с увеличением этих цифр в алгоритме хеширования, длина хеша становится все больше, поскольку это длина в битах. SHA-1 - короткий, 256, 512 и MD5, который слаб и не должен использоваться вообще. Так что это является способом подтверждения того, что файл, который вы скачали, сохранил свою целостность.
Некоторые из вас наверняка зададутся вопросом:
"Что, если файл, который я собираюсь скачать, уже скомпрометирован?"
Допустим, у нас веб-сайт (veracrypt.fr) программного обеспечения VeraCrypt
И я хочу скачать VeraCrypt, на сайте имеются хеш-суммы файлов в кодировке SHA-256 и SHA-512
Однако есть одно «НО», если веб-сайт был скомпрометирован, то это означает, что злоумышленники могли подменить данный файл для загрузки и добавить к нему что-либо, вирус или что-то для слежки, и они также могли подменить и контрольную сумму.
Следовательно, получается, что хеш ничего не значит, то есть он не может обнаружить преднамеренную модификацию файла. И нам нужно что-то еще, чтобы удостовериться, что данное программное обеспечение действительно исходит от разработчика. Что сайт VeraCrypt - это официальный сайт VeraCrypt и так далее.
И здесь мы подходим к сертификатам, цифровым подписям и другим средствам, которые сейчас разберем, а пока давайте затронем не маловажную суть хеширования.
Пароли, и все что нужно знать по ним. Когда вы вводите пароль на веб-сайте или в операционной системе, крайне плохой способ хранить этот пароль в базе данных, поскольку если эта база данных окажется скомпрометированной, то и ваш пароль окажется скомпрометирован. Но давайте разберемся, что такое хороший пароль. И какие пароли стоит и не стоит использовать. Обычно пароли перебираются по всяким словарям паролей, или так называемой базе паролей и так далее.
Думаю, по базе паролей понятно, это когда есть определенный список паролей, который подбирается для прохождения авторизации. А по словарю, это когда используется метод перебора пароля, исходя из собранных на вас данных к примеру, или не имея ее, то есть составление слов к примеру:
МоскваУлица1905годаМаша - то такой пароль не будет сильным, даже исходя из того, что он будет набран в другой раскладке, так как его легко можно будет перебрать, собрав информацию на вас и проанализировав можно запустить узконаправленный перебор по словарю с составлением и генерацией нужного вида пароля.
Что я могу порекомендовать по поводу паролей:
1. Используйте сильный пароль, я думаю многие из вас хоть слышали такую фразу, используйте сильные пароли в виде цифр, заглавных букв, строчных букв и специальных символов, но не так-то просто это все запомнить, но наверняка вы знаете хотя бы один такой пароль без смысловой нагрузки
Давайте предположим, что этот пароль - 3hF9$u?h, но он маленький - всего 8 символов, такой пароль не является сверх безопасным, но плюс такого пароля, что мы можем использовать его при шифрование диска, к примеру, защищенных разделов. Не используйте такой пароль, желательно, нигде. Просто запомните как-то и храните в каком то защищенном месте. Я, например, знаю несколько наборов символов, которые лежат у меня в голове и нигде не используются.
Возьмем ранее наш пароль МоскваУлица1905годаМаша и слегка его модернизируем, нашим набором символов - МоскваУлица!90% 3hF9$u?hгодаМаша, как мы можем заметить я нажал клавишу “Shift” при вводе 1 и 5 и они заменились у меня на спец символы. То есть, в английской раскладке он будет выглядеть так VjcrdfEkbwf!09%3hF9$u?hujlfVfif, и такой пароль легко запоминается, так как он имеет смысловую нагрузку, плюс уникальный секретный ключ (Шифр), который есть у вас в голове и нигде не используется.
Вы также можете сверить свои пароли или из чего он составляется со списком обнародованных паролей.
2. Использование пароля хотя бы от 21 символа.
3. Хранение всяких заметок, паролей, прочей конфиденциальной информации в зашифрованном виде, для этого вам необходимо использовать программы для полнодискового шифрования такие, как VeraCrypt, TrueCrypt и другие аналоги, сам использую VeraCrypt.
А для паролей и заметок к паролям используйте программу KeePass 2: https://ru.wikipedia.org/wiki/KeePass или KeePassX 2 https://ru.wikipedia.org/wiki/KeePassX
Keepass - это первая версия. Умеет только БД старого формата (их, вроде, легко расшифровать).
Keepass 2 - вторая версия, поддерживающая актуальный .kbdx-формат, их нельзя расшифровать (вернее, я не видел вариантов).
KeepassX - это переписанный на С Keepass первой версии, как и прародитель, умеет только .kbd-файлы, зато кроссплатформенный.
Начиная со второй версии KeepassX тоже умеет в .kdbx (keepassx.org/changelog)
Сам я пользуюсь KeePass 2, так как мне больше импонирует данный интерфейс и другие мои прихоти. Так что рекомендую. Эти три фундаментальные вещи по паролям запомните.
Поговорим о цифровых подписях. Вернемся опять к нашему VeraCrypt. Как узнать, что сайт действительно официальный и программное обеспечение исходит от разработчика?
Простой и довольно-таки хитрый способ найти официальный сайт - это найти программное обеспечение в Wikipedia и уже там перейти по ссылке на официальный сайт программного обеспечения. Однако, мы можем также нажать на зеленый замок и там посмотреть сертификат, что именно он выдан.
Цифровая подпись - это значение хеша. Это результат работы хеш-функции с фиксированным размером, который зашифрован закрытым ключом отправителя с целью создания цифровой подписи или подписанного сообщения. С технической точки зрения цифровая подпись - это отметка, подтверждающая лицо, которое подписало сообщение. Это выдача гарантии на объект, который был подписан с ее помощью.
Для наглядности, что такое цифровая подпись, даю вам небольшую памятку. Смотрим на подписывание:
Подписывание: То, что вы можете видеть на картинке выше, но исходя из нашего файла, который мы разбираем:
Алгоритм хеширования → Значение хеша (6cff2cce52eb97321b1696f82e9ccefa7c80328d91c49bf10b49e3897677896e) → Закрытый ключ = Цифровая подпись
Если объект шифрования подписан цифровой подписью, то обеспечена аутентификация, потому что объект зашифрован при помощи закрытого ключа, шифровать которым может только владелец этого закрытого ключа. Это и есть аутентификация. Она обеспечивает невозможность отказа от авторства, поскольку, повторюсь, использован закрытый ключ отправителя. И она обеспечивает целостность, поскольку мы хешируем.
Цифровая подпись может быть использована, например, в программном обеспечении. Может использоваться для драйверов внутри вашей операционной системы. Может использоваться для сертификатов и подтверждать, что подписанные объекты исходят именно от того лица, которое указано в сертификате, и что целостность данных этих объектов была сохранена, то есть никаких изменений они не претерпели.
А как же убедиться в том, что файл действительно исходит от разработчика, в нашем случае VeraCrypt? То есть, чтобы в случае обмана вы могли бы со 100% уверенностью сказать, что вы пользовались именно их программным обеспечением, и он был подписан именно их цифровой подписью.
Сертификат можно проверить, но обычно он проверяется автоматически:
Что мы здесь видим. Сертификат выдан: кому - IDRIX SARL, кем - GlobalSign. Итак, GlobalSign - это компания, чей закрытый ключ был использован для цифровой подписи этой программы. GlobalSign сообщает: "Данное программное обеспечение легитимно и оно не подвергалось модификации". Здесь написано: "Сертификат предназначен для удостоверения того, что программное обеспечение исходит от разработчика программного обеспечения, программное обеспечение защищено от модификации после его выпуска".
Чтобы узнать, действующая ли это цифровая подпись, или нет, нам нужно повернуть изначальный процесс в обратную сторону.
То есть, смотрим опять нашу памятку:
Проверка: То, что вы можете видеть в памятке выше, но исходя из нашего файла, который мы разбираем:
Подписанно сообщение → Открытый ключ (Это файл в формате .asc имеет обычно следующий вид - idrix.fr/VeraCrypt/VeraCrypt_PGP_public_key.asc, закрытый ключ также выглядит) = Значение хеша, то есть должно получиться:
После чего это значение хеша надо будет сверить с хешем указанным, то есть открываем там программу QuickHash, прогоняем наш файл и в том алгоритме, котором он нам представлен, должно все совпасть, если не совпадает, то сам файл изменен, и там может быть вирус, или что-то для прослушки за нами, или еще что-то не очень хорошее.
Я проверил полученный хеш, и как мы можем видеть на скриншоте ниже они идентичны. Следовательно, файлы легитимны и соответствуют цифровой подписи разработчика, и этот файл точно исходит от него.
И данное программное обеспечение будет виновато (Точнее, его создатель) в случае заражение вашего компьютера WannaCry или каким-либо еще другим не очень хорошим вирусом. Прочитайте несколько раз, если вы не поняли, и попробуйте вникнуть. Этот момент действительно важен.
А то, что мы видели на нашей замечательной памятке - это то, что Windows проверяет сертификат в подлинности то, что действительно такой сертификат зарегистрирован с таким номером.
Давайте проведу аналогию, чтобы понять, что же делает Windows, когда пишет эти строки в сертификате:
Вы пришли в банк с фальшивыми деньгами, и они проверяют деньги через специальные растворы или приборы, и тут внезапно смывается краска, или не просвечиваются водяные знаки и вам говорят, что ваши купюры не соответствуют и это фальшивка, так же и Windows. То есть, если бы кто-то другой переписал все данные сертификата и сделал копию сертификата для подписи, с такими данными, то она бы не соответствовала действительности, а это уже более сложная тема, но думаю, что все понятно.
А если верификация не проходит, вы обычно видите такое предупреждение:
Это означает, что либо файл не имеет цифровой подписи, либо Windows (Вспомните работника банка) не доверяет этой цифровой подписи (А в случае с работником банка, он не доверяет вашей купюре). Вы можете ее проверить, способ я описывал выше (А работник банка может проверить на аппарате своем или там нанесением растворов).
В Linux'е с этим все просто, так как вы просто так не установите проприетарное ПО, так как все ПО обычно ставится из официальных репозиториев, где проходит всю проверку.
Позже расскажу за Linux и его преимущества более подробно.
Давайте пройдемся по этому материалу еще раз, потому что я уверен, некоторым все это может показаться довольно-таки трудным для восприятия. Смотрим снова на нашу памятку. Видим «Подписывание».
Итак, значение хеша (Самой программы. То есть, если бы человек сам ее прогнал через QuickHash), которое было зашифровано с применением закрытого ключа (Его личного ключа) отправителя или выпуска ПО. Это цифровая подпись. Она обеспечивает аутентификацию, неотказуемость и целостность. А если вы зашифруете что-либо и вдобавок снабдите это цифровой подписью, то вы сможете добиться конфиденциальности наряду с аутентификацией, неотказуемостью и целостностью. Цифровые подписи удостоверяют, что программа или что-либо другое получены от определенного лица или издателя, и они защищают программное обеспечение или сообщения от их модификации после того, как они были изданы или отправлены. На этом думаю мы разобрались с цифровыми подписями.
Давайте теперь перейдем к End-to-End шифрованию (E2EE).
End-to-End шифрование заключается в том, что данные шифруются отправителем и дешифруются только получателем. Если вы хотите избежать отслеживания, массовой слежки, хакеров и так далее, то вам нужен именно этот вид шифрования передаваемых данных.
Примерами технологии End-to-End шифрования являются такие вещи, как PGP, S/MIME, OTR, что расшифровывается как “Off the record” (рус. "Не для записи"), ZRTP, что расшифровывается, как Z в протоколе RTP, а также SSL и TLS, реализованные правильным образом, все это может использоваться в качестве End-to-End шифрования.
Компании, которые разрабатывают программное обеспечение, использующее End-to-End шифрование и системы с нулевым разглашением, не могут раскрыть детали обмена данными вашим врагам, даже по принуждению, даже если бы они этого сами захотели. В этом и заключается преимущество End-to-End шифрования с нулевым разглашением. End-to- End шифрование обеспечивает защиту в процессе передачи данных, но очевидно, что оно не может защитить данные после их получения. Далее, вам нужен другой механизм защиты.
Используйте End-to-End шифрование везде, где это только возможно.
Использование защищенного HTTPS на всех веб-сайтах становится все более необходимым, независимо от типов передаваемых данных. Цифровой сертификат, тоже самое, что и цифровая подпись, есть ряд отличий, там центры сертификации и так далее. Вы обычно с этим не сталкиваетесь, не буду расписывать, кому интересно - вбейте в поисковик «Центры сертификации ключей и HTTPS» и «Цифровые сертификаты».
Зеленый замочек в URL или HTTPS означает, что ваш интернет-провайдер или, допустим, правительство, они лишь могут отследить целевой домен. Что это значит? Допустим, между нами и Google находится злоумышленник. Он не сможет узнать, что именно я искал, потому что это оконечное шифрование между моим браузером и сервером.
Давайте посмотрим на примере. Для начала мы будем использовать пример не зашифрованного соединения при помощи HTTP соединения.
HTTP, HyperText Transfer Protocol - широко распространенный протокол передачи
данных, изначально предназначенный для передачи гипертекстовых документов. По умолчанию протокол HTTP использует TCP-порт 80.
На скриншотах ниже я буду использовать программу для анализа сетевого трафика - WireShark.
Для эксперимента я взял сайт базирующийся на HTTP протоколе government.ru после того, как я кликну по ссылке запрос от сайта будет отображен в окне программы WireShark под цифрой один, но давайте сразу разберем, за что отвечает каждое окно программы для лучшего усвоения материала.
1. Данная область называется Packet List - в ней вы можете посмотреть с каким сервером идет обмен данными, протокол, который используется и общую информацию о кадрах.
2. Следующая область называется Packet Details - в ней отображаются детали пакетов, который был выбран в Packet List.
3. И последняя область называется Packet Bite - в ней отображается шестнадцатеричное отображение данного пакета, также отображается смещение в виде ASC'и, и также, если мы кликнем правой кнопкой по данной области можем посмотреть, как все это будет выгладить в битах.
Давайте разберем, полученные пакеты подробнее и узнаем наглядно о слежке, анализе и так далее.
1. Пересылаемые пакеты по нашему фильтру HTTP.
2. Целевой домен, то есть главная страница сайта без всякой ереси после слеша "/".
3. User Agent, то есть параметры браузера, версия операционной системы и другие параметры.
4. Referer - указывает, с какой страницы мы перешли на эту страницу, так как мы перешли с защищенной страницы, там было много пакетов с переадресацией. В конечном итоге, мы с этой же страницы сослались на себя же, если я, к примеру, перешел с главной страницы сайта на данную, то в Referer'е бы стояла главная страница сайта.
5. Cookies, либо сессия. Здесь ваш пароль и приплыл (Замазал). Можно зайти под вашей сессией залогиненой и шариться.
6. Ну, а это уже конечная страница, где мы находимся.
Если вы думаете, что это потолок, что может данный софт, то боюсь вас расстроить - это только верхушка айсберга. Для того, чтобы у вас после прочитанного не осталось сомнений я решил разобрать эти пункты перейдя с одной страницы веб-сайта на другую.
И как мы можем видеть:
1. Referer - указывает предыдущую страницу, которые мы разбирали именно с нее мы пришли на данную страницу.
2. На какой странице мы сейчас находимся.
Как мы видим, сам по себе протокол HTTP не предполагает использования шифрования для передачи информации. Тем не менее, для HTTP есть распространенное расширение, которое реализует упаковку передаваемых данных в криптографический протокол SSL или TLS.
Название этого расширения - HTTPS (HyperText Transfer Protocol Secure). Для HTTPS- соединений обычно используется TCP-порт 443. HTTPS широко используется для защиты информации от перехвата, а также, как правило, обеспечивает защиту от атак вида Man- inthe-Middle - в том случае, если сертификат проверяется на клиенте, и при этом приватный ключ сертификата не был скомпрометирован, пользователь не подтверждал использование неподписанного сертификата, и на компьютере пользователя не были внедрены сертификаты центра сертификации злоумышленника.
1. Google - использует защищенный протокол соединения HTTPS.
2. Пакет запроса данных по защищенному протоколу HTTPS.
3. Как мы видим в деталях пакета у нас только Encrypted Application Data.
Никакой другой информации, что содержится на веб-страницы, или где находится человек у нас нет.
4. Так как у нас есть IP-адрес, с каким сервером ведется обмен пакетами, просматриваем, что это за IP-адрес и исходя из полученных данных, мы можем сделать вывод, что человек находится на целевой странице Google.
По сути, использование HTTPS безопасно и как я говорил ранее:
Компании, которые разрабатывают программное обеспечение, использующее End-to-End шифрование и системы с нулевым разглашением, не могут раскрыть детали обмена данными вашим врагам, даже по принуждению, даже если бы они этого сами захотели. В этом и заключается преимущество End-to-End шифрования с нулевым разглашением.
SSLStrip - снятие HTTPS. Но также исходя из этого имеются атаки по снятию SSL. Разберем, что это такое. Любой атакующий, который может расположиться между источником и адресатом трафика, в нашем случае, компьютера и сервера, то этот атакующий может совершить атаку вида “Man in the middle” (рус. "Человек посередине"). Одна из подобных атак, которая требует весьма небольших навыков и ресурсов, называется SSL Stripping (рус. "Снятие SSL"). Атакующий выступает в роли прокси здесь и подменяет зашифрованные HTTPS-соединения на HTTP-соединения.
Давайте откроем скриншот и посмотрим, что же это такое:
1. Как мы можем видеть, мы отправляем запрос с HTTP.
2. Он проходит через SSLStrip и не изменяется, также идет дальше.
3. Сервер видит, что вы пришли по небезопасному протоколу без шифрования и меняет его на безопасный с использованием шифрования. То есть, на HTTPS (Совершается 301 либо 302 Redirect - это настраивается на сервере)
4. SSLStrip видит, что сервер отправил вам запрос в HTTPS (Смотрите пункт 3) и автоматически также изменяет его на небезопасный - на HTTP. Тем самым, убирая TLS шифрование.
SSLStrip здесь проксирует ответ от веб-сервера, имитируя ваш браузер, и отправляет вам обратно HTTP-версию сайта. Сервер никогда не заметит отличий. Так как сервер думает, что вы общаетесь по защищённому протоколу HTTPS, так как он не видит, что злоумышленник (SSLStrip) изменил вам протокол на небезопасный.
И что вы увидите - это будет практически неотличимо от подлинного сайта. Давайте я покажу вам, как должен выглядеть веб-сайт:
1. Мы видим защищенную версию сайта, то есть с End-to-End шифрованием (слева).
2. Теперь я выполнил HTTPS-stripping (Снятие SSL - SSLStrip). И так выглядит версия сайта после атаки (справа).
Как можно заметить, отличие в том, что у вас теперь нет HTTPS и большинство людей не заметят эту разницу. И как я уже сказал, сервер никогда не заметит, что что-то не так, потому что он общается с прокси, который ведет себя точно также, как вели бы себя вы.
Другой интересный способ для проведения этой атаки - когда атакующий находится в вашей локальной сети, так что это либо происходит по Ethernet-кабелю, либо по беспроводной связи через Wi-Fi. Они могут обмануть вашу машину и заставить ее отправлять трафик через них, и это известно как ARP-spoofing, или ARP-отравление. Атакующий посылает ARP-пакеты, имитируя шлюз жертвы по умолчанию.
Это работает, потому что у Ethernet нет механизмов для аутентификации, нет этого функционала, поэтому любая машина в принципе может отправить то, что называется ARP- пакетом, и сообщить, что она - одна из машин в этой сети, например, шлюз или маршрутизатор, и это приводит к тому, что вы начинаете отправлять свой трафик через липовый маршрутизатор, который затем переправляет его, попутно снимая SSL, и после этого переправляет трафик обратно к вам, как мы уже видели.
В двух словах, что такое ARR-spoofing и как это работает более простым языком. Все, что выходит в интернет есть физический адрес, то есть MAC адрес. Следовательно, у компьютера есть сетевая карта или Wi-Fi карта, а у нее есть свой MAC. Записывается обычно MAC адрес так - 00:07:5B:3C:88:91, между цифрами может быть двоеточие или тире, это 6 пар символов, по 8 бит на каждую пару то есть 48 бит всего.
Следовательно, 2^48 = 281 474 976 710 656 - а это в свою очередь 281 триллион 474 миллиарда 976 миллионов уникальных адресов. Также, первые три октета - это идентификатор организации, следующие три октета выбираются изготовителем для каждого экземпляра устройства (За исключением сетей системной сетевой архитектуры SNA).
Также, MAC адрес легко изменить на любой другой. Для чего я это рассказываю? А для того, что зная только IP адрес невозможно связаться с устройством в сети. И если мне известен IP адрес устройства, к примеру, моего роутера, то я не имею возможности обмениваться с ним информацией, пока не узнаю его MAC.
Как раз для этих целей и служит ARP протокол, который отправляет с вашего устройства на другое устройство запрос, будто у тебя IP 192.168.1.1. После чего отправляет ему свой MAC адрес и получается, что связь установлена.
Для наглядности атака происходит следующим образом:
IP адрес и MAC адрес компьютера под цифрой 1 отличается от IP адреса и MAC адреса роутера под цифрой 2 от вашего настоящего роутера. Злоумышленник создает виртуальный роутер под цифрой 3 и завязывает всю вашу сеть через себя, и компьютер отправляет запрос неверный, который идет не на роутер настоящий, а на нашего хакера (Поддельный роутер) и также в обратном порядке. Получается, что весь трафик проходит через нашего злоумышленника.
Давайте теперь подумаем, что можно сделать для предотвращения всего этого? Что же, на клиентской стороне вы можете попытаться замечать те случаи, когда у вас отсутствует HTTPS, но если вы будете заняты, то вряд ли сможете это заметить. И тем не менее, вам следует обращать на это внимание. Но далее я расскажу вам метод, как обезопасить себя.
Более надежный метод - это использование туннеля или шифрованного туннеля, так чтобы снятие SSL стало невозможно, поскольку трафик, который вы отправляете, будет зашифрован иным способом. Например, можно использовать SSH-туннелирование. Можно использовать VPN-технологию типа IPsec. А вообще, стоит обратить внимание на End-to-End шифрование.
Помимо всего прочего, вам лучше не подключаться к сомнительным сетям без использования туннелирования, VPN или шифрования, потому что это именно то, что может произойти, если у вас их нет. Ваш SSL может быть снят и весь ваш трафик станет открытым.
Наличие ARP-spoofing'а и Sniffing'а в вашей локальной сети можно в определенной степени обнаружить, и есть пара инструментов для примера, которые вы можете использовать. Это ARPWatch. Он мониторит вашу Ethernet-сеть на наличие ARP-spoofing'а или отравления. И есть другой инструмент, это Sniffdet, он обнаруживает тех, кто наблюдает за сетевым трафиком.
Что касается серверной стороны, у вас может не быть контроля за серверной стороной. То есть, вы не всегда можете контролировать HTTPS соединение, чтобы оно было всегда с зеленым замком. Есть возможность активации строгой безопасности, передачи данных по протоколу HTTP, сокращенно HSTS, этот механизм использует особый заголовок для принудительного использования браузером только лишь HTTPS-трафика.
Это работает только, если вы ранее посещали сайт, и затем ваш клиент фактически запоминает, что данный сайт принимает исключительно HTTPS-трафик. А если вы все-такие снимете SSL, то получите сообщение об ошибке, потому что на этом сайте была активирована строгая транспортная безопасность HTTP.
В общем, сделаем краткий эпилог. Шифрование - это фантастический инструмент для приватности, безопасности и анонимности. По факту, этот инструмент реально работает и злоумышленники (Хакеры) будут стараться избегать его. То есть, никакой дурак не будет совершать прямую атаку на шифрование. Как говорится, умный в гору не пойдет, умный гору обойдет. И вам следует иметь это ввиду.
И все, что они могут сделать - это найти слабые места. Вспомните случай с Россом Ульбрихтом создателем «Шелкового пути» он попался на Captcha. На простом. То есть, никто никогда не будет Brut'ить ваши пароли и прочее. Им гораздо проще установить вам KeyLogger на вашу систему или отправить вам ссылку на сайт с зараженным JavaScript и произвести атаку, либо PDF-файл и так далее.
Шифрование никто и никогда не захочет ломать. Атакующие будут просто пытаться обойти шифрование. Вам следует иметь это ввиду.
Безопасность - это так называемый феномен слабого звена. Она настолько сильна, насколько сильно самое слабое звено в цепочке. Надежное шифрование зачастую - это сильное звено. Мы, человеческие создания, как правило являемся слабым звеном. Как говориться: "Язык мой - враг мой".
Как проводится MITM атака:
FAQ:
А: Когда злоумышленник создает виртуальный роутер, жертва это может заметить?
Б: Может, конечно, но обычно это замечается с помощью плагинов, брандмауэра и другого софта. .
А: Как применить в работе эту информацию?
Б: Абсолютно по-разному. Вы должны понимать, что доверять можно только себе и если у вас нет понимания, то у вас не будет гарантии своей безопасности.
А: Как мне перенести всю информацию на закриптованный диск?
Б: Просто берете, перетаскиваете и копируете. Перед этим нужно смонтировать его.
А: Какой плагин стоит использовать для безопасного определения подлинных сертификаток/проверки со старыми.
Б: HTTPS Everywhere. Или настраивать брандмауэр надо.
Анонимные почтовые сервисы:
protonmail.com
disroot.org/en
tutanota.com
mailfence.com
Введение в безопасность. Выбор OC. Урок 3.
Я попытаюсь на простом языке объяснить, как вас могут теоретически взломать. Я обойдусь без сложных терминов, для обычных пользователей. Также, дам вам краткое представление о взломе операционной системы, а более продвинутые пользователи между строк будут читать техническую информацию.
Считаю, что пользователям любой операционной системы, а тем более тем, кто связан с этим по работе, необходимо понимать, что профессиональные вирусы - это не исполняемый файл, который переименовали в документ и просят вас запустить. И не всегда блокировка макрокоманд не даст злоумышленнику выполнить код на вашей системе.
Сам пользуюсь различными операционками, от Windows и до Linux. Я работаю на Linux, но иногда использую Windows. Далее, будет много негатива про Linux, но он не связан с какими- либо фанатическим убеждениями, просто я хочу объективно рассказать и убедить, что не важно, какой операционной системой вы пользуетесь - взломать вас могут везде.
Ваш выбор операционной системы имеет значение для вашей безопасности, приватности и анонимности. Различные операционные системы подходят для различных нужд. Цель данного раздела помочь вам разобраться в этой непростой ситуации. Ответить на вопросы, какая операционная система подходит под ваши требования исходя из рисков, и для чего вы хотите ее использовать, под конкретную ситуацию, под конкретные требования.
Поговорим о нашем выборе операционной системы, и как она влияет на вашу безопасность, потому что операционная система - это реальная основа вашей безопасности. Есть много заблуждений, когда речь идет об операционных системах и безопасности. Вы, наверное, слышали, например, что MacBook'и не могут быть заражены вирусами. Также, множество людей постоянно обсуждает, насколько дырявая операционная система Windows. Об этом можно рассуждать годами, но интересно насколько безопасен Linux?
И есть люди, назовем их лагерь Linux, которые считают, что Linux является самой лучшей операционной системой. Если спросить у любителей Linux, а есть ли у вас антивирус, то в ответ будет только смех. Аргумент у них такой - Linux создан профессионалами, и все там по стандарту защищено. Сажаем свою любимую собаку за Ubuntu и можно за её данные не волноваться.
Вообще, есть две вещи, которые бесконечны, вселенная и дураки. С вселенной все понятно, но как быть с последними? Как объяснить различным пользователям Windows, что нельзя работать без антивирусной защиты? А как объяснить создателям антивирусов, что нельзя защититься от взлома матрицей доступа (Когда блокируют чтение или запись некоторых файлов, то есть разграничение доступа) и что взлом - это не всегда: «Обнаружена угроза: Процесс autorun.exe, пытается выполнить запись в системную ветку реестра».
Ваша защищенность выглядит хорошей только в теории. Допустим, вы тот самый пользователь Ubuntu, вы устанавливаете на ПК своей любимой собаки эту ОС. Тогда многие утверждают следующее - если собаке на почту придет сообщение myDocument.docx, то даже если это окажется исполняемый файл, и он его по инструкции запустит, то ничего не произойдет - ведь для большинства действий необходим пароль - root (Пароль администратора в смысле). Вы серьезно? Вы от нашествия представителей младших классов школы защищаетесь? Или все-таки от злоумышленников, которые являются членами преступных группировок, контролируют большие финансовые потоки и вообще?
Давным-давно, когда Linux только зарождался, его пользователи в большинстве, были профессионалы. Но со временем появились удобные для простого пользователя в работе дистрибутивы и начался рост числа пользователей-домохозяек. А что делает любая домохозяйка? Правильно, совершает интернет-платежи, а там, где деньги, туда слетаются, как пчелы на мед рой различного отребья, которое хочет на этом безвозмездно поправить свои финансы. 90% домохозяек пользуются Windows - и вирусы разрабатываются под эту операционную систему, и если хотя бы 20-30% домохозяек перейдут на Linux, то туда сразу будут вливаться большие финансы под разработку вредоносного ПО. И отчеты антивирусных компаний показывают о медленном, но увеличивающемся количестве таких программ.
Ладно, вернемся к нашей собаке. Единственная причина не беспокоится о своей безопасности одна - разработка вируса под его ОС нерентабельна. А вот так - экономически невыгодна, возможный доход злоумышленников будет меньше расходов. Долго ли так будет продолжаться - большой вопрос. Но все же, технически, насколько возможно, что нашу собаку взломают и данные уведут? Если конек безопасности нашей собаки в том, что она никому не нужна и вирусы под её ОС пока еще не пишут - то это игра в русскую рулетку.
Смоделируем такую жизненную ситуацию. Допустим, на днях, вы познакомились в интернете с симпатичной девушкой, вы с ней какое-то время общаетесь, делитесь там своими секретами и так далее. Например, в какой-то момент она узнает, что на вашем счету лежит кругленькая сумма монет BTC. Представим, что подругу зовут - Катя, а у Кати есть друг программист, который довольно неплохо разбирается в компьютерах. Тогда они и решают вместе с другом сообразить на двоих. Что им для этого требуется: небольшой стартовый капитал, прямые руки друга (Пусть его будут звать Антон) и немного отваги.
Катя знает, что вы пользуетесь Ubuntu 14 LTS. Как вы себе представляете процесс взлома? Вы, как и большинство пользователей, считаете, что Катя отправит вам на почту файл с вложением, который попросят запустить, но так как вы не дураки, то, конечно, все ваши данные в безопасности, и мы не будем запускать этот файл!
Тогда Катя идет на некоторый безымянный и теневой ресурс и покупает у Некто уязвимость к вашему любимому браузеру за N-ое количество денег. Некто не только снабжает вашу новую подругу технической информацией об уязвимости, но и высылает для Антона (подельника Кати, кто забыл) пример, как все это запустить.
Уязвимость, которую получает подруга - уязвимость нулевого дня в браузере Google Chrome. Например, открытые дыры CVE-2015-1233 или CVE-2014-3177, CVE-2014-3176, CVE-2013-6658 (Смотрите выше) и сколько их еще не закрыто - большой вопрос.
Как видно из описания уязвимостей, Катя может выполнить код в контексте процесса и работать это будет не только в ОС Windows, но и в Linux, и Mac OS. Уязвимости взяты для примера случайным образом. Еще раз повторюсь, это уязвимости браузера.
Антон составляет скрипт (JS - Java Script) и записывает туда Shell-код (Набор строк, которые прописываются в командной строке), который должен выполнится на целевой системе - вашем ПК. Для этого ему необходимо как-то передать ссылку. Первый вариант с почтой сразу отметаем - вы осторожный пользователь и ссылки из почты не открываете.
Тогда они решили немного импровизировать. Им известно, что вы обычный человек и паранойей не страдаете. Поэтому, скорее всего, перейдете все-таки по ссылке, если вам ее скинет более-менее знакомый (в нашем случае - Катя) человек в социальной сети. На самом деле, это можно обыграть по-разному. Тут уже все зависит от вашей фантазии. Вариантов действительно очень много.
После посещения вами ссылки в контексте процесса вашего браузера выполнился небольшой код, который написал Антон - буквально несколько команд, которые в дальнейшем загрузили тело вируса и перешли в его выполнение. Но как же. Вы уверены, что Катя просто
показывает вам свои фотографии, никакие файлы на диск не загружаются, предупреждений нет, паролей от root никто не спрашивает.
Повышаем привилегии. После того, как разработка Антона начала выполнять свои первые инструкции на вашем процессоре, стал вопрос, а что делать дальше? В вашей теории, даже если и произойдет заражение, то вам ничего не будет, вы поставили сложный пароль для root доступа, да и вводить его сразу и внезапно не будете.
Антон с Катей предусмотрели такой вопрос и заранее его решили. Тот же самый Некто подсказал им, что у него есть парочка уязвимостей нулевого дня в ядре Linux, наподобие свежих уязвимостей в ядре версии 3.17 и 3.14 - CVE-2014-9322, CVE-2014-3153.
Прочитав описание уязвимостей, Антон понял, что они позволят ему выполнить код в контексте вашего ядра ОС. И все, что ему необходимо это, чтобы его вредоносное приложение, воспользовавшись этими свежими дырами и выполнила код в ring-0.
Пока вы ни о чем не подозреваете и рассматриваете фотографии Кати, код Антона уже серьезно вторгся в просторы вашей системы и ни антивирус (Его просто нет), ни чего-либо еще не могут, даже отобразить сообщение об вторжении. Так как Антон решил не останавливаться на достигнутом, то он пошел дальше. Попав на самый нижний уровень вашей ОС, в котором предполагается выполнение только доверенного кода, Антон начал поиск файла, который ответственен за запуск ОС. Как только ПО от Антона нашло этот файл, оно модифицирует его таким образом, чтобы при перезагрузке вашего ПК продолжался выполняться код Антона.
Rootkit (по-русски, "руткит") - программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
И таким образом Антон и Катя получили доступ к вашему ПК под управлением ОС Linux, но как им скрыть свое присутствие? Для этого Антон решил, что перезапишет код самой операционной системы, который загружен в память вашего ПК, но как? Ведь если те же действия провести на ОС Windows, то один небольшой системный компонент обнаружит это и принудительно перезагрузит ПК.
Тогда Антон открыл документацию на процессор, который стоит на вашем ПК и стал изучать. Ему известно, что архитектура процессора вашего x86, но что это дает? Ведь на необходимые ему страницы в ядре стоит защита от записи. Тогда Антом обратил внимание на регистр cr0 - небольшой блок памяти в котором хранятся данные, с которыми работает процессор.
А что будет, если я шестнадцатеричный бит установлю в ноль, быстро перезапишу необходимые методы ядра и сразу же восстановлю регистр - подумал Антон. И так и сделал, как оказалось, если сбросить этот бит в ноль, то защиту от записи можно временно отключить.
Таким образом, Антом получил полный контроль над вашей ОС. Да, уязвимость потом нашли и исправили, но программный код, который засел таким образом в вашей ОС, уже никак не обнаружить. Ежеминутный контроль целостности показывает, что ни один файл в системе не изменен - программа Антона просто подменяет его при чтении. Процессов новых нет - вредоносный процесс просто скрыт и если на другой ОС существуют решения, которые давно уже обнаруживают такие техники, то под вашей ОС такого нет.
В общем, заключение, Катя и Антон легко смогли получить доступ ко всем вашим платежным системам, вывели все ваши деньги. А потом еще и удалили все ваши файлы. Вывод - будьте осторожны, особенно с Катями.
Я хотел этой простой историей показать простые принципы. Как все это происходит, что необходимо четко разделять виртуализацию, ведь виртуализация - это еще одна масштабная вещь в параметре вашей безопасности. Мы к этому еще вернемся. Не старайтесь бродить по интернету на своем ПК, открывать подозрительные ссылки и скачивать какое-то сомнительное программное обеспечение, да и еще не совсем понятно откуда. Внимательно подходите к вопросам своей безопасности по поводу JS и включайте его только на доверительных ресурсах.
НО! Обычно такие уязвимости стоят больших денег, и факт того, что именно вас взломают уменьшается. При том, что заинтересуются именно вами, вероятность крайне мала. Как я уже писал в начала урока по шифрованию - вся эта информация нужна уже тогда, когда вы достигли какого-то успеха, на ваших кошельках всегда лежат крупные суммы, а вы обладаете целым арсеналом разной техники.
(Например, у меня несколько ПК на разных ОС. Один ПК - тестовый, на котором я проверяю разные методы работы, программы, ссылки и так далее. На нем не хранится никаких важных данных, к этому всему он подключен к другой сети. Второй и третий ПК - исключительно для работы. Ну, и четвертый ПК для себя - социальные сети, игры, интернет и так далее. На нем тоже нет никаких важных данных, и он никак не касается работы, поэтому если его и заразят как-то, то я ничего не потеряю).
Кстати, еще небольшая информация. Если вы следите за своей безопасностью и анонимностью, то вы должны быть очень осторожны в интернете. Во-первых, всегда держите в голове то, что интернет - это обитель обмана и лжи (Особенно теневой интернет). Забудьте о таких вещах, как знакомство с людьми в интернете, ибо вы не можете знать, кто сидит за той стороной экрана. Друг или товарищ майор. Во-вторых, всегда помните, что ваших друзей в социальных сетях могут взломать. И, вам повезет, если вы просто попадетесь на очередной развод, где вам предложат перевести деньги на карту. И не повезет, если от лица друга, используя грамотно СИ, смогут узнать у вас какие-то данные (Тот же переход по ссылке).
Так, ладно, эту тему мы закрыли. А сейчас я бы хотел произвести некую оценку рисков и исходя из этих моментов, чтобы вы также могли делать это самостоятельно без каких-либо специальных навыков, чисто своей логикой.
Возможно, вас интересует вопрос, какую из операционных систем мы будем считать самой слабой? Windows, OS X или различные Linux-системы, возможно ядро Linux, что из них было наиболее уязвимым в истории?
cvedetails.com - это бесплатная база данных/источник информации об уязвимости CVE (Это общепринятый стандарт именования уязвимостей, присутствующих в коммерческих и Open-Source программных продуктах). Можно просмотреть сведения об уязвимостях по номеру CVE, exploit'ы, ссылки на уязвимости, полный список уязвимых продуктов и CVSS отчетов об оценках и самые частые уязвимости с течением времени и многое другое.
Давайте попробуем поработать с данным сайтом. Для начала мы перейдем на данную страницу сайта - cvedetails.com/top-50-products.php - тут представлен список: “Топ-50 продуктов по общему количеству уязвимых уязвимостей” (с 1999 года по настоящее время).
И как мы можем видеть на второй строчке у нас находится Linux Kernel. Проще говоря, это Linux Ядро, как мы видим оно занимает вторую строчку по количеству. И вы, наверное, спросите, а почему?
Цифры которые изображены в правом столбике, это количество уязвимостей найденных в той или иной операционной системе, или приложении.
Давайте спустимся в самый низ веб-страницы. Мы видим там следующее: “Общее число уязвимостей 50 продуктов по производителям”. И, как мы можем видеть, Linux уже не занимает первую строчку, но вы скажите, что Windows (Microsoft) постоянно обновляется, да и у нее куча продуктов на рынке Office и другие программы, а у Apple есть различные версии операционной системы, да и тоже там свои нюансы.
Да, все верно. Все вы будете правы, но и у Linux есть куча всего. Давайте более детально подойдем к специфике этого использования. Давайте все разберем на деле, а там, я думаю, вы все сами поймете, о чем я хочу вам рассказать.
Переходим на страницу: cvedetails.com/vendor.php?vendor_id=33
Эта страница показывает статистику уязвимостей в Linux. На что стоит обратить свое внимание:
1. Количество уязвимостей по годам.
2. Уязвимости по типу.
Теперь необходимо разобрать, на какие параметры стоит обратить внимание:
Первое на что мы должны обратить внимание - это на количество уязвимостей по годам, как мы можем видеть, что с каждым годом есть тренд к увеличению обнаружения уязвимостей.
Второе на что мы должны обратить свое внимание - это на степень опасности уязвимостей, как мы можем видеть серьезными тут являются выполнение кода (Execute Code) и переполнения буфера (Overflow).
Красный и оранжевый:
• Красный столбец - это выполнение кода на стороне клиента без его ведома, думаю не надо рассказывать, чем именно это чревато.
• Оранжевый столбец - это переполнение буфера, то есть имеется ввиду явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера. Чревато тем, что произойдет повышение уровня привилегий и еще куча всего.
Подробнее можете ознакомиться тут: https://ru.wikipedia.org/wiki/Переполнение_буфера
И для полноты картины мы можем подняться чуть выше, и увидеть таблицу с тенденциями уязвимостей с течением времени. По структурированным данным мы легко можем произвести анализ, так как мы видим ранжирование данных по временому циклу, а также по степени опасности уязвиомтей (Столбцы). Вы можете нажать на эти цифры и посмотреть подробную статистику о уязвимостях.
Теперь у нас сложилась небольшая картина, как все устроено, мы разбирали это на основе Linux, но для анализа требуются несколько кандидатов. Сейчас я расмотрю в краткой емкой форме на примере трех основных разработчиков, а именно:
• Linux
• Microsoft
• Apple
Как мы можем видеть, в общей статистике уязвимостей по всем продуктам:
• Microsoft - 10947 уязвимостей.
• Apple - 6595 уязвимостей.
• Debian - 2619 уязвимостей.
Основываясь на фактах и статистике, попробуем выяснить, к чему в действительности мы придем, когда дело касается безопасности этих операционных систем.
Windows
Итак, первым мы будем разбирать Windows, на сколько дырявая операционная система Windows можно рассуждать годами. Достаточно взглянуть на статистику ранее описанную. И у вас в сознание должна загореться та самая красная лампочка, которая бы сигнализировала вам, что, возможно, это не самый лучший вариант. Но статистика - статистикой, но давайте разберемся почему. У нее изначально была слабая система безопасности. Стоит отдать ей должное. В более поздних версиях операционных систем Microsoft начали серьезно относиться к вопросам безопасности.
И с учетом последних продуктов, последних средств безопасности типа: BitLocker, EMET, Device Guard, Windows Hello и доверенных приложений Windows Trusted Apps, теперь есть вполне серьезный набор средств безопасности. Но действительно ли это так? Вообще, я соглашусь, безопасность операционных систем семейства Windows по степенно улучшается, но этого не достаточно, а тем более для нас.
В этих операционных системах все тесно взаимосвязано с серверами Microsoft, все ваши действия в системе, как по ниточкам сообщают на сервера Microsoft, также подводят Windows, особенно в актуальной версии Windows 10, проблемы, связанные со слежкой и конфиденциальностью, это не особо связано со средствами безопасности, но это отталкивает некоторых людей, что говорить уже о нас.
Важный момент: Если вы прочтете лицензионное соглашение от Microsoft, которое идет с каждой операционной системой семейства Windows, то вы увидите, что они отдадут ваш ключ шифрования от BitLocker по первому звоночку из правоохранительных органов, а это в свою очередь натыкает на мысль, какого хрена Windows?! Зачем ты хранишь мои пароли от шифрования у себя на серверах, что за дела?
Дело в том, что «Ставя галочку» в лицензионном соглашении с Microsoft, пользователи дарят корпорации право распоряжаться своими данными.
«Мы можем получать доступ, раскрывать и сохранять для себя ваши персональные данные, включая любой контент, любые файлы на ваших устройствах, в ваших письмах и в других видах личных коммуникаций, если у нас будут основания считать это необходимым для защиты наших клиентов или для соблюдения условий, регулирующих использование наших услуг»
Гласит лицензионное соглашение.
Другими словами, все, что вы скажете в сети - напишете, сохраните, создадите или скачаете у себя на компьютере или любом другом устройства с Windows 10, все это может быть дистанционно удалено или скопировано у вас - если некто в Microsoft решит, что это им нужно. То есть, по условиям EULA Microsoft для вмешательства в личную жизнь клиентов и контроля над ней не требуется даже санкций властей! Достаточно лишь разрешения при установке OC от пользователей, слишком ленивых, чтобы прочитать полностью лицензионное соглашение. Пожалуй, это все, что надо знать о Windows.
Mac OS X
Далее, у нас идет Mac OS X. На сегодня, опять же, как и Windows, содержит надежные средства безопасности. Вещи типа рандомизации распределения адресного пространства, песочница для запуска приложений, FileVault 2, настройки приватности и магазин доверенных приложений Apple (AppStore). Все сильные средства безопасности.
Но если бы не одно «НО», Mac OS X так же имеет проблемы с конфиденциальностью. Если вы обновили до Mac OS X Yosemite (10.10), и вы используете настройки по умолчанию, каждый раз, когда вы начинаете вводить Spotlight (Чтобы открыть приложение или найти файл на вашем компьютере), ваши локальные условия поиска и местоположение уже отправлены компании Apple и третьим лицам (В том числе Microsoft).
Washington Post так же опубликовала видео-демонстрацию отслеживания в реальном времени Yosemite:
washingtonpost.com/posttv/business/technology/how-apples-os-x-yosemite-tracks-you/2014/10/22/66df4386-59f1-11e4-9d6c-756a229d8b18_video.html
Разберем это видео:
1. Например, простой вывод поиска Spotlight, (Это средство для поиска файлов в вашей операционной системе) теперь передает ваше местоположение и названия файлов, которые вы ищете, в адрес Apple на постоянной основе. Вы можете заметить, что ваше местоположение передается в Apple даже несмотря на то, что вам не показывается соответствующая иконка с уведомлением. Они решили утаить это уведомление под предлогом того, что пользователи будут перегружены слишком большим количеством сообщений с уведомлениями. Это означает, что если вы согласились использовать службы геолокации, то вы также согласились на передачу сведений о вашем местоположении в Apple.
2. Вы можете заметить, что данные начинают отправляться до того, как вы набираете текст, а также при нажатии клавиш. То есть, по ходу набора текста, данные отправляются тоже.
3. Как мы видим, автор видео говорит: “Я ищу на своем компьютере документ под названием "Секретные планы, которые слил мне Обама", а Apple получает информацию об этом вместе с моим местоположением и пользовательским ID, который является уникальной строкой из букв и цифр, используемой для моей идентификации. Apple говорят нам, что это значение меняется каждые 15 минут, но нам приходится верить в то, что новое значение не привязывается к предыдущему. Опять же, они получают информацию о нашем местоположении, и как показывает автор, что действительно он находится в офисе Washington Post, основываясь на передаваемых координатах.
Как же мы можем отключить эти вещи со слежкой? Чтобы отключить эти вещи, сначала нам нужно зайти в System Preferences > Spotlight. Там мы видим все места, куда заглядывает Spotlight, чтобы осуществлять поиск для вас. Это может быть очень полезно. Однако, это может быть и проблемой конфиденциальности, как вы могли только что убедиться. Я бы рекомендовал отключить все, но, если вам что-то нужно, то можете, конечно,оставить.
Если вы используете Safari, то вам необходимо отключить следующее, нажмите Safari > Preferences > Search и необходимо снять галочку Include Spotlight Suggestions.
Linux
Linux-подобные операционные системы, Unix-подобные операционные системы. Есть их большое разнообразие, я группирую их все в одну категорию. Если вы ищете самые защищенные операционные системы, то вы найдете их только здесь (Будут ниже).
Такие вещи, как SELinux, являются хорошим примером этого. Это реализация разграниченного мандатного управления доступом - MAC, которая удовлетворяет требованиям правительства и военных.
Мандатное управление доступом (Англ. Mandatory access control, MAC) - разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (Допуска) субъектам на обращение к информации такого уровня конфиденциальности. Также, иногда переводится, как Принудительный контроль доступа. Это способ, сочетающий защиту и ограничение прав, применяемый по отношению к компьютерным процессам, данным и системным устройствам и предназначенный для предотвращения их нежелательного использования.
SELinux - это система принудительного контроля доступа, реализованная на уровне ядра. Это не столько важный момент для вас, чтобы заострять на этом момент.
Разберем более стандартные операционные системы: Ubuntu, Debian, Fedora, Arch Linux, Tails и другие - опять же, все они имеют достаточно надежные средства безопасности.
Когда мы рассматриваем Windows, Mac OS X и Linux, все они в похожих условиях. Но когда речь заходит об их существующих средствах и функциональных возможностях безопасности. Когда мы добавляем приватность в комплект к безопасности, то нам нужно начинать приглядываться к Linux-дистрибутивам.
Я бы рекомендовал для безопасности использовать Linux-дистрибутивы, но вам придется пожертвовать интероперабельностью и удобством использования. Например, вы не сможете использовать Photoshop или Microsoft Office, хотя это решаемо при помощи “Wine” - что это такое вы можете посмотреть на YouTube.
В двух словах, если вы не знаете, существует много-много операционных систем, которые определенным образом эволюционировали c середины 1960-х годов из операционной системы под названием UNIX.
Держите список операционных систем. Можете посмотреть наглядно, сколько всего дистрибутивов Linux и от кого они произошли:
Просто посмотрите, как много операционных систем базируются на Debian, теперь вы можете вернуться к статистике, которую мы делали по анализу ранее, и слегка посмотреть на нее под другим углом.
Я бы рекомендовал использовать дистрибутивы основанные на Debian - Debian, Kali Linux, Parrot OS, а также Fedora, Arch Linux.
Немного про эти операционные системы. Как вы уже заметили, при детальном знакомстве с инфографикой выше, два основных сообщества - это Debian и RedHat, также есть куча других, но есть одно НО: "Если у вас менее известная Linux или Unix-подобная операционная система, то вы можете обнаружить, что выпуск исправлений происходит медленнее, поскольку за ними не стоят огромные многомиллиардные корпорации, в которых выпуск всех исправлений поставлен на поток".
Fedora Linux - это дистрибутив Linux с одним из самых крупных сообществ пользователей среди других дистрибутивов. Но он не такой популярный, как Debian. Среди пользователей ходит мнение, что Fedora сложна в использовании и настройке. Весомый плюс этой системы в том, что Fedora - это только свободное программное обеспечение. Операционная система Linux очень часто рассматривается, как свободное программное обеспечение. Но это не на 100% верно. Хотя, большинство программ, которые вы используете - свободны, некоторые драйвера и прошивки оборудования имеют закрытый код. Также, есть компоненты с открытым исходным кодом, но с ограниченной лицензией.
Разработчики дистрибутивов определяют, насколько часто их пользователи будут контактировать с проприетарным программным обеспечением. Они могут включать в состав дистрибутива MediaCodec'и, драйвера видеокарт и сетевых адаптеров, а также дополнительные модули, например, Adobe Flash. Это поможет пользователям слушать музыку, играть в игры и просматривать веб-страницы, но это несвободное программное обеспечение.
Fedora занимает принципиальную позицию в этом вопросе. Это помогает избежать судебных исков против RedHat. Несвободное программное обеспечение просто не допускается в репозитории. Дистрибутив не будет вам мешать устанавливать такие программы, но и помогать тоже не будет. Вам придется использовать сторонние репозитории, например, RPM Fusion. Это один из моментов, почему Fedora считается сложной. Но добавить репозиторий в систему - дело нескольких минут.
Но, например, такие статьи habrahabr.ru/post/337290, вводят, конечно, слегка в заблуждение. Так как раньше некоммерческие продукты, насколько я помню, под подобные запреты не попадали. Fedora Project хоть и спонсируется Красной Шапкой для отработки новых технологий, но является некоммерческой структурой и прибыли не извлекает из своей деятельности, насколько я понимаю. Странно это все.
Arch Linux - это независимо разрабатываемый дистрибутив Linux, оптимизированный для архитектур i686 и x86/64, ориентированный на опытных пользователей Linux.
В целом, вам нужно быть компетентным пользователем, чтобы использовать эту систему, вам нужно быть в курсе об этом заранее. Она использует Pacman, менеджер пакетов собственной разработки от создателя Arch Linux. Pacman обеспечивает установку актуальных обновлений с полным контролем зависимостей пакетов, работая по системе плавающих релизов или Rolling Release. Arch может быть установлен с образа диска или с FTP-сервера.
Поясню, менеджер пакетов/репозиторий - это как App Store или Google Play, откуда вы в два клика можете скачать и установить нужное вам приложение или программу.
Установочный процесс по умолчанию предоставляет надежную основу, позволяющую пользователям создавать настраиваемую установку. Вдобавок, утилита Arch Build System (ABS) предоставляла возможность легко собирать новые пакеты, модифицировать конфигурацию стоковых пакетов и делиться этими пакетами с другими пользователями посредством Arch User Repository (Репозиторий пользователей Arch). Это легковесный дистрибутив Linux. На него ставится преимущественно свободно-распространяемое и OpenSource программное обеспечение и ПО из поддерживаемого сообществом репозитория AUR.
Ubuntu - Чтобы отмести этот вопрос, сразу скажу, что Ubuntu отправляет ваши данные третьим лицам без вашего согласия. Если вы пользователь Ubuntu, и вы используете настройки по умолчанию, каждый раз, когда вы начинаете вводить Dash (Чтобы открыть приложение или найти файл на вашем компьютере), ваши условия поиска отправляются различным третьим лицам, некоторые из которых рекламируют вас.
Кстати, можете вспомнить ситуацию про Windows, которая решила раздавать WIndows 10 бесплатно, но в итоге собирает все данные, якобы для рекламы. То есть, всю вашу личную информацию и так далее. Если вы хотите больше информации по этой системе, ознакомьтесь хотя бы с Лицензионным соглашением WIndows. И у вас начнет дергаться глаз.
На счет Ubuntu, чтобы предотвратить отправку данных третьим лицам, вам нужно выполнить ряд инструкций на этом сайте: fixubuntu.com
Следуем указанным здесь инструкциям, здесь показано, как изменить нужные настройки. Выше мы уже разбирали похожую ситуацию на примере Mac OS X.
Однако, я в любом случае не рекомендую Ubuntu, я лишь привожу это для вашего интереса в том случае, если так получилось, что вы используете эту систему. Ubuntu лучше в целях приватности и анонимности, чем Windows или Mac OS X. Я рекомендую Ubuntu людям, не имеющим опыта работы с Linux и считающим, что приведенные выше дистрибутивы слишком сложные для усвоения для них.
Debian - это операционная система, основанная на Linux, это дистрибутив Linux. Она целиком состоит из свободного программного обеспечения с открытым исходным кодом, большая часть которого находится под универсальной общественной лицензией GNU.
Дистрибутив Debian содержит более 51 000 пакетов скомпилированных программ, которые
упакованы в отличном формате для легкой установки на вашу машину. Все они бесплатны. Это похоже на башню. В основании находится ядро, над ним - основные инструменты, далее идут все программы, которые вы запускаете на компьютере. На вершине этой башни находится Debian, тщательно организующая и складывающая все это воедино, чтобы все компоненты могли работать вместе. С таким подходом ваша система не будет стучаться на домашние сервера Microsoft.
Tails - дистрибутив Linux на основе Debian, созданный для обеспечения приватности и анонимности. Является продолжением развития ОС Incognito. Все исходящие соединения заворачиваются в анонимную сеть TOR, а все не анонимные блокируются. Система предназначена для загрузки с LiveCD или LiveUSB и не оставляет следов на машине, где использовалась. Проект TOR является главным спонсором TAILS. Операционная система рекомендована к использованию «Фондом свободной прессы», а также использовалась Эдвардом Сноуденом для разоблачения PRISM.
Его используйте только для поиска чего-то в интернете (Чего - сами понимаете), так как быстро устанете с ним. К примеру, пришли куда-то вставили флешку со своей ОС, поискали, что вам надо и вытащили все.
Kali Linux - GNU/Linux-LiveCD, возникший как результат слияния WHAX и Auditor Security Collection. Проект создали Мати Ахарони (Mati Aharoni) и Макс Мозер (Max Moser). Предназначен прежде всего для проведения тестов на безопасность. Предшественником Kali был BackTrack, созданный на базе нескольких Linux-дистрибутивов. Первоначально предназначался для использования на ОС Slackware, а затем плавно перешёл на Ubuntu.
После основой стал Debian.
Parrot OS - Набирающий популярность Security-дистрибутив, основанный на Debian- Linux. Довольно простой в освоении, подходит и для новичков, и для профессионалов. Этот дистрибутив нацелен, как на проведение тестирования на проникновение, так и на анонимную работу в сети интернет. Довольно легкий и эффективный инструмент, многие Security специалисты нашли в нем замену все более «Прожорливому» Kali, тем более, что Parrot использует репозитории Kali для обновления. Использует графическое окружение MATE и дисплей-менеджер LightDM.
По функционалу он похож на Kali Linux, здесь тоже вместе с системой поставляется огромное количество специального программного обеспечения для тестирования безопасности.
Как вы можете видеть все системы, которые я упомянул выше, в основном так или иначе базируются на Debian (начиная с Ubuntu).
То, как вы будете разруливать с обновлениями безопасности в Linux, будет зависеть от дистрибутива, который вы используете. Я собираюсь рассказать об обновлениях безопасности на примере Debian и систем, созданных на основе Debian.
Смотрите, здесь - wiki.debian.org/Derivatives/Census
Указаны все производные от Debian дистрибутивы. Многие из них - это операционные системы, важные для области безопасности, такие как Kali, Tails и так далее. Проект Debian выполняет отличную работу по обеспечению обновлений безопасности для Debian.
Безопасность - это приоритет для этого проекта и этой операционной системы. Если вы хотите найти детали проблем безопасности, для исправления которых выпускаются патчи, то взгляните на страницу с информацией по безопасности, представленную Debian (debian.org/security).
Если вы спуститесь ниже, то увидите все обновления. Можете нажать на любое обновление и получить больше информации об этом конкретном обновлении. Можете перейти в каталог Mitre CVE и узнать больше по данной уязвимости, которую вы выберите. Здесь подробная информация об этой уязвимости. Еще больше деталей видим здесь. И отсюда мы можем попасть в различные источники для большего количества сведений, и в принципе, можем даже найти код Exploit'а для данной уязвимости.
Мы это разбирали выше на примере сайта - cvedetails.com
По заявлениям проекта Debian, они обрабатывают все проблемы безопасности, доведенные до их внимания, и исправляют их в течение определенных разумных сроков. Они также говорят, что множество предупреждений безопасности координируются другими поставщиками свободного ПО и публикуются в тот же день, что и найденная уязвимость, а также, что у них есть внутренняя команда Аудита Безопасности, которая ищет в архивах новые или неисправленные ошибки безопасности. Они также верят в то, что безопасность путем сокрытия не работает, и что общедоступность информации позволяет находить уязвимости в безопасности.
Все это хорошо, поэтому я и рекомендую дистрибутивы основанные на Debian в качестве основной надежной операционной системы для повседневного использования, когда речь идет о безопасности, приватности и анонимности.
Насчет установки и всего такого прочего. Пожалуй, я не буду расписывать, как установить каждую ОС, ибо тогда мы вылезем за рамки руководства. Если хотите, то все сможете найти в интернете, на том же Youtube есть куча видео, как установить ту или иную систему.
К тому же, нет смысла описывать здесь установку, так как практически всегда она индивидуальна и каждый столкнется с какими-то своими проблемами. В общем, как говорится, Google в помощь.
FAQ:
А: Есть ли еще популярные пути взлома, если не считать способ взлома через левые ссылки и исполняемые файлы, прикрепленные к "Обычным"?
Б: Их большое количество, обычно используют уязвимости. Вопрос в доставке зловредных файлов и способы реализации (Как я и писал, способов - океан и больше).
А: Есть ли какая-либо привязка к железу кроме MAC, которую можно отследить? Допустим, я использовал ноутбук с Windows 10, а потом решил его использовать для наших "Рабочих целей". Отследят ли меня потом, например, по идентификатору материнки? Нужно ли брать отдельное новое железо для нашей работы?
Б: Тут все зависит от вашего объема. И будут ли в вашу сторону смотреть вообще. Если представить, что вы уже потенциально опасный человек и вас будут вычислять, то следовательно тут надо задумываться не только о MAC'е. Так как, к примеру, скорее всего, у каждого в квартире есть роутер, вполне обычный. Так вот, этот роутер, если вы присоединялись к нему со своего ПК по Wi-fi, скорее всего, отправил данные в GoogleMaps или YandexMaps, а также другие источники. На первое время вам ничего этого не нужно, вам нужна эта информация на будущее, когда ваш доход будет уже исчисляться миллионами, скажем так.
А: Какую связку все-таки лучше использовать для нашей работы? Какой дистрибутив Linux, и так ли нужен Windows в виртуальной машине или достаточно браузера с подменой идентификатора?
Б: IP → VPN → TOR → SOCKS, IP → VPN → SOCKS, IP → VPN → TOR → VPN → SOCKS.
Лучше делать изоляцию, конечно. То есть, за изоляцию возьмем, например:
VPN, TOR, SOCKS, VPN+SOCKS. По поводу браузера, Windows и так далее - все индивидуально, так как бьется все по-разному.
А: Лучше ставить Debian основной или на виртуальную машину и с нее работать?
Б: Основой. На виртуальной машине, только если для обучения.
А: Какие характеристики компьютера нужны для комфортной работы с Debian?
Б: Как минимум, для работы понадобиться 8 ГБ, так как у вас будут еще виртуальная машина. Самый лучший вариант - это 16 ГБ оперативной памяти. А так, по сути, чем больше оперативной памяти, тем лучше.
А: Есть ли наличие на Linux подобие антивируса?
Б: Нет, зачем он? Там есть магазин приложений все приложения с открытым исходным кодом, а к нему еще большое сообщество (30+ миллионов человек, которые постоянно следят за пополнением этого магазина). Ко всему прочему, когда вы захотите скачать какую-то программу, то идет автоматическая сверка хэша. Если сверка успешная, то программа скачается и все хорошо, а если нет, то тогда и выйдет ошибка. А это значит, что, скорее всего, это было зловредное ПО.
А: Я полный ноль в Linux - какой мне ставить?
Б: Не ставьте Fedora, смотрите в сторону Debian-подобных дистрибутивов. Посмотрите любой дистрибутив с приятным для вас интерфейсом. Вы можете посмотреть, какую хотите графическую оболочку: losst.ru/luchshie-graficheskie-obolochki-ubuntu
А: Если мы говорим о таких программах, как PSI и поиске «Чего-то такого» в интернете, то это лучше делать с виртуальной машиной какой-то или же можно спокойно на основной, но
браузер, например, хранить на жестком диске, который зашифрован?
Б: Можно и так, но лучше хранить логи и все остальное на зашифрованном носителе, не стараясь хранить какую-то приватную информацию, которая может вам навредить на вашем носителе без криптоконтейнеров.
Еще немного о безопасности:
1. Не трепитесь языком, не в интернете, не в жизни. Никому никогда не нужно знать, откуда вы, как вас зовут, сколько детей и любую другую личную информацию, совсем не важно, кто спрашивает - друг или знакомый, любой может оказаться не тем, кем себя позиционирует, и даже я.
2. Не используйте Nickname, которые вы взяли из своего ID в VK, Steam, Email или любого другого сервиса или сайта. Использованный в белой сфере Nickname - может вывести людей из серой сферы на вас.
3. Не регистрируйте почты и аккаунты на свой номер телефона, сервисы предоставляющие услуги почтовых ящиков запросто выдадут информацию по требованию. Для приема СМС можно использовать онлайн сервисы (ссылки я дам). Не используйте личные почты при регистрации на серых сайтах и магазинах, заводите отдельные для этих целей.
4. Никогда не стоит думать, что "Я не настолько крупная рыба, чтобы меня искали" - нередко такие люди потом ищут деньги на адвокатов, не стоит заблуждаться, никогда не пренебрегайте безопасностью, ведь лучше спать спокойно.
5. Приём посылок осуществляйте только через посредников, сервисы по пересылке или подставных лиц. Не светите свои имена нигде.
6. Jabber и все остальные средства коммуникации лучше хранить в виртуальной машине, если храните на основной - лучше отключить сохранение истории и паролей.
Виртуальная машина для поиска в теневом интернете. Урок 3.1.
Лично я рекомендую использовать VirtualBox или VMWare. Не забываем включать виртуализацию в BIOS'е вашего ПК - иначе виртуальная машина не сможет работать.
Лучше всего будет, если вы поместите образ виртуальной машины в зашифрованный носитель или контейнер. Для носителям лучшие параметры - это USB 3.0, 32-128gb.
Шифровать мы будем следующим софтом:
TrueCrypt 7.1a или VeraCrypt
Здесь выбор, скажем так, за вами. Смотрите, что вам больше подходит.
TrueCrypt версии только 7.1а, остальные не очень безопасны, и VeraCrypt - продолжение рода TrueCrypt, поскольку он был заброшен разработчиками. Я использую VeraCrypt.
Шифруем носитель/SSD или создаем контейнер на ПК, затем внутрь контейнера помещаем образ виртуальной машины. Теперь, перед запуском виртуальной машины, вам будет необходимо сначала вскрыть зашифрованный контейнер с помощью пароля.
Как шифровать - можно посмотреть в справке самой программы или поискать в интернете, это не очень сложно и требует нажатия буквально нескольких кнопок.
Есть два альтернативных контейнерам варианта, а именно:
• Шифрование всего жесткого диска на вашем компьютере.
• Создание скрытой ОС.
При обычных контейнерах ключ шифрования можно вытащить из файла гибернации и снять с ОЗУ, поэтому отключаем гибернацию на своих компьютерах. Но при использовании скрытой ОС, можно поместить всю информацию и файлы внутрь нее, и даже если вас будут пытать, вы сможете выдать пароль шифрования от обычной белой ОС, в то время, как скрытая будет мирно хранить ваши файлы.
Шифрование всего жесткого диска - долгое (На 1 ТБ памяти уходит примерно 6 часов), но надежное средство, так как с гибернации, даже если она включена, ключи уже не вытащить, а чтобы успеть снять с ОЗУ, надо очень постараться, остается только Brute, и тут мы переходим к следующему пункту безопасности, а именно - пароли.
При скрытой ОС или шифровании диска, для запуска системы нужно будет ввести пароль в Boot-Loader'e, то есть, даже до пароля учетной записи Windows, до включения самой системы.
На любом форуме, странице в социальной сети, почте или скрытом контейнере необходимо соблюдать обязательные пункты при выборе пароля:
1. Длинна не мене 15 символов, лучше все 30.
2. Верхний+Нижний регистр, цифры и специальные символы.
Пример хорошего пароля: sHO&D=633qwvBB!aC{6} - на Brute этого пароля уйдут десятилетия, а то и столетия.
3. На один форум/магазин/сайт - один, уникальный пароль.
4. Двухфакторная аутентификация - используйте везде, где есть возможность.
Если использовать одинаковые пароли, велика вероятность взлома всего, что можно. Никто не застрахован от слива или продажи базы данных на каком-то магазине DS (Dedicated Server), например. Злоумышленники просто получают ваш пароль, а потом по кругу пускают по всем сервисам/форумам, и забирают все, что можно.
Однако, надежный пароль - это не панацея, ведь его могут перехватить прямо из вашей системы, подцепив на неё Stealer, вредоносное ПО или другой вирус. Выход банален и прост
- создайте отдельную виртуальную машину (вообще любую) специально для софта и грязных, непроверенных файлов.
И запускайте все только на этой виртуальной машине, пусть лучше страдает она, чем ваш компьютер. Соблюдать элементарные правила гигиены намного проще, чем потом терять аккаунты или выплачивать пострадавшим, поэтому не поленитесь и сделайте, зато будете спать спокойно.
Предназначение виртуальной машины для вас будет делиться на два пункта, а именно, первое - для поиска по теневым ресурсам и общения в этой среде (Форумы, сайты, магазины и так далее), второе - это уже для самих вбивов и работы. Настройка виртуальной машины для этих случаев разная, но немного похожая все-таки.
Что вам надо, чтобы настроить свою виртуальную машину для первого варианта (поиск по теневым ресурсам):
1. VPN. Лучше всего ставить именно свой. Как это сделать и все нюансы - будут ниже в руководстве.
2. TOR Browser
3. Jabber / ICQ
4. Замените свои DNS, например, на Google - support.li.ru/google-dns/win7/
Их можно еще прописать в роутер. Для лучшего эффекта можно вообще использовать софт DNSCrypt. Эту программу запомните, ей часто придется пользоваться.
5. Браузер для поиска. (Я всегда использую FireFox)
6. Отключаем WebRTC. WebRTC позволяет сторонним пользователям на раз определять IP- адрес пользователя сети, минуя программные заслоны VPN, TOR, SOCKS и других сетевых защитников: whoer.net/blog/article/kak-otklyuchit-webrtc-v-raznyx-brauzerax/
7. Если используете SOCKS или SSH-туннели, то Proxifer+Plinker (об этих программах тоже будет ниже).
8. Можно еще замкнуть интернет через брандмауэр так, чтобы при падении VPN'а на виртуальной машине не было выхода в сеть, и не утек ваш реальный IP.
Настройка виртуальной машины именно для работы будет уже ниже. Максимально подробно и в разных вариациях.
Термины:
AntiFraud - AF, антифрод. Наш главный враг, который не разрешает нам спокойно снимать деньги с СС.
BTC - Bitcoin, биток.
Checker IP - проверяет IP на чистоту и пригодность.
IP - ИП, айпи.
SOCKS - носок.
SSH-туннель - тунец.
DS - Dedicated Server, дедик, дед.
Чистый IP - Основа. Урок 4.
Тема простая. Заключительная часть по вашей безопасности-анонимности в Carding'е. Прежде всего нужно понимать, что у вас два разных понятия анонимности.
Первая - это личная безопасность, чтобы вас не взяли за жопу, чтобы вас не слил ваш провайдер. Для этих целей мы и будем создавать личный VPN. Что он нам даст? Он даст нам скрыть наши реальные данные. При отключении логов на сервере, VPN уберет все ваши "Путешествия" в сети от провайдера.
Вторая - это анонимность, которая должна обладать рядом параметров, чтобы обойти AntiFraud при вбиве. Позже вы ближе познакомитесь с AntiFraud. В двух словах, AntiFraud - это система против мошенников, таких людей, как мы. Она обладает рядом параметров, которые в каждом магазине индивидуальны, но наша задача быть для нее "Своим", быть для нее обычным КХ. Если к IP нашего VPN у нас нет никаких требований, кроме того, что ваш VPN должен быть поднят не на территории СНГ, то к IP для обхода AntiFraud у нас самые строгие требования - чистота, отсутствие в черных списках, минимальный или отсутствующий уровень Fraud'а и прочее.
Касательно безопасности. Если вы работаете по России, то рано или поздно ваша попа окажется в плохой ситуации, ибо следят плюс-минус все. А что касается США, то работа по ней по тому и безопасна относительно для нас, что чтобы вас привлечь необходимо затратить на расследование уйму денег. Привлечь вас стоит дороже, чем ваш вбитый телефон. Ну, как вы, возможно, заметили уровень безопасности в России в среднем выше, ибо мы пропустили первоначальный этап внедрения банковских технологий, и, можно сказать, попали на тот уровень, когда данные плюс-минус начали защищаться.
Начальный уровень анонимности - использовать для теневых ресурсов TOR. Хотя, нас не привлекают к ответственности за посещение сайтов, тем не менее, если вы вдруг попадете на карандаш к силовикам, то первое, куда они придут - это ваш провайдер.
torproject.org - ссылка для скачивания TOR-браузера. Это условие необязательное, но предупрежден, значит вооружен. Также, еще отмечу то, почему нам нужен личный VPN. Логи. Все эти платные VPN - это здорово и удобно, но по сути никто вам не даст гарантии, что вас не пишyт. Вероятность того, что пишут примерно 95 %.
Привыкайте работать по минимуму, не привлекая сервисы, без которых вы можете обойтись. Вы сможете поставить себе свой личный VPN (Это будет в руководстве). За 5$ в месяц (аренда сервера). Со скоростью выше, чем у многих платных. На телефоне тоже будет работать. Поэтому, кто не завел BTC-кошелек - заводите. Расчеты в нашей сфере в основном производятся в BTC, а еще довольно часто через QIWI.
Обменники (криптовалюта):
bestchange.ru
localbitcoins.com/ru/
risex.net
Не стоит хранить деньги в BTC постоянно, так как курс может как возрасти, так и упасть. Поэтому оценивайте свои риски и желания самостоятельно.
Кстати, QIWI - его принимают к оплате не все, но как один из вариантов, возможно.
Плюсы: Возможность прямого вывода на карту, если не светить номер телефона, угнать практически невозможно
Минусы: Могут заблокировать кошелёк, русская платежная система, а значит выдаст любые данные по первому требованию, следовательно убедительно рекомендую, если и использовать, то только в следующем формате: левая SIM-карта, левая почта, не используйте свой телефон, купите левый или используйте виртуальную SIM-карту. Выводить только на карту подставного лица. Не используйте свой IP и ПК (можно виртуальную машину).
Если говорить про вывод денег через BTC, то здесь ситуация немного сложнее, но вывести все-таки можно:
1. Через обменник можно обменять деньги с BTC на карту, QIWI или банк.
2. Можно вывести и в наличные, но нужно искать хорошего продавца, скажем так.
То, что BTC анонимен - миф и заблуждение, все транзакции в BlockChain, как на ладони, их не очень сложно отследить, просто для регистрации не нужны никакие личные данные.
Поэтому для сохранения анонимности средств рекомендую пользоваться BTC-миксерами.
FAQ:
А: Надо ли мне менять IP, если я живу в Европе/США? Насколько разумно пользоваться интернетом публичным - в кафе, магазине, метро и так далее? А если ломать Wi-fi сети и с них сидеть? Короче, есть ли в этом смысл?
Б: Менять надо. Во-первых, личный VPN нужен, чтобы твой IP не светился нигде. Во- вторых, при вбиве нужен будет IP под определенную местность. В Wi-fi кафе лучше сидеть через VPN, иначе могут слить твой трафик. Ломать Wi-fi можно, но не все могут - это отдельная тема. Мы затрагивать не будем.
А: И как завести BTC-кошелек, чтобы не палить нигде свои личные данные, потому что часто требуют паспортные данные и прочую чепуху? Можно как-то это обойти? Или только покупать левые документы и на них регистрировать?
Б: Да, покупать документы от 30 до 80 рублей. И регистрировать. В процессе работы каждый будет находить свои методы.
Jabber многие из вас уже щупали, но не лишним будут ссылки на клиенты и описание. На сегодняшний день это, пожалуй, лучший способ анонимного общения, но, конечно, не забывайте, что сервера не должны быть в России. Лучше заводите несколько. Две
достаточно, чтобы, если упадет сервер на одной учетной записи, то вы не потерялись.
Еще немного информации о Jabber:
OTR - https://ru.wikipedia.org/wiki/Off-the-Record_Messaging
Jabber-клиенты - jabberworld.info/Клиенты_Jabber
Самые удобные - PSI и Pidgin.
securityinabox.org/en/guide/pidgin/windows/ - о безопасности в России.
ru-sfera.org/threads/nastrojka-otr-na-psi.2658/ - руководство по PSI и OTR.
А что касается паролей, данных учетных записей, СС и прочей информации, то удобно пользоваться программой Keepas.
keepass.info/download.html
Работает Keepas просто - создается файл, в котором будут лежать ваши данные, он будет зашифрован. У вас на руках будет мастер-пароль от него. Можно пользоваться, как на ПК, так и на телефоне. Штука крайне удобная. Чтобы всегда был под рукой можно закинуть его на облако, DropBox, к примеру, а файлы на облаке можно зашифровать программой BoxCryptor.
boxcryptor.com/ru/
Предоставляете BoxCryptor'у доступ к облаку вашему и выполняете на нем шифрование, даже если облако взломают, получить доступ к вашим файлам не смогут.
Поговорим о втором пункте анонимности, точнее, об IP и требований к нему. В этом нам помогут сайты Checker IP:
Checker'ы IP:
whoer.net/ru - Основа.
witch.valdikss.org.ru - Не сильно доверяю, но иногда можно проверить.
whatleaks.com - DNSLeaks.
check2ip.com - Проверка на наличие в черных списках.
ip-score.com - Очки Fraud.
getipintel.net - Очки Fraud и проверка на открытые порты.
ipqualityscore.com/user/proxy-detection-api/lookup - Важная проверка! (нужна регистрация)
dnsleaktest.com - Проверка на утечку.
fraud.cat/Home/Faq - Платная (по подписке)
Что дают эти сайты? Они помогают нам узнать информацию о нашем IP, не только сам IP и DNS, но и другие, которые могут нас палить. Руководствуясь этими сайтами мы будем настраивать наши системы и адреса. Мы должны настроить все параметры так, чтобы AntiFraud нас не палил и не давал нам не нужные очки Fraud. Если таких очков будет много, то нам автоматом прилетит Decline. Главное правило - IP должен быть чистым. IP популярных VPN-сервисов находятся в черных списках или помечены, как анонимайзеры,
так как их использует огромное количество людей в самых разных целях. Сайты Checker'ы IP вам это покажут.
Немного о Telegram. Telegram, как вы понимаете - это вещь не анонимная. Все, что вы не контролируете - заведомо опасное. Поэтому не советую лишний раз использовать его для проведения каких-либо незаконных дел. Кстати, кто не слышал недавно нашли уязвимость в секретных чатах, суть такова, что не такие уж они и анонимные.
Итак, если с первым пунктом по анонимности все понятно - мы создадим личный VPN, то для работы со вторым пунктом мы будем использовать специальные инструменты:
1. SOCKS.
2. SSH-туннели.
3. Dedicated Server - выделенные сервер.
4. VNC.
1. SOCKS. Прокси-сервер.
Минусы: Недолговечные, до 3 суток живут. Не шифруется трафик. Могут умереть в процессе вбива, такое бывает.
Плюсы: Можно покупать подписку и использовать много разных IP. Подходят для типа работы вбил и забыл. Под СС подходит.
2. SSH-туннели.
Минусы: Сложно найти чистые.
Плюсы: Живут долго, месяцами. Стоят около одного доллара. Хорошо подходит под банковские аккаунты и PayPal, те места, где желательно иметь один IP долгое время. Раскачивать аккаунт, то есть, иметь постоянный доступ.
3. Dedicated Server - это выделенный сервер. Простыми словами - это чужой компьютер. Подключаясь к DS мы попадаем на чужой рабочий стол и наш IP будет соответствовать IP DS.
Плюсы: Как и у SSH-туннелей. Брать нужно с правами администратора, чтобы кроме вас, никого на этом DS больше не было.
4. VNC - https://ru.wikipedia.org/wiki/Virtual_Network_Computing. Очень похожа на DS. C существенным отличием, что подключаясь мы сидим непосредственно в сессии нашего КХ, а это значит, что у нас не только IP, но и Cookie общие. Это может существенно облегчить вбив. Однако, в продаже их немного и цены у них лично я встречал от 10 долларов и выше.
Как они выглядят: 122.156.2.14:22@user:1234
Где - айпи:порт@имяпользователя:пароль
При использовании двоеточие и собаку вводить не нужно (122.156.2.1422@user1234) Порты могут быть разными, у SSH-туннелей 22, у остальных инструментов любые свободные порты из 65535 возможных портов.
Немного о портах - https://ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP
whatleaks.com - можете себя сейчас проверить. Сайт покажет ваши открытые порты. Просто ради интереса, на вбив не влияет.
Методы работы у нас следующие (Каждый выберет, что ему удобнее, но советую попробовать все):
1) Использовать DS и при надобности SOCKS и SSH-туннель на него.
2) Использовать виртуальную машину, то есть, на ней запускать SOCKS или SSH-туннель.
3) Использовать отдельный ПК с английской Windows и на нем запускать SSH-туннель или SOCKS.
4) Использовать разные браузеры Anti-detected + (SOCKS или SSH-туннель), которые могут очень гибко настраиваться не только по IP, но и много других параметров важных нам. Пример - Linken Sphere (о ней будет дальше).
FAQ:
А: Что такое чистый IP? Будет ли отмена платежа, если я буду пытаться вбивать через родную систему, которая стоит у меня сейчас? Или через компьютер друга/девушки? И, как я понял, Telegram - это вообще не вариант, если хочешь обсудить с человеком, хоть сколько-нибудь криминальное дело?
Б: Можешь подключить любой публичный VPN и зайти на сайты Checker'ы IP. Они тебе покажут, что твой IP, скорее всего, не является "Родным", а значит магазин при вбиве набросит тебе Fraud-очков и отменит транзакцию. Когда будет урок про AntiFraud, поймешь, почему с ПК девушки ты не вобьешь, ведь AntiFraud смотрит не только на IP, но и на шрифты в твоем ПК, Finger Print отпечаток, Java палит, DNS Leak есть такой параметр и все это нужно учесть.
А: И сколько нужно всего денег на софт (Не на СС), если брать идеальный, средний и нищенский вариант?
Б: Если берешь подписку на Anti-detected, то там 100 долларов на месяц. А если связка виртуальная машина + SOCKS, то виртуальная машина бесплатно. SOCKS от 0,5 доллара каждый. Если DS, то нормальный DS от 5 долларов и выше с правами администратора.
А: А если DS без прав администратора брать, спалят? Так ли критично?
Б: Спалят, если ты будешь перебирать пароли на этом DS или фильмы смотреть в высоком разрешении начнешь. По сути, DS - это ваш общий с КХ ПК. И логично, чтобы КХ не нервничал, нужно не нагружать его систему.
А: А можно как-то узнать, нет ли сейчас у меня каких-то ушлых гостей?
Б: Ты увидишь, если в твоей учетной записи сидит еще один человек. Он же, как правило, своих программ наставит и прочей деятельностью займется.
А: Что такое DNS?
Б: Система доменных имен. Это сервер с именами доменов, к которому мы обращаемся, когда пытаемся зайти на какой-либо сайт. Лучше несколько видео-роликов посмотрите, чтобы хорошо понять. У вас должна быть ясная картинка в голове.
А: И как DNS меняется в случае его несоответствия стране SOCKS'a?
Б: В браузерах Anti-detected можно менять DNS в случае несоответствия. И в программах Double SSH Manager.
SSH-Туннели:
sshseller.tk
getssh.net
farsh.biz
tunastock.ru
getssh.net/en/ssh
@sshTAMAPA
@sshseller_tk
@amigo_trade
@almaz_00
SOCKS:
vip72.org
911.gg
faceless.cc
luxsocks.ru
DS - Dedicated Service:
f-pc.net
dedicatesales.com
xdedicvhnguh5s6k.onion
Инструменты для вбива. Урок 5.
Итак. Поговорим более детально о программах, которые помогут нам устанавливать соединения. Программы-инструменты для вбива. Какие инструменты по смене IP мы рассмотрели?
1. SOCKS.
2. SSH-туннели.
3. DS.
4. VNC.
Все верно. Для того, чтобы нас не замечал наш провайдер, где и чем мы занимаемся, и не поймали наши зарубежные друзья. Если вдруг SOCKS упадет, под ним будет IP нашего VPN, а не реальный IP. У нас пирог из инструментов. В самом низу личный VPN для безопасности, а поверх него SOCKS/SSH-туннели/DS для AntiFraud.
Рассмотрим такой случай, что мы выбрали для работы виртуальную машину, на которой мы установим операционную систему с которой и будем делать вбив. Если мы работаем по США, то нужно ставить английскую версию Windows, но система у нас английская, а IP остался прежним, так вот, чтобы изменить его на IP США, мы должны использовать дополнительный инструмент. Имя ему - прокси-сервер. SOCKS и SSH-туннели. Если же у нас есть возможность поставить английскую Windows на основной ПК, то необходимость в виртуальной машине отпадает сама собой, но мы по-прежнему используем SOCKS и SSH- туннели, чтобы поменять IP. Свой личный ПК лучше не связывать с Carding'ом. Личное -
это личное, а работа - это работа, так что либо второй ноутбук, либо виртуальная машина. Альтернативным вариантом можно использовать DS.
К слову, с вашего ПК тоже можно сделать DS, подключаться к ней от другого ПК и также работать. Принцип работы близкий к работе TeamViewer, кто пользовался, сразу поймет о чем идет речь. Таким образом, когда мы запускаем DS, то мы попадаем на чужой рабочий стол, на нем уже и работаем. DS'ы добываются Brut'ом портов ПК. Чаще всего, Brute - взлом, осуществляемый через подбор логина и пароля, с помощью специальных программ. DS можно купить под страну или штат. Живучесть DS обычно около двух недель, бывает меньше, мой как-то раз жил месяц, но я его не грузил и работал изредка. Также, необходимо рассмотреть такой инструмент, как браузерный Anti-detected. Например, как я уже писал - Linken Sphere - LS.
Это браузер, который позволяет менять данные, которые палит AntiFraud. Например, IP, DNS, часовой пояс, WEBRTC, эмулятор системы, то есть, можно настроить, что нас будут видеть, будто работаем с IPhone, Android, Windows, Linux и прочее. Возможностей у него тьма, он идет по подписке, на сайте расценки и описание подробное.
LS помогает нам менять множество параметров, но нам по-прежнему необходимо приобретать отдельно SOCKS или SSH-туннели.
В итоге, SOCKS и SSH-туннели требуются почти во всех случаях кроме DS, так как DS уже имеет IP страны, которую вы покупаете, но чтобы более точно позиционировать свой IP, можно навесить SSH-туннель или SOCKS. Это нужно, если DS у вас в штате Огайо, а вам бить нужно в Нью-Йорке.
Резюме - варианты-связки для работы:
1. Виртуальная машина (или же отдельный ПК) + SSH-туннель или SOCKS на ней.
2. DS + SOCKS, чтобы изменить IP, если нужно.
3. Anti-detected + SOCKS или SSH-туннель.
И перед каждой связкой стоит наш личный VPN. Он должен быть всегда, чтобы скрыть наш реальный IP. VPN всегда ставится на основную машину, не на виртуальную машину и не на DS. Если вы на DS поставите VPN, то ваша цепочка будет выглядеть так: ваш IP - USA IP DS - IP личного VPN. Именно для того, чтобы зашифровать подключение к DS, мы и ставим на основную систему VPN.
Логи отключаем, чтобы сервер VPN не хранил в журнале компромат наших подключений. Это улика.
Если будете использовать LS или другой Anti-detected, то софт именно там не нужен. Будем разбирать подключение каждой программы, если у кого-то будут проблемы. Я в свое время много потратил времени на их проработку. Советую все попробовать использовать.
Посмотреть все плюсы и минусы.
Подключение к DS. Можно использовать стандартный Windows'ский метод. Команда "Выполнить" в меню Пуск, где вводим mstsc. Перед нами откроется окно, где можно будет
подключится к удаленному рабочему столу, там и вводим данные от нашего DS - IP + Порт, логин, пароль. Инструкция - akak.ru/recipes/6577-kak-vyipolnit-vhod-na-dedicated-server- dedik. Или же можно использовать программы от xDedic, принцип тот же, только вопрос кому, что ближе.
xDedic RDP Client v1.0 - для подключения к DS'ам.
Важно понимать, что DS разные по возможностям, на них разные OC, с правом администратора или без, как и наши с вами ПК - у всех разные. Чтобы не оставлять следы при подключении к DS, можно использовать Cleaner'ы логов.
xDedicLogCleaner - для очистки логов системы.
Лучше не хранить компрометирующие вас файлы на нем. Все лишнее удалять, пользоваться Portable версиями программ, чтобы все было тихо и незаметно для КХ. Для лучшей работы нужно брать DS с правами администратора. Это позволит создавать свои учетные записи, скрывать их, что обеспечит нам увеличение продолжительности жизни DS'а.
xDedic Log Cleaner предназначен для очистки логов системы, очистки временных папок, например, temp, также можно удалить аккаунт с DS вместе со всеми файлами, которые вы насоздавали во время пользования. Очистка производится не от имени вашего аккаунта, а от имени системы (System).
Внимание, очень важно: Программа работает ТОЛЬКО на серверах с правами администратора! OS: Windows Vista и выше.
Описание кнопок для xDedic Log Cleaner:
[ Flush ] - очистка логов в один клик. Дальше объяснять нет смысла, и так понятно!
[ Auto Flush ] - очистка логов в заданный промежуток времени, то есть, выбрали время, нажали ОК и все, программу можно закрыть, очистка логов будет каждые N минут.
[Flush&LogOFF] - чистим логи и выходим с аккаунта. Полезно, если вы не создавали себе учетную запись на DS, а рабоатете под купленным аккаунтом, то есть вы отключились от DS, а запись того, что вы отключились осталась в логах, ее надо стереть. Закончили работу с DS - выбрали опцию, задали время, нажали ОК, отключились от DS. Программа сама заметет следы и отключит учетную запись.
[AccountDelete] - Полезная и в то же время опасная функция. Полезность:
1) Отключает вашу учетную запись.
2) Удаляет ее с системы.
3) Удаляет папку вашей учетки с C:\Users.
4) Чистит все логи. Полное заметание следов на DS.
Опасность: вы больше не сможете зайти на DS под этой учетной записью. Также, если единственная учетная запись на DS - Administrator, и вы ее удалите - никто больше не сможет зайти на сервер, поможет только переустановка системы.
Dedic RDP Patch v2.1 - для создания скрытой учетной записи на DS.
Характеристики DS и права оговариваются при покупке. DS'ы разделяются на - серверные: Windows Server 2008/2011/2012/2016 и домашние: Windows 7, Windows 8, Windows 10. На серверных может несколько человек работать, на домашних только один. Также, для лучшего понимания можно почитать: dedicatesales.com/faq.html
И немного о VNC. VNC, по сути, также подключается, как и DS, только через свой клиент. У DS'а - RDP, у VNC - VNC. Разница в том, что вы сидите с пользователем в одной учетной записи, но в разных сессиях. То есть, по сути, вы и КХ - это будто одно лицо, что, безусловно, успешно влияет на вбив, ибо вы не придумываете - собираете личность, а пользуетесь реальным КХ.
Вот, мы подключили наш VPN, подключили нашу связку и получили IP, который будет использоваться на вбиве. У нашего IP есть такой параметр, как RiskScore. Его значение от 0 до 100, чем он меньше, тем нам лучше. RiskScore определяет насколько наш IP является мошенническим (Указывает, насколько высока вероятность того, что IP-адрес связан с транзакциями повышенного риска). Существует служба, имя ей MinFraud, она и занимается тем, что определяет RiskScore нашего IP. RiskScore напрямую лучше не проверять, а лучше проверить такой показатель, как Proxy Score, зная Proxy Score можно примерно узнать и RiskScore.
"Если Proxy Score 0 - RiskScore будет 0-10. Proxy Score 1-2 - RiskScore будет уже около 60"
Поговорим о Proxy Score. IPScore используют более 7000 интернет магазинов для определения мошеннических транзакций, если с какого-то IP адреса совершали покупки от чужого имени, такой IP заносится в базу данных, и следующая покупка будет тщательно проверятся работниками магазина, и шанс, что вбив будет успешным - минимален. Proxy Score находится в пределах от 0 до 4 и показывает вероятность того, что IP пользователя является прокси-сервером из общего доступа. Оценка Proxy Score 1 или 2 указывает на средний риск, оценка Proxy Score 3 или выше - на высокий риск. Proxy Score 0 показывают полностью анонимные прокси-сервера.
0.5 15% / 1.0 30% / 2.0 60% / 3.0 90%
Существуют сервисы для проверки Proxy Score - fraud.cat
FAQ - fraud.cat/Home/Faq
maxmind.com/ru/explanation-of-minfraud-riskscore - немного о том, как работают системы, которые нас проверяют. Также, у IP есть такая тема, как черные списки. Отсутствие вашего IP в эти списках благотворно влияет на вбив, на его успех.
ip-score.com/ - заходите на этот сайт. Правая колонка - Blacklists check. Если более двух показателей Listed, то лучше сменить IP. У кого ноль и один - это хорошо.
Идем дальше - getipintel.net. Заходите, листайте вниз до строки, куда нужно вбить IP. Если показатель IP выше 0.6-0.7, то для вбива не подходит. Один - это максимум, максимум
- плохо. Это значит, что нас палят на использование прокси-сервера. что не есть хорошо, ибо обычный КХ редко использует прокси-сервера. Зависит это значение от провайдера, от вашего подключения, от SOCKS. Запомните, если показатель IP выше 0.6-0.7, то для вбива не подходит.
Далее идем сюда (нужна регистрация) - ipqualityscore.com/user/proxy- detection-api/lookup
В окне будет наш IP. Выбираем пункт 3 в опциях и проверяем. Там будут четыре параметра такие:
Proxy/VPN Detection: false VPN: false
TOR: false Fraud Score 0
100 - это плохо. Читаем.
Если кратко, то везде должно быть False, а Fraud Score меньше 60, тогда имеет смысл использовать этот IP на вбив.
ipqualityscore.com/user/proxy-detection-api/documentation - о том, как вычисляют плохие IP.
По сути, вы теперь понимаете, как путем прогона вашего IP через Checker'ы AntiFraud сайта принимает решение давать вам товар или сделать отмену при вбиве.
FAQ:
А: То есть, можно забивать свой IP под VPN, пока не станет "Грязным"? Или как?
Б: Можно бить, пока чистый, но свой личный VPN не надо, он не для этого.
А: Прогонять IP желательно через весь комплекс тобою обозначенных ресурсов?
Б: Желательно, ибо то, что не видит один, может увидеть другой.
А: Получается, что пока IP чистый, то можно вообще не скрываться и пробовать вбивать или как?
Б: IP твой - IP RU, а значит он чист для вбива по RU. Идеально подойдет, но согласись, странно, если КХ из США будет делать покупки находясь во Владивостоке.
А: А если я в США?
Б: А если ты в США, то рано или поздно твою жопу схватят. Работать в стране, где ты живешь - это куча проблем.
Дополнительный материал:
Про анонимность в Интернете:
habr.com/post/190396/
habr.com/post/190664/
habr.com/post/203680/
habr.com/post/204266/
sourceforge.net/projects/whonix/ - Что очень важно для анонимности.
myshadow.org/trace-my-shadow - Что можно отследить через Интернет.
panopticlick.eff.org - Проверить, собирает ли данные твой браузер.
Немного про Cookie:
habr.com/post/126643/
habr.com/post/104725/
habr.com/post/190488/
Логи:
habr.com/post/332502/
thesafety.us/ru/vpn-logs
Необходимый софт для работы на виртуальной машине:
VMWare:
mega.co.nz/#!gwRFRY4I!6SvVM9QIX0LLeXjcz5XgrG1HDxOSEtiY6Kg_0uaSVK4
nnm-club.me/forum/viewtopic.php?t=964361
nnm-club.me/forum/viewtopic.php?t=931454 (для пользователей MAC)
Установка:
Скачать разные ОС:
nnm-club.me/forum/viewtopic.php?t=337306 (Windows 7)
rutracker.org/forum/viewtopic.php?t=4461985 (XP x32)
rutracker.org/forum/viewtopic.php?t=4602474 (XP x64)
Установка ОС на виртуальную машину:
Остальные необходимые программы:
mozilla.org/en-US/firefox/new/ - Firefox
portableapps.com/apps/internet/firefox_portable - Firefox Portable
ccleaner.org.ua/download/ - CCleaner
sendspace.com/file/lf3rvd - Plinker - программа для запуска SSH-туннелей,
Proxifier - программа, позволяющая программам, не имеющим возможность работать через прокси-сервера, обходить это ограничение
Bitvise SSH Client 6.08 и Proxifier v3.31 хорошо сочетаются друг с другом, поэтому старайтесь соблюдать версии. Разные версии по-разному реагируют друг на друга. Эта связка работает.
Подключение к DS. Вопросы и ответы. Урок 5.1.
Подключиться к DS можно с помощью встроенного в ОС Windows утилиты: Подключение к удаленному рабочему столу. Пуск => Программы => Стандартные => Связь => Подключение к удаленному рабочему столу.
Можно еще так: Пуск => Выполнить => mstsc.
Еще одна утилита для подключение к DS - это [BL4CK] VNC Viewer: Authentication Bypass.
Просто запустите ее и вводите IP адрес DS.
Как залить софт на DS?
Тоже нет ничего сложного. Если он (Софт) находится в интернете - то все делаете, как на своем ПК - открываете браузер и скачиваете, если он находится у вас в компьютере - то сначала необходимо выложить его на любой файлообменник (dump.ru, sendspace.com), а потом по полученной ссылке из браузера DS'а - опять скачать его.
Также, можно к дискам DS подключить ваш локальный диск через опции mstsc (Меню- Параметры или Дополнительно). Выбираем, какой диск подключить и потом соединяемся с DS. На DS открываем Мой Компьютер и там видим наш диск, откуда и копируем, что нам надо.
После покупки рекомендуется сменить пароль на любой свой.
Как сменить пароль?
На DS жмете "start" "run" cmd. Вводите: net user, пользователь, пароль и Enter.
Как создать нового пользователя на DS?
Сразу скажу, что лишние учетки - это дополнительный повод потерять сервер. Например:
Жмем: "start" "run" пишем cmd и вводим:
В данном случае будет создана учетная запись SQL с паролем 1234567.
Что делать если не работает буфер обмена? Нельзя скопировать текст, ссылки и так далее. Выполняем:
tscc.msc > connections > %connection_name% > client settings > clipboard mapping
Действует после перезапуска RDP службы.
Бывает, что rdpclip.exe криво работает. Помогает только перезагрузка процесса (Убить в диспетчере задач и Win-R -> rdpclip.exe)
Что делать если при подключении выдает сообщение:
В данном случае, в 99% случаев поможет, так называемое консольное подключение, или подключение через нулевую сессию.
Для этого в Пуск-Выполнить набираем:
Или же: mstsc /v:0.0.0.0 /f -console (конечно же вместо нулей набираем IP DS).
При входе на DS не получается сменить раскладку.
Чтобы ввести логин/пароль на английском языке. Решается проще простого. После набора IP, не жмем подключение к DS, а идем в опции "Дополнительно", где вводим логин на нужной раскладке и только потом присоединяемся к DS и вводим пароль (он будет вводиться на той же раскладке, что и логин).
Что означает надпись "Вход в локальный компьютер"?
В этом случае при входе на DS, после ввода пароля вам необходимо в поле, которое находится под паролем выбрать другую строчку, ту, где написано "......(This computer)" и после этого уже входим на сервер.
Как быть если в купленном DS я вижу других "левых" пользователей?
Не надо в этом случае паниковать и спешить обвинять сервис в продаже “Не в одни руки" - этого никогда не было и не будет. Во-первых, следует точно быть уверенным, что это НЕ локальные пользователи DS (сами хозяева). Во-вторых, избавиться от нежелательных соседей довольно-таки несложно и с данной просьбой вам следует обратиться к консультанту в ICQ 311582 и вам обязательно помогут.
Как правильно работать?
Основным здесь будет:
• Прячьте свой софт поглубже в системные папки, типа c:/windows/system32.
• Не создавать множества дополнительных учетных записей, помимо выданной вам при покупке.
• Переименовывайте свои файлы .exe по аналогии с системными, например svchost.exe.
• Предупреждайте оповещения Антивируса - сразу настраивайте их на совместную работу с вашим софтом.
• Не трогайте уже существующие на сервере учетные записи.
• Без крайней необходимости не перегружайте сервер.
• Избегайте большой нагрузки на процессор (до 50% опасный максимум).
• В случае установки программ следите, чтобы не появлялось ярлыков на рабочем столе и в Меню - Пуск или же вручную удалите их из профиля All users.
Настройка Linken Sphere (LS). Урок 5.2.
Скажу пару слов об Anti-Detected'ах. Как я считаю, вещь очень полезная и нужная в нашем ремесле. Однако, делятся они на две группы. Те, которые скрывают железо (Процессор, видеокарту) и те, которые подменяют нам браузер.
Из тех, что подменяют железо, могу посоветовать Aff Combine. Стоит 1000$. Может, кому-то надо.
А те, кто подменяют браузер - их довольно много, но выделить я могу только Linken Sphere, потому что у них у одних самая приемлемая цена, есть техническая поддержка, частые обновления, еще можно и config'и купить (об этом будет ниже). О других Anti-Detected'ах молчу, так как цены на них 2000$, а работают хуже той же Linken Sphere. В общем, сами решайте.
Итак, одним из средств, упрощающих нашу работу - Linken Sphere (LS) ls.tenebris.cc.
На сайте есть краткий FAQ по продукту. Стоимость продукта при оплате одного месяца - 100$. При оплате за 6 месяцев (Pro Версия) - 500$.
Что дает Pro-версия? Купив лицензию вы получаете возможность на их сайте покупать приватные config'и. Стоимость одного config'а - 3$. Config - это «модель» (сборка) характеристик - версия ОС, версия браузера и прочее. То есть, это config слитый с реальной машины.
Все это работает довольно просто. Купили СС, сделали под нее отдельный config, в config поставили SSH-туннель или SOCKS - и вперед. В самой LS - как в браузере, также открываются вкладки, причем можно открывать вкладки разных config'ов. С LS вбиваюся самые лучшие магазины, с самой сильной защитой, если что. Виртуальная машина для работы Linken Sphere не нужна.
Продолжим. Как же все-таки настроить LS? Для начала открываем его, заходим, нажимаем Setup New Session.
После открытия мы увидим такое окно:
Это новый дизайн, дальше фотографии будут со старым дизайном, но ничего сильно там не меняется.
Далее выбираем наш User Agent (их можно добавлят и самостоятельно): useragentstring.com/pages/useragentstring.php?typ=Browser
Потом нажимаем на кнопку Config Manager:
Видим варианты, которые нам доступны:
Выбрали и нажимаем кнопку Generate:
Что мы получили:
Идем в WebGL из скриншота выше. В WebGL проверяем, что WebGL встал сам. Если видим сразу так, то он встал:
То есть, когда мы открыли это окно то, что мы видим в красном прямоугольнике - это само уже должно встать. Если он не встал сразу - я удаляю такой config.
Удалить config:
Тогда возвращаюсь сюда:
Дальше мы выставляем наш SOCKS или SSH-туннель. Пример с SOCKS:
(1) - это примечание, я туда сам пишут SSH-туннель (SOCKS), он там остается и прочее, это просто поле для примечаний. Ниже - то, куда мы вписываем наш SOCKS или SSH-туннель
- его IP и его порт.
После этого мы нажимаем Check Proxy (кнопка 2). И получаем результат (обозначен цифрой 3), что туннель или SOCKS живой и его ZIP.
Время сюда (в зеленой рамке) автоматически подтягивается с туннеля/SOCKS'а, также его можно здесь самому поменять. Если все так, как сейчас видим - нажимаем в правом нижнем углу кнопку Save.
Получаем открытое окно:
Как делаю я:
1) Захожу на Whatleaks и смотрю качество SOCKS'а (SSH-туннеля)
2) Смотрю открытые порты и прочее.
3) Закрываю config.
Опять нажимая Setup. Ищу свой профиль «Без имени»
Выбираю и меняю имя:
Для удобства - под имя КХ. Опять Save и захожу в config. Что интересного еще здесь есть? Например, можно выставить GEO под КХ.
В этом месте. Где его взять? GoogleMaps в помощь:
Вбиваем адрес КХ и на картах получаем на этот адрес GEO. Надо щелкнуть мышкой рядом с положением дома. Берём эту информацию и вставляем сюда:
GEO и прочии детали - на первое время вам этого не надо. Достаточно того, что я описал выше.
Создание личного VPN. Урок 5.3.
Сервера VPS (Купить):
my.blazingfast.io
cp.king-servers.com
abusehosting.net
morene.host
abuhost.net
vps.ag
profitserver.ru
Открываем личный кабинет в my.blazingfast.io. Перед этим вы уже должны купить себе сервер VPS. Обычно он стоит от 3-5$. (Сейчас там уже лучше сервера не брать)
Жмем на панель, получаем наш сервер, нажимаем на него.
Получаем данные нашего сервера, нас интересует IP и пароль. Сохраняем себе куда-нибудь в блокнот для удобства. Открываем PuTTy, вписываем в окно HostName IP вашего сервера.
Жмем Enter. Далее, ввели в PuTTy IP, нажали кнопку Open. В новом окне нужно будет ввести логин - пишем слово root. Жмем Enter.
ВАЖНО! После нажатия Enter вам предложили ввести пароль. Скопируйте пароль, и нажмите по терминалу правой кнопкой мыши и Enter. По умолчанию пароли в терминалах не отображаются. Если дважды Access denied, то закрываем PuTTy и заходим заново.
Теперь вводим - wget https://git.io/vpn -O thisiseasy-ru-vpn.sh && bash thisiseasy-ru-vpn.sh - ТОЖЕ ПРАВОЙ КНОПКОЙ МЫШИ И ЖМЕМ ENTER. Жмем Enter. Нам предлагают выбрать протокол - оставляем по умолчанию - жмем Enter. Далее, нам предлагают по умолчанию порт 1194, тоже жмем Enter. Далее, мы видим, что нам предлагают выбрать DNS для нашего VPN, ставим цифру 3 - нас интересует DNS от Google. Жмите Enter.
Далее, вам предложат ввести имя вашего клиента, вводите любое, какое нравится.
Жмем Enter. Ждем, пока завершится процесс создания config-файла. Напишет Finished, и появится терминальная строка.
Теперь сверните свой PuTTy. Заходим в программу WinScp.
Вводим IP, ваш пароль и имя пользователя (root).
Вот, мы видим справа содержимое нашего сервера, а слева - наш ПК.
Сразу отредактируем наш config на логи. Открываем ИмяКлиента.ovpn. У config'ов OpenVPN расширение .ovpn. Находим значение verb 3, исправляем verb 3 на verb 0. Enter (Переход на следующую строку). Дописываем log /dev/null
Сохраняем изменения. Теперь мы перенесем наш config с вашего сервера на ваш ПК. Заходите на своем ПК в ProgramFiles/OpenVPN/config. Копируем ваш config в эту папку. (Если не получается скопировать, то сначала перенесите config на рабочий стол, а потом уже в ProgramFiles/OpenVPN/config. То есть, мы в PuTTy создали config, потом через WinScp нашли файл config'а, отредактировали его, чтобы не писались логи. Теперь копируем наш config с сервера нашей VPS к нам на ПК. Запускаем OpenVPN.
Находим иконку монитора и подключаемся. Открываем браузер whoer.net.
Итак, вновь открываем PuTTy. В PuTTy сейчас вставляем опять - wget https://git.io/vpn -O thisiseasy-ru-vpn.sh && bash thisiseasy-ru-vpn.sh Сейчас мы создаем второй config. Теперь мы добавляем нового User'а. Следовательно, новый config создаем. Таким образом, у нас будет два config'а на одном VPS сервере. Это нужно для того, чтобы сидеть на ПК и на телефоне одновременно.
Создается новый config. Открываем WinScp и видим, что наш новый config рядом с предыдущим.
Теперь опять правим. Verb 3 на Verb 0. log /dev/null.
Итак, кто создал второй config и отредактировал его, можете смело копировать его в телефон, скачивать на телефон OpenVPN, находить в программе путь, где лежит на телефоне ваш config и подключаться.
Итак, сделаем итог по созданию личного VPN.
Программа PuTTy нужна нам для того, чтобы зайти на наш сервер VPS и создать на ней config.ovpn с определенными характеристиками. PuTTy - это по сути SSH-клиент. Вместо нее может быть любая аналогичная, например, Termius. Это для информации. Можете поставить себе ее на телефон и тоже заходить на свой сервер, сидя в телефоне. Такое бывает нужно, если под рукой нет ПК, а VPN создать нужно.
WinScp - это программа для подключения к "файловой" составляющей нашего сервера (по сути GUI). То есть, он нам нужен для того, чтобы перенести наш config в нужную директорию на нашем ПК. OpenVPN - это GUI клиента OpenVPN. Нужен нам для удобного подключения. По сути, все эти действия можно выполнять в терминале, но это вы освоите легко, если вас заинтересует Linux.
Существует такое понятие как DNSLeak. DNSLeak - это утечка вашего реального IP. К примеру, вы подключились к SOCKS, а сайты Checker'ы вашего IP выдают ваш, что IP у вас USA, а DNS USA и Россия. Для нас это плохо, ибо что хорошего в нашем кристально чистом IP, если вас видно за ним по DNS. Подробнее о DNS почитайте в Google - это система доменных имен. Возникает DNSLeak из-за того, что ваши запросы к американскому идут не напрямую, а через цепочку Вы-Россия-США. В итоге, некоторые Checker'ы способны увидеть всю цепочку, что нам не нужно. Как это победить?
comss.ru/page.php?id=2814 - используем программу DNSCrypt.
Установки службы DNSCrypt-proxy в ОС Windows, Linux и MacOS для шифрования DNS трафика между пользователем и защищенными DNS-серверами. Это позволяет предотвратить попытки отслеживания, перехвата DNS и MITM-атаки. То есть, ваш DNS траффик шифруется и не отслеживается.
Проверить свое подключение на утечку DNS можно тут - dnsleaktest.com
Информация, которую можно получить через интернет - myshadow.org/trace-my-shadow
Как чистить логи на сервере? Урок 5.4.
Поговорим о логах на сервере, не только о логах OpenVPN, но и о всех логах, которые пишутся на сервере. Хорошим подспорьем будет для нас статья с Habr'а, описывающая типы
логов и их предназначение:
habr.com/post/332502/ - логи и их предназначение.
Отметим, что большинство лог-файлов содержится в директории /var/log. Логи мы не любим и поэтому задаем вопрос. Можно ли удалить всё содержимое /var/log и не переживать за логи? Нет. Это может привести к сбоям и частым сообщениям об ошибках. Если удалить мы их не можем, то необходимо очистить их содержимое. Таким образом, очищая содержимое этих файлов, мы собственно очищаем основные логи наших действий на сервере. Какие типы логов в директории /var/log нас интересуют:
-----/var/log/syslog или /var/log/messages содержит глобальный системный журнал, в котором пишутся сообщения с момента запуска системы, от ядра Linux, различных служб, обнаруженных устройствах, сетевых интерфейсов и много другого.
-----/var/log/auth.log или /var/log/secure - информация об авторизации пользователей, включая удачные и неудачные попытки входа в систему, а также задействованные механизмы аутентификации.
Так как мы с вами работаем с OpenVPN стоит остановиться на нем подробнее. OpenVPN - это программа для создания туннеля. Она пишет логи - кто и откуда инициировал подключение к туннелю, как прошло подключение и так далее, то есть, пишет логи на протяжении всей работы. Мы можем указать ей файл, куда будут писаться логи, но если этого не делать, то по умолчанию логи работы OpenVPN пишутся в /var/log/syslog.
Итак, с типами логов разобрались. С тем, куда пишутся логи OpenVPN тоже разобрались, теперь о том, как их очистить.
Запускаем PuTTy. Вводим логин и пароль. И, тем самым, подключаемся к нашему серверу. Мы знаем, что на нашем сервере ведутся разного рода логи, и знаем директорию /var/log.
Давайте посмотрим содержимое этой папки, вводите команду в PuTTy: dir /var/log/ -l
Вы видите кучу файлов-логов, которые подробно описаны в статье на Habr'е, что я дал.
Это все логи. Там, где мы видим цифры после названия или расширения .gz можно смело удалять. На работе сервиса не скажется. Сейчас мы это делать не будем, ибо нам эти логи не мешают. Это базовые логи, но нас сейчас интересует только содержимое файла syslog потому что туда по умолчанию скидывает отчет о своей работе OpenVPN. Хотим глянуть, какие там логи накопились.
Вводим следующую команду:
А теперь давайте проверим, пишутся ли наши логи OpenVPN именно сюда. Подключите ваш config OpenVPN, что мы создавали. Теперь вернемся обратно к терминалу, чтобы увидеть изменения в syslog, необходимо перезагрузить OpenVPN командой:
Сервер выдал нам сообщение, что произошел рестарт OpenVPN. Теперь мы должны посмотреть опять содержимое syslog, и мы обнаружим старый наш лог + лог OpenVPN:
Что первые, что вторые, как мы видим, пишутся в Syslog. Теперь, когда мы наглядно увидели, что лог нашего подключения пишется в Syslog наша задача почистить его содержимое. Вводим следующее в PuTTy (командная строка, терминал):
Данная команда очищает содержимое Syslog и auth.log.
Как проверить, что мы очистили логи? Мы должны проверить содержимое этих файлов уже знакомыми нам командами.
Перезагружаем сервер:
Просматриваем содержимое Syslog:
Просматриваем содержимое auth.log:
Теперь они имеют 2-10 записей (Или вообще пусты), вместо огромного листа строк. Остается только лог последнего подключения.
Поздравляю, вы в ручную очистили логи на сервере. Сейчас у меня нет готового решения, как это сделать на автомате, скорее всего, необходимо писать скрипт (Могу дать, кому надо) и давать ему право на исполнение каждые сутки. Но нам это и не нужно. Чистите таким образом раз в неделю и будет вам счастье.
Резюме, как быстро чистить (То есть, резюме нашей лекции по очистке логов на сервере):
Заходим в PuTTy. Вводим логин и пароль.
Выполняем команду:
И все, логов нет. Дело двух минут.
Все, что я описал, можно делать и в программе WinScp, заходить в папку с логами, открывать, чистить в ручную, но зачем так делать, если у нас готовое надежное решение, и более легкое.
И конечно, не забывайте, что провайдер нашего VPN, все равно может вести логи нашей активности, что по факту не играет роли особо, ибо, чтобы что-то доказать одного вашего IP будет мало. Логи на вашем ПК и на сервере - это доказательство, которое мы чистим.
Главное:
- понимать, пока выполняется условие, что ловить тебя дороже, чем покрыть убытки от тебя
- ты будешь в безопасности.
Рассмотрим случай, когда у вас syslog и, например, syslog.1 в папке /var/log. То есть, два файла. Чтобы это понять, входим опять в директорию логов и смотрим, какие файлы там есть:
Если увидели там, например, присутствует файл syslog.1, то удалить его можно командой:
Вместо Syslog.1 может быть имя любого файла, который вы хотите удалить. С логами на сервере разобрались.
Продолжим. А теперь о логах на вашем ПК. Логи на вашем ПК пишутся сюда:
Заходите туда и смотрите, там, как правило не более, 10 строк. Так мало, потому что мы в самом config'е еще прописали, чтобы логи не писались на вашем ПК. Если бы мы не исправляли наш config после его создания, то в этом файле, что у вас на ПК была бы прописана вся активность OpenVPN GUI. Ради эксперимента можете создать новый config, не редактируя его и посмотреть на его логи, что и как он пишет.
Таким образом, вы научились отключать логи для вашего ПК, а потом удалять их на самом сервере.
P.S: Все необходимые программы есть в Интенете.
Связка VPN+TOR+VPN. Урок 5.5.
Данная связка работает только на VBOX.
У кого VMWARE можно импортировать свою систему под VBOX.
Хоть вы будете работать через 20 VPN серверов, это всего лишь увеличит время затраченное на вашу поимку. Каким образом происходит ваше раскрытие личности? Все просто, есть ваш VPN сервер у любого VPN сервера есть провайдер. Посылают запрос провайдеру и спрашивают, кто подключался к этому серверу, соответственно узнают ваш IP.
Какой есть выход из этой ситуации? VPN-TOR-VPN, универсальная цепочка. Первый VPN защитит вас от различных СОРМ систем и скроет использование ТОР. Далее, у вас идет ТОR, который заметает ваши следы. И последний VPN или DS обеспечивает нам белый IP на выходе.
1. virtualbox.org - Скачиваем VirtualBox.
2. whonix.org/wiki/VirtualBox/XFCE - скачиваем Whonix Gateway. Можно скачать и Workstation и быть супер-анонимным работая из-под ее среды.
3. Нажимаем Ctrl+I в VBox и импортируем скачанный Gateway
4. Переходим в Settings (Значок шестеренки) - ставим 380MB оперативной памяти (тогда Whonix-Gateway откроется в терминальном режиме, что более чем достаточно для ее работы и не жрет оперативной памяти).
5. Во вкладке Systems так же ставим галочку только в HARD DRIVE и перетаскиваем его на самый верх.
6. General - Advanced - Shared Clipboard (Bidirectional)
7. Drag’n’Drop - Host to Guest
8. Запускаем Gateway.
9. Выбираем "Iam Ready to Enable Tor", ждем "Next" 10.
Теперь трафик с основной машины идет на Whonix Gateway. Whonix будет грузиться в консольном режиме, больше в Whonix Gateway никаких изменений вносить не нужно.
1. Теперь связываем Whonix и Windows.
2. Запускаем наш Whonix Gateway. ПКМ по виртуальной машине Windows, выбираем пункт "Настроить", далее переходим в "Сеть" отключаем первый адаптер -> включаем второй адаптер -> выбираем "Внутренняя сеть" ниже выбираем "Whonix"
3. Готово! Теперь у нас весь трафик идет через ТОР и Whonix Gateway.
Еще раз. Сначала на основе VPN, запускаем GATEWAY, потом снова VPN на виртуальной машине (Я использую второй VPN Nord) Готово. (Цепляем потом SOCKS'ы/SSH- туннели/DS'ы)
В идеале установить виртуальную машину со скриптом, дабы подменить параметры VBOX.
ANTIFRAUD. Урок 6.
Поговорим за AntiFraud. Как уже поняли из урока по безопасности, чтобы выполнить успешный вбив, нужно соблюдать определенные правила. AntiFraud - защита от мошенничества. Fraud - мошенничество. В нашем случае, мошенничество с банковскими картами. То есть, AntiFraud борется с мошенничеством. У AntiFraud есть свои настройки, начиная от простых до самых сложных, чем сложнее настройки, тем жестче проходят проверки транзакций. Самые простые - это защита по CVV коду, анализ карты по стране выпуску, проверка IP адреса. Чем сложнее AntiFraud, тем дороже он обходится интернет- магазину, в основном они платят деньги за AntiFraud исходя из количества транзакций, которое через него проходит. Автоматически можно сделать вывод, что не все магазины используют AntiFraud высокого уровня, так как это не всегда выгодно, что и подтверждается на практике при вбивах. Есть магазины, где можно и с TOR'а вбить, а есть где обращают внимание на каждую деталь.
AntiFraud имеет группу фильтров, через которые проходит информация и после этого система начисляет, так называемые, Fraud-баллы. На основании Fraud-баллов система решает, что делать с транзакцией - пропустить, отменить или отправить на ручную проверку к менеджеру. Когда мы вбиваем в магазин - у нас есть возможность указать два адреса.
Billing адрес и Shipping адрес. Billing адрес - это адрес проживания КХ, то есть, когда человек оформлял карту, он указывал этот адрес. Shipping адрес - это адрес, куда нужно доставить товар. Это нужно запомнить. Допустим, мы набрали определенные очки Fraud при вбиве, например, проблемы с IP, к тому же наши Billing и Shipping адреса не совпадают, то есть, в Billing адресе - один адрес, а в Shipping - другой, то на наш платеж накинут дополнительные Fraud-баллы.
pochtoy.com/newbies/billing-shipping-address/ - можно тут еще глянуть за адреса.
Также, могут проходить проверку доменные адреса нашей почты. Что это значит? Например, есть почтовые сервисы, по типу mail.com, где регистрация проходит без СМС проверки, то есть, зарегистрироваться довольно просто. Поэтому лучше использовать почты по типу Gmail, yahoo, aol.
Принять СМС нам помогают сервисы по типу:
simsms.org
sms-reg.com
sms-activate.ru
@rodik19 (дорого)
Можно использовать также корпоративные почты, то есть, почты компаний, но не советую. Корпоративные почты можно купить тут - fraud.cat
Почему не советую корпоративные почты, можно почитать в материале:
Есть такой момент с AntiFraud'ом, что часто из-за жестких проверок страдают обычные покупатели. Поэтому в пиковые дни продаж, системе снижают уровень проверки - черная пятница, время перед рождеством - это те дни, когда вбивы проходят проще. Из-за этого декабрь считается самым благоприятным временем для нашего ремесла.
У некоторых магазинов есть даже такие моменты, что считывается информация, откуда мы зашли на их сайт - через прямой домен или со стороннего источника, поэтому лучше переходить в свой магазин во время вбива через поисковые системы, например, через Google. Может быть, что палят открытые вкладки в вашем браузере на данный момент и время, которое ваш адрес IP находится в сети. Так что иметь в открытых вкладках магазин, в который собрались вбивать и с ним Carding-форумы - не совсем будет правильно.
Но опять же, не везде это нам мешает. Зависит от магазина. Уточню, что программы на ПК, информация о железе - все это не замечается, если кто думал. Только данные, которые выдает браузер. Все, что можно подглядеть находится тут - whoer.net
Есть такое понятие, как "прогрев", то есть, перед вбивом прогреть магазин. Прогреть - полазить по страницам, добавлять/удалять товары с корзины, можно пообщаться с онлайн- поддержкой, уточнить пару вопросов - это лишним не бывает никогда.
AntiFraud часто отправляет на ручную проверку заказ и, если ты, допустим, предварительно общался с технической поддержкой, то заказ будут проверять более лояльно. По Email еще уточню момент, что делать нужно ее под имя и фамилию нашего КХ, то есть, чтобы было совпадение с Billing именем.
Таблица атрибутов, по которым некоторые AntiFraud могут нас заметить.
ЧТО СМОТРИТ ИНТЕРНЕТ-МАГАЗИН:
Полные проверки проводят не везде, многие моменты обходятся с помощью Anti-detect (LS), либо если бить через хороший DS.
Можно почитать, несколько частей: habr.com/post/253725/
FAQ:
А: Если я буду общаться с тех. поддержкой через Google-переводчик, то они поймут, что я мошенник или это можно все списать на то, что я русский, например, но живу в США. Или как это происходит?
Вы сказали, что потом заказ отправляется на проверку к специалисту. Так вот, кто этот специалист? Такой же человек, как и мы, только пытается защитить магазин или же там может сидеть какая-нибудь бабка, которая не особо и разбирается в этих Интернетах. А если там действительно кто-то с мозгами, то какими данными располагает этот специалист, а что может запросить у нас для того, чтобы транзакция все-таки прошла?
Б: США - самая многонациональная страна, так что никто там ничего не поймет. Обычный менеджер магазина, могут запросить дополнительную верификацию, например, отрисовать карту или прозвонить, для этого есть сервисы на разных форумах.
А: Я, как понимаю, под каждую СС надо делать новую почту, но если AntiFraud замечает почту по сроку, как тогда быть?
Б: Крайне редко такое замечают, сам даже не встречал такое.
А: Заказ ушел к менеджеру на проверку. Это 100% буду звонить или можно как-то по- другому решить?
Б: Да, будут звонить или отрисовать документы потребуется, но не 100%.
А: Что если делать вбив прозвонив, он будет более успешен?
Б: Не сказал бы, сейчас редко получается.
А: Fingerprint, отпечаток устройства - это MAC адрес?
Б: https://ru.wikipedia.org/wiki/Цифровой_отпечаток_устройства
Немного об AntiFraud: habr.com/company/payture/blog/250437/
Что такое FingerPrint: habr.com/company/oleg-bunin/blog/321294/
Как работает AntiFraud. Урок 6.1.
Например, вы сделали вбив, но он у вас почему-то не зашел. И вот, что AntiFraud узнал у вас, и почему он понял, что вы мошенник.
Это пример только одного вбива - через DS, поэтому информация может быть всегда разная, да и от магазина самого зависит сильно. Но это просто, чтобы вы осознавали, насколько сильный у вас соперник - этот AntiFraud.
Список данных:
• First и Last Name Billing. Roy Lee
• Телефон Billing. 512-750-5839
• E-Mail Billing. *********@carlosrul.com
• Billing Adress. 5502 Blueridge Ct,Austin,TX,78731
• First и Last Name Shipping. Roy Lee
• Телефон Shipping. 512-750-5839
• E-Mail Shipping. *********@carlosrul.com
• Shipping Adress. 5502 Blueridge Ct,Austin,TX,78731
• IP
ort. 97.79.172.134:3391
• BIN или полный номер CC. 4050371112147141
• Сумма заказа в USD. $432.99
• Какой тип Вашего интернет-магазина? (Гигант/Крупный/Средний/Мелкий) Скорее крупный, так как имеет заказы такого формата BBB6159269514
• Как настроить к Вам систему? (Агрессивно/Недоверенный клиент/Нейтрально/Доверенный клиент) Агрессивно
• Сколько заказов до этого входило в интернет-магазин с похожими данными? (К примеру, один заказ до этого Вы вбивали с таким же E-Mail. Тогда нужно написать "1".) 1
• Что бьёте? (E-Gift, Amazon, Ebay, PayPal, Одежду, Технику, Авиабилеты, Еду/Алкоголь, прочее) Техника Dyson V7
Ярлыки AntiFraud системы:
Экстремальный риск - умножает FraudScore.
Средний риск - сильно увеличивает FraudScore.
Маленький риск - увеличивает FraudScore.
Нейтральное значение - не увеличивает FraudScore.
Доверенное значение - уменьшает FraudScore.
Внимание!
Разные AntiFraud системы могут работать по другому, снизу написанны не "рецепты золотых правил"!
Больше > 60 FraudScore - Отмена заказа.
Больше > 40 FraudScore - бот тщательно проверяет Ваш заказ, и решает, что с ним делать.
Больше > 20 FraudScore - отправляется на проверку человеком.
Остальные заказы пропускаются, как одобренные.
FS - FraudScore
# Проверка Scores #
FraudScore: 79 из 100 - Risky (Средний риск) [Заказ пройдёт проверку ботом и человеком, скорее всего понадобиться звонок/документы, возможна отмена]
RiskScore: 8.65 - (Нейтральное значение)
ProxyScore: 0.00 - (Нейтральное значение)
# Описание #
USD > 600 - False (Доверенное значение)
Сумма заказа меньше 600$ (Не превышает стандартные транзакции крупных интернет- магазинов с техникой), это хорошо.
Указан верный Billing адрес, расстояние между Billing и IP достаточно большое, это подозрительно.
Не найдены социальные сети на указанный E-Mail, выявлены используемые username'ы КХ. Некоторые показатели IP указывают на использование средств анонимности.
Все характеристики почты указывают, что почта мошенническая - левая.
Указан Business номер, выявлен настоящий номер, указанный номер не относится к КХ - левый.
Открыто 3 порта!
# Проверка Location #
Distance IP/Billing Location: 73.59 miles / 118.43 km (Средний риск)
Distance IP/Shipping Location: 73.59 miles / 118.43 km (Маленький риск)
Distance IP/New Billing Location: N/A (Нейтрально значение) [Указан верный Billing]
Distance Billing/Shipping Location: N/A (Нейтральное значение) [Bill = Ship]
Ship Forwarder Address: No (Нейтральное значение) [Не является адресом известного посредника]
# Billing #
Address Type: Single Family (Нейтральное значение) [Указанный billing является жилым домом для нескольких семей]
Neighborhood: Lakewood Village (Нейтральное значение) [Окружение, район] Valid Address: Yes (Нейтральное значение) [Верный адрес]
Billing Country Matches IP Country: Yes (Доверенное значение)
Billing City Matches Shipping City: Yes (Нейтральное значение)
Billing State Matches Shipping State: Yes (Нейтральное значение)
Billing Country Matches Shipping Country: Yes (Нейтральное значение)
Billing ZIP Code Matches Shipping ZIP Code: Yes (Нейтральное значение)
Full Name: Roy I Lee III (Нейтральное значение) [Выявлено полное имя]
Current Adress: 5502 Blueridge Ct Austin TX 78731-2636; 7505 FM 215 Valley Mills TX 76689- 3114; 28343 Willis Rnch San Antonio TX 78260-6056; (Доверенное значение) [Адрес выявлен, КХ живёт по указанному Billing адресу; выявлена другая недвижимость]
Previous Locations: Austin, TX; Eagle Pass, TX; Rockport, TX; Manor, TX (Нейтральное значение) [Бывшие города проживания КХ выявлены]
Relatives: Robert L Lee; Elisa S Lee; Lisa S Lee (Нейтральное значение) [Выявлены родственники; некоторые живут по указанному Billing адресу;]
# Социальные сети #
Username's: royxlee, leer76 (Экстремальный риск)
Не найдены ни на Billing имя с привязанным E-Mail, ни просто привязанных на E-Mail (Экстремальный риск).
# IP #
User Type: Business (Средний риск) [IP принадлежит бизнесу; IP не потребительский]
IP Country Match: Yes (Нейтральное значение) [IP страны совпадает с Billing]
Corporate Proxy: No (Нейтральное значение) [Не используется корпоративный-прокси]
Proxy IP Address: No (Нейтральное значение) [Не используется прокси]
IP ISP: Spectrum Business (Средний риск) [Известный поставщик интернет-услуг для бизнеса]
IP Usage Type: Fixed Line ISP (Нейтральное значение) [IP принадлежит кабельному интернету, предоставленный IP не является Web Hosting'ом; IP не является коммерческим;]
IP Time Zone: -05:00
IP Loc: 29.42412, -98.49363
IP Region: Texas (Нейтральное значение) [IP штат совпадает с Billing]
IP City: San Antonio (Средний риск) [IP город не совпадает с Billing]
IP Zip: 78201 (Маленький риск) [IP Zip не совпадает с Billing]
IP Continent: North America (Нейтральное значение) [IP Continent совпадает с Billing]
IP Domain: spectrum.com (Нейтральное значение)
IP Net Speed: DSL (Нейтральное значение)
Proxy/VPN Detection: Not A Proxy/VPN (Нейтральное значение) [Не обнаружено использование Proxy]
Hostname: rrcs-97-79-172-134.sw.biz.rr.com (Экстремальный риск) [Имеется заданное имя хоста - но без Ping'а, это указывает, что IP не является публичным сервером, но может являтся приватным сервисом средств анонимности]
Ping Hostname: 100% Packets Loss (Доверенное значение) [Связь с хостом не установлена, хост не работает; это не публичный сервер]
Ping: Двухсторонний PING (Экстремальный риск) [Возможно использование proxy] Blacklist's: 0 (Нейтральное значение) [IP не найден ни в одной из 139 баз BlackList'ов) [IP не найден в Blacklist'ах]
Server IP Domain: - (нейтральное значение) [Не найден ни один домен]
# BIN #
Issuing Country: United States (US)
Issuing Bank: CHASE BANK USA N.A.
BIN Found: Yes (Нейтральное значение)
BIN Name Match: Yes (Нейтральное значение)
Bin Country Match: Yes (Нейтральное значение)
Prepaid Card: No (Нейтральное значение)
# BlackList's #
IP Address In Blacklist: No (Нейтральное значение)
Email In Blacklist: No (Нейтральное значение)
Credit Card In Blacklist: No (Нейтральное значение)
Shipping Address In Blacklist: No (Нейтральное значение)
Phone In Blacklist: No (Нейтральное значение)
# E-Mail #
High Traffic Domain: Yes (Нейтральное значение) [Известный поставщик E-Mail] Free Email Domain: No (Доверенное значение) [Платный домен почты]
Domain Authority: 2 (Экстремальный риск) [Домен не имеет авторитета] Alexa Global Rank: 0 (Экстремальный риск) [Домен не имеет Alexa-рейтинга]
Domain Register: 2018-06-09 (Экстремальный риск) [Домен зарегистрирован недавно] Updated On: 2018-06-09 (Экстремальный риск) [Домен пока не перекупали]
Fresh Email: Yes (Доверенное значение) [Свежий E-Mail]
E-Mail Owner: - (Экстремальный риск) [Не выявлен владелец почты, не совпадает с Billing именем]
E-mail First Seen: - (Экстремальный риск) [Ваш EMail не знаком базам данных]
Email Longevity: Never seen before (Экстремальный риск) [E-Mail не появлялся в базах White/Black]
E-Mail Valid: Yes (Доверенное значение) [Почта существует]
E-Mail Adress: - (Экстремальный риск) [Адрес e-mail не выявлен, не совпадает с Billing адресом]
E-Mail/Name: False (Экстремальный риск) [Адрес e-mail не связан с Billing именем]
PR-E-Mail: 5 (Экстремальный риск) [От 0 до 5, комбинация элементов адреса почты обычно связанна с мошенническими заказами, всё указывает, что почты - левые]
# Проверка телефонного номера #
Type: Mobile (Доверенное значение) [Мобильный телефон]
Org. number: AT&T (Нейтральное значение) [Известный поставщик услуг связи]
Registered in: Austin, TX (Нейтральное значение) [Совпадает с Billing адресом]
Status: Active (Доверенное значение) [Номер доступен для звонка]
Listing Type: Business (Экстремальный риск) [Номер принадлежит бизнес-компании/не рабочий, не потребительский номер]
Name First&Last Mobile: Timothy Knetl (Экстремальный риск) [Имя выявлено, не совпадает с Billing именем]
Current Adress: 609 W High St, Goliad, TX, 77963 (Экстремальный риск) [Адрес номера не совпадает с Billing адресом, совпадает только штат]
Owner: Timothy Knetl (Экстремальный риск) [Владелец телефона на данный момент выявлен, не совпадает с Billing именем]
Valid Phone: True (Доверенное значение)
Spam/Fraud Potential: Low Risk
Explanation: Телефон и адрес не связанны, имя и адрес связанны. Телефон не связан с именем. (Экстремальный риск) [Связь между номером и КХ не выявлена, между адресом номера и Billing адресом связь не выявлена; Имя и адрес связаны]
Phone/Name: False (Экстремальный риск) [Billing имя не имеет отношение к номеру]
Phone/Address: False (Экстремальный риск) [Адрес и номер не соответствуют друг другу]
Name/Adress: True (Доверенное значение) [Имя и адрес связаны]
Based on Adress - Current Phone: (512) 343-7416 - Landline; (830) 438-2501 - Landline; (361) 729-3086 - Landline; (Экстремальный риск) [Выявлен настоящий городской номер указанного Billing адреса]
# Data B #
Based on Phone - Name: R L TRANSFER ST
Based on Address - Name: R L TRANSFER ST
Based on Address - Phone: 5123437416
# Открытые Порты IP #
80 (http) - открыт, маленький риск, возможно использование Web Proxy.
3390 (dsc) - открыт, экстремальный риск, возможно использование Dedicated Server.
3391 (savant) - открыт, экстремальный риск, возможно использование Dedicated Server.
Термины:
Billing-адрес - тот адрес, на который сделана (зарегистрирована) карта.
Shipping-адрес - адрес, куда должна придти посылка.
Подставное лицо, Drop - он же дроп. Под этим понятием подразумевается почти всегда человек или контора, которая берет на себя все самые главные риски, которые мы брать не хотим по понятным причинам. Довольно часто сажают и ловят.
Посредник - условно говоря служба доставки или почта, которая может доставить нам товар или же послать на подставное лицо. Идеально подходит, если мы хотим товар послать себе в Россию.
Прозвонщик, звонок - человек с хорошим английским (любым иностранным языком, который вам нужен). Нужен для того, чтобы позвонить на почту, в банк, в интернет-магазин, куда-либо еще. Используется в самых разных целях.
Основные понятие вбива. Урок 7.
Рассмотрим основные понятия, несколько моментов и попутно скажу, что нам понадобится к практике. Первый и основной регион работы - США. Их особенности мы и рассмотрим.
Первая и главная особенность работы по США и, по совместительству, главная проблема - это AVS (Address Verification System). Система распознающая адреса КХ, она срабатывает в процессе оформления заказа, это, можно сказать, центральный механизм AntiFraud'а в магазинах США
2970 Park View Drive United States IN | Columbus | 47201
Здесь у нас улица и дом, штат, город и ZIP (Он же индекс почтовый). Суть системы AVS в сверке Billing адреса. Они сверяет, указанный нами Billing с тем, который записан в банковском файле КХ. Банковский файл - файл в банке, где содержится информация о КХ. Сверяется именно BILLING адрес, то есть, Shipping адрес не сверяется системой AVS, но слать на разные Billing и Shipping мы не всегда можем, да и вообще к этому магазины относятся негативно. Важный момент состоит в том, что именно сверяет система AVS. Она сверяет только цифры из Billing'а. То есть, отсюда - 2970 Park View Drive United States IN | Columbus | 47201. Она будет сверять 2970 в Address Line и 47201 в ZIP. Буквы не сверяются.
Методов вбива бывает два:
BillShip - Billing = Shipping
Bill not Ship - Billing =! (Не равен) Shipping'у
BillShip значит, что при вбиве мы вводим одинаковые адреса, как в Billing, так и в Shipping адрес. Это может быть или отправка посылки на адрес КХ, или же (Если нам удалось сменить Billing адрес или в магазине просто нет AVS), Billing указываем от Drop'а\Посредника и Shipping, соответственно, тоже.
Bill не равно Ship значит, что адреса мы вводим разные, в Billing адрес с карты, в Shipping Drop/Посредника. В США бывают магазины без AVS, но их довольно мало. Также, бывают те, что сверяют только ZIP.
Какие во всех этих ситуациях могут быть алгоритмы вбива:
1. Вбив на разные адреса. То есть, Bill не равно Ship.
То есть, Billing вводим с карты, а Shipping от Drop\Посредника. Вариант не самый надежный,
но рабочий. Он сопряжен с некоторыми дополнительными телодвижениями. Здесь важно прогреть магазин предварительно, написать техническое поддержке, к примеру, и объяснить, что временно живем не по основному адресу. Причин может быть много - ремонт, пожар, ураган, что угодно, главное, чтобы было правдоподобно. И после этого уже можно вбивать. Также, в такой ситуации, скорее всего, потом попросят прозвонить или же запросят документы. Их можно отрисовать, а в случае со звонком попросить набрать в магазин и все подтвердить. При таком варианте работы очень желательно, чтобы ZIP'ы Billing и Shipping адреса были, как можно ближе друг к другу, это повышает уровень доверия и AntiFraud на это не накидывает такое зверское количество баллов, как за разные штаты в противоположных концах США.
2. Возможно в магазинах, где сверяется только ZIP.
Это можно узнать, пробив туда отработкой или любой СС заранее. То есть, вбиваем Billing и Shipping любой совпадающий с реальным ZIP'ом с карты, и пробуем оформить заказ, с самым мелким товаром. То есть, ZIP с CC, адреса левые, но под этот ZIP.
Варианты после этого:
- Может сразу выбить ошибку, что адрес неправильный, значит сверка по всем цифрам.
- Может принять платеж, но отказать в письме, сказать, что адрес не сходится.
- Могут выслать товар.
Если товар выслали, значит магазин сверяет только ZIP. Ну, по факту, сверяет не магазин, а платежная система. Если такой магазин нашли, то берем СС с таким ZIP'ом, как в адресе нашего Drop'а или посредника, и вбиваем. То есть, ZIP КХ, адреса Drop'а или посредника и в Billing, и в Shipping.
3. Вбив европейских карт в американские магазины.
Мы можем взять европейскую карту и вбить в магазин США. Система AVS такой Billing сверить не сможет, поэтому такой вбив тоже идет BillShip.
Тут либо:
- Откажут под предлогом, что не можем сверить Ваш адрес, оплатите другой картой или PayPal.
- Запросят документы, их можно отрисовать.
- Вышлют товар.
4. Enroll
Это доступ в онлайн-банкинг, как Сбербанк-онлайн, например. Во многих Roll'ах можно сменить Billing адрес. На эту тему будет отдельный урок. После смены, соответственно, можно вбивать BillShip'ом.
5. PickUp, Rerout.
Суть PickUp'а - это вбив BillShip на КХ, то есть, бьем товар на адрес владельца карты. Когда товар туда попадает, при помощи PickUp сервиса и звонка посылка перехватывается. Это тоже тема отдельного урока. Rerout схож по механизму работы, но здесь посылка не перехватывается, а перенаправляется.
Что еще касательно AVS - эта система может сверять телефон. Это не так часто есть в платежных системах, но такое бывает. Здесь выход - брать СС с данными о телефоне и вбивать, как есть, а потом или звонить с подменой номера просить сделать звонок через некоторое время после заказа, или же флудить телефон КХ.
К примеру, через этот сервис - ebomb.biz
Спам почты и телефона:
just-kill.cc
ebomb.biz
@Serggik00
@BlueSunset
Credit Cards (Купить):
bankomat.cc
fe-acc18.ru
validcc.su
27kaqicipyhous2p.onion
UNICCSHOP.MN
approved.xxx
bingo.hi.cn
carderbay.com
uniccshop.bazar
clevershop.cc
hustlebank.com
thebulldog.vip
cvv-me.su
freshbay.cc
entershop.uk
pluscc.mn
rescator.cm
validcc.ws
briansclub.cm
Проверить СС:
undef.su
Посредники:
my.meest.us/en (Америка)
pochtoy.com (Америка)
posredniki.info/category/usa/ (Список)
shopopoisk.ru/posredniki/ (еще список)
Сервис номеров (VOIP):
evoice.com
gvoice.pw
textnow.com
Или просто покупаем GoogleVoice.
Перенаправление (Rerout):
@Researcherwwh (UPS, Fedex)
@rasmus_call (Fedex)
@Nika_Nikola (Женский голос - Ника)
@fbi_call
@dark68
Перехват-сервис (PickUp):
@ninjablack63
@HotChiliMe
@MoonService2
Подставное лицо/Drop's:
@NormanSpears
@Project_13
@ARENASERVICE
@leon_support
@bocman11
@dolbim_us
@vikontesssi
Прозвонить (Звонки):
@Malfey_Prozvon
@brabus_call
@Mr_Gruffelo
@VeeChe
Отрисовка документов:
@meyer1ansky
@Angedaniya
@Serggik00_Otrisovca
@getla
@docerfake
FAQ:
А: Как-то видно, что у магазина нет АВС? Какой-то значок? Разве разумно сразу писать в тех. поддержку? В том плане, что сначала ты пытаешься сделать покупку, у тебя не получается, а только потом пишешь в тех. поддержку с возмущением и гневом, потом уже решая все остальные проблемы. Глупый вопрос, но какой способ наименее затратный, но при этом самый выгодный?
Б: Нет, никак не видно, только тестами. Насчет того, чтобы писать в тех. поддержку - да, это невозможные ситуации, они решаются до покупки.
А: 1) Если бьем европейскую карту в США, то BillShip европейской страны? То есть, требуется международная доставка? 2) Если платежная система сверяет телефон, то делаем PickUp/ Rerout на BillShip КХ, или просто телефон его указываем и потом флудим/звоним?
Б: 1) BillShip Drop'а\Посредника. 2) Зависит от остальных обстоятельств, но раз сверяет телефон, то все остальное тоже сверяет.
Магазины СС (Credit Card). Урок 8.
Разберем FESHOP - fe-acc18.ru. Заходите на свой аккаунт. Ничего сложного не будет, но структуру магазинов разберем. Нам нужен раздел CVV's. Как видим, тут есть свои фильтры, используя которые мы и будем подбирать СС четко под свои нужды. BIN's - это окно для того, чтобы искать СС по своим BIN'ам. В процессе вбивов и приобретения опыта у вас будет формироваться список хороших, читай, лезущих в магазинов, BIN'ов. Можете написать любой BIN и проверить есть ли в магазине СС под данный BIN.
440293 - Вбиваем, сколько карт нашел? Много. Помимо BIN'а мы можем выбрать по стране и штату, и так далее. Это полезно, если СС ищем под конкретный IP. В идеале IP должен совпадать с ZIP'ом СС.
Что такое Base на ваш взгляд? Верно. Базы. Карты добываются по-разному и добавляются на сайт в разное время, от того и разбиты на базы. Могут быть по дате добавления, по стране.
Добывают чаще всего SNIFF. SNIFF-базы. SNIFF - это ПО (Программное обеспечение), которое перехватывает данные CC, их вешают обычно в магазинах, собирают данные и продают. Также, в описании базы бывает оговорено, что СС без имени или адреса, или дополнительной информации. Обращайте внимание на то из какой базы вы покупаете СС - это важно. Бывает, что в магазине нет AVS, тогда CC без адреса нам подойдут.
Кстати, дам вам один сервис VPN, он без AVS - tunnelbear.com/download
Можно, проверяя СС вбивать VPN себе. CC без адреса обычно дешевле. В некоторых магазинах, например, JOKER, еще указывают и Valid-базы.
Процент валидности базы выясняют так, берут несколько десятков карт из базы, прогоняют через Checker получают процент Valid'а. Если база свежее, то логично, что там больше Valid'а, но это не всегда так.
Выбирайте любую базу. Видим графу Check time. Что в ней?
BASE HASN'T REFUND - не дается время на проверку. Безвозвратная. Купили и все, даже если не Valid.
5 MINUTES TO CHECK - дается 5 минут. Купили, вбили, не вошла. идем обратно в магазин, проверяем на Checker'е магазина, если не Valid, то вернут деньги. На все 5 минут. Делаем из этого вывод, прежде, чем вбивать СС, все должно быть готово к вбиву.
По факту, лучше всего покупать СС с возвратом, ибо никто тебе не даст гарантий, что not Refund 100% Valid и войдет легко.
В каждом магазине свои поисковики, в некоторых больше информации, в некоторых меньше. Особое внимание уделяйте Level карты, то есть, ее статус. Если в магазине не пишут какой уровень карты, то можно пробить по BIN.
Prepaid, Business, Gift - Такие уровни сразу мимо. Ориентируйтесь на Classic, Gold, Platinum. Еще иногда Premier, но лучше первые три.
Также, можно отметить еще - validcc.su (регистрация стоит 200$, если есть приглашение, достать его можно)
Сейчас жалуются на Valid. Будьте внимательнее.
Отмечу еще, что СС под IP искать проще. И в завершении.
Задание:
Если есть средства, то зарегистрироваться здесь и приобрести LS (Linken Sphere). Можете на двоих-троих купить, спокойно работает и не вылетает. Подписка стоит 100$ за месяц.
Прогрев магазина. Урок 8.1.
Прогрев магазина - это общение с ним - СИ (Социальная инженерия). На какие категории можно разделить общение:
1. Общение через Email.
2. Общение через Live-Chat (не всегда может быть доступен, зависит от часового пояса)
3. Общение через телефон.
Теперь о каждом пункте подробнее.
Преимущества общения через Email - вы заранее имеете возможность подготовить ваши вопросы/ответы, выстроить определенную стратегию вашего общения,спрогнозировать ее в какой-то мере, но и тут не обходиться без недостатков, а именно, что магазин может отвечать в течении нескольких суток. Здесь нужно учитывать, что из-за долгого ожидания, обязательства продавца продавшего вам СС (По замене), естественно, будут уже не актуальны. В этом случае, нужно заранее прогревать магазин и уже только потом покупать материал.
Общение через Live-Chat. Плюсы - не нужно ждать сутки/двое, как в случае с E-mail, все общение займет не более 10 минут, после чего можно приступать к процессу вбива нашей СС.
Сразу скажу, что для тех, кто владеет английским не достаточно хорошо, тем рекомендую использовать Yandex переводчик. Остальные делают перевод кривым и не очень естественным.
Ну и, конечно, же самый лучший товар можно вытащить, если прогреть магазин через звонок. Даже в тех случаях, когда, казалось бы, уже нет надежды сломать AntiFraud первыми двумя вариантами, грамотный звонок вами лично или же через сервис, который делает звонки, здесь сыграет решаюшую роль.
Давайте разберем более детально в различных ситуациях. Как мы с вами знаем, США славится своими природными катаклизмами и чувством сострадания и толерантности ко всем без исключения. Так вот, в США почти каждый месяц природа устраивает очередное испытание. Обычно это пожары, наводнения, ураганы. И эти новости всегда разносят по всему миру - и мы должны за ними следить. Тут такое дело, американцы люди добрые и всегда готовы придти на помощь, пойти на встречу. Поэтому находим материал (СС) штата, в ктором случилась беда, и пишем в магазин, что мы стали жертвой катастрофы.
И тут по ситуации. Дом сгорел, а вместе с ним ноутбук и телефоны, поэтому пишу с ПК друга или родственника. Просите менеджера подобрать вам что-нибудь в среднем ценовом диапазоне (ПК или телефон какой-нибудь) и просите выслать на адрес друга или родственника, так как от вашего дома остался только рваный американский флаг. Варианты разные, все зависит от вашей фантазии. Следите за новостями и пробуйте. С Канадой также работает. Там народ тоже крайне доброжелательный.
В Канаде тоже АVS, плюс могут отрисовку запросить или прочую верификацию. Если все сделаете, как просят, то вышлют, тогда все хорошо.
Теперь о том, как делать не стоит. Забудьте про подарки, отъезды и прочие слишком примитивные истории и сказки. Будьте оригинальны и убедительны.
У меня был случай, что магазин один сложный написал мне письмо после заказа. Из серии, почему ты тут шлешь на разные BillShip, а я сказал, что у меня дом термиты завелись, сейчас дезинфекция (Такое часто у них бывает). Живу у родни и все такое.
Не забывайте, что на том конце сидит менеджер, а он, прежде всего, человек, с кучей бытовых проблем, как и у вас. Также, хорошие темы - мальчишник/девичник, семейные разборки (ссоры, разводы, измены). В общем, фантазируйте и вперед. Можете слать на подставное лицо (Drop'а, подставное лицо) и на посредника, как хотите.
Теперь о другом методе вбива. Вбив через форму. Форма эта называется - Authorization Form. Значит, заходим в магазин, гуляем по магазину, добавляем товар в корзину. Когда дошли до CheckOut'а, пишем в чат, что не можем оплатить. Мол, нажимаю на CheckOut и ничего не происходит. Вам предложат почистить Cookie/Перезагрузить браузер, это по стандарту.
Вы такие, все попробовал, но ничего не поменялось. Доходим опять до CheckOut'а, и опять пишем. Спрашиваете, какие еще методы оплаты есть. В ответ вам могут предложить: PayPal, Банк, Форму или вбить за вас. Нас интересует либо форма, либо вбив за нас. Если дадут форму, то ее нужно заполнить - вписать номер СС, ФИО, адрес, сумму вбива и наименование товара и отправить им по электронной почте. Можете сами, если есть принтер и сканер.
Можете заказать отрисовку.
Второй вариант, вбив за нас. Менеджер магазина сам будет бить СС и вышлет нам чек о списании денег. Так, обязательное правило оплаты по форме - вы должны отправить им фото СС с двух сторон. Лучше в таком случае бить европейские СС, так как отмена будет идти пару недель.
Вбив формой, как и вбив звонком - это Offline покупка, то есть, магазин не видит настройки нашего ПК и AntiFraud не сработает. Если более-менее владеете английским, то мой вам совет - научитесь разговаривать по-английски по телефону с магазинами. Просто звоните и разговаривайте. И уже через пару месяцев вы сможете легко делать заказ по телефону, не платя звонкам - будете экономить кучу денег. Конечно, первые разы будет тяжело, но все приходит с опытом. Со временем в легкую будете вбивать голосом.
И еще, пара советов. Вот, допустим, у нас магазин с часами. Перед звонком создайте атмосферу того, что вы в США, включите на заднем фоне телевизор на английском, погромче желательно, чтобы точно было слышно на другом конце. Или радио. В общем, что-то на английском. Дальше, допустим часы стоят 1500$.
Гуляем по сайту и находим отзыв о наших часах. И при разговоре с менеджером говорим, что мой друг покупал у вас часы. Они мне очень понравились, и я хотел бы купить себе такие же или подарить кому-то. Только я не знаю бренд часов. И дальше погнали, менеджер начинает угадывать те часы, которые мы хотим, по параметрам, которые мы ему дали. И в итоге предлагает именно наши. А дальше уже вбив по телефону идет: Billing адрес, номер карты и так далее.
По поводу акцента не переживайте. Америка страна, созданная иммигранатами и акцент там у всех. Конечно, первое время вы столкнетесь с тем, что не будете понимать то, что вам говорят. Ссылайтесь на плохую связь, просите повторять. Смотрите сериалы на английском, помогает быстро освоить язык.
Рекомендую звонить с Sip-System сервиса для подмены номера. То есть, при звонке в магазин они увидят нужный нам номер - номер КХ.
FAQ:
А: Эти три метода прогрева конкретно на интернет-магазины. А какой принцип, допустим, на Ebay?
Б: В случае с Ebay, мы также можем использовать общение через Email с продавцом, также можно предварительно добавить интересующие вас товары в корзину, и спустя там, к примеру, 3-5 часов пробовать их пробивать.
А: Тема с катаклизмами еще разве не устарела?
Б: Эта тема не устареет до тех пор, пока катаклизмы не прекратятся, в чем я сильно сомневаюсь.
А: Как понять, когда при вбиве нужно прогревать магазин?
Б: Почти всегда нужно, это всегда не будет лишним. Конечно, можно и и прогрева, но шанс того, что получится вбить - несколько падает.
А: Считается ли покупка дешевого товара, например, на 100$ - прогревом магазина? То есть, после такой покупки доверие магазина к нам будет больше и можно будет сделать заказ уже на 1000$?
Б: Да, конечно, если вы вбивали не с гостя, а с аккаунта, то у вас после каждого заказа формируется Feedback, что благоприятно сказывается на следующих заказах.
А: Что делать, если запросят фото карты с двух сторон? Смогут такое отрисовать?
Б: Да, сделают за 5 минут. Это не очень сложно.
А: Если вбивать постоянно только один магазин, имеет ли смысл каждый раз придумывать новую историю или тут достаточно нескольких вариантов?
Б: Зависит от того, насколько крупный магазин. Если крупный, то никто не запомнит. И лучше, конечно, стараться разговаривать с разными менеджерами.
А: Имеет ли смысл вбивать всякую мелочь на адрес КХ, чтобы прогреть магазин?
Б: Лишним не будет. Я иногда делаю так.
А: Если вводить имя, которое на посреднике, а не КХ, не будет никаких подозрений?
Б: Зависит от магазина, насколько сильный там стоит AntiFraud.
А: Где лучше смотреть новости по США/Канаде?
Б: По главным новостным порталам, как CNN и так далее.
Посредники. Урок 9.
Первое, что важно знать и помнить о посредниках - это абсолютно белое юридическое лицо.
Также, могут называться пересылка-сервис, но это реже. Обычно посредник - это официальная контора, предоставляющая услуги приема товара и последующей его пересылки. Услуги предлагаются для жителей России, к примеру, для того, чтобы они могли заказать товар в Америке, даже в магазинах, которые не предполагают отправку в Россию.
Или, где доставка очень дорогая. Дороже, чем сам товар. Так вот, если я живу в России и мне нужно сделать обычный белый заказ в США, но нет доставки, то как я поступаю. Я иду сюда и выбираю себе посредника - posredniki.info/category/usa/.
Для нас посредники также очень полезны, но так как это белая организация, нужно быть осторожным, чтобы посылку вашу не потерять. Популярные такие, как ShopFuns однозначно не берем.
И перед выбором ищем по типу посредник + Carding, потому, как такой запрос поможет проверить, есть ли какая-то информация по посредникам на других форумах или же на сайте посредников может быть целое полотно про наше ремесло и про то, как они с этим борются, таких обходим стороной.
После выбора регистрируем аккаунт. Здесь можно пойти двумя путями, оба нормальные. Регистрировать на свои данные или регистрировать на чужой паспорт. Не все посредники вообще требуют какие-либо документы, но те, которые требуют, делают это в обязательном порядке. Или могут перед высылкой уже попросить документы. Сам по себе посредник это, по сути, склад с ячейками. Там можно копить свои посылки и потом собрать их в одну и выслать.
Если регистрируете на левые данные (чужой паспорт), то сразу купите лучше полный комплект документов, чтобы не было проблем с отрисовкой (паспорт - обе страницы, СНИЛС, документы на оплату ЖКХ - газ, вода, электричество). К этому все, купите VPS сервер или просто SSH-туннели, с которого будете всегда заходить на свой аккаунт. Также, сделайте себе аккаунт в ПП (PayPal) на левые данные, привяжите его к этому посреднику.
Пару примеров популярных посредников:
meest.us - вполне хороши для работы, лояльно относится к именам отличным от имени аккаунта - об этом отдельно.
fishisfast.com - лично у меня с ними были проблемы, но знаю, что успешно некоторые работают.
mainbox.com
pochtoy.com
После регистрации посредника, вам дается адрес в Америке или два адреса в разных штатах. К примеру, регистрировали аккаунт на имя Михаил Бакунин.
Вы получаете адрес.
Здесь физический адрес - 600 Markley St. Port Reading, NJ 07064. И номер вашей ячейки Suite 098489.
Посредников регистрируем строго на славянские имена или кавказские. Некоторые посредники лояльно относятся, когда приходят посылки на левое имя. Это весьма удобно. В зависимости от посредника после прибытия товаров они копятся в течение определенного времени там бесплатно. Обычно месяц или два.
Касательно оплаты услуг посредника - только белыми деньгами. Аккаунт посредника могут заблокировать, к примеру, если туда обратился магазин, но в ряде случаев можно
договориться и вытянуть аккаунт. Но это не частые ситуации, когда они блокируют касательно разных имен. Желательно, чтобы не приходило больше, чем на два-три разных имени, дальше могут быть вопросы.
Есть также такая вещь, что могут украсть посылку вашу, если видят разные имена. Есть такие моменты тоже иногда. Потому, как посылка приходит на склад, а там уже ее до ячейки распределяет человек.
Нотификация ФСБ: portal.eaeunion.org/ru-ru/public/main.aspx
Рекомендации для работы с посредником:
1. Не слать сразу после регистрации аккаунта миллион посылок. Отлежите неделю, а лучше все две. Вышлите 1-2 посылки за неделю. И постепенно увеличивайте количество. Здесь работает правило раскачки, как и во многих других темах.
2. Четко изучить правила работы посредника, это позволит избежать потери посылок.
3. Завести портативный браузер для аккаунтов ПП и посредника, и работать исключительно с него. Cookie - наше все.
4. Не перегружать посредника дорогими посылками. Лучше завести несколько аккаунтов, и слать на каждый по чуть-чуть. Ни один нормальный человек не будет покупать себе 10 дорогих телефонов за 10 дней. Помните об этом.
5. Не использовать посредника для вбива дорогой техники, лучше использовать подставное лицо. Так вы не убьете аккаунт, в случае отмены.
6. При вбиве указывать левый номер телефона или ГВ (Google Voice). Не стоить писать номер телефона посредника или КХ.
Рекомендации по пересылке товаров к себе:
1. Не превышать таможенного лимита (для России) 1000 EUR или 1200 USD в месяц - на одну посылку. То есть, если вы указали, что товара в посылке на 1200 USD, то в этом месяце на тоже имя вы уже не сможете выслать посылку. Он встрянет на таможне, и будете ждать нового месяца для прохождения таможни.
2. Четко осознавать указываемые цены на товар, ссылки, а, также, нотификации ФСБ. Например, на посредника пришел IPhone X, ваша задача сделать следующее: пишем, что товар Б/У, ставим цену в 2 раза ниже, чем за новый товар, находим разрешенную для ввоза модель по ссылке (portal.eaeunion.org/ru-ru/public/main.aspx) и указываем номер нотификации ФСБ на посреднике для данного товара. Для поиска моделей, чаще всего использую EBay, 90% посредников с удовольствием принимают такие ссылки.
3. Всегда занижать стоимость товаров на шмотки. Например, если вы шлете кроссовки Nike за 300 USD, пишите, что кроссовки Nifi и указываете стоимость 30-40 USD. Я всегда так делаю. То же касается и сумок, штанов - вообще всех вещей. Всегда прокатывает. Потому что возиться и устанавливать четкую стоимость вещей никто не будет.
4. Что касается часов - просим открыть коробку, и выслать часы отдельно, коробку отдельно.
5. Что касается ювелирных изделий - пишем, что это бижутерия. И по многу класть в посылку не следует. Лучше выслать цепоку отдельно, кольцо отдельно. Рекомендую слать ювелирные изделия с кучей шмоток, меньше шансов, что спалит таможня.
6. Технику высылать по 2-3 позиции в посылке. Например, один IPhone + один PS 4 + одна
видеокарта. Не нужно в одну посылку напихивать по 10 позиций всех товаров. Помните, что если одинаковых позиций в посылку от 5 и больше, то попадете под коммерческую партию, и тогда потеряете посылку. Так как запросят накладные, выписки со счетов и так далее.
7. Не копить посылки на посреднике, особенно ценные. Пришел IPhone/IPad/Rolex на посредника - сразу высылайте. Лучше заплатить лишние 60 USD за доставку, чем потерять все.
8. Оплачивать посредника только своими деньгами. Никакого кардинга. Не пилите ветку, на которой сидите.
FAQ:
А: 1) А как получать товар, если на другой паспорт делали аккаунт, а не на себя? 2) Как магазины относятся к посредникам? 3) Нам интересны только посредники, которые лояльны к отличным от заказам именам (То есть, чтобы имя аккаунта в посреднике было отличным от имени в заказе? Получается, что имя может уже дважды не соответствовать - в заказе и аккаунте, в аккаунте и тебе самом. Можно ли в таком случае регистрировать аккаунт на Drop'а в России, чтобы убрать хотя бы одно несоответствие? 4) Что лить в уши магазины по поводу разницы в именах с заказом?
Б: 1) Высылать можно на отличающееся имя от того, которое зарегистрировано. 2) В меру негативно, но если BillShip, то без проблем. А если Bill не равно Ship, то могут попросить прояснить ситуацию. 3/4) Магазины не сверяют имена с карты. Только цифры. За теми исключениями, когда магазины вручную все проверяют и запрашивают имя и подобные данные, это только в самых крупных магазинах.
А: 1) Белые деньги - это как? 2) Выходим из ситуации с несколькими именами на один аккаунт - просто регистрируем больше аккаунтов?
Б: 1) Обычные деньги. 2) Лучше шлем на одно и то же имя.
А: Есть ли какой то риск, при получении товара в России?
Б: Нет, с посредника все выходит ровно и чисто.
А: Условно, мы вбиваем на КХ, а шлем на себя в Россию, получается на аккаунте будут несколько посылок вбитых на разных КХ, это нормально?
Б: А как они там окажутся? Если вбиваем на КХ, а шлем в Россию?
А: То есть, имя можно в магазине при заказе указывать, как Петя Петренко при карте США? Принимаем на посредника, где тоже Петя Петренко, а шлем на Евгения Краснопольского (На нас)?
Б: Да.
Примечание:
Что касается связок для работы с туннелями - это либо Bitwise\Plinker + Proxifier, либо Bitwise\Plinker + Firefox сам, либо Double SSH Manager, либо сфера. Все эти связки позволяют подменить DNS. Вам понадобится Linken Sphere, СС, SSH-туннель\SOCKS
Еще немного теории. Если берете с базы, где есть время на Refund, то значит следите за временем, чтобы успеть отправить на проверку карту, если не зашла. Сервисы в которые будете бить, там можно просто под штат материал брать, но в будущем лучше вообще под ZIP искать. Перед взятием СС, если видим имя КХ, регистрируем заранее на его имя почту. Gmail, Jahoo, AoL, Outlook - там СМС. Mail.com без СМС, для простых вбивов подойдет,
также там есть выбор разных доменов. Чтобы принять СМС код при регистрации почты, можно использовать сервис - simsms.org - там дешево.
После как зарегистрируем для тех кто вообще никогда не вбивал, советую начать со вбива в skype.com
Как вбить в Skype. Первый вбив. Урок 9.1.
Итак. Процедура стандартная, как и при любом вбиве:
• Покупаем СС USA, Visa или MC.
Находим SOCKS\SSH-туннель под город\штат КХ.
• При желании проверяем на RiskScore.
• Проверяем на Whoer.net в черных списках IP или нет.
• Выставляем часовой пояс под штат (Именно часовой пояс, а не просто время переводим).
• Регистрируем почту под КХ. Я регистрирую каждый раз на mail.com (Многие спрашивают, можно ли использовать купленные почты. Тут на ваше усмотрение, кто-то пользуется такими почтами, я лично под Skype всегда регистрирую, тем более на mail.com на это требуется меньше минуты времени).
Если все все готово, приступаем к делу!
• Идем на skype.com и жмем на Sign In.
• Нажимаем на Create an account.
• Заполняем все данные, номер телефона КХ с измененными несколькими цифрами.
• Указываем желаемый логин\пароль, оставляем галочку на By email, заполняем Captch'у и идем далее.
• Аккаунт зарегистрирован. Теперь откроем кредит. Жмем слева на Discover credit.
• Далее жмем на Add credit to your account.
• Выбераем размер кредита. Не ставим галочку с «Пополнять кредит автоматически при низком балансе»! Жмем далее.
• Указываем данные КХ с СС и жмем далее.
• В качестве метода оплаты выбераем Pay by card, вводим номер СС\срок действия\CCV-код. Соглашаемся с условиями поставив галочку и жмем далее.
• Если СС живая и Skype ее принял, увидим следующее сообщение. Если карта мертвая, у Вас 2 варианта:
1) Начать весь процесс заного с новой СС, предварительно почистив систему CСleaner'ом.
2) Просто взять новую СС под этот же штат и вбить ее тут же (В этом случае аккаунт могут заблокировать, либо он проживет не долго).
• 25 долларов поступили на наш счет.
• Прокручиваем главную страницу аккаунта вниз и жмем на Purchase history.
• Статус Delivered говорит о том что оплата прошла, статус Refused - что оплата не прошла. Далее жмем на Stored payment details. Далее на следующем шаге жмем «Удалить» напротив нашей карты и соглашаемся с этим действием. Все, карта отвязана от аккаунта.
• Возвращаемся на главную страницу аккаунта и прокручиваем снова вниз. Жмем на Skype Number.
• Жмем на Get a Skype Number.
• Выбираем нужную Вам страну.
• Далее выбераем штат\город. Появится список с доступными номерами телефонов, выбераем любой и жмем купить.
• Выбираем аренду на 3 или 12 месяцев, в зависимости от размера баланса на счету.
• Ставим галочку и покупаем подписку (Соглашаемся с тем, что деньги за арендованный номер не возвращаются).
• Подписка куплена.
• На главной странице аккаунта жмем на Caller ID.
• В этом разделе будут отображаться все ваши купленные номера. Галочка установленная напротив номера, говорит о том что у принимающего звонок человека будет отображаться этот номер.
Если будете прозванивать с другого номера, уберите галочку напротив текущего номера и поставьте у необходимого.
Если Вы дружите с разговорным английским, то без проблем запишите голосовое сообщение на автоатветчик.
Запускаем скайп и идем в меню Tools -> Options -> Calls -> Voice Messages. Жмем кнопку запись и говорим в микрофон.
В противном случае обратитесь к звонкам.
Лично я баланс на аккаунте не делаю. Я сразу покупаю нужный мне номер, и карту не отвязываю.
Также максимально заполняю все данные в профиле КХ (Город, штат и т.п.) и ставлю аватарку в самом скайпе.
Одна СС = один аккаунт! Не вбивайте эту СС больше никуда! Оставьте ее для пополнения этого же аккаунта.
Мой рекорд в плане живучести аккаунта был равер 5 месяцам.
Ладно, продолжим. Берем СС под туннели, что есть, регистрируем почту и начинаем. Если в Skype вбили, то следующая наша цель на практике teespring.com (сейчас вбивается достаточно тяжело и туго, но можете попробовать).
Сайт устроен так, что на нем есть множество кампаний, от разных людей, в ходе которых собираются деньги на печать того или иного рисунка на футболке. Нас интересуют те, где до печати осталось меньше всего времени. На TeeSpring, чем меньше времени, тем быстрее сформируют наш заказ. Регистрироваться не нужно. Если вбив прошел, то на почту вышлют номер заказа. Номер заказа - это не номер трека. После подтверждения ждем трек, как выдадут можно вбивать эту СС в другой магазин.
Какие СС не берем:
1) American Express, Discover - Никакие не берем.
2) Prepaid, Electron, Classic, Standard.
3) Карты крупных банков - Bank of America, JPMorgan Chase & Co, CITIGROUP INC, Wells Fargo & Company, Goldman Sachs Group, Morgan Stanley, Metlife, Taunus Corporation, HSBC North America Holdings, US Bancorp.
4) Желательно без VBV. (Проверка СМС)
Что нужно купить перед работой:
1) Чистый IP = 2$
2) CC = 15$ (Да, дорого. По своему опыту скажу, что почти всегда, если очень дешевая, то она мусорная и бесполезная. Поэтому лучше все-таки раскошелиться. Однако, высокая цена
- это не гарантия того, что на СС будет лежать куча денег, а сама СС будет без какой-либо защиты)
3) СМС для регистрации почты = 0.25$
4) Прозвонить = 10-15$
5) SSN+DOB = 5$ (Об этом дальше будет речь)
6) Сканирование/Отрисовка паспорта = 2$
7) Перенаправление = 40-50$
8) Перехват = Дорого.
9) Флуд почты/телефона = 5$
10) Оплата посредника = Зависит от товара, его количества и так далее.
Как видите, у нас очень затратное ремесло, поэтому очень важно сюда приходить хотя бы с какими-нибудь свободными финансами. Я в свое время просто откладывал с работы. Может, эти цифры и не внушают уверенности, но я скажу так - один успешный вбив покроет все ваши затраты десятикратно. Здесь действует правильно снежного кома. Если получилось один раз, то потом получится второй, а очень скоро третий, а затер сразу четвертный.
Поэтому надо работать и бороться!
Как вбить в действительно хороший магазин? Урок 9.2.
Первым делом подготавливаем систему, я использую - VMware Workstation 11.0.0, с установленной на ней Windows 7 x64 Home Premium. (Обязательно Английской (EN) версии) Под систему выделил 4GB оперативной памяти и 4 ядра процессора. HDD - 80GB.
После установки системы идем в настройки брандмауэра и ставим запрет на ICMP трафик на Основе и Виртуальной машине.
В строке поиска или в Меню->Выполнить введите команду firewall.cpl и нажмите клавишу Enter - и в дополнительных настройках создаём правило на запрет.
Лирическое отступление важное для понимания:
Представьте себе какого-нибудь Стивена из Калифорнии, который хочет оплатить себе Iphone. Заходит он в магазин, потом в другой, читает, смотрит отзывы, видит корзину, регистрирует аккаунт и оплачивает. Стив не отслеживает свой IP, не раскачивает DNS, он заходит и платит. Стивену не нужно завоевывать доверие магазина, читать целые ветки на форумах перед тем как, что-то себе купить. Итак, как же нам казаться Стивеном, а не Владимиром в глазах АФ.
Порты
Представьте, что вы это - AntiFraud. Сидите смотрите заказы и тут у вас хочет купить человек, у которого открыты 80, 443, 3389, 22 порты. Только глядя на эти порты уже ясно, что задумал этот человек. Ведь Стивен не платил бы с DS, SSH-туннелей, SOCKS, прокси.
Решение: используем DS, на котором нет заметных портов или SSH-туннель с нестандартным портом
Двусторонний Ping и принадлежность к хостинг-провайдеру
Двусторонний Ping дает понять, что у нас SSH-туннели, VPN, SOCKS по Ping'у и временной разнице полученной в петле.
Решение: Закрываем ICMP, либо меняем такой туннель/SOCKS, либо добавляем TOR перед SSH-туннелем (Не проверял, но такое решение видел).
Принадлежность к хостинг-провайдеру - тут думаю ясно, не используем SSH-туннели, SOCKS'ы, VPN хостинг-провайдеров, считайте, если IP принадлежит хосту, то он в черных списках есть.
Webrtc и DNS
Очень много информации есть по предотвращению этих утечек, не буду сейчас в 1000 раз их дублировать. Просто помним о том ,что их нужно проверять и фиксить. В своем случае я отрубил WebRTC в настройках Firefox, лучше его подменять - это более верное решение.
Flash
Безусловно мы его включаем, ведь нам нечего боятся и мы зашли оплатить товары со своего аккаунта. В общем, врубай Flash - не вызывай подозрений.
С Flash нужно быть предельно осторожным, скачать flashplayer на свой ПК (Используем Anti- detected или DS) все равно, что сознательно запустить вирус в систему. Не забываем о языке вашей ОС и временном поясе.
Tab history и refer
Используется AntiFraud'ом для того, чтобы видеть список недавно посещенных сайтов. Тут все просто никаких whoerов и прочих вызывающих подозрения сайтов.
Гуляем по Google и Facebook, имитируем поведение Стивена.
Refer - определяет с какого сайта мы пришли, поэтому переходим как и все люди, из Google.
Тab name
Если коротко то, с помощью данного параметра AntiFraud видит все открытые вкладки в вашем браузере в режиме реального времени.
Отпечаток Аудио
audiofingerprint.openwpm.com - тест.
Проверял на основной ОС и на виртуальной машине с LS - отпечатки одинаковые. На DS еще не проверял.
Отпечаток Аудио может очень вам навредить в двух случаях:
1) Деанонимизация. Представим, что вы переходите на сайт ПП и у вас берут отпечаток Аудио. Далее, после успешного дела, вы выключаете виртуальную мащину и идете на Youtube или Google, еще хуже, если в социальные сети, и все эти сайты у вас тоже берут отпечаток Аудио. Деанонимизация примерно будет выглядеть так:
“20:00 отпечаток 2a3b4c5e зашел под IP 192.168.0.1, 20:30 отпечаток 2a3b4c5e зашел на youtube под IP 192.168.1.100 (тот IP с которого вы вышли на Youtube)”
2)ПП или другие сайты по этому отпечатку могут видеть, что вы у них уже были. Решение: Искать, как его подменять.
Uptime и Os fingerprint
Uptime - это то время, которое находится онлайн ваш VPN, SOCKS, SSH-туннель. Согласитесь странно ,что ПК Стивена работает без перезагрузки уже пол года.
Решение: Заходим в консоль SSH-туннеля и пишем reboot.
OS fingerprint - простым языком, у каждой ОС разные пакеты. То есть, когда вы используете SSH-туннель поверх Windows, то получается ,что пакеты у вас от Linux, а User Agent от Windows.
Решение: Anti-detected/Не использовать такой SSH-туннель/Поднять на SSH-туннеле OpenVPN сервер и прописывать в конфигурацию сервера и клиента строчку mssfix 0. (Не проверял, видел такое решение в сети)
В качестве связки я использую: Bitvise-SSH-Client-6.08+Proxifier+FirefoxPortable
А теперь шаг за шагом, как я вбивал:
1. Взял SSH-туннель с нестандартными портами и запросил их ZIP.
2. Параллельно под ZIP, смотрел максимально совпадающий картон по ZIP, и ближайших соседей, сравнивая с BIN, который у нас имелся. В итоге решил рискнуть и взял WF Bank, так как СС и ZIP совпадали на все 100%, и остальные банки под приглянувшийся не внушали доверия, изначально знал, что буду делать смену пароля на VBV.
3. Взяв SSH-туннель, проверил его только по 3 основным параметрам, на наличие в черных листах, IP-Ccore, отсутствие заметности VPN. FraudScore выдал мне 70%, и был замечен прокси.
Соответственно, Score<= 70, VPN не видно, TOR не видит, в черных листах нет, IP-Score 0,16, провайдер AT&T, можно работать. Перезагрузил SSH-туннель! (Он не перезагружался 122 дня!) - Перезагрузить можно через терминальную панель Bitvise. Uptime - смотрим время работы SSH-туннеля (и удивляемся (или нет)) Reboot - перезагружаем его. Отдал 140 рублей за туннель.
4. Как мы знаем, для проверки на валидность СС нам дается от 5 до 15 минут, в моем случае на JOKER'е времени на проверку дается 15 минут. Прежде чем открыть данные карты я подготовил все для вбива E-gift Card в Ebags.com (Проверил платежную систему, посмотрел рейтинг), зарегистрировал почту в aol.com, зарегистрировал номер в textnow.com. Минут 15
вел себя как «покупатель» на сайте, смотрел товары, читал отзывы. Задал пару вопросов support’y. Важный момент, на сайт я переходил через поисковой запрос гугла bags+card intext: “cart”, вбил на 50$ Gift-карту. Все зашло - значит карта Valid. Отдал 12$ за СС.
5. После вбива дал отлежаться карте несколько часов, пошел пробивать моего КХ, но тут возникла первая проблема. В базе данных SSN моего КХ не нашлось. Пробив ничего не дал, поиск по сервисам тоже. Я пошел на mylife.com и по адресу, имени и фамилии нашел моего КХ. Вбив 1$ открыл все адреса, где он проживал, убедился в его социальных сетях, что DOB верен и с этими данными снова пошел к пробивщику, итог - SSN найден. Отдал 400 рублей за услугу.
6. Пошел на сайт: secure2.es.arcot.com/vpas/wellsfargo_vbvisa/enroll/index.jsp?locale=en_US&bankid=932
Теперь зная все данные КХ, без особого труда сменил пароль стоявший на VBV и указал подсказку.
7. Пару часов гулял по Google и заходил в разные магазины с Apple техникой, просматривал товары и на одном из них перешел по рекламной ссылке на NewEgg (Предварительно браузер должен был наесться полезных Cookies) Повторюсь из советов выше: не стоит ходить по магазинам с целью вбива, если ваш браузер съел Cookies whatleaks и whoer или прочих
темно-серых сервисов. Мне попадался SSH-туннель, провайдер которого блокировал эти сайты! Либо чистите Cookies, либо используйте второй браузер для проверки. Так же не стоит рядом во вкладках держать такие же серые сервисы!
8. Закинул все в корзину - BillShip на КХ вбил Iphone XS Max 256GB
9. Получил трек, НО! Дождавшись пока он появится в DHL on Demand выяснил, что отправитель указал не верный номер телефона и сменить адрес без СМС я никак не мог, под PickUp в том районе были только сервисы, с которыми никто из наших не работал.
10. Долго писал в чаты технической поддержки (А тут еще и праздники) раз по 5 писал и в DHL и в NewEgg, но они разводили руками и говорили мне, что только тот, кто отправил полсылку может изменить данные телефона. Отправитель был Vipdomo из Испании (Как я понял в NewEgg есть партнеры, которые размещают свои товары на их площадке). Он так и не ответил. Ну да ладно, последняя надежда была на прозвона F.B.I. Call - который прозвонил DHL и они сменили номер на мой в textnow.com. Зашел в панель он DHL on Demand и сменил адрес и ZIP на подставное лицо (Drop'а). Внимание! Имя КХ на имя подставного лица менять нельзя, выплату за такой трюк вы не получите, так как убьете подставного человека. Имя можно оставить либо КХ, либо любое другое, но не подставного человека! Отдал за услугу 4$ (Чуть накинул ему за хорошую работу).
11. Посылка теперь едет на Drop-сервис Don’t Worry Be Happy (dwbh.us) - в нем нужно заранее зарегистрировать аккаунт через Jabber и заранее добавить подставных людей (Drop'ов) в свою панель.
И да, абсолютно всем советую, кто будет заниматься нашим ремеслом серьезно и со всей совестью - сделать себе таблицы для работы. Можно в Excel - без разницы.
Таблицу по такому формату:
• Дата, когда делали вбив
• Магазин СС, откуда брали карту
• Магазин, куда вбивали
• Страна СС
• Тип карты (Level, Credit/Debit)
• BIN CC
• Банк СС
• Как прогревали магазин (если прогревали вообще)
• С чего делали вбив - с виртуальной машины, с Linken Sphere или с DS. Сюда же - как настраивали систему вообще
• Alexa рейтинг
• Телефон КХ
• Сумма заказа
• Метод доставки
• Первичный результат (что выдало - отмену, сразу отказ или все прошло хорошо)
• Трек номер
• Полное пояснение
Небольшая пометка, чтобы не задавать глупых вопросов и не быть в шоке. Все причины отмен и отказов:
• Refer to card issuer.(Нужно звонить в банк для завершения транзакции)
• Invalid merchant. (Неверный merchant ID)
• Pick-up card. (Карта заблокирована банком в связи с мошенничеством)
• Do not Honour. (Транзакция была отклонена банком без объяснительных причин)
• Error. (Неизвестная ошибка на стороне банка)
• Pick-up card, special condition. (Карта заблокирована банком в связи с мошенничеством)
• Invalid transaction card/issuer/acquirer. (Платежная система не принимает карты этого банка)
• Invalid amount. (Сумма превысила лимит банка на транзакцию)
• Invalid card number. (Неверный номер карты, либо карта заблокирована КХ или банком)
• System Error. (Системная ошибка на стороне платежной системы, нужно повторить транзакцию)
• No Action Taken. (Запрещено банком без каких-либо объяснений)
• Suspected Fraud. (Подозрении в мошенничестве)
• No Credit Account. (Отсутствует кредитный счет карты)
• Lost Card, Pickup. (Карта утеряна)
• Special Pickup. (Карта украдена)
• Hot Card, Pickup. (Карта украдена)
• Not sufficient funds. (Не хватает денег на карте)
• Expired card. (Срок карты истек)
• Incorrect PIN. (Неверный PIN)
• Transaction not permitted on card. (Платежная система не принимает карты этого банка)
• Txn Not Permitted On Term. (Платежная система не принимает этот вид операции)
• Suspected Fraud. (Подозрение в мошенничестве)
• Exceeds amount limit. (Сумма превышает разрешенный суточный максимум)
• Restricted card. (Счет на карте заморожен)
• Security violation. (Счет на карте заморожен)
• Exceeds PIN Retry. (PIN введен максимальное количество раз)
• Function Not Available. (Номер карты не действителен или не существует)
• CVV Validation Error. (Неверный CVV код).
• Issuer not available. (Связь с банком отсутствует)
• Transaction violates law. (Транзакция незаконна)
• Duplicate Transaction. (Двойная транзакция)
• System Error. (Системная ошибка на стороне платежной системы)
3DSECURE. Урок 10.
Этот урок про систему 3D Secure. 3D Secure - это система, обеспечивающая дополнительную верификацию платежам. Она может быть установлена со стороны карты (BIN'а) и со стороны магазина. Представлена 3DS несколькими системами, в зависимости от платежной системы.
VISA - VBV, Verified by Visa.
MasterCard - McSC, Mastercard Secure Code.
American Express - American Express Safekey
Discover - ProtectBuy
Реализовано это может быть тремя путями:
1) В виде кода, который устанавливает КХ.
2) В виде кода динамического, который КХ получает в СМС (как и у нас).
3) В виде кода в приложении, это у некоторых банков есть такая услуга.
Как я уже сказал, работать система может, как на стороне магазина, так и на стороне карты. Что касается карт, то система работает только на картах определенных BIN'ов. То есть, если на одной карте какого-либо BIN'а есть VBV или McSC, то можно быть уверенным на 100%, что она есть на всех картах этого BIN'а. И наоборот, если системы на той или иной карте нет, то на всех картах этого BIN'а ее нет.
Если в магазине есть 3DS, то есть, платежная система магазина обеспечивает верификацию платежа, а если на карте 3DS нет, то (За некоторым исключением) у нас без проблем пройдет платеж и ничего не запросят.
Если в магазине есть 3DS, и на карте тоже есть 3DS, то у нас запросит либо код (Если это США), либо СМС (Если это не США, здесь тоже есть исключения).
Если в магазине нет 3DS, то без разницы, есть на карте или нет, у нас пройдет платеж без каких-либо запросов.
Исключение составляют некоторые европейские магазины, которые перед платежом открытым текстом пишут, что, чтобы оплатить, карта должна поддерживать 3DS систему. Как, собственно, быть со вторым вариантом, когда и в магазине, и на карте есть 3DS.
1) Можно просто сменить BIN, то есть, взять тот, где 3DS нет. Это неплохой вариант, но к примеру, если мы делаем потенциально подозрительный вбив, например, на разные Bill и Ship - лучше этот вариант не рассматривать. Потому что магазины охотнее отправляют в таких случаях, если карта была с 3DS, потому как в этом случае возврат денег КХ ложится не на магазин, а на банк.
2) Сбросить код и сменить на свой. Это хороший вариант, он возможен на абсолютном большинстве BIN'ов в США. Чтобы сбросить, нужно, в зависимости от BIN'а, знать или SSN+DOB, или просто ZIP. Могут быть еще SSN+ZIP, например. Сброс возможен и в других странах, но там очень сложно пробиваемые данные нужны для этого. Номер банковского счета, к примеру, IBAN, да и даже DOB во многих странах очень сложно пробивать.
Также, сбрасывается в UK по DOB + ZIP в основном. Иногда телефон еще требует указать от карты.
Собственно, как такие BIN'ы находить. К гигантскому моему сожалению, основная лавочка прикрылась в этом году, а именно официальный сайт VBV. Поэтому все весьма и весьма сейчас сложно, но выполнимо.
Во-первых, находить такие BIN'ы можно на практике, купив карту и вбив ее (даже мертвую) в любой магазин с VBV. Платеж у вас не пройдет, но вы увидите окошко, которое вам даст понять, что на карте есть VBV. Оно будет выглядеть так, если 3DS на BIN'е есть и сам код установлен:
Или так, если 3DS на BIN'е есть, но код КХ не установил:
Точно так же оно будет выглядеть, когда вы будете сбрасывать уже установленный код.
Во-вторых, находить такие BIN'ы можно заранее, до покупки карт, но увы - не на всех банках. Для этого нужно найти сайт VBV банка. При помощи запроса в Google - NameOfBank + Verified + By + Visa. И после скитания и поисков вы найдете или не найдете сайт банка. К примеру - secure2.es.arcot.com/vpas/wellsfargo_vbvisa/enroll/index.jsp?locale=en_US&bankid=932 - VBV сайт Wells Fargo.
После того, как такой сайт нашли, мы идем в генератор номеров карт по BIN. Например, в такой - bincodes.com/bin-creditcard-generator/ (или же namso-gen.com/).
И в нем генерируем по BIN карту и затем вставляем ее на сайт, который нашли. Эта карта не существует, но так как система стоит на всех картах BIN'а, мы увидим, есть VBV на BIN'е или нет.
К примеру, можете проверить BIN 434257 и BIN 491991. И сравнить результат.
Это два основных способа поиска таких BIN'ов. На тех сайтах банков, что вы находите также сбрасывается код, если он уже на карте установлен. То есть, если во время вбива в магазин с 3DS вы увидели запрос именно кода, а не SSN и прочих данных (то есть, как на первом скриншоте моем, а не втором), значит идете на сайт и там сбрасываете код.
К MasterCard таким образом применимы эти же два варианта. Это все, что касается системы 3DS.
FAQ:
А: Получается, что проверить можно только эмпирическим путем, или же если мы заходим на сайт банка и там проверяем, верно?
Б: Верно, причем не просто на сайт банка, а именно на сайт для регистрации кода для банка, который находим поиском.
А: Что такое такое SSN+DOB, SSN+ZIP, что такое вообще SSN и DOB?
Б: DOB - дата рождения. SSN - это номер социального страхования. Их можно пробивать.
Пробивщики:
infodig.is
robocheck.cc
@XardySSN
@SEARCHSSNDOB
А: Так, то есть, мы потенциально охотимся за BIN без VBV, дабы бить в магазины с VBV? За исключением, когда преследуем цель повысить доверия магазина к нам, тогда берем АвтоVBV/Просто VBV с последующим сбросом (желательно по ZIP'у)?
Б: Все верно. Если бьем в магазины без VBV, то вообще без разницы, но после, как получили трек, можете попутно проверить BIN в любом магазине с VBV.
А: На большинстве карт VBV в США есть, просто он отсутствует в магазинах по причине лидирующего места страны в мире по потреблению на домохозяйство?
Б: Верно. По этой же причине многие КХ его не ставят, поэтому вбивая такую карту в магазин с VBV в большинстве случаев ты просто установишь сразу свой код.
Что касается выбора BIN, мы не берем American Express, потому что по нему очень быстро приходят отмены, он подходит в очень редких случаях, когда к примеру магазин в том же штате, что и Drop\Посредник или же товар цифровой. То есть, когда мы быстро получим трек\товар, не дожидаясь отмены.
Касаемо Debit Classic, Standard - на них очень мало денег, в среднем долларов на 100-150 с них можно вбить. Бывают, конечно, и исключения, но если вы планируете небольшой вбив, их можно брать.
Подставные лица и перехват-сервисы. Урок 11.
У нас тема - Drop, далее - подставные лица. И скупы, собственно, далее - барыги, скупщики. Собственно, подставные люди - это люди, оказывающие для нас ту или иную услугу и по итогу, увы, становящиеся козлами отпущения. В нашем контексте подставные
люди - это принимающие посылки люди. Принимают они их на свой адрес. Напрямую мы с ними не взаимодействуем (если это не личные наши подставные лица), а делаем это через Drop-сервисы. Их довольно много, работают почти по всей США и в общем-то подставной человек под наши нужды есть всегда. Самая распространенная схема работы с Drop- сервисами - скупщики, то есть, Drop-сервис работает с барыгой, обычно это buystuffusa.com, и при помощи подставных людей пересылают переданный нами товар туда, а затем, получив выплату, перечисляют наш процент нам. Обычно на BTC или WMZ. Некоторые Drop-сервисы работают также на пересылке на разных условиях - это либо 50\50, либо фиксированная цена. Если 50\50, то мы должны в одном заказе переслать два товара, один уходит сервису, один пересылается нам. Раньше скупали в основном легко продающийся товар, сейчас также часто скупают различный хлам. Блендеры, бинокли и подобное - список очень большой. Списки товаров похожи, но у каждого Drop-сервиса они свои, как и проценты. Также, легкий товар реализовывают через Drop-сервисы на Amazon, процент здесь повыше и список тяжелого товара гораздо больше, но иногда приходится долго ждать.
У каждого Drop-сервиса есть своя учетная запись, она позволяет выбрать себе подставного человека, забить его и потом добавить идущий на него товар, после того, как получили трек- код. Оплата всегда идет по доставке до барыги, то есть, после того, как отправленный подставным человек на барыгу товар, до него доходит. Некоторые сервисы также предоставляют своих звонков, но лучше все же использовать сторонних. Подставные люди, за исключением PickUp-сервисов, принимают на любое имя, поэтому в заказе можно указывать хоть имя подставного человека, хоть КХ, разницы никакой.
Неплохой список проверенных Drop-проектов (дроп-сервисы под стафф и обнал) здесь:
Скупщики товара (скупы):
При выборе других - смотрите на отзывы, ибо новые могут и кидать, особенно если нет депозита. По подставным лицам все.
FAQ:
А: Подставные люди есть под каждый штат/крупный город?
Б: Не под каждый крупный город, но под все практически штаты, плюс часто появляются новые и заменяются нерабочие.
Что касается перехвата. Вбив под перехват - это вбив, когда мы вбиваем на КХ - на имя КХ, на Billing и на Shipping КХ. И после этого задача перехватить посылку на почте. Посылка сначала попадает на склад службы доставки, прежде, чем приехать на адрес, и наша задача сделать так, чтобы на адрес к КХ она не доехала. Это и есть метод вбива на перехват
Для осуществления всей схемы нужно:
1) Грамотный звонок
2) Перехват-сервис
Перехват-сервис (PickUp) - это сервис с подставными лицами, которые с поддельными документами приходят на почту и забирают посылку. Звонок нужен для того, чтобы была возможность задержать посылку на складе, то есть, сделать так, чтобы она не уехала на адрес. Звонок звонит от имени КХ и просит задержать посылку на складе, аргументируя тем, что сам придет и заберет ее. Также, сейчас звонят от имени менеджеров магазинов, говоря, что клиент попросил не отправлять посылку на адрес, заберет сам. Если посылку задержать удалось, то мы регистрируем ее на перехват-сервисе, он делает подставному человеку
(Drop'у) документы. И затем посылка забирается и пересылается барыге.
Пример перехват-сервиса - @ninjablack63
У каждого перехват-сервиса есть зоны своей работы, то есть, откуда они могут забрать посылку. К примеру:
google.com/maps/d/viewer?mid=1O7ic6CFuOdnN8FdJ7npcxfIypM8&ll=33.66949700076431%2C-116.55532833281251&z=7
Слева - доступные штаты под перехват. Те, которые выделены - отделения в черных списках, на них слать ни в коем случае нельзя. Все ZIP'ы, попадающие в зоны перехвата (Кроме черных листов) подходят для вбива.
По почте основные - UPS, USPS, Fedex. У UPS и FEDEX иногда можно прямо через сайт по треку задержать. При выборе отделения для задержки Fedex, если задерживать через сайт, выбирайте отделения, где будет указано - Fedex Office Print & Ship Center. Такие отделения в списке будут числиться с номером телефона, что позволит в случае чего позвонить на это отделение через звонок. Посылку мы задерживаем после того, как она прибыла на почтовое отделение, то есть отслеживаем это по трек-коду. То есть, алгоритм такой - вбили, ждем трека, после попадания посылки на почту, пишем звонку, он звонит, задерживает, затем передаем данные перехват-сервису.
Касательно выбора СС лучше всего подходят жирные СС, то есть, Classic тут точно мимо.
Потому как перехват-сервисы работают с посылками от 1000$. Тогда как обычные Drop-сервисы от 250$.
Из банков под перехват лучше всего Credit Union:
KINECTA F.C.U.
ROBINS F.C.U.
TOYOTA F.C.U.
NEW MEXICO F.C.U.
MUNICIPAL C.U.
BRANCH BANKING
STATE FARM
FINANCIAL
То есть, с C.U. в конце. Если через одного звонка задержка не прошла, можно позже через другого, есть вероятность попасть на другого оператора.
Немного контактов звонков, но вообще практически любые подойдут, у кого есть услуга задержки:
@Malfey_Prozvon
@fbi_call
@brabus_call
Оценка магазина - webstatsdomain.org
Перенаправление посылки. Rerout. Урок 12.
Данный урок будет о Rerout'e. Reroute - это значит переадресация, перенаправление почтового отправления в нашем случае с одного адреса на другой, тот, который нам нужен. Для чего вообще нужно перенаправление? Бывает, что магазин уже стал грамотным в плане безопасности и уже имеет достаточно адресов разного рода посредников в своих черных списках. Но пытаться бить сразу незнакомый магазин перенаправлением тоже личное дело каждого, многие тестируют магазины вбивая на посредника. Получилось, отлично, не получилось нужно идти искать дальше магазин, который даст в посредника или же пробовать, вбив перенаправлением, то есть, на данные Billing держателя карты.
И так, что нам нужно подготовить, это:
1) Данные КХ, например: Elsie Guzman, 1425 utopia ln, Vineland 08361, 8568994854, [email protected], 4147202111064760, EXP 10/18, CVC 199
2) SSH или SOCKS желательно, как можно ближе к Billing адресу (Он же Shipping), в идеале тот же ZIP. Но такое случается довольно редко, поэтому может быть достаточно и города, ну и в крайнем случае это же штат. Использовать другой штат, это уже идея 50/50, а то и меньше.
3) Адрес подставного лица или посредника, на который мы будем делать перенаправление посылки если все будет удачно и его отправят. Ситуация с данным адресом примерно такая же, как и с SSH и SOCKS, в идеале нужен тот же город, что в Billing адресе. В крайнем случае, смотрите ближний штат по карте.
4) Контакты сервисов, кто сможет сделать перенаправление.
FAQ:
А: Как вообще перенаправление происходит? По сути звонок звонит и договаривается, чтобы посылку перенаправили?
Б: Да, есть пара методов перенаправления через сервисы звонков и через аккаунт почты, все это делают по контактам, которые я дам, или вы сможете сами найти на форумах, а так же вы это сможете сделать сами, если не хотите платить деньги. Звонок звонит в службу доставки, когда посылка отправлена. Но вы можете заказать звонок, чтобы попробовать изменить адрес доставки до того, как отправят посылку, но в большинстве случаев магазин просит перезаказать, а это уже становится не очень идеей.
А: На сколько максимум может быть удален SSH от Billing адреса?
Б: Я, например, стараюсь, чтобы не более 500 миль, но были случаи, что и с соседнего штата проходило. Зависит от того, как AntiFraud магазина настроен.
Теперь конкретно процесс. Нашли сайт, готовим корзину, заполняем графы. И еще немного тонкостей, что касается номеров телефона и Email, их можно ставить свои. Если лютый AntiFraud, то тут несколько вариантов:
1) Ставим почту КХ и флудим его (В случае, когда AVS сверяет почту с Billing информацией).
2) Ставим другую почту, НО НЕ СВЕЖЕЗАРЕГИСТРИРОВАННАЯ. То есть, от другого КХ с отработки и так далее.
3) Покупаем почту с давней регистрацией Made in USA и пользуемся.
Телефон оставляем под нашим контролем, частенько звонят. Имя можно оставить КХ, если перенаправление идет на подставное лицо, если на посредника, то вбивать на имя которое в посреднике (не все посредники на любое принимают).
Все остальное - адрес, город, штат, ZIP, все как в Billing адресе.
Далее, заполняем Shipping или Billing адрес в разных магазинах по-разному идет очередность, ставим галочки Same, то есть, адреса Billing и Shipping одинаковые. Вбиваем. Ждем результат.
Если магазин решил прозвонить на номер КХ, который вы указали в GoogleVoice или TextNow, то там есть голосовые сообщения и многие менеджеры оставляют свои вопросы или просьбы перезвонить и уточнить что-нибудь по заказу. Могут просто прозвонить и не оставить сообщение, значит смотрим, что за номер звонил и ищем его в Google, обычно находим магазин. И теперь понятно, какой магазин звонил, если звонили, значит в 99% что- то им нужно узнать. Заказываем звонок, чтобы вырулить ситуацию. Делаете заказ звонку, и он сообщает вам результат
Дальше. У вас появился трек номер по которому можно определить, какой почтой идет, когда и откуда отправили, когда и куда приедет ваша посылка. Тут важно понимать некоторые моменты. Не все почты на данный момент имеют функцию перенаправления без каких-либо проблем.
Разберем этот вопрос:
USPS - на данный момент нет сервисов (И вариантов пока тоже не найдено).
UPS - перенаправление возможно через звонок или через систему UPS My Choice (через личный кабинет на сайте).
FEDEX - перенаправление возможно через звонок или через Fedex-аккаунт.
DHL - редкая почта, но также возможно сделать перенаправление звонком или же через delivery.dhl.com FAQ:
А: То есть, перенаправление делается после того, как выслали посылку, а не до этого?
Б: Да, именно, после, как произошла отправка.
А: А как служба доставки верит звонку? Он какие-то данные им предоставляет? Или просто затирает что-то?
Б: Есть специальная форма заказа, там вся информация, которая нужна звонку или сервису, вы заполняете информацию по заказу, а они уже будут работать.
А: Если ты сделал посылку на КХ, потом заказал звонок, а там послали, то есть, в этом случае КХ получит подарок.
Б: Да, если сервис не смог, вы ему денег не платите, а КХ получает подарок!
А: Если с сайта почты в личном кабинете перенаправлять. Нужно делать каждый раз новый аккаунт на почте? Как присвоить данную посылку к новому аккаунту?
Б: Регистрируется на имя КХ и на его реальный адрес, потому что почта это все сверяет. Далее, в кабинете видны все посылки, которые идут на этот адрес.
А: А часто такое вообще бывает, что сервис не смог?
Б: Частенько, особенно звонки редко справляются, из-за запрета, который установил магазин. Через аккаунт почты реальнее, но у Fedex есть какой-то запрет, что и через аккаунт не сделать. Все зависит от магазина, то есть, от отправителя. Есть сервисы, кто обходит запреты, но об этом дальше.
Итак, у вас трек, но не стоит сразу нажимать на газ, и обращаться в сервис. Нужно выяснить, когда посылка двинется с отделения и будет в транзите. Отлично, посылка в транзите,
поехала, смотрим, когда у него по графику доставка и за два дня максимум за день до доставки нужно сделать запрос на перенаправление. Некоторые делают сразу, и вообще с Калифорнии в Нью-Йорк, но это печально может закончится, ибо магазин может поставить себе уведомления и следить за треком. Особенно это касается маленьких магазинов. И не забываем о том, что если даже магазин не следит за посылкой, то быстрый возврат денег, может его заставить сделать разворот обратно. Поэтому стараемся работать на коротком плече. И еще тонкость, я не давно попался с тем, что вбил магазин, который находится в Калифорнии и адрес КХ был тоже не далеко. Сервис тупо не успел сделать перенаправление.
Вывод, если перенаправлять, то нужно вычислить склад магазина, в каком он штате, потом обращаемся в сервис или делаем сами. Если перенаправление удачное, то будет виден, что запрос на изменение адреса принят системой и ожидает его исполнения.
Пример удачного перенаправления выглядит так:
Если перенаправление невозможно, то вам скажут об этом, и денег вы не должны.
Теперь тонкости. Если мы планируем обращаться в сервис, то лучше всего начать со звонка, это дешевле. В районе $10-15. В то время как, сделать перенаправление через аккаунты или для отправлений с запретом стоит от $40-$50. Это мой личный опыт, если звонок не смог, я иду к сервису, который работает с запретами. Далее, уже ждёте посылку у подставного человека или у посредника.
Примерная форма заявки в сервис:
Shop: www.shop.com
ORDER INFORMATION
Shipping Address:
Derek Jame
4757 N Ridge Ave Apt 2, Chicago Illinois 60660
3474279920
Shipping Method - FedEx Home Delivery
453070888888
Перенаправление на этот адрес:
1235 AVENUE B COUNCIL BLUFFS IA, 51501
А: Как выяснить, что посылка в транзите? По трек номеру? То есть, желательно, чтобы склад был не в том же штате, что и КХ? А как вычислить?
Б: Видна надпись Pending, а после нее Transit, тогда посылка и поехала. Все видно в треке! Да, очень желательно, чтобы магазин и КХ жили немного подальше.
А: Как узнать, где у магазина склад?
Б: Иногда пишут на сайте, но можно спокойно написать в техническую поддержку и поинтересоваться.
Контакты:
Я использую часто этого звонка - @fbi_call, он делает UPS и Fedex, но запреты не делает.
Женский голос - Ника (@Nika_Nikola)
Что касается проблемных перенаправлений и обхода запретов:
Fedex - @rasmus_call
UPS and Fedex - @Researcherwwh
Номера телефонов:
textnow.com
evoice.com
gvoice.pw
Работа по Европе и Азии (Особенности). Урок 13.
Все помнят, что такое AVS? Так вот, один из главных плюсов работы по Европе - отсутствие AVS, за исключением UK, где она есть навскидку в 60% магазинов, а также частично в Италии, Германии, там небольшое количество магазинов имеет систему AVS.
Вторая особенность - отсутствие звонков, в Европе очень не любят звонить из магазинов - это тоже большой плюс, но тут есть и минус, просят документы. Звонить не будут в любом случае, но именно документы попросить в случае чего могут, но после предоставления доков с 99% вероятностью вышлют.
Третья особенность - повсеместная система 3DS - есть почти в каждом европейском магазине
- это можно обойти или же вбивом США BIN'ов со сбросом VBV и McSC - это хороший вариант, но не для всех магазинов он подходит, по той причине, что часть европейских магазинов вообще закрывают оплату США-картами. Также, есть UK BIN'ы со сбросом VBV и McSC - этот вариант уже получше. И NoN VBV европейские BIN, их найти довольно тяжело сейчас. И еще один вариант - вбив American Express, но это быстрые возвраты денег, поэтому годится для заказа экспресс доставкой или же для Gift.
И четвертая особенность - ручная проверка, есть в некоторых европейских магазинах, иногда на все заказы, иногда только на подозрительные. К примеру, на ASOS на все заказы ручная проверка. При ней, несмотря на отсутствие AVS, магазин звонит в банк и узнает ваш реальный Billing адрес. Это никак не обойти, только бить Bill!= Ship, и затем отсылать поддельные документы. В таком случае, заказ вышлют.
Еще один вариант - это вбив через РР (ПП), работа с которой будет в следующих уроках. Важный момент при работе по Европе - не брать карту той страны, куда идет доставка, то есть, если посылаем посылку, например, в Германию, то карту берем не Германии. По
возможности лучше, чтобы не совпадала и со страной магазина карта, но это необязательно. Главное, чтобы не совпадала с Shipping адресом, а то убьете подставное лицо. Также, есть в Европе такая проблема, как регион запретов, то есть, запрет на платежи вне конкретной страны, но здесь только тестами это проверять, встречается не повсеместно. И еще большой плюс Европы, это то, что можно слать напрямую в Россию. По Европе все.
Что касается Азии. Во-первых, опять же начнем с плюсов, регион менее используемый, чем США и Европа. Второй плюс это то, что Азия берет любую СС вообще - и США, и Европу, и саму Азию. И, собственно, третий плюс - многие магазины готовы слать в Россию, что касается минусов. Доставка в Россию очень долгая. Причем, с любой азиатской страны, поэтому слать лучше на посредника в США - это быстрее в разы. Также, частенько просят подделку (Отрисовать документы). AVS в Азии нет вообще нигде, но на крупных площадках может быть ручная сверка данных уже после прохода платежа, а на мелких магазинах может быть ручная обработка. То есть, оставляем им данные карты, и они сами проводят платеж. В этой ситуации указываем Billing от карты и ждем запроса на подделку (Документы).
Касательно того, что лезет любая СС - есть нюанс, если бьем в Европу или СНГ, то карту берем Европы, если в США, то США. А если брать СС Азии, то в таком случае вбиваем именно в ту страну, откуда СС - это если бьем на посредника в Азии. Например, что касается VBV - VBV есть, но не везде далеко. Более того, азиаты любят вешать иногда значки VBV or McSC, а на деле никакой сверки нет. Там, где VBV есть, пробивать можно любой СС - USA без VBV, USA с VBV, Европой.
Касательно вбива, еще какой момент - несмотря на отсутствие AVS, особенно дорогие посылки лучше бить на Bill!=Ship, так как могут проверить вручную, до 1000$ можно бить BillShip. По поиску магазинов отдельно скажу по Азии.
Термины:
Магазин - интернет-магазин, шоп.
Платежная система - мерчант (например, Shopify). Здесь стоит сделать уточнение, что в понятие платежной системы входит много значений, сейчас поясню.
Например, VISA и MasterCard - это система расчетов именно по банковским картам (СС).
PayPal, QIWI - это система расчетов именно электронными деньгами в интернете.
А такие штуки, как Shopify и SagePay - это уже платежные системы внутри интернет- магазина. Условно говоря, можно назвать это их движком.
Не бойтесь запутаться, по контексту будет понятно, о чем именно идет речь.
Поиск интернет-магазинов. Урок 14.
Итак, поиск магазинов. Собственно, как ни странно, здесь все просто - искать магазины легко. Главная задача - фильтровать их. Поиск магазинов происходит главным образом через обычные поисковые системы. Сам поиск осуществляем с IP той страны, магазин которой мы ищем, чтобы не было лишних результатов.
Главный инструмент при поиске магазинов - операторы той поисковой системы, которую мы используем: 1ps.ru/blog/dirs/2016/operatoryi-poiskovyix-sistem-google-i-yandeks/
О правильном поиске в интернете: habrahabr.ru/sandbox/46956/
Здесь ключевые операторы Google - они очень удобно уточняют поисковой запрос.
Основные, которые регулярно используются:
site - Можно уточнить домен.
Intext - Можно уточнить, что должно быть в тексте сайта.
inurl - В ссылке сайта.
Также, можно использовать +, чтобы не было исключений по словам, а, также, ключевые слова с соответствующим оператором и оператор related.
Что НЕ НУЖНО использовать:
Слова и словосочетания: buy, pay visa, pay mastercard, shop with. В целом, можно искать также по платежным системам, но об этом немного позже. После того, как мы нашли магазин, нам нужно его проверить. Прежде всего прочего проверяем его на публичность с помощью, опять же, Google. При помощи запроса ДоменМагазина + Сarding. Таким образом, будет идти поиск тех сайтов, где встречаются и домен магазина, и слово Carding, а так как carding прописан в ключевых словах на всех carding-форумах, вы найдете, если где-то этот магазин упоминался, сливался. Если это было раньше 2 лет назад, то лучше оставить эту затею, скорее всего, с таким магазинов вы потеряете или много нервов, или денег, или всего сразу. Если, к примеру, посты относительно новые, то где-то может быть слита информация, как этот магазин лучше бить, то есть, наличие AVS и прочее.
Второе, что обязательно следует проверять, особенно на вашем этапе, это популярность магазина. Универсальный показатель этого - Alexa-рейтинг. Проверяется он здесь, например - alexa.com/siteinfo или на любом аналогичном сайте, чем он выше рейтинг, тем магазин менее популярный, чем ниже, тем более популярный. Чем выше показатель, тем вероятней, что магазин проще для вбива. Также, на whois.net можно, например, смотреть, насколько свежий у сайта домен, но это не сказал бы, что определяющий показатель. По Азии все аналогично, но можно подключить поисковик baidu.com
Что касается платежных систем, чтобы узнать платежную систему сайта, можно, к примеру, использовать сайт builtwith.com - он не всегда определяет, но определяет.
Базовую информация по платежным системам:
USA
1. Shopify - с каждым месяцем закручивает гайки туже и туже. Замечает DS и другие подмены IP. Знает Billing. Не утруждает себя, даже письмами об отмене заказа и письмами о возможном мошенничество с вашей стороны. Выход - либо искать новации по настройкам системы, либо самые свеженькие магазины, которые не пугаются пока флажка - возможный Fraud. Или бить очень чисто
2. WooCommerce - проходимость зависит от интернет-магазина, от того, как система настроена.
3. BigCommerce - в принципе все тоже самое, что и выше.
4. Magento - простой, поэтому магазины могут требовать верификацию.
5. Shoprunner - это же и является платежной системой многих монобрендовых интернет- мазазинов. Достаточно легок для работы.
6. Braintree - вполне легкий.
EU
1. SagePay - всегда VBV, в зависимости от магазина различные типы карт. Важно: Нет SafeKey для AmEx. USA и UK под сброс кушает. Важно - если оплата прошла, магазин на 99% вышлет.
2. CartaSi - всегда VBV, почти не берет не европейские карты. SafeKey почти всегда.
3. BancaSella - один из замечательных движков с VBV. Хорошо идут USA и UK под сброс. Бывает чудо и VBV нет. 100% попадание если транзакция прошла.
4. Adyen - тоже красавчик, лезут все страны, SafeKey нет, но с удачной транзакцией магазин может докопаться.
5. Bucharoo - противнейший голландский мерч. И SafeKey, и только Европа.
6. Wirecard - SafeKey нет, как и AmEx практически, перестал кушать что-то, кроме Европы. Бывает и без VBV.
7. Erstes - тот же Wirecard..
8. SaferPay - SafeKey есть, только Европа. Бывает и без VBV.
9. Nochex, datacash, ingenico e-commerce (Не путать с Ingenico обычным) - всегда VBV.
Non VBV
1. Net-a-porter - все монобренды Европы. Редко бывает VBV. Вобьется туда все.
2. Deletion. Сумма покупки блокируется и окончательно списание происходит в момент доставки посылки. Поэтому крайне важно, чтоб карта дожила до этого момента. Это максимум 2-3 дня.
3. Zerogrey - раньше кушал все, сейчас стал более капризный, в основном Европа. 99% вероятность, что на первый заказ будет нужна отрисовка. Если сделано хорошо (Фото, а не скан), то успех гарантирован. Советую всегда заводить аккаунт в магазине, если карта выживет после первой отправки - выжимать с нее максимум.
В общем, как видите, тут все довольно индивидуально, кому какую систему бить удобнее. К примеру, я люблю бить SagePay - европейская система. Он ест любую СС с VBV (Почти в любом магазине). И если платеж прошел, то магазин в 99% случаев высылает посылку.
Есть сайты такого плана: myip.ms/browse/web_hosting/World_Hosting_Companies_DB_140000.html
Они позволяют искать магазины по платежной системе, который также предоставляет свой движок, как Shopify, например, то есть, если тут указать в хостинг компании Shopify, то увидите магазины с этой платежной системой.
На builtwith.com тоже можно, но ограниченное количество без подписки. Подписку в принципе можно вбить.
FAQ:
А: Что НЕ НУЖНО использовать?
Б: Как выглядит плохой и глупый запрос - buy+iphone+xs+pay+by+card. Как можно
сделать его нормально - iphone+xs+sale intext:"cart". Почему первый плохой? Все просто - в ключевых словах уже давно нет Buy. В начале нулевых было, когда магазины открывались как понятие, сейчас нет. Pay By Card тоже мимо - везде есть оплата картой, а если вы уточните при помощи оператора, например, что в тексте должно быть обязательно слово "Cart" (корзина), то это уже совсем другое.
Проект в Private Keeper для поиска магазинов:
PK - это такая площадка, лицензия к ней стоит 200р в месяц. Работает также на поисковых системах, но многое автоматизирует и упрощает.
pk.woex.in - купить ключ Private Kepeer.
deival909.ru - официальный сайт, где ты можешь почитать об программе.
@holyrain - Делает проекты на PK. Обращайтесь к нему, если хотите получить в свое распоряжение большой список магазинов, куда можно вбить. Также, он еще пишет проекты на Brute аккаунтов в магазинах (дальше поймете, почему это очень полезная вещь)
Парсинг ссылок. Коротко. Урок 14.1.
Для парсинга ссылок нам понадобится SQL Dumper 8.2, SQL Dumper 9.2, Dorks Combine и TextUtils.
Запускаем TextUtils, дальше ПКМ на документе - Text Utils Pack - рандомизировать.
На рабочем столе появится новый файл, filename_randomized. Открываем его и копируем Dork's оттуда.
Открываем SQL Dumper 9.2. Вставляем сюда наши Dork's и идеи в Proxies List.
Жмем Clear (очищаем то, что там есть по умолчанию) и ищем прокси. Можно взять, к примеру, на best-proxies.ru/good-proxies.ru
Загружаем базу для перебора, прокси, начать. Нажимаем папку - откроется папка с результатами сканирования.
Выглядит примерно так:
На этом все.
E-Gift. Урок 15.
Существует два вида Gift'ов - физические и электронные. Физические Gifts - это подарочные карты, их нечасто вбивают, потому как не часто можно встретить их скупщиков, поэтому нас больше интересуют E-Gifts. E - означает электронные. Суть такая их, что если человек хочет сделать подарок кому-то, он может подарить виртуальную Gift-карту. Определенного номинала. Человек получивший Gift может на эту сумму сам выбрать себе товар. E-Gift приходит получателю в виде кода на почту. После чего в магазине, откуда Gift, можно совершить оплату этим кодом. Можно оплатить, как часть покупки, так и целиком, если номинала хватает.
Бывает, когда код с Gift'а вводится не при оплате, а на сам аккаунт в магазине и списание средств идет из аккаунта. Наша задача купить Gift и обналичивать в виде товара самому себе,
или же продать его, если такой скупают. Плюс вбива Gift - Gift бьется BillShip на КХ, и когда Gift прошел, то получатель бьет его Ship=Bill. То есть, на себя целиком и полностью (На подставное лицо). E - это своего рода вариант обхода вбива на разные BillShip, который магазины не особо любят. В магазинах электронный Gift обозначается, как E-Gift / E-Gift Card / Gift Voucher.
К минусам Gift'ов можно отнести то, что он может умереть, иногда магазин может скидывать Gift мгновенно, то есть сразу же, вбили и через минут 2-5 прилетает Gift, но потом, когда такой Gift используем, магазин может взять заказ на обработку. И во время обработки может прилететь возврат денег потому, как это может продлиться 3-5 дней. Другой вариант, когда магазин не высылает Gift мгновенно, а сначала обрабатывает платеж, а потом уже присылает. Как по мне, так гораздо лучше и удобнее. Позволяет в случае чего сделать верификацию поддельными документами или звонком, если какие будут вопросы у магазина. Разделы с Gift'ами могут быть, как на самом сайте отдельно, так и среди товаров, например.
Может быть внизу, где условия доставки и прочее, как здесь, например: modeltrainstuff.com
Бывает, что указано что-то типа «E-mailed within hours of purchase» - это значит, что обработка пойдет сразу после оформления заказа, а потом уже вышлют Gift. Может быть типа «Gift cards will be e-mailed instantly and can be used immediately» - такие прилетят мгновенно, причем вполне вероятно, что и использовать их можно будет действительно сразу же. Что касается оформления Gift'ов.
Здесь есть ключевые поля:
Your Name - Recipient's name
Your Email - Recipient's email
То есть, имя отправителя - имя получателя. Здесь есть несколько советов. Во-первых, подарок от семейной пары, то есть, в отправителе мы пишем, например, John & Sara, можно написать Smiths Family. Также, можно сделать одну и ту же фамилию у получателя и отправителя. То есть, в отправителе написать фамилию подставного лица, например, получится, как будто они члены семьи и в дальнейшем развить это в поздравлении, которое идет всегда с Gift-картой. Здесь не стоит оставлять пустым поле, а стоит написать или пожелания
или какой-нибудь найденное в интернете пожелание.
Что касается почтовых ящиков. Лучше всего брать разные домены, то есть, отправитель Yahoo, например, а получатель Gmail. Что касается вбива, здесь все стандартно, но бьем BillShip. IP лучше максимально под CC и вбивать лучше понедельник, вторник и среда. Когда Gift пришел на почту, что можно сделать - отовариваем самому, то бишь покупаем товар за Gift и вписываем свой адрес доставки в США, либо создаем тему на Carding форуме с предложением продать Gift за процент или попросту ищем барыгу. Лучше дать перед этим чутка ему отлежаться.
FAQ:
А: Сколько максимум можно выслать Gift'ов на одну почту, без подозрений?
Б: Один.
А: Как долго лучше дать отлежаться, на какие суммы идут Gift'ы?
Б: Можно часа три. На суммы любые, какие позволяет магазин.
Термины:
Enroll - енролл, ролить (по факту, это просто регистрация и создание личного кабинета в онлайн-банкинге).
Reroll - реролл (это такая же регистрация, только мы просто сбрасываем все данные и регистрируемся заново).
Проверочные платежи - миники, MiniDeposit (это штука будет встречаться вам часто дальше в уроках).
«Открыть» карту, взломать карту - означает то, что вы смогли получить доступ в личный кабинет онлайн-банкинга, теперь видите баланс СС и так далее.
Enroll. Онлайн-банкинг. Урок 16.
Первый урок по БА (Именно этот урок не про сами БА, а про Enroll'ы, держите это в голове за все время этого урока). БА - это онлайн-банкинг. В России - это типа Сбербанк-онлайн, ВТБ-онлайн, то есть личный кабинет карты. В США у такого онлайн-кабинета больше возможностей. Кто помнит, как мы можем определить банк, имея на руках карту? Верно - по BIN.
Разберемся в терминах немного. Бывает Reroll и Enroll. Enroll - это когда КХ до этого карту не Roll'ил, то есть, не создавал к ней личный кабинет, не регистрировался, и мы делаем это в первый раз для карты - это Enroll. Reroll - это когда КХ карту уже Roll'ил.
И мы при помощи тех же данных, что нужны при Enroll'е, сбрасываем его данные и как бы заново регистрируемся. Какие собственно дает возможности БА. Разные - это зависит от банка. Во-первых, проверочные платежи, то есть, MiniDeposit - это такая небольшая сумма, которая списывается с карты для подтверждения того, что она ваша, так делают некоторые магазины после оплаты, а также некоторые сервисы могут запрашивать MiniDeposit для привязки туда СС. Выглядит это как два небольших платежа - одного доллара обычно. Они списываются и затем с вас спрашивают точные суммы списания, а затем они возвращаются на карту. Этой функции может и не быть. В таком случае, если проверочный платеж списали один, то можно посмотреть по статистике изменения баланса и высчитать его.
Следующая функция БА, она есть абсолютно во всех БА - это то, то мы можем узнать баланс карты. Это полезно, когда делаем большие вбивы. Третья функция - добавление или смена Billing адреса - это есть не во всех банках. Посредника не стоит добавлять\менять, ибо они в черных списках у банков. После смены или добавления адреса лучше отлежать 3-5 рабочих дней. Гипотетически меняться адрес в базе может и дольше, но это такой базовый срок, за который ЧАЩЕ всего меняется. Если адрес сменился в личном кабинете, то это не значит, что он сменился в базе, поэтому и важно отлежать. Также, не во всех банках добавленный (Именно добавленный) адрес может считаться за Billing. Roll'им карту так же, как и бьем
то есть также LS-SSH-туннель. SOCKS лучше не брать, ибо живут недолго.
Порядок Enroll'а таков. Допустим, мы не знаем, какие банки можно ломать. И BIN's тоже не знаем. Чтобы узнать это - идем на сайт банка и ищем там - enroll\register\join\sign up. Введя
номер карты уже узнаем, что надо для Enroll, чаще всего это комбинации из DOB, SSN and MMN. Чаще DOB+SSN.
Что касается IP, берем ближе под подставного человека (Drop'а). Подставного человека лучше брать в одном штате, не рисковать. Если же делаем Reroll, то лучше IP брать под КХ, чтобы снизить риск дополнительных проверок и оповещений, которые КХ установил.
Рекомендую флудить почту КХ, так как мыло, указанное в комплекте с картой, с большой вероятностью оставлял КХ в банке и при Enroll и Reroll, тем более ему туда капнут оповещения об этом - это не всегда далеко так происходит, но такое может быть.
Собственно, если все хорошо, но карта не открылась (Не смогли зайти в ЛК - личный кабинет), то причин масса, среди основных это - No Valid карта, неверные данные, неподходящий BIN (Дебет какой-нибудь или просто неподходящая кредитная карта), а также, что в общем-то нередко, карта, которую вы пытаетесь открыть может быть второй картой КХ, привязанной к интернет-банкингу основной карты, в таком случае вы не сделаете ни Reroll, ни Enroll.
FAQ:
А: Многие банки просят Member Number, когда пытаешься сломать карту, это я, так понимаю никак не обойти?
Б: Редко встречается, встречал от силы пару раз.
А: Ещё, просят выбрать тип аккаунта, из вариантов: Cheking, Saving, Certificate Of Deposit, Commercial Loan, Line Or Credit. В общем, что это такое?
Б: Типы счета. Расчетный, сберегательный, кредитная линия, взятая в кредит сумма в виде Loan.
Собственно, после того, как мы сломали карту, мы попадаем в личный кабинет и там у нас есть несколько строк с суммами денег. Так вот, обычно это Credit Limit, Available Credit, Current Balance. Могут быть и другие, с припиской Cash.
Current Balance - это НИКОГДА не баланс личного кабинета - это та сумма, которую из кредитного лимита КХ уже потратил. Наш баланс - это Available Credit. После того, как попали в личный кабинет, сверяем последние цифры карты, в личном кабинете и вашей карте они должны совпадать, это всегда делаем первым делом. Если они не совпадают, то либо карта перевыпущена была, либо (Если это Reroll), то в личном кабинете добавлена еще одна карта. К ней мы доступ никак не получим, как и в случае с перевыпуском. Если все совпадает, то все хорошо. Также, как уже говорил, не забываем дать карте отдохнуть после смены Billing. НИКОГДА не стоит менять почтовый ящик. Все остальное менять можно, включая телефон. В личном кабинете еще есть оповещения.
После первого захода в личный кабинет ненавязчиво заглядываем в настройки и проверяем, что там за оповещения включены. Все отключать не стоит, только те, что точно будут мешать. То есть, например, о транзакциях свыше определенной суммы или о транзакциях как таковых.
Также, в настройках можно иногда отключать блокировку определенных регионов, если он стоит. Сделать это лучше до всех смен адреса и прочего, то есть, открыли карту и пока спам идет, все отключаем, не спеша. Парочку оповещений лучше оставить, которые никак на нашу работу не повлияют. Что касается вбива через личный кабинет, можно вбивать как обычно - на BillShip, на подставное лицо. А можно через звонка - это максимально обезопасит личный кабинет от смерти, потому что такие платежи проходят особым образом и отображаются, как Offline покупки. Не все магазины это поддерживают, поэтому можно либо уточнить в технической поддержки, либо это будет и так написано. Звонку кидаем все данные, по заказу, по СС, и он вбивает по телефону.
Термины:
Brute - брут. (Способ взлома аккаунта через простой перебор. Не работает, если пароль слишком сложный)
Логи. Brute-аккаунты. Урок 17.
Урок о работе с взломанными-аккаунтами и логами. И начнем со взломанных-аккаунтов, то есть, перебора слитых данных с одного сайта на другом сайте.
Выглядят они, как Mailassword или Loginassword. Также, вместе с Brute часто используют Checker'ы, поэтому по итогу в продаже аккаунты вида:
Mailassword
Наличие
СС\Баланс
То есть, те данные, которые могут быть из аккаунта важны. Немного проясню, взломанные- аккаунты могут быть нескольких видов (Если классифицировать их по принадлежности):
1. Аккаунты магазинов
А) С картой.
Б) С балансом.
В) С заказами, пустые.
Аккаунты магазинов с привязанной картой могут быть тоже трех видов:
1) CVV привязан и никогда не слетает.
2) CVV привязан и может слететь из-за AntiFraud или\и смены адреса Shipping.
3) Без CVV.
С первым типом все понятно - меняем Shipping - шлем. Со вторым все чуть сложнее. Здесь лучше всего бить на перехват\перенаправление и спамить почту, чтобы КХ не пришло письмо о заказе, попутно наблюдать за треком в магазине. И третий по сути то же самое, что аккаунты с заказами, пустые. Они нужны только по той причине, что там есть история покупок, то есть, аккаунт не свежий, а уже более-менее проверенный и доверия к нему больше.
Что касается аккаунтов магазинов с балансом, здесь все просто, это как правило Gift баланс, так что слать можно куда угодно.
2. Аккаунты контор:
А) С балансом.
Б) С разными плюсами.
Такие редко продаются, особенно если на них все легко, с них можно либо вывести, либо что-либо оплатить (Мили, например). Сюда относятся разные покер-румы. казино, букмекерские конторы, кошельки и так далее.
3. Платежные аккаунты. Это Brute PP (Которая своя отжила) и БА, которые можно прикручивать к перерегистрированной ПП или использовать отдельно (Об этих двух видах работы будет отдельный урок).
Собственно, это что касается взломанных аккаунтов. Соответственно при покупке мы получаем те данные, которые характерны для конкретного магазина, будь то баланс или наличие привязанной карты, бить такие аккаунты лучше всего с IP Shipping. Если мы не знаем, откуда у нас КХ, а собираемся слать на перехват, то лучше зайти в аккаунт, посмотреть его адрес и потом отлежать его 4-7 дней. И потом подобрав уже под КХ - бить. Можно, если есть приложение у магазина, использовать их с настроенного андроида. Если приложения нет, то можно с Linken Sphere, или с DS, как удобно.
Что касается логов, логи получаются со Stiller'а в основном, иногда с KeyLogger, и вместе с ними помимо данных от аккаунта, мы получаем Cookies. Их можно загрузить в браузер при помощи расширения Cookie Manager и будете, по сути, как КХ. В остальном все то же самое, что и с аккаунтами. Логи продают или по конторам или целой пачкой, в которой могут быть разные аккаунты. По конторам обычно продают ПП с логов.
FAQ:
А: Что такое Stealer (Stiller, стиллер, стилак), KeyLogger (кейлоггер)?
Б: Вредоносные программы. Stealer'ы крадут сохраненные данные из браузеров, что позволяет отдельно настроить файлы, а KeyLogger'ы перехватывают всю вводимую информацию.
А: Ebay + PP, Ebay + CC аккаунты стоит ли пытаться использовать?
Б: С Android можно, но гаечки закрутили.
Продажа аккаунтов:
blackpass.info
blackpass.name
blackpass.cc
blackpass.bz
Продажа аккаунтов социальных сетей (если кому интересно):
deer.ee/search/?q=instagram
akitut.ru
Небольшое дополнение к прошлым урокам. Что видит магазин? Урок 18.
Здесь у нас на повестке три темы:
1) Как узнать, что палит магазин?
2) Что сделать с виртуальной машиной?
3) Как настроить андроид?
Собственно, AntiFraud. AntiFraud работает, пропуская данные через включенные фильтры. Помимо него, эти данные также есть у магазина, на основе чего служба безопасности или же менеджеры принимают решение, выслать заказ или нет. Из основных фильтров можно назвать:
1) Верифицирующий - проверяет правильность номера карты, есть везде.
2) Стоп-фильтры - есть в крупных магазинах, обеспечивают взаимодействие между банками по подозрительным транзакциям и жалобам.
3) Локационные - фильтры по местонахождению. Весь СНГ + много очков к Fraud.
4) Технические фильтры - проверяют совпадение технических параметров.
Нас больше интересуют не столько фильтры, а сколько то, что же все-таки магазин с нас считывает при заходе на него. Чтобы определить, что замечает магазин, нам нужно две вещи. Mozilla v. 42 и плагин FP Block.
Он предназначен для блокировки отслеживания, в нашем случае он нужен, чтобы показать, что отслеживается. Работает он просто, устанавливается, затем при заходе на любую страницу отображает, что она считывает.
Выглядит оно вот так :
Здесь есть понятные идентификаторы, есть не очень. Полный их перечень:
1) DOM Session Storage - данные текущей сессии (К ним открытые вкладки, просмотренные в этом окне страницы), при открытии нового окна браузера начинается новая сессия.
2) Color Depth - битность цветопередачи, в принципе особо значения не имеет, потому что тут вариативность небольшая, можно забить. Создано, чтобы заметить, когда вы на DS (Dedicated Server) включили минимальную битность, чтобы он быстрее работал, и у вас там все изображение сине-зелено-малиновое.
3) Screen Width and Height - разрешение экрана.
4) Cookies
5) Plugins - видит плагины, так что все плагины для подмены в помойку, но именно плагины, а не расширения.
6) Mime Types - видит, какие расширения может открывать браузер, можно было бы забить, но при подмене браузера будьте осторожны, потому что, например, какой-нибудь ЯндексБраузер у вас откроет и аудио, и видео, и еще что-то, а Mozilla 42 ничего не откроет, поэтому при подмене это учитывайте, иначе при вбиве спалитесь и тогда все.
7) App Name - имя браузера.
8) Timezone - часовой пояс.
9) User Agent
10) Pixel-Depth - то же, что и глубина цвета, но видит по-другому, опять же если у вас не DS, то можно забить.
11) DOM Local Storage - данные за все сессии. (Осторожно, это жесть)
12) WebGL - видит WebGL.
13) IndexedDB - по своей задаче то же самое, что DOM хранилища, но хранят в себе много данных за больший промежуток времени.
14) IE userData - почти то же, что и DOM хранилища.
15) Java - видит все через JavaScript.
16) Language - язык.
17) Geolocation - геолокация.
18) Audio Ctx or Fingerprinting - аудио отпечаток.
19) App Code Name - сравнивает запросы и заголовки браузера.
20) App Version - версия браузера.
21) Platform.
22) Canvas - установленные шрифты. Шрифты, которые применяются для отображения страниц, заголовков и так далее. Все это складывает в FingerPrint.
Что делать с DOM хранилищами?
Переходим сюда: macromedia.com/support/documentation/en/flashplayer/help/settings_manager03.html
Такие параметры считываются магазином и при обработке заказа находятся у них перед глазами на странице оплаты, соответственно (Ибо оттуда идут от платежной системы запросы), также отображаются идентификаторы, они могут быть другими, это уже то, что считывается при оплате.
Что касается виртуальной машины. Здесь есть два готовых решения. Anti-detect от VektorT13, ставится с файла .exe, быстро настраивается, последние сборки не тестировал, Vektor'а не очень люблю, но судя по отзывам пойдет. Второй вариант это Script, он ставится после того, как создана виртуальная машина в VirtualBox
github.com/hfiref0x/VBoxHardenedLoader - сам Script.
Мануаль по его установке: github.com/hfiref0x/VBoxHardenedLoader/blob/master/Binary/install.md
И есть один нюанс. В файле hidevm_ahci надо заменить
%vboxman% setextradata "%1" "VBoxInternal/Devices/acpi/0/Config/DsdtFilePath" "%vmscfgdir%ACPI-DSDT.bin"
%vboxman% setextradata "%1" "VBoxInternal/Devices/acpi/0/Config/SsdtFilePath" "%vmscfgdir%ACPI-SSDT1.bin"
- НА -
%vboxman% setextradata "%1" rem "VBoxInternal/Devices/acpi/0/Config/DsdtFilePath" "%vmscfgdir%ACPI-DSDT.bin"
%vboxman% setextradata "%1" rem "VBoxInternal/Devices/acpi/0/Config/SsdtFilePath" "%vmscfgdir%ACPI-SSDT1.bin"
На Windows 10 иногда может выбивать синий экран смерти. Подменяет солидное количество параметров, главным образом те, что палят виртуальную машину, как виртуальную машину, включая видео-драйвер. Если все правильно установить, после запуска виртуальной машины появится девочка из Anime. Это критерий того, что все нормально поставилось.
FAQ:
А: А как определить все же, что за платежная система в магазине, даже на примере того, что ты скинул, представим что нет информации на сайте.
Б: Ну, давай представим, но это будет абсолютно ненаглядно. Алгоритм такой - заходим через браузер на базе Chrome в магазин, оформляем заказ, генерируем номер карты, все вводим, номер, адрес левый и прочее, просто заполняем корректно все формы, затем открываем Sniffer - это делается нажатием клавиши F12 - там вкладка Network, галочку на Preserve log, так независимо от перенаправлений будут сохраняться запросы. После этого "Оплачиваем" и смотрим, куда уходит запрос.
Мануал по настройке Android на примере Nox. Урок 18.1.
Шаг 1. Скачиваем все необходимое. Nox App Player с официального сайта.
Xposed Installer с форума 4PDA или любого другого источника, которому доверяете. Device ID Changer Pro Xposed - один из модулей для Xposed, можно скачать с любого доверенного источника, например, apkhere.com
Шаг 2. Запускаем Nox, выставляем английский язык в самой системе, а также в самом SOCKS'е, в настройках помимо прочего включает Root-права.
Шаг 3. Устанавливаем Xposed Installer. После его установки открываем его, переходим в Framework и устанавливаем там еще и его. Устанавливаем Device ID Changer Pro.
Шаг 4. Устанавливаем в разделе загрузок модули: Xprivacy, Root Cloak (любой версии). После установки заходим в меню модулей, включаем их.
Шаг 5. Переходим во вкладку Framework. Делаем быструю перезагрузку (Reboot).
Что надо подменить для вбива?
1. Данные о SIM-карте.
2. Данные о геопозиции.
3. IP и DNS.
4. Данные о железе.
1. Чтобы подменить данные о SIM-карте, нам потребуются реальные данные и Xprivacy. Реальные данные: Берем номер КХ. Далее, идем на whitepages.com и в Reverse Phone его вписываем.
После этого мы получаем данные по телефону, и, главным образом, название провайдера. Выписываем его. После этого идем на Википедию: https://en.wikipedia.org/wiki/Mobile_country_code
Здесь ищем нашего оператора и выписываем любую подходящую для него комбинацию MCC (Mobile Country Code) и MNC. Далее, составляем ID подписки - это 15 цифр. Среди которых первые - это MCC и MNC. То есть, допустим - 310410xxxxxxxxx - здесь у меня MCC и MNC от AT&T и еще остальные цифры. В сумме с 15 цифрами ID подписки - это 19 цифр, где первые всегд 8901, а дальше 15 любых цифр.
P.S. Для самых крупных магазинов проверяйте ID подписки и ICC ID по алгоритму Луна. В настройках Xprivacy вносим все данные. Код страны 01. Сама страна US.
2. Данные о геопозиции подменить любым инструментом наподобие FakeGPS, а также средствами NOX. А еще можно просто их выключить, так делает немало КХ.
3. IP и DNS:
• Proxy Droid на самом Android.
• Double SSH Manager на основе.
• Любая удобная вам связка на основе.
DNS - от основы или же через DNS Forwarder.
4. Железо подменяется одной лишь кнопкой Randomize в Device ID Changer Pro.
После этого можно ставить любое приложение и бить с него. Это в плане AntiFraud'а очень и очень хорошо. Данная настройка подходит для реального устройства в том числе.
Настройка WebRTC. Или что с ним делать? Урок 18.2.
Собственно, зачем подменять нам WebRTC?
SSH-туннель взял первый попавшийся и настройку делал на русском DS (Кстати, хочу всем напомнить, что если вдруг вы «Случайным» образом оказались на русском DS, то чистите за
собой логи, иначе окажетесь на бутылке), чтобы усложнить себе задачу, так что не обращаем внимание на время и черные списки. Проблема, собственно, в WebRTC.
Зачем мне его подменять? Могу просто отключить, для этого иду в about:config, пишу там peerconnection. Отключаю выделенный пункт:
Возвращаюсь в Whoer, все нормально, WebRTC отключен. В целом, этого достаточно для 90% магазинов, однако если вы пользуетесь ПП, банками, Amazon, Walmart, AT&T, Ebay, чем-нибудь солидным иначе говоря, вас сразу пошлют и ваш заказ тоже.
Что же делать? Все просто. Качаем расширение (WebRTCFake). Расширения не замечаются магазинами, они замечают только плагины, запомните это.
Как его установить? Идете во вкладку расширений, там жмете на Настройки - Добавить из файла. Готово.
Ну, теперь все хорошо, кроме маленького штриха - не виден локальный адрес, а это плохо. Идем в настройки плагина, там пишем локальный адрес любой, например 192.168.110. (Любое число). И теперь-то уже точно все отлично.
Идем на Browserleaks.com, там нажимаем на Content Filters. Проверяем, замечается ли что- то? Нет. Все, можно заказывать, что хотите на посредника.
На самых новых версиях Mozilla работает через раз, так что:
Создаем файл config.js
Откройте текстовый редактор и пишите:
Убедившись, что у вас получился именно JavaScript-файл, а не config.js.txt. Далее, скопируйте его в директорию установки браузера.
По умолчанию это папка: С:\Program Files\Mozilla Firefox или C:\Program Files (x86)\Mozilla Firefox
Дальше создаем файл config-prefs.js
Аналогичным образом, но config-prefs.js и перенесите файл в директорию с текущим активным профилем, по умолчанию это папка:
C:\Program Files\Mozilla Firefox\defaults\pref или C:\Program Files (x86)\Mozilla Firefox\defaults\pref
В нем должны быть такие строки:
pref(“general.config.obscure_value”, 0);
pref(“general.config.filename”, “config.js”);
Для Google можно неплохо настроить WebRTC Leak Prevent, но лучше используйте Mozilla. В дополнение посоветую пару расширений для подмены Finger'а:
HTTP UserAgent Cleaner
Canvas Defender 1.0.7 (именно седьмой версии)
Термины:
ПП, РР - палка, PayPal. Тех, кто бьет работает по ПП обычно называют палочниками. Лимит - бан. Система ПП может кинуть тебе временный, либо вечный бан, если заподозрит тебя в мошенничестве.
Саморег - аккаунт, который сделали вы сами под какого-то реального человека. С помощью Full Info.
Full Info (фулка, фулинфо, фуллз) - информация о человеке, которой достаточно, чтобы, например, сделать себе аккаунт в ПП. И не только в ПП, кстати.
Вязать, привязывать - линковать. Это и значит привязывать (добавить) аккаунт к чему-либо или, например, карту или банковский счёт в аккаунт платежной системы.
Что такое ПП? И как с этим работать? Урок 19.
PayPal, ПП - платежная система во всем мире, используется почти во всех американских магазинах для оплаты, еще служит для отправки денег между пользователями системы. На первый взгляд очень удобная платежная система, но работать особенно новичкам с ней бывает сложно, так как очень часто она непредсказуема и постоянно меняет алгоритм своей работы, но если хотя бы частично понять принцип работы ПП в определенный промежуток работы с ней, то можно хорошенько себя обеспечить.
Есть два типа аккаунтов ПП - это Personal и Bussines. Первый для личного пользования, второй соответственно для бизнеса. Они отличаются только лимитами на ввод и вывод, дизайном и видами лимита (бана) аккаунта. Плюс с бизнес-аккаунтов легче вести продажи, если таким занимаетесь, так как там есть много фишек, что облегчат работу. Кто-то говорит, что ПП к бизнес-аккаунтам относится более приемлимо, но я по-своему опыту разницы не замечал, каждый аккаунт дает по-своему, не смотря на то, какой он, персональный или бизнес-аккаунт.
Что такое лимит (бан) аккаунта? Это ограничение, которое ставит AntiFraud ПП на аккаунт, и вы не можете его полноценно использовать, лимиты бывают разные. Есть такие, что снимаются просто сменой пароля и принятием СМС на номер, что в аккаунте, а есть такие, что снять можно только звонком или же отрисовкой документов.
Так вот, персональный аккаунт легче разлимитить в случае лимита, так как при его лимите просят меньше (обычно) документов для разлимичивания, а если отрисовывать, то выходит более затратно. Если же вы все-таки хотите работать с бизнес-аккаунтами, то сначала регистрируйте персональный, а потом в настройках уже его можно изменить до бизнес- аккаунта.
Также, у ПП есть SM - Security Measures (меры защиты). При оплате или же при входе в аккаунт ПП может попросить принять СМС, звонок на тот номер, что в аккаунте. Реже ввести полный номер карты или банковский счет, что привязан к аккаунту. Бывает это тогда, когда вы заходите с другого устройства, с нового IP, без прежних Cookie, из-за других параметров (ПП бывает не понять и SM может появиться просто так), которые не нравятся ПП, при оплате на большую сумму, или же уже до этого набрали очков AntiFraud при подозрительных действиях и AntiFraud ПП хочет проверить КХ ли использует аккаунт в данный момент.
Очень часто такое можно встретить в Brute-аккаунтах, но и на саморегах бывают. Обойти такое можно только приняв СМС на тот номер, что в аккаунте, или же ввести те данные, которые просит ПП. Если при входе в аккаунт еще можно попытаться обойти такую проблему, то при оплате только приняв СМС или звонок - обычно эти два варианта предлагает ПП именно, если SM при оплате.
Важна и активность аккаунта, если аккаунт активный, регулярно принимает, отправляет деньги и нет никаких возвратов, то и ПП будет больше доверять таким аккаунтам и давать соответственно оплачивать и отправлять суммы побольше. Старайтесь заходить и работать с аккаунтом ПП с одной и той же системы, ПП привыкает именно к системе, с которой работают. Если работаете на DS, то используйте портативный браузер и сохраняйте папку себе (Или же просто экспортируйте Cookie), потому как, если DS умрет, то можно будет спокойно перенести на новый DS. Если же работаете с виртуальной машины, то используйте, какой вам удобно браузер. После переноса аккаунта ПП на новый DS или новую систему, что сильно отличается от старой, рекомендую отлежать аккаунт на новом DS пару дней, если сразу не дает оплачивать, делать то, что давало делать с аккаунтом на старом DS.
Но все эти SM при саморегах нам не страшны, если использовать Google Voice или любой номер США, куда можем принять СМС/звонок, и если добавляли этот номер при регистрации аккаунта, потому как, если нет досутпа к телефону, что в аккаунте ПП, то и зайти не выйдет и оплатить, что более огорчает. А добавить новый телефон в аккаунт, чтобы его можно было выбирать при SM, можно только через звонок в техническую поддержку или же просто добавить в аккаунте и ждать несколько месяцев, пока его начнет видеть при SM.
Будет видно новый номер, если добавили его на протяжении около двух недель после регистрации, тогда он может появляться при SM сразу же или через несколько дней. Если и менять DS, туннель, то старайтесь найти под тот же город, штат, что был до этого во избежание SM, если нет номера с доступом или Google Voice по какой-то причине умер.
Лично я пользуюсь TextNow и вообще не заморачиваюсь с IP, беру просто под тот же штат или страну. При этот работаю с отдельного ноутбука и Cookie от аккаунтов всегда есть, да еще и на русской Windows.
FAQ:
А: ПП с Linken Sphere дружит?
Б: Я несколько отзывов слышал, что ребята ловили баны, используя LS.
А: Если на виртуальной машине в одном браузере есть Cookie сразу от 20 аккаунтов, то SM это видит? Или без разницы?
Б: Видит, лучше такое не делать.
А: Как я понял, Brute-аккаунты можно уже не брать, а надо искать тех, кто торгует логами?
Б: Логи приятнее Brute, так как они с Cookie идут, а если у тебя аккаунт без Cookie, то процентов 99, что ты словишь SM.
А: Немного не понял по поводу браузера. Допустим, я сделал виртуальную машину, поставил туда браузер и у меня есть сто саморегов, я чищу браузер, потом загружаю туда Cookie, если хочу зайти на другой аккаунт, то опять чищу и загружаю уже Cookie от саморега, в который хочу зайти?
Б: Верно, либо отдельные потративные браузеры под каждый аккаунт ПП, как у меня.
Переходим к саморегам. Саморег - самолично созданный аккаунта ПП при помощи полной информации (Full Info). Full Info - полная информация о человеке, содержащая ФИО, адрес, телефон, электронную почту, DOB - дата рождения, SSN - номер социального страхования, реже MMN - девичья фамилия матери.
Пример: WILLIAM CHAMP/11000 GULE BLVD/TREASURE ISLAND/FL/33706/407-44- 9880/09.20.1936
Где: WILLIAM CHAMP - Имя и фамилия.
11000 GULE BLVD - Адрес.
TREASURE ISLAND - Город.
FL/33706 - Штат/Индекс.
407-44-9880 - SSN.
09.20.1936 - DOB. В США дата рождения идет в формате Месяц/Число/Год. Здесь это хорошо видно.
Этих данных вполне достаточно для создания саморега ПП. Прошу заметить, что SSN имеет девять цифр, а номер телефона десять, так как часто формат информации бывает не такой, и многие не могут понять, где что.
BA, БА - банковский аккаунт (WellsFargo, SunTrust, TDBank, Chase, Bank of America). Это самые распространенные банки под ПП.
Пример лога БА: ss582202:loveyou1
Last Sign On: November 30, 2020
Email Address: [email protected]
Mailing Address: 123 NICHOLAS LN ASPEN, CO, 81611-3231
User-Agent: Mozilla/5.0 (Windows NT 6.4; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2225.0 Safari/537.36
--- Cash Accounts ---
CUSTOM MANAGEMENT (RM) XXXXXX7478 $1,401.54
Cash Accounts Total: $1,432.35
--- Credit Accounts ---
--- Loan Accounts ---
Где:
ss582202:loveyou1 - логин и пароль.
Last Sign On: November 30, 2020 - дата последнего входа в аккаунт.
Email Address: [email protected] - электронная почта КХ БА.
Mailing Address: 123 NICHOLAS LN ASPEN, CO, 81611-3231 - адрес КХ.
User-Agent: Mozilla/5.0 (Windows NT 6.4; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2225.0 Safari/537.36 - User-Agent (Не всегда есть. Зависит от того, какой Checker у продавца)
--- Cash Accounts ---
CUSTOM MANAGEMENT (RM) XXXXXX7478 $1,401.54
Cash Accounts Total: $1,432.35
--- Credit Accounts ---
--- Loan Accounts --- - информация о отдельных счетах и сумме всех счетов в аккаунте.
Нам интересны только Cash Accounts, так как только они вяжутся к нашему саморегу.
Все остальные - Credit Accounts и Loan Accounts нам не нужны. Это самый полный лог, который я встречал для БА с Brute. Чаще всего - это лишь Логин/Пароль и информация о состоянии счета. На сами БА лучше не заходить, а сразу вязать их к нащим саморегам или лучше уточняйте у продавцов, можно ли заходить на их БА через официальный сайт.
Проверять информацию по балансам и счетам БА можно через сторонние конторы, например, personalcapital.com и подобные.
FAQ:
А: Сколько стоят примерно БА с Cash Account?
Б: От двух долларов, в зависимости от баланса.
А: Что насчет ПП кредита? На саморег вроде до 100 долларов дает, если пошаманить немного?
Б: Сейчас очень туго с кредитами, чтобы слить его нужно очень сильно попотеть.
А: Где продают такие аккаунты БА?
Б: Здесь - gamarjoba.info
Так, дальше. Сейчас буду регистрировать аккаунт ПП и описывать каждое действие с фотографиями, чтобы было более понятно. Итак, для регистрации аккаунта ПП нам нужно: Full Info, БА, электронная почта, номер телефона. Если почту сделать не проблема (лучше не регистрировать аккаунт ПП США на почту mail, yandex и так далее), то телефон можно купить в GoogleVoice или сделать самому на TextNow.
Идем на textnow.com и заполняем данные. Можете регистрировать аккаунт на ту же почте, какой будете пользоваться в ПП.
После регистрации в этом окне вводим первые три цифры желаемого номера, можете смотреть, какой номер указан в Full Info и брать эти цифры оттуда.
Успех, получили номер.
Теперь идем на paypal.com/US/welcome/signup и заполняем данные.
Имя и фамилия с Full Info, почта и пароль свои подготовленные, галочку по желанию.
В следующем окне вводим адрес с Full Info, а номер телефона GoogleVoice или тот, что сделали на TextNow. Галочку уже обязательно.
Если такое окно, то все данные верные и все сделали правильно.
Далее, можем связать БА. Советую это делать со старого дизайна.
Идем по ссылке paypal.com/cgi-bin/webscr?cmd=_profile-ach
Со списка БА выбираем нужный нам, если вашего банка нет в списке, жмем “I have a different bank”. Там предложит ввести направление (роутинг) и аккаунт номера от БА (Об этих номерах будет подробнее далее), а также выбрать тип счета. Бывают Checking и Saving счета. Checking для трат, Saving, как сберегательный в основном идет, но бывает, что американцы и его активно используют. Для сбережений и депозита у них есть отдельные счета, но они не связываются к ПП и снять с них также невозможно раньше срока возврата депозита.
Но у меня Chase, он есть в списке, поэтому выбираю его и ввожу логин и пароль от банка:
Жму Continue. После этого предложит выбрать нужные счета для привязки, если логин и пароль правильные. Выбираем нужные и жмем Finish.
Если такая картина, то все окей, БА привязался.
Бывает еще, что БА не привязывается.
Причин может быть несколько: он уже привязан к максимальному количеству аккаунтов ПП, проблемы на стороне ПП, проблемы на стороне банка. Если счетов несколько в БА, то может привязаться только один, а остальные могут быть уже привязаны в ПП, или наоборот, привяжутся все, кроме одного. После привязки БА (Или до) можем еще подтвердить почту. Идем на нашу почту и видим письмо от ПП:
Жмем Confirm My Email, вводим еще раз пароль от аккаунта ПП и все - почта подтверждена.
После подтверждения почты может сразу предложить подтверждение телефона, делаете по желанию, даже на неподтвержденный телефон можно принять СМС/Звонок в случае запроса их при оплате, входе на аккаунт. Еще можем проверить Full Info на Valid. Жмем на главной странице ПП (когда зашли в аккаунт) кнопку Add Money:
Тут вводим DOB и четыре последние цифры SSN с Full Info, только не напутайте с датой рождения, потому что тут просит в формате День/Месяц/Год, а в Full Info в основном Месяц/День/Год.
Жмем два раза на Confirm и если попадаем на такую страницу:
Значит Full Info хорошая и скидывать сможем на такой аккаунт, если, конечно, ПП позволит. Можем и сейчас это проверить, в поле Amount вводим желаемую сумму перевода. Жмем два раза кнопку Add и если такое окно:
Значит перевод не дает ПП. Нужно отлеживать/Раскачивать аккаунт. Можем еще пройтись по вкладкам для общего понимания. что там.
Здесь можем отправлять и запрашивать деньги у других людей, что используют ПП:
Wallet - управление привязанными картами и БА (Можем добавлять и удалять новые карты и БА, указывать приоритетные счета для оплаты). Offers - скидки и предложения от ПП во многих магазинах. Help - связь с поддержкой ПП.
В настройках можем также управлять почтой, номером телефона, паролем и адресами.
FAQ:
А: Плохо, когда не вяжется мгновенно, а просит минимальный (проверочный) платеж? Что по поводу AntiFraud, система любит, когда все проверено и верифицировано, когда секретные вопросы ставишь. Почему нельзя просто набрать в поддержку ПП и сказать: «Я зарегистрировался, не могу сделать перевод со своего БА, хочу что-нибудь купить через вашу платформу...» Что они скажут? Раскачивайте аккаунт? Что по поводу перевода на пустые почты и привязки их к аккаунтам для слива, сейчас работает такое? Раньше СС Италии вязались к ПП и заливались на пустые почты, даже обналичивать не успевали.
Б: 1. Нет, не плохо. 2. Верифицировать почту главное, телефон я сам редко, когда подтверждаю. 3. Можешь позвонить, но оператор скажет, чтобы ты попробовал позже, что он не может тебе тут помочь. 4. Перевода на пустую почту не бывает (Ты, наверное, имел ввиду отправление), раньше работало хорошо (Один момент), но уже исправлено. 5. По поводу СС Италии также ничего не скажу, но я пробовал вязать БА других стран, и БА США к Канаде работает.
А: Какой берем IP для ПП?
Б: Чистый.
А: Всякие виртуальные и электронные товары можно покупать, тем самым раскачивать аккаунт на ПП, либо же подойдет больше реальный какой-нибудь товар?
Б: Лучше КХ носки отправь, виртуальные покупки очень тяжело даются.
А: Ищем ли под КХ БА?
Б: Ты не можешь знать БА КХ, как и ПП.
А: Можно с ПП бить на посредника?
Б: Да.
А: Есть ли у ПП подобие системы AVS?
Б: Только в США, у других стран нет.
А: ПП все равно, что ты к ней прикручиваешь?
Б: Именно.
А: Не имеет значения, чей БА ты прикручиваешь к ПП?
Б: Да.
Термины:
Сделать депозит, депозит - депнуть. Чаще всего - просто перевести/внести деньги на аккаунт.
Отправлять, делать отправление - сендить. Обычно в используется в контексте того, чтобы отправить средства, например, на почту.
Депозит и способы оплаты с помощью ПП. Урок 20.
Рассмотрим депозит и оплату с помощью ПП. Депозит - перевод денег с баланса БА на баланс аккаунта ПП, чтобы сделать это, нам нужно подтвердить личность в аккаунте ПП. Это делается путем ввода SSN и DOB при первом нажатии кнопки Add Money. В прошлом уроке я показывал, как это сделать. Если же при этом выскочит ошибка, что мы не можем подтвердить вашу личность, то значит, что Full Info кривая (невалидная) и делать депозит на такой аккаунт нельзя, но можно будет оплачивать или отправлять.
Если же вы по ошибке ввели неправильные данные и выскочило, что вашу личность ПП не может подтвердить, то можете использовать такой аккаунт для оплат, отправлений или же закрыть аккаунт (Close Account) в настройках, то есть, удалить, и потом создать новый на эту же Full Info, только данные ввести правильно. Но если все-таки Full Info кривая, то нормальные продавцы дают замену за такие Full Info. Если не собираетесь делать депозит, то можно регистрировать на случайные данные. Взять можно тут: fakenamegenerator.com
Или выдумать самому, или же еще лучше регистрировать на данные с СС, но я все же делаю аккаунты на Full Info.
Если вдруг ПП позволит сделать депозит, то и тут аккаунты пригодятся и не нужно будет регистрировать новые на Full Info, регистрировать на поддельные данные не советую, так как все-таки по базе проверяется как-то в ПП, есть ли такой человек или нет, и могут такие аккаунты улетать в лимит. (Раньше было такое, что улетали в лимит аккаунты, сейчас не знаю, можете попробовать). Аккаунты на поддельные данные, разве что для тренировки можете делать или же если делаете аккаунты ПП других стран, например, Австралии, где нет проверки по базам, или же там на это в ПП все равно. Сам же депозит идет 3-5 рабочих дня, поэтому рекомендую делать депозит в начале недели, в понедельник, или даже в воскресенье, тогда деньги упадут на баланс ПП уже в среду или, в крайнем случае, в пятницу.
Сейчас депозит с БА по США бывает дает сразу после регистрации, бывает после отлежки, бывает после расскачки саморега оплатами и отправлениями, а бывает, что депозит вообще не дает. Можно еще попробовать выводить на привязанный БА, а потом уже делать депозит с него. Можно еще так расшевелить свой аккаунт: Отправляйте с русскоо аккаунта ПП на аккаунт саморега США или же с США саморега на другой США саморег, или меняете на BTC на ПП у обменников на localbitcoins. Только говорите им, чтобы слали деньги, как друзьям/родственникам, а не за услуги. Потому как, если отправят, как за услуги, то деньги на вашем самореге могут быть в задержке и с ними вы ничего не сделаете, когда деньги на балансе вашего саморега, то выводите пару долларов на привязаный банк или покупаете с баланса, ждете потом пару дней и пробуете депозит с БА или что-то оплатить, тогда может появится оплата с БА уже, если не появлялась до этого.
Точный сроки сейчас вряд ли кто-то может сказать, когда даст сделать депозит, всегда по- разному дает. Здесь для каждого аккаунта индивидуально. После того, как депозит пришел, не бегите делать депозит сразу второй раз. Сделаете его через пару дней или неделю, а пока займетесь сливом этого депозита, что пришел. Можно загонять деньги на баланс после покупок, просить магазин/продавца сделать возврат (Про возвраты будет еще дальше), но и возвратами тоже не стоит сильно злоупотреблять.
Это либо спалит КХ или на БА не будет такой суммы. В таком случае, если нет лимита, вяжем новый БА или делаем депозит на сумму меньше, но лучше первое. Старый БА не
советую сразу удалять с аккаунта. Можно и вовсе его не удалять, если же удалять, то лучше через пару дней. ПП к таким резким движениям саккаунтом не очень хорошо относится, как показала практика.
FAQ:
А: Депозит делается только с БА или с СС тоже можно?
Б: Только с БА.
А: Что, если нет кнопки депозита?
Б: Попробуй это - paypal.com/myaccount/money/claim-funds/learn-more?context=generic
А: Отправлять можно сразу с БА или с СС счетов на другой саморег и получать чистый баланс?
Б: Да, можно сразу, если даст, конечно, с СС, скорее всего, сразу даст.
Оплата с помощью ПП идет 4 основными способами: с баланса аккаунта, с СС, с БА и с BML - кредит, который дает ПП. Бывает еще комбинированный способ, когда покупаете и есть баланс на ПП, но сумма покупки больше, тогда может предложить снять весь баланс и остальное оплатить с БА или с СС.
BML можно получить с помощью данных Full Info аккаунта здесь - billmelater.com, при регистрации самого аккаунта ПП, либо же при покупке Ebay или в магазине, который принимает оплату BML, но BML нужно уметь сливать, это тоже нужно искать свои приаватные магазины, схемы и так далее. Лично я с ним не работаю.
Сейчас очень сложно купить что-то с кредита на адрес отличающийся от того, на который он был получен, а получить кредит можно только указав адрес с Full Info. На адреса подставных людей или же посредников кредит не дадут.
Самый легкий вариант оплаты с ПП - это с баланса. С баланса можно оплатить почти все, что угодно на том же Ebay или в других магазинах. Платить с СС через ПП я советую только с ЛК (Личного кабинета) или с СС, которым есть доступ. Дело в том, что большая часть США карт уже светились в ПП или привязана к другим аккаунтам ПП и просто так оплатить не даст. Если же вязать СС к аккаунту, то запросит в большинстве случаев подтвердить ее кодом с транзакции, а с ЛК мы это сделать сможем. Есть, конечно, BIN'ы, что крепятся к ПП без нужды подтверждения кодом, но ими вряд ли кто-то поделится. Но если же СС никогда не светилась в платежной системе ПП и она Valid, то дать оплатить, скорее всего, должно, так как все на нашей стороне и ПП не к чему придраться (но тут уже больше зависит от настроения AntiFraud ПП в момент вбива).
Была еще тема с CreditOne и подобными. ПП долгое время позволяла крепить карты данного банка с выдуманными EXP и CVV кодом, а потом оплачивалось все с них. Сейчас можно по такой же схеме пробовать связывать карты других банков, если есть только номер СС и сможете потом глянуть код в транзакции для ее подтверждения в аккаунте ПП.
Оплата с БА проходит двумя способами: Instant Transfer и E-Check.
Instant Transfer - это когда платеж завершается сразу же после оплаты и только через 3-5 дней ПП получает деньги от банка. То есть, сама ПП платит магазину и только через пару дней получает деньги от банка.
E-Check - это когда платеж завершается через 3-5 рабочих дней, когда эти деньги уйдут с БА и придут на ПП (что-то похожее на депозит, только деньги сразу уходят к продавцу, а не на баланс вашего аккаунта ПП). Вот, если у вас платеж прошел через E-Check, и вы хотите сделать возврат на баланс, то не пишите магазину сразу после заказа, иначе деньги уйдут обратно на БА. Нужно подождать, пока E-Check очистится (или же деньги уйдут с БА, обычно это происходит на следующий рабочий день) и только потом писать в магазин по поводу возврата. В таком случае, деньги падают на баланс аккаунта ПП, но бывает, что магазин говорит, что уже отправили и дает трэк-номер.
Тут можно отстоять свое и сказать, чтобы развернули посылку и вернули деньги или же ждать посылку, так что лучше писать в магазины/продавцам сразу, как E-Check очистится. Можете писать за день до того, как E-Check должен очистится, пока магазин еще не получил деньги.
При оплате с СС возврат идет на СС, на баланс никогда не идет, так что вернуть на баланс можно только при оплате с БА. По поводу оплат, то не всегда аккаунт дает платить с БА, да и даже с СС не всегда дает оплатить. В таком случае, помогает снова отлежка или звонок/чат. Но скажу сразу, что звонок в ПП без пробитого БГ (Background Report) плохая затея. Часто при звонке могут спрашивать, какая машина у вас была в таком-то году, или где вы проживали тогда-то и куча подобных вопросов. Плюс до этого могут быть вопросы по аккаунту ПП: Откуда был последний вход в аккаунт, с какой ОС, города; где был зарегистрирован аккаунт и когда и так далее. Еще часто звонки просто не напрягаясь звонят в ПП и при первых же вопросах сливаются, тогда вашему аккаунту может стать еще хуже. Если же звонок толковый и может нормально наорать на техническую поддержку в ПП не давая ему и слова сказать, то тогда можно обойтись и без БГ даже.
А теперь совет для тех, кто не дорожит своими аккаунтами ПП и ему все равно на лимиты. Берем БА нулевой или с минимальным балансом, чтобы подешевле было. Создаем саморег, связываем наш БА, СС с доступом, чтобы подтвердить ее (СС можно и связывать, так как при оплате потом может только ее видеть, а не БА). Потом отлеживаем хорошенько, или нет (смотря, как вам дает оплачивать). После этого покупаем с БА через IT (Instant Transfer) сколько дает, используем аккаунт до тех пор, пока не надоест, или же прилетит лимит. Продавцы/магазины получают деньги сразу же и отправляют нам товар. Через 3-5 рабочих дней ПП пытается снять деньги с БА, но их там нет. Пишет на почту, чтобы мы пополнили счет БА, и она снова попытается снять деньги через 3-5 дней.
За это время, если нет лимита, покупаем еще, если дает. Когда ПП не удается снять деньги со счета БА во второй раз, то она либо дает аккаунту лимит (бан) или же загоняет его в минус. Сам минус, если нет лимита, мы можем покрыть с банка. Связываем новый крупный банк, отлеживаем немного аккаунт и делаем депозит несколько раз. Можно даже изменить сумму депозита в таких случаях. Если, к примеру, на аккаунте - 100$, то при закрытии минуса делаем депозит 300$, так может дать несколько раз.
Или же покрыть минус можно еще при покупке. Если у вас на аккаунте ПП минус и нет лимита, то при покупке предложит к сумме покупки добавить сумму минуса на аккаунте. Бывает депозит не дает покрыть минус, а при покупке дает. В итоге при минимальных вложениях мы имеем неплохую выгоду в виде товара и еще баланс на нашем аккаунте, если повезет. Раньше работало очень хорошо, но сейчас в большинстве случаев первые оплаты с банка ПП предлагает делать именно E-Check, а не IT c банка, или через IT, но на малые суммы. Но если найти магазин, куда залетает IT на более-менее нормальные суммы, то можно использовать эту тему, даже немного ее изменить, крепить сразу БА с большим
балансом и выжимать магазин, долго и много с одного аккаунта.
FAQ:
А: Что насчет AntiFraud при работе с ПП? Проще по чистоте IP/Настройке системы или сложнее, чем с СС?
Б: У ПП стоит свой ИИ, который часто ставит палки в колеса, но систему я вообще не настраиваю, а работаю просто с Firefox Portable Eng Version, и вообще этого хватает.
А: Вопрос про нулевой БА. Ты пишешь, что надо привязать СС и тут же в скобках, что привязывать ее не надо, потому что она станет основной...
Б: Это заморочка ПП, она просит привязать СС, но лучше не делать этого, либо использовать Roll'ки.
А: А оплата в магазинах? Или если оплата через ПП, то магазинам все равно на все?
Б: Если ты имеешь ввиду адрес, то да. Магазин видит только электронную почту.
А: А если оплачивать все в магазинах, то нужно это делать все с той же Portable Mozilla, с того же IP, который использую с этим аккаунтом ПП?
Б: Да.
А: По своему опыту скажи, какие должны быть сроки отлежки? И сама отлежка, когда идет, на сайт ПП лучше не заходить?
Б: Именно, по сроках от трех дней.
А: Настолько должен быть чистый SSH-туннель, DS или SOCKS при работе с ПП?
Б: По черным спискам я не заморачиваюсь, у ПП свои черные списки, некоторые даже с публичных VPN'ов работают, типо NordVPN, поэтому ИИ ПП не понять.
А: Нет, я имею ввиду, если мы закупаемся и оплачиваем через ПП, AntiFraud магазина не обращает внимания на нащу систему и чистоту SSH-туннеля, или все же нет?
Б: Ну, по сути, не обращает внимания, если, конечно, у тебя прямо не светится DNS или IP, что ты с России. Или браузер русский... Поэтому заморачиваться надо, но без фанатизма.
А: Получается, что закупаться ПП можно, даже на плохих SSH-туннелях?
Б: Можно, но я не советую.
А: И что это выходит? ПП, куда проще СС, если работать на количество?
Б: Если на количество, то да.
А: А что насчет 22-ых портов?
Б: А, на это вообще не смотрю, я работаю через SOCKS, там тоже порты светят и ничего.
А: Я не понял, как делать аккаунты других стран, Точно также, как и США, только брать Full Info другой страны и естественно IP под нее и все?
Б: Да.
А: А как ты работаешь через SOCKS с ПП, если они внезапно могут отвалиться?
Б: Нормально работаю, живут сутки у меня.
А: В магазине, что ты дал, как я понял логи БА распределяются по балансу? Там в скобочках указан диапазон, я не знаю, что это может быть, кроме как баланса. Только там почти никаких позиций нет, они вообще бывают?
Б: По логам ничего не скажу, ибо не работал особо с ними.
А: Стоп, суток хватает, чтобы зарегистрировать ПП, связать БА и успеть закупиться?
Б: Да, если нет, то берешь следующий SOCKS и все.
А: А как ты работаешь?
Б: RU Windows + Portable Mozilla Eng + SOCKS
А: По поводу отправлений, могу ли я здесь в России делать саморег и привязать левую СС и отправлять с ПП США со счета СС?
Б: Лучше такого не делать, если будет ушерб для России, то за тобой приедут быстро.
А: Ну, вот, ты подключил SOCKS, зарегистрировал аккаунт по Full Info, связал БА, а дальше?
Б: Дальше пытаюсь что-то купить/отправить/сделать депозит.
А: А как ты БА связываешь?
Б: IT или через проверочные платежи, смотря какой банк.
А: А какой ущерб России? Я же перегоняю деньги сюда оттуда, а не наоборот.
Б: Если ты хочешь сделать принимающий русский аккаунт, то данные ПП и банка должны совпадать с русским. Можешь так делать, но очень быстро отойдешь от этого способа, так как лимит прилетит и все. Опять придется покупать данные и карту русскую.
А: Объясни, пожалуйста. Вот, ты нам дал сайт с логами, в теории мы должны сделать саморег и привязать с помощью этих логов БА к ПП, но ты сказал, что ты не работаешь с логами, а тогда где ты берешь БА?
Б: Логи - это сворованные Cookie и пароли браузера, в котором может быть все - от ПП до PornHub. БА - это банковский аккаунт, продается обычно то и то. Я имед ввиду, что не работаю с логами, а с БА я все-таки уже работаю.
А: Ты ищешь магазины или в Ebay идешь? Или по-разному?
Б: По-разному.
А: А можно ли с ПП сразу в криптовалюту деньги выводить с того же БА или СС?
Б: Да, но это очень трудно.
А: Я не понял насчет доставки, при оплате ПП, там доставка на какой адрес идет?
Б: На тот, который укажешь.
А: То есть, вариант посылать на скупщика/барыгу, хороший?
Б: Нет.Посылай на себя через посредника, это лучше всего.
До этого я показывал, как зарегистрировать аккаунт ПП одним способом. Показывать не буду, но расскажу, как это можно сделать по-другому. Может, вы уже знаете, а может, кто не знает, что можно также регистрировать аккаунт ПП через покупку (На Ebay, или в любом магазине, где есть оплата ПП).
Если у вас есть VCC или СС, то можно зарегистрировать аккаунт ПП через покупку. То есть, вы берете СС или VCC с балансом или без, и идете в магазин, что принимает ПП. Выбираете товар, жмете на оплату с помощью ПП, так как аккаунта у вас нет, то ПП предложит его зарегистрировать. Вбиваете данные СС, электронную почту, которую зарегистрировали под аккаунт ПП, Bill и Ship адреса, имя и фамилию с Full Info или с СС (смотря, на какие данные регистрируете аккаунт) и жмете оплатить.
Тут два варианта, если ваша карта живая, с балансом и не светилась в ПП, то оплата пройдет и аккаунт зарегистрируется. Или же оплата может не пройти, но аккаунт все равно зарегистрируется, вам предложат придумать пароль для аккаунта.
Для еще одного способа регистрации аккаунта ПП вам нужно знать такое понятие, как отправление на пустую почту. Отправление на пустую почту - отправка денег с аккаунта ПП на такую почту, что еще не зарегистрированно в системе ПП. То есть, с одного саморега или с русского аккаунта ПП, или через менял тех же отправляете пару долларов на почту, которую только что зарегистрировали и еще не использовали его в ПП, когда отправление на него пройдет, то на почту упадет письмо от ПП, что деньги поступили и их можно забрать, если зарегистрируете аккаунт. Жмете «Получить деньги» в письме и регистриурете аккаунта на Full Info. Все, аккаунт готов, подтвердили почту и деньги на балансе, дальше выводим их на банк или что-то покупаем, там самым раскачивая аккаунт ПП.
Сложилось мнение, что ПП к аккаунтам, зарегистрированные таким способом, относится более приемлимо и дает лучше оплаты, депозиты в дальнейшем, но я регистрирую по старинке, не спеша раскачиваю, дает и без этого, мне хватает.
FAQ:
А: Все-таки не понял, если ты раскачиваешь ПП и пользуешься SOCKS, то, например, SOCKS умер, ты взял новый, а ПП на это плевать?
Б: Да, это ведь саморег у тебя, а значит ты можешь принять СМС.
А: А номера каждый раз при регистрации новые делаем?
Б: Естественно. И еще, у TextNow есть такая фишка, нужно отправлять СМС с него каждые 5 дней, иначе номер умрет.
А: Просто странно, судя по всему все очень просто и гладко, но чувствую, что так не бывает.
Б: Нет, конечно. Будет, но позже, если, конечно в ПП останешься.
А: Забегая вперед, расскажи о сложностях работы с ПП.
Б: Лимиты (баны) и злостный AntiFraud. Работайте и все будет. Мне проще с лимитами, потому что у меня есть свой звонок, и я сам себе рисую документы.
А: А для каждого саморега нужно отдельный IP, или можно с одного несколько сделать?
Б: Лучше под каждый аккаунт - отдельный IP.
А: А про снятие бана будет руководство?
Б: А какое вам руководство дать? Смотря, какой бан. Рисуете, звоните и все.
А: WebRTC надо отключать/включать? Или тебе все равно?
Б: Я всегда отключаю WebRTC.
А: А что-нибудь еще стоит знать? Под каждый саморег отдельная Portable Mozilla?
Б: Под каждый аккаунт свой браузер, не дрочить аккаунты, менять алгоритмы работы всегда, остальное по ходу будете решать.
Как сливать деньги с ПП? Урок 21.
Рассмотрим способы слива ПП. Я уже говорил на прошлой лекции, что баланс сливается легче всего. Баланс можно сливать почти, куда угодно, если у вас аккаунт с историей или с отлежкой. Бывает, конечно, что есть аккаунты с балансом, но не дают слить его. Но отлежка помогает решить эту проблему, даже если и столкнулись с таким, то лучше не паниковать и не убивать аккаунт окончательно.
Можно еще сливать постепенно, небольшими суммами, если весь баланс не дает сразу слить. Теперь более детально об обналичивании. Первое - это отправление обнальшикам, но хорошего обнальщика найти не просто, да и обналичивают все обычно под 50-65%. Сейчас можно найти обнальщиков на форумах, но найти хорошего, постоянного и ответственного - сложно. Еще у каждого свои условия могут быть к аккаунту, с которого заливаете, к тому же некоторые могут обналичить с задержкой в пару дней. Принимают обнальщики на свои прокаченные аккаунты через кнопку пожертвования, через оплат или же просто отправление прямое на их аккаунт. Некоторые дают свои БА для привязывания к вашему саморегу и для вывода на них.
Еще можно заливать на пустую почту. То есть, на ту почту, которой нет еще в системе ПП. При этом, ПП шлет на указанную почту письмо о том, что на него поступили деньги и их можно забрать, зарегистрировав аккаунт ПП на эту почту (Выше было об этом). Но если отправлять, как за услуги, то может удержание при таком отправлении ПП ставить, если это первые такие транзакции на принимающем аккаунте. Вроде на 21 день удержание. Сам, если отправляю, то только, как семье/родственникам, что и вам советую.
Почты балансом тоже покупают обнальщики или же обналичивают за процент с баланса, а также и с БА можно закупаться. Покупать на Ebay мне проще всего, продавцы легко шлют на адрес посредника, когда у магазинов адреса многих посредников могут быть в черном списке. Или же можно также слать прямо в Россию, если продавец шлет. Плюс там есть огромный выбор товара от разных магазинов/продавцов в одном месте. Свои аккаунты после регистрации я сразу пускаю в магазины или в Ebay за покупками. Бью перебором, так как не каждый товар дает купить, но если не дает купить, даже какой-то купон за один доллар, то просто оставляю этот аккаунт на пару дней, потом пробую заново. На Ebay покупаю с зарегистрированного аккаунта, раньше с гостя. Дает по-разному, раньше давало лучше с гостя, сейчас с зарегистрированного аккаунта Ebay. Но можно найти магазины, куда ПП лезет намного лучше, чем в Ebay, только нужно поискать хорошенько. Это нужно запомнить - если в Ebay ПП хорошо заходит, то в магазины она заходит еще лучше в этот момент, кроме отдельных случаев, когда AntiFraud может пустить только на Ebay.
Морально такова. Не бейте только Ebay, если он вам не дает, поищите немного магазинов с оплатой ПП. Хорошо заходят в китайские магазины. Еще при вбивах с ПП нет такого понятия, как Bill отличный от Ship. Магазин видит только имя аккаунта ПП (На кого зарегистрирован аккаунт), почту, Ship адрес. Вill адрес не видит, даже если бьете с карты приязанной к ПП, поэтому при оплате с ПП магазины легче отправляют на посредников, тогда, как при вбиве с СС могут не выслать.
Еще ПП можно сливать в цифровые товары, различные E-Gift, ключи и так далее. Магазины с этим всем искать не очень сложно, сложнее вбить и получить товар. Я раньше сливал ПП в Gift'ы SSH-туннелей.
Вот, магазины:
itunescarddelivery.com
gamecarddelivery.com
thecardcloset.com
Раньше, когда туда вбивали, то на почту приходило письмо с просьбой прозвонить, отослать документы или же Selfie с номером заказа. Сейчас же они поменяли систему подтверждения заказов и просят Selfie с номером заказа, еще и Selfie с паспортом. Если есть желание обходить такие подтверждения, то можете пользоваться. Также, можете искать свои магазины и пробовать их, но много магазинов еще запрашивают различные подтверждения. Потом сливаем Gift'ы скупщикам или продаем сами. Скупщиков можно найти на форумах, полно их.
Еще один способ вывода ПП - это в BTC/Криптовалюту. Есть продавцы на Ebay, которые шлют BTC на указанный адрес, но сейчас почти все просят документы или же какие-то другие хитрые верификации. Еще есть virwox.com, но с ней много проблем тоже. Данная контора любит чистый не использованный ранее IP и принимает с баланса ПП только, к тому же может в любой момент забанить аккаунт и долго не возвращать деньги на ПП (Новичкам лучше обойти стороной эту конторку). Магазины с BTC также можно искать и пробовать, но множество магазинов сейчас просит верификацию, так что будьте к этому готовы. Без верификации могут быть магазины, которые только что открылись и еще не убитые хакерами (Нами). Так что, если нашли такое магазин или конторку, то доите ее максимально быстро и много. Еще, конечно же, можно и самостоятельно сливать ПП и обналичивать.
Есть страны с выводом на карты:
paypal.com/us/cgi-bin/webscr?cmd=_display-country-functionality-outside&dispatch=5885d80a13c0db1f8e263663d3faee8d0b9dcb01a9b6dc564e45f62871326a5e
По этой ссылке можем выбрать страну и покажет, куда можно выводить. Правда, информация немного может быть по некоторым странам устаревая, так как ПП не обновляет эту страницу почему-то. Можете еще делать самореги БА, если умеете и сливать туда или же выводить на карты, но не на все карты можно вывести (Там вроде только дебетовые и PrePaid, и то не всех банков подходят, но могу и ошибаться).
Еще по выводу, можно отправлять на пустые почты (Что это такое было в прошлом уроке), а потом регистрировать на эту почту аккаунт нужной вам страны и выводить или же принимать на выводные аккаунты. Для этого нужен раскаченный принимающий аккаунт с историей, к тому же лучше еще перемешивать с белыми транзакциями на выводном. Если есть какой-то легальный интернет-магазин с оплатой ПП, то можно туда заливать время от времени. Еще можно сливать через разные конторы, что принимает ПП и где есть вывод на другие платежи, но такими вряд ли кто-то поделится, если они действительно работают без заморочек.
Конечно, бан всегда можно ожидать, главное не опускать руки и продолжать работать и успех обязательно будет.
FAQ:
А: Самый главный вопрос, как лично ты обналичиваешь? То есть, я правильно понимаю, что когда ты оплачиваешь ПП, то AntiFraud магазина плевать на грязный IP и на русский Windows? Где брать карты под вывод? И что, собственно, делать после слива баланса на карту?
Б: Я сам себя обналичиваю через сторонние конторы. Нет, все должно быть под американца, но Windows у меня русский - это да. Искать продавцов на форумах, после слива на карту если, тебе нужен человек в США, который обналит её (поэтому пока за вывод на СС забудьте).
А: «Конечно, бан всегда можно ожидать, главное не опускать руки и продолжать работать и успех обязательно будет» Получается, что остается просто регистрировать аккаунты, раскачивать/отлеживать и надеяться/ждать?
Б: Да, я так и делаю.
А: Какой процент аккаунтов, если не выстреливает, то хотя бы получается рабочим при твоем опыте?
Б: Всегда по-разному, бывало я сливал 13 из 15, бывало 5 из 15.
А: Если есть возможность взять БА с большим балансом, например, несколько тысяс долларов, то, наверное, не стоит брать, шансы слить такие большие суммы очень низкие?
Б: Прямо все с БА ты вряд ли сможешь вывести, берите БА в среднем на 2000-5000$. А так, чем больше денег на БА, тем лучше.
А: «Нет, все должно быть под американца» Извини, здесь не понял. Ты сам говорил, что за качество вообще не волнуешься, или ты имеешь ввиду геолокацию под американца?
Б: Да, чистоту я не смотрю у IP (Опять-таки это лично я)
А: Ты, получается, примерно, после регистрации и привязки, на половину аккаунтов пробуешь делать депозит, с половину закупаешься?
Б: Просто от балды, могу на двух сделать депозит, на одном сделать отправление, с пяти закупиться. Всегда по-разному.
А: А если не получилось действие - в отлежку?
Б: Да.
А: Есть смысла покупать самореги уже с отлежкой?
Б: Сами лучше делайте самореги.
А: Отлежка сколько? 2-3 дня или есть нюансы?
Б: Все верно, 2-3 дня, не заходите туда и все.
А: Бывает такое, что и после отлежки ничего сделать не дает? Что тогда? Еще отлежка?
Б: Бывает, с других саморегов кидаешь туда 5-10 долларов, выводишь на БА 5$, покупаешь какие-нибудь носки или трусы, потом чуть отлежки и должно дать.
А: Часто умирают обнальщики?
Б: Часто задерживают выплаты и пропадают.
А: А как получить доступ к приватным продавцам, конторам и так далее? Как это вообще происходит в этой сфере? Как ты туда попал?
Б: Сам ищу, либо покупаю, либо делятся люди, которых хорошо знаю.
А: В Mozilla ты только WebRTC отключаешь и все?
Б: Да, только его (Ссылку на Mozilla я давал) и используете лучше последнюю версию.
А: Можно в России на пустую почту отправлять?
Б: С России тяжелее работать и 180 дней поймать легко. Начинайте с США.
Термины:
BA (БА) - банковский аккаунт. Внимание! Это не аккаунт в онлайн-банкинге в ЛК! Это именно банковский аккаунт, то есть счет (или счета) в банке.
ANRN (Accounting Number, Routing Number) - аккаунтинг-номер и Routing-номер. Важные реквизиты БА (ниже будут рассмотрены более подробно).
Alerts (алерты) - предупреждения, оповещения.
Branch (бранч) - отделение банка, куда вы, например, карту придете делать. Если у банка нет отделений, то это для нас только плюс.
БА. Банковские аккаунты. Начало. Урок 22.
Этот урок будет посвящен основам работы с БА. Поговорим о работе с банковскими аккаунтами США. По России не работаем, учтите это. Однако, я могу дать совет, как и на что принять деньги из США, чтобы вас тут за жопу не взяли всякие люди, потому что нашим органам власти лишь тряпку покажи - каждый захочет оттяпать кусочек. Это в основном налоговая.
Первая тема. Что такое БА, в чем отличие БА и счета, какие реквизиты есть у БА и как их смотреть? БА - это банковский аккаунт - один или несколько счетов, которые имеют общие реквизиты. Короче - несколько счетов, которые оформлены на одного владельца. И у каждого счета есть свое предназначение. Поэтому, счета делятся на профильные и непрофильные. Делится так - либо счет подходит для нашей работы с ним, либо нет (то есть, сливается или нет).
Основные профильные счета у каждого БА:
• Checking
• Savings
Давайте разберем, что за Checking и Saving.
Checking - если сравнивать с Россией (Нам же так привычнее) - это расчетный счет. На него, к примеру, поступает зарплата КХ, с которого он делает платежи, ну, коммуналку, бензин, еда, телефон. Поэтому, движение по данному типу счета - частое, но объем транзакций, как правило, очень небольшой.
Второй тип счета - Savings. То есть, сберегательный. Там КХ хранит деньги, которые он не часто тратит, типа заначка. Ну, знаете, раньше в Сбербанке хранили деньги. На сберкнижке. Вот это - что-то типа такого.
На Checking - мелкие суммы в графе расходов, чаще проверяет КХ, зато для банка транзакции на таком счете - обычное дело. Saving - суммы крупнее (Из моей практики - намного) - КХ редко проверяет, зато банк относится к транзакциям с такого счета намного более подозрительно. Поэтому нам нужно решать самим, с каким счетом работать, а с каким нет. На наш выбор влияет множество факторов, типа активности КХ, тип банка и другое. За Saving'ом так же нужно более тщательно следить. Дело в том, что в США есть федеральный закон, по которому по Saving-счетам не может быть больше 6 транзакций в месяц (Включая входящие и исходящие). И проверочные платежи (Миники) тоже считаются (2 плюсовых и один минусовой = уже 3 транзакции. Про проверочные платежи (Они же MiniDeposit) я рассказал еще в уроках про ПП, но мы к этому еще придем позже.
Сам закон: https://en.wikipedia.org/wiki/Regulation_D_(FRB)
Можете почитать на досуге.
Сразу скажу, что будет, если случится 7 транзакций на Saving-счету. Зависит от банка. Кто-то возьмет большую комиссию, либо банк закроет счет. Поэтому, первое правило работы по БА
- всегда читайте FAQ и/или документы у банков. Terms and conditions, так называемые. В США больше 6000 банков, у всех - разные правила. По Checking ограничения на количество транзакций нет.
FAQ:
А: Перевод между своими счетами тоже лимитирован у них?
Б: Да, если с Saving'а сливаем на Checking внутри банка - все равно идет транзакция на списание. И она учитывается. Если переводим с карты на счет - есть лимиты.
А: На Checking есть ограничения по сумме? До которой суммы можно вызвать меньше подозрений, или нужно анализировать поведение КХ?
Б: Нужно анализировать поведение КХ и читать документы отдельно взятого банка. Есть банки с потолком средств на отдельных счетах.
А: То есть, если транзакции в пределах 100$, транзакция в 1000$ заблокируется?
Б: Не заблокируется. Она может вызвать подозрение у банка. У банка есть свой AntiFraud. Вот как в магазинах, в которые СС вбивают, так же и у банка. К примеру, если КХ тратит по 100 долларов, а тут транзакция на 1000 долларов. Ему могут позвонить и попросить подтверждение. К тому же зависит от метода слива средств. Есть более заметные методы, которые довольно быстро пресекаются, а есть менее. О них тоже поговорим.
Хорошо. Теперь перейдем к непрофильным счетам. Непрофильные счета. Их есть в большинстве случаев 4 (которые стоит выделить): Mortgage, Deposit, Loan, Invest (Brokerage).
Mortgage - это ипотека. Там показана нормальная сумма, с плюсом, но снять деньги нельзя, так как сумма показывает погашенную задолженность.
Выглядит так:
Deposit - если есть депозит, то логично, что там лежат деньги. Но для их перевода или снять - нужно, чтобы наступило событие Х. Типа - смерть, дефолт, рождение. Либо он лежит по времени (депозит до 2022 года, к примеру). Нужно узнавать условия отзыва депозита. Все равно проблематичный счет, хоть и лежит там, как правило, большая сумма.
Пример:
Loan - кредитный счет, типа на учебу. Обычно - целевой счет - машина, дом. Слить с него можно, но проблематично.
Ну, и остался Invest. Это - брокерский счет, с него КХ может покупать акции, в США биржевые брокеры распространены больше, чем у нас. Его можно отнести к профильным, но в нем присутствует множество нюансов.
Забавно, но вот на последнем скриншоте я по итогу слил самый последний (Saving) счет (не полностью, конечно же). До Invest'а, так и не успел дойти, КХ запалил после ухода некоторой суммы. Некоторые инвест-конторы позволяют привязывать к себе непрофильные счета, таким образом, вы переливаете деньги с банка (к примеру - нельзя слить такой счет, вы привязываете к конторе, где есть возможность трансфера средств на другие, внешние (External) счета).
FAQ:
А: Непрофильные счета мы вообще не трогаем?
Б: Не совсем так. Эти счета тоже можно слить. Приведу стандартный пример из моей практики. Есть такая штука, называется логи - загружается стиллак КХ в ПК и оттуда все логины-пароли-cookie попадают к вам. И есть люди, которые отрабатывают эти логи.
Допустим, они умеют сливать ПП (что там уметь - зашел по Cookie, нажал Send и получил выгоду). Заходит, значит, такой "сливатор" в ПП и видит там 100-200 долларов. И сливает. Тем самым убивая лог (КХ замечает и меняет пароли). А там еще БА в логе был, на 100 тысяч долларов.
Что я этим хочу сказать. Если не трогать и избегать сложностей - получается меньше прибыли. Так что рассматривать стоит прямо ВСЁ, это 100%, тем более, первые 4-5 месяцев. Про методы тоже поговорим еще. Для старта, конечно же, самые простые счета - Checking и Saving.
Счетов у КХ может быть много. От одного и до 100, к примеру. На каждый счет КХ может назначить псевдоним или дать ему название. Кроме счетов из другого банка, обычно к БА прикреплены карточные счета - там так и написано около них.
Для примера сгодится QIWI. У QIWI есть счет, а к нему вы можете прикрепить карту, QIWI - это БА с прикрепленными картами. И есть еще обратная ситуация, когда имеется интернет- доступ к карточке, где можно смотреть транзакции, но ничего с ней сделать нельзя. Это не БА, это - карточный счет, никому не нужный. До Enroll'а не дотягивает, так как нет полных данных о нем (реквизиты), CVV и Exp. Date нет, важно понимать это отличие. Enroll вы разбирали выше, думаю, понимаете, о чем речь.
Хорошо, давайте немного отвлечемся и посмотрим вместе, что тут у нас по счетам на этом БА.
Money Market - это счет кассового аппарата, т.е корпоративный счет, он принадлежит компании. Если обратили внимание, то тут есть кредитная карта - бизнеса. Говорит о том, что счет - корпоративный. Это - счета в рамках одного БА. Разных людей. Сотрудников компании, да. Money Market, по логике вещей - счет с постоянным потоком средств.
Соответственно, слить с него тоже не будет чем-то зазорным, это регулярно делают сами КХ, иногда даже не заметят. Я - владелец бизнеса. Могу перечислить деньги Джеймсу, Мерси, Луизе и еще куче КХ, а могу перечислить на "AeroSleep", это мы покупаем какую-нибудь продукцию с этого счета (это пример, по факту я не владелец счета). Хорошо, к профильным Money Market отнести можно, но при работе у него тоже есть своя специфика. Не бойтесь трогать Money Market счет, мой вам совет.
Хорошо, перейдем к реквизитам.
Реквизиты - это информация, по которой можно перечислить деньги на счет т.е данные счета для пополнения, если вкратце, либо для снятия, можно и выставить счет на уплату, в общем, это информация о счете, которая позволяет совершать с ним операции. Самый главный реквизит у БА - его хозяин. Поэтому, нам нужно знать имя и фамилию хозяина. И вот если говорить про Россию - да, к реквизитам можно отнести и корр. счет, бик и т.д.
А в США основных реквизитов 7.
1. Имя КХ.
2. Адрес от реальной почты (не электронная почта).
3. Телефон.
4. Электронная почта.
5. Номер карты (Если есть).
6. Routing Number.
7. Accounting number.
С п. 1 - п. 5 понятно, думаю. 6 и 7 рассмотрим. Routing - уникальный номер банковского отделения, выдается на отделение банка. Ну, знаете, офисы Сбербанка, допустим повсюду, вот у каждого из них есть свой уникальный код. Так же и в США. Но есть отличие от России - в США каждое отделение получает свою лицензию на каждый вид операции. Для прямых депозитов может быть один Routing-номер, для электронных - другой. Что это значит - вы, может, слышали про чеки в США, и чеки отправляются по одному адресу, на один Routing Number, а когда вы хотите подвязать ваш БА куда-то или к чему-то - Routing уже другой бывает.
Аккаунтинг - это номер счета, как можно догадаться. Под каждый счет выдается отдельный аккаунтинг номер. Состоит, как правило, из 9-12 цифр. Аккаунтинг номер присваивается банком при открытии счета. Как в банке оно происходит, давайте наглядно смотреть, а то сухое повествование без образов не сулит усвоения знаний.
Это мы входим в БА:
Смотрим и замечаем такое:
Видите два Routing-номера? Один для прямых и один для электронных. Каждая лицензия (каждый Routing) в CША стоит 120к - 170к. И открывать лицензию на Wire трансферы в далеком городе с населением в 1000 человек - нет смысла. И присваивать отдельный Routing для этого, тратить деньги. Они попросту используют лицензию соседнего крупного населенного пункта. И комиссия за данную услугу пойдет в прибыль соседнего города.
Хорошо, идем дальше. Ну, вы знаете, есть короче нынче целая профессия кибержуликов, зовут их вроде кардерами. Слышал я о них что-то, говорят совсем оборзели. И банки с ними борятся вроде как. И банки думают, что, поменяв внешний вид и код страницы авторизации в БА - обезопасят своих клиентов, сделают банк круче. По факту они как бы и правы, потому что есть Brute'ры, а Brute пишется во многом исходя из кода страницы. Ну и мы не можем посмотреть реквизиты БА, если не зайдем туда. Это я за Brute говорю, не за логи. Мы не всегда сможем зайти в БА. Для этого нам нужна выписка. Называется она Statement. Она отправляется КХ ежемесячно на почту, а еще доступна из личного кабинета онлайн в любое время. Где ее искать и смотреть - практически во всех БА можно найти специальную вкладку, пример:
Открываем эту вкладку и скачиваем Statement. Я обычно скачиваю. Вам тоже советую так делать, пригождается в работе (дальнейшей), пример - у вас потребуют отрисовку, ее можно будет сделать самим в пару кликов. Об отрисовке отдельно распишу. Сами сможете ее делать, не прибегая к помощи рисовал.
КХ обычно на почту Statement не приходят, а ежемесячно от банка приходит напоминание со ссылкой на эти выписки. И некоторые КХ кладут болт, представьте, вам приходят постоянно спам от банка, это не круто, и вы становитесь равнодушны через какое-то время. Мой совет - смотрите дату последнего Statement'а, и строите свою работу исходя из нее. Гораздо лучше подождать день, когда у КХ на почте будет выписка с отсутствием ваших мошеннических транзакций. Это увеличивает шансы на успех. Еще КХ получают выписки в бумажном виде, по почте (USPS). Там выписка идет несколько дней и есть пространство для маневра. Можно отключить выписки? Нет. Можно выбрать между онлайн-выписками или бумажными.
FAQ:
А: Сколько по времени занимает работа с БА обычно?
Б: Есть методы, которые позволяют вам получить средства на руки за 30 минут. Есть методы, которые занимают 7-10 рабочих дней. Уровень прибыли и необходимых навыков разный.
Еще кроме выписок в БА есть еще так называемые предупреждения (Alerts). Страшная вещь, на самом деле. Это - оповещения, которые отправляют на почту или по СМС КХ в случае наступления определенных событий. Пример - списание больше 1k$. Зачисление средств. Вход в аккаунт. Теперь сами подумайте, люди, которые занимаются ПП - умные люди? Которые покупают Brute-аккаунты, крепят в БА, жмут депозит. Особенно публичных банков, типа Chase, где уже почти к каждому счету подключены предупреждения по несколько штук. Это вот вам к вопросу, почему ПП умирает. Нет, не потому что не дает.
Хорошо, в нашей работе предупреждения (Alerts) тоже являются не очень приятным явлением, но мы можем на них влиять по крайней мере. Есть специальная вкладка в банке с этими предупреждениями, и напротив каждой строки есть 3 CheckBox'a с выбором, куда отправлять предупреждение. СМС, почта или никуда.
Хорошо, смотрите. Если выбираем никуда - может приходить оповещение о выключении предупреждений. К тому же банк что-то начинает подозревать. Залетел какой-то парень с
нового IP-адреса, с новой машины и выключил предупреждения. КХ так себя не ведет.
Можно поставить на почту, чтобы не провоцировать слишком сильно AntiFraud и начать ее спамить. В идеале - меняешь почту и спамишь старую почту. Но смена почты - это тот еще Fraud для банка. Самое не заметное действие - поставить предупреждения на СМС. При смене номера телефона никуда не уходит оповещение, если все сделать правильно. Совет. Не удаляйте номер телефона КХ, парни. Это тоже очень сильно заметно для AntiFraud. Во многих банках можно добавить второй (Secondary) номер. То есть, ВАШ. И туда перенаправить оповещения. Можно использовать Google Voice, TextNow. Не все банки жрут VOIP. И подкручивают их уже довольно сильно последнее время, не кушают банки. Поэтому есть сервисы по приему СМС от банка и за 2 доллара вас оближут.
После того, как вы ставите второй номер, отлежите аккаунт сутки. Не надо сразу делать его основным. Отлежали сутки - ставим наш номер как основной (Primary). КХ номер можно удалить теперь. Если есть доступ к почте - бежим на почту, смотрим там, что как. Может, банк пришлет письмо на почту. О том, что номер сменен. Либо в некоторых банках есть внутренняя система сообщений.И в ней написано о смене номера. Нужно все эти моменты учесть, прочитать и удалить. Иначе КХ заметит. Даже не так. Шансы на неудачу повышаются.
После смены номера рекомендую еще подождать какое-то время. 1-2 рабочих дня. Зачем ждать? Дело в том, что у вас отображается, что номер сменен. А по факту, на сервере банка не так. Там нужно время для закрепления информации. Немного отступая от темы - адрес КХ меняется 5-7 РАБОЧИХ дней банком. А вы видите новый адрес после его смены СРАЗУ. И не подозреваете о том, что он еще не изменен. Когда я говорю адрес в данном контексте - имеется ввиду адрес проживания. Выходные и праздники в США за банковские дни не считаются. Поэтому их обходим стороной при работе. В эти дни вы можете делать что угодно - искать конторы, регистрировать себе счета, разбираться с висяками. Но не работать со счетами КХ.
Теперь о способе вывода, мы будем рассматривать основные методы дальше. Но сейчас стоит упомянуть вот о чем - исходя из истории транзакций, нам нужно смотреть суммы, которыми оперирует КХ, куда он эти деньги тратит, каким образом, нам нужно максимально подстраиваться под поведение КХ, чтобы шансы на успех повысились. Вы сами подумайте, как банк реагирует, если человек залетает с новой системы, с новым IP, снимает все оповещения, крепит свой счет и сливает весь баланс. Золотое правило работы с БА: Никогда первая транзакция не может быть больше 30% от баланса счета. Так же стоит помнить - после входа в БА, в любом случае, при наступлении новых рабочих суток, выскочит уведомление, что выполнен вход с такого IP и такого компьютера вчера. Надо это оповещение обязательно ловить. На почту оно иногда приходит, иногда нет. Зависит от банка.
Банки работают по UTC -5(Зимой -6). Зачисление транзакций: 4-30 утра, обновление - 12-00 дня, доначисление - 16-00. Новый рабочий день - 00-00. Еще от банка зависит, но я вам дал примерные данные, которые едины для большинства. Есть банк, который любит в 8 утра начислять. Так что тут индивидуально смотреть тоже можно и нужно. И да, все же, закрывая тему оповещений. Сами понимаете, что нам Fraud-очков нужно минимум ловить. Поэтому, любые смены номера/почты/адресов - нежелательны. В идеале - когда у КХ выключены оповещения по умолчанию.
А: Что по поводу IP-адреса для БА? Какие критерии обязательны при выборе по опыту?
(Открытые порты, черные списки, FraudScore). Что по настройке системы, можно ли пользоваться Linken Sphere?
Б: IP - работаю с vip72.org, либо 911.gg. 911 чище, но раньше были лучше. vip72.org = самое плохое качество на рынке. Тем не менее, мне хватает. Критерии - проверяю на черные списки. FraudScore не проверяю. Порты - тоже нет. 100% по Whoer и отсутствие в черных списках - и вперед. По настройке системы - использую Portable FF копии для каждого банка. У меня отдельная рабочая американская машина с английской Windows и пробросом DoubleOpenVPN. По LS (Linken Sphere) - для работы с логами использую бесплатную LS. Платную не беру. Если хотите лучшую проходимость - берете DS от Google и туда SOCKS цепляете под штат от 911. И Portable FF заменяете на Portable Chrome. SOCKS обычно в vip72.org подбираю под город.
Да, на vip72.org мои SOCKS живут на удивление долго, все жалуются, а мне комфортно. Есть SOCKS, который живет 8 месяцев уже. Я создал БА саморег себе в августе. И с тех пор с одного SOCKS'а с vip72.org туда захожу. Да, он падает иногда. Нет в сети SOCKS'а, тогда я беру другой. Таким образом, у меня есть список из SOCKS'ов, с которых я захожу в БА. Речь про самореги.
Если говорим про вход в Brute-аккаунтs или логи - тут под ZIP. Все включено, WebRTC цепляется от Proxy. Если что, то руками WebRTC я не прописываю, у меня просто есть параметр в FF: about:config. В поиске по config'у FF вбиваем Proxy и смотрим все параметры. Например, ice.proxy_only. Вообще, любая работа начинается с настройки. Я бы рекомендовал начать с поиска описания переменных в настройке этого config'а. Никакая Linken Sphere вам будет не нужна, если грамотно все настроить. Да, сложно, долго, нудно. Поэтому никто и не настраивает, а если и настраивает - то не говорит. Мне этого параметра с головой хватает. Выключать WebRTC тоже, как красная тряпка работает иногда.
Зависит от банка еще. Но если мы говорим о регистрации аккаунта в банках, то тут лучше не провоцировать лишний раз и не играть в удачу, и так много времени на пробивы уходит.
Лучше всего узнайте, что меняет, как влияет каждый параметр, а затем выберите для себя оптимальный. Лучше всего систему настраивают те, кто вбивает СС. Но нам хватает и этого. Скажу вам сразу. Механика работы со вбивами карт и с БА отличается. Настройки системы тоже. Прибыльнее БА темы в С нет. Но и сдаются на ней очень многие, так как сложно.
Проще ведь для многих кнопочку тыкать одну и всегда будет все хорошо. А тут думать нужно, искать.
Еще хочу сказать, что стоит работать больше по логам, но если денег нет, то берете Brute и работаете с ним. Стартовый капитал Brute поможет набить, равно как и шишки. Логи стоят от 10$/штука. Либо за % договариваешься с людьми, но такого мало сейчас.
А: Ты сказал что, брать ПП, привязывать БА и делать депозит - не очень умная идея, а что тогда делать?
Б: Конкретно с ПП не считаю работу высокоинтеллектуальной. Она построена на обычных, повторяющихся простых закономерностях. Ну, сами подумайте, если есть БА с оповещениями, человек покупает пачку БА, и он на эти оповещения повлиять не может.
Привязывает БА, делает депозит. Из 10 аккаунтов ПП один выживает. Лучше всего работать с БА. Искать новые методы, конторы. ПП обычно подходит для тех, кто начинает путь в С. Но в БА потенциально можно делать в разы больше. ПП - это ОДНА из сотен контор в США. Контор, которые позволяют работать с БА.
А: То, что в БА потенциально можно делать намного больше - тоже понятно, но тут другой вопрос, как потом обелить эти средства в России, чтобы не присесть по итогу.
Б: Активно занимаюсь его изучением. Обычно помогают карты на чужие сканы. Talkbank найдите, хорош тем, что нет Branch'а (отделения) и карты по почте России отправляют. Туда можно средства загнать на сканы. Можно загонять деньги в BTC - QIWI и Яндекс - это то, что не контролируется ФНС. Есть еще офшоры, позволяют деньги держать без особого внимания. На карту можно вывести до 600 т. рублей, но можете забыть о Сбербанке. Talkbank на подставное лицо, либо Тинькофф Банк на себя.
А: Где брать материал - логи, VNC, Brute-аккаунты и так далее?
Б: Для работы основные - refaund.biz и wwh. Почти всех продавцов любых товаров и услуг можно на них найти.
Способы заливов в БА. Урок 23.
Важная тема - способы заливов - это то, на чем строится работа по БА направлению. Всего существует стандартно 6 способов:
1) Bill Pay
2) ACH
3) Wire Transfer
4) International Wire
5) Внутренняя платежная система банка
6) Внешние платежные системы Bill Pay (1).
Bill - в переводе с английского - счет. Pay - платить. Плати счет. Bill Pay - это система электронных счетов (чеков). Не во всех БА присутствует такая функция. Выглядит это все примерно как-то так:
На скриншоте мы видим, как я попытался исследовать это направление, открыв Bill Pay с ручным вводом всех данных. BillPay обычно нужен для оплаты каких-либо счетов для различных поставщиков услуг. За свет, воду, интернет и так далее. Для нашей деятельности можно использовать данную фишку следующим образом - добавить своего поставщика услуг (Это может быть, как компания, так и физическое лицо). Например, я хочу сделать приятное некому господину Джеймсу, и вношу его в список поставщиков. И провожу оплату. По срокам он получит деньги от одного часа до трех рабочих дней. В принципе, данный способ довольно удобный, но есть свои нюансы, о них рассказываю.
Дело в том, что при формировании чека выплаты, банк отправляет также бумажный чек на адрес КХ (где он живет). Обычно такие письма идут 2-3 дня. И КХ может заметить, что что- то не так. Из своего опыта скажу, что Bill Pay - это очень перспективное направление. В нем не надо ждать проверочных платежей (MiniDeposit), к нему лояльно относится AntiFraud полностью лояльно, но помните о правиле 30%. И не во все организации можно оплатить через Bill Pay.
Как-то так выглядит поиск поставщика услуг, которому Bill Pay идет в электронном виде. Это когда мы его не вводим вручную. Как правило, при вводе данных вручную - идет бумажный чек. А если поставщик находится у банка в специальном списке, то есть возможность получить деньги уже в этот же день. Поставщиком услуг также может выступать банк в теории. Только с данными не налажайте, если будете это делать, так как отмена чека - это еще 3 дня. Обжегся один раз уже. Лучше прозвонить поставщика услуг и узнать.
Хорошо, а теперь совсем приватную информацию скажу для некоторых. Может быть видели на форумах объявления, якобы заливаю кредитки по США. При этом, человек не заливает дебетовые. Суть в том, что многие кредитные карты в США оплачиваются, как счет. И оплата эта происходит именно, как поставщику услуг. Если очень грубо говоря, эти люди работают так - берут лог, вешают объявление о заливе на форум, заливают кредитки, потом КХ просыпается (в любом случае, всегда), максимальное количество времени для процесса отмены - четыре рабочих дня. Как бы вам уже понятна суть такого объявления, подходите с умом к подобного рода предложениям.
Следующий способ - ACH (2).
ACH - система автоматических зачислений резервного банка США, созданная для ускорения и упрощения автоматических платежей на основе предварительного соглашения или предварительной записи. По времени ACH идет от 1 до 4 рабочих дней. Как вы помните из уроков по ПП, к ней подвязывается какой-либо счет и совершается депозит/покупка. Так вот,
совершается она с помощью ACH. На месте ПП может выступать любая контора, куда есть привязка БА. Будь это Venmo, любые инвест-конторы. Можно также подвязать счет одного банка к другому, с помощью ACH отправить средства.
Как это выглядит на практике:
Добавляется счет, как правило, по аккаунт и Routing номерам (AN/RN). Здесь есть свои нюансы. К примеру, вы же не напишете из воздуха аккаунт и Routing номера, и у вас счет тут же не привяжется к БА. Для этого придумана проверка счета. Отправляются 2 мини-депозита (MiniDeposit) на зачисление на привязываемый счет. Идут они 1-3 рабочих дня. Вы их «ловите» (Смотрите) на привязываемом счете, вводите в специальные окна для ввода мини-депозитов на основном счете и у вас есть связанный аккаунт. Так, на скриншоте, кнопочка “Verify”.
Таким способом можно вязать банки на разных КХ. Допустим, у вас счет на Васю Пупкина, вы связываете счет другого человека по проверочным платежам и можете совершать между ними транзакции, при этом банк не будет ругаться. По факту, это запрещено. То есть, все счета должны принадлежать вам, как КХ. Подвязка счета на другого человека запрещена.
Второй момент - по ACH есть подвязка мгновенно. Мгновенно - это когда вы вводите логин-пароль и отвечаете на секретный вопрос. И счет прикрепляется моментально. Этот вариант хороший, но требует совпадения ФИО КХ. Так как идет интерграция через сторонние сервисы (по API). То есть, Вася уже не прикрепит счет Пети. Когда мы прикрепили счет любым из способов (проверочными платежами или мгновенно), вы можете совершать операции с ним. Можете отослать деньги НА него, можете отослать деньги С него. И когда вы шлете деньги С него, это называется обратный ACH. Когда шлете НА него - это прямой ACH.
Вопрос на засыпку. Вы прикрепили Brute БА к ПП и нажали Add Money. Это будет прямой ACH или обратный ACH?
Верно, это обратный. Обратный ACH - это когда мы не находимся в БА, но запрашиваем средства, находящиеся на нем. Соответственно, теперь вопрос. А зачем вам, уважаемые, мучаться с ПП и ее проблемами, когда вы можете просто создать БА, прикрепить таким же способом любой БА и сделать депозит? Не иначе, как мазохизм. Ну, ладно, не мне судить. Сейчас лишь задумайтесь о том многообразии контор лишь для метода слива по АСН, а в обычном БА этих методов минимум 3.
Хорошо, по срокам давайте определимся. Проверочные платежи идут 1-3 дня, на практике 1- 2 дня. Средства идут стандартно 3 дня. Бывает, что задержку продлевают на день. Итого: 4-5 банковских дней на перевод средств. Не забывайте про золотые правила - не более 30% на первой транзакции (В идеале - 10-25%). И не сливайте со счета все. Иначе транзакцию могут заблокировать и пригласить КХ в банк. Есть банки которым все равно. Метод проб и
ошибок помогает их выявить.
Хорошо, третий способ. Wire Transfer (3).
Wire - обычный перевод денег. Сейчас с ним много проблем, он есть далеко не во всех банках. Если хотите слить Brute/логи - обязательно смотрите, были ли транзакции подобного рода типа ранее. Сейчас стандартный Wire без звонка не обходится. В худшем случае - попросят придти в банк. Я бы не рекомендовал работать с ним, потому что нужен опыт. Нужно делать все идеально (И номер поменять, и время подгадать, и сумму). Также, транзакция должна быть на счет с той же фамилией, как у КХ. То есть, нужно открывать на него счет в другом банке. Однако, данный тип переводов очень быстрый. Там бывает за 10 минут они прилетают. Для справочки - многие криптобиржи в США используют только Wire.
Хотите залить себе на карту Сбербанку пару десятков тысяч? Это возможно благодаря еще одному типу перевода - International Wire Transfer (4). Такой же Wire, только международный, с некоторыми отличиями. Фамилия КХ не должна совпадать с фамилией получателя, к тому же идет Wire очень долго. Долго он идет по причине того, что проходит кучу корр. Счетов. У кого есть Тинькофф Банк - видели, что там можно принимать деньги в USD и банк-корреспондент - Тинькофф Банка - Chase.
Так вот, International Wire идет из США на Тинькофф Банк 10 рабочих дней. Это в среднем, зависит от банка еще. По плюсам данного способа и про бутылку. Длинная транзакция - то есть больше одного корреспондентского счета всегда - КХ не всегда может ее отозвать, вы представляете, если процесс отмены начнется, сколько времени идет платеж, сколько он корреспондентских счетов преодолевает, он пока дойдет - вы уже с подругами затусите где- нибудь. Поэтому под International Wire частенько берут материал на подставные лица. Быстро залили, обналичили и выкинули. Ну, как быстро, насколько это позволяют банки- корреспонденты.
Канаду тоже затронем. Так вот, в ней в банках данный вид перевода более распространен. Парни берут логи и тупо льют себе карточку Сбербанка. Плюс в том, что из Канады идет быстрее, чем с США. Если мы говорим про СНГ-заливы, то нужно узнавать у банка, можем ли принимать платежи из-за границы.
Так, идем дальше. Внутренние платежные системы банков (5).
Банков в США много, у некоторых из них они имеются.
Везде зовется по-разному: SurePay, P2P, PopMoney, Zelle, Send Money (Movo). В Канаде это - Interac. Как вы не называйте эти платежные системы, суть у них у всех одна - передавать деньги. Как все происходит - начинаете перевод денег, указываете данные получателя (Ничего сложного - в некоторых случаях достаточно электронной почты или номера телефона). В случае с Movo - деньги по электронной почте передаются и попадают моментально на счет, который привязан к почте, на которую переводили. В остальных платженых системах механизм схожий, они созданы для быстрого и беспроблемного отправления средств, максимум, что я видел - это запрос на звонок. Поэтому многие, так
отчаянно ищут Zelle-приемщиков. Головной боли минимум и прибыль быстрая. Так, по внутренним платежным системам это все.
И, наконец, внешние платежные системы (6).
О них уже было чуть выше (в повествовании про ACH). Работа с ними происходит довольно просто. Берем Full Info, регистрируем на нее аккаунт (во внешней платежной системе), привязываем счет КХ (по проверочным платежам или по логину-паролю/мгновенно).
Привязали счет, пополнили платежную систему. И отправили. Существует два варианта этих внешних платежных систем. Первое - когда к одному аккаунту платежной системы можно привязать несколько БА. К примеру - счет КХ (Который в сливаете) и ваш счет (Или счет подставного лица) - на который вы льете. Ничего сложного. Пополнили аккаунт платежной системы с Brute и залили себе (подставному человеку).
Второй вариант - когда к одной платежной системе нельзя привязать несколько БА. Тогда обычно делают второй аккаунт в платежной системе и делается отправление на него, затем сливаем со второго аккаунта на свой БА. Готово.
Примеры внешних платежных систем: PayPal, Venmo, Western Union, TransferWise, TransFast. Их действительно много. У каждой из них - свои нюансы. Но помните - они все созданы для людей. Им нет смысла черезмерно отпугивать клиентов. ПП является довольно «доброй» платежной системой, там можно левую Full Info вставить (От одного КХ), БА - от другого. В большинстве платежных систем не так, там надо сторого делать пробив Full Info под КХ БА. Аккаунт платежной системы на КХ Brute БА. И сливной аккаунт (Куда потом зальем средства) - тоже на КХ Brute БА.
FAQ:
А: Какой способ самый простой?
Б: ACH.
А: Сливной аккаунт на КХ, имеется ввиду аккаунт в этой платежной системе? А в системе могут быть два аккаунта на одного КХ? И второе. Чем можно оправдать выбор ПП, а не БА для подвязки по ACH? Неужели мы просто делаем саморег БА и туда делаем депозит с другого БА?
Б: Нет, не в системе. На одного человека можно открывать счета в разных банках, об этом речь. Допустим, в одной инвест-конторе можно прикрепить лишь один счет к одному аккаунту. Мы вносим средства со счета КХ, затем открываем на него счет в другом банке, пишем в техническую поддержку инвест-конторы и просим поменять нам аккаунт для вывода. Они меняют, выводим деньги, готово.
Выбор обусловлен тем, что она активно продвигается. Как и Iphone. Этим летом на ПП народ набежал, и она умирала уже пару раз.
А: Первое - почему на самом первом скриншоте, когда мы говорили о BillPay, там стоит замок на вкладке Wire Transfer. Второе - почему задержки могут продлить на день в случае с ACH? Третье - на International Wire какой порядок цифр? Тоже не больше 30%?
Б: Первое - это особенность банка, не открыт данный вид переводов на конкретно этом аккаунте. Второе - задержки там какие-нибудь, к примеру. Третье - верно.
А: А у инвест-конторы не появляется лишних вопросов к таким действиям?
Б: Появляется. Поэтому приходится методом проб и ошибок их находить, тестировать, отбирать свои, находить закономерности.
А: А какие правила поведения с саморегами БА? Или они такие же? Делаем депозит, не дало, отлеживаем три дня, пробудем сделать депозит.
Б: Саморег БА не может не дать, там нет такого. Он дает всегда. Но могут заблокировать, если вы выбрали плохой банк или взяли большую сумму.
А: То есть, особо смысла работать с ПП нет, если можно делать тоже самое только с БА?
Б: Смысл есть, если хотите быстро деньги сделать и без головной боли с поиском банков.
А: А такого понятия мгновенной оплаты, как в платежных системах, у самих БА нет, верно? То есть, только можно сделать депозит со счета на счет.
Б: Верно, с БА оплата мгновенно не происходит. Можно только по внутренней платежной системе мгновенно перекинуть с БА на БА. Или по Zelle межбанковский перевод за 30 минут возможен в некоторых случаях. Смотря, для чего взять. В вашем случае, имеет смысл изучать многообразие, выявлять закономерности, исследовать. И из этих закономерностей отбирать подходящие для работы банки.
А: На счет поиска банков. То есть, банк X дает сделать депозит в банк Y без проблем и банов. А вот банк B в банк С дает депозит с баном и жесткой карой от службы поддержки и с головными болями? То есть, это пары банков, которые работают.
Б: Если вы хотите счета создавать и ищете банк - это одно. Если для Brute'а - другое. Все банки X, Y, B, C в данном примере дают и без головной боли, но AntiFraud у всех настроен по-разному. Даст из них каждый, а по приходу средств может быть блокировка/отрисовка/звонок, зависит еще от объема и разных параметров.
И да, скажу прямо, рассматривать имеет смысл любой банк. Не дающих банков нет. Это же банки.
А: Хорошо, тогда еще на что может залупаться AntiFraud банка?
Б: Входит все. Масса параметров. От IP, Full Info, ответов на секретные вопросы при регистрации, выборе настроек счета. И до ваших действий в личном кабинете банка.
А: Бывает ли неснимаемая звонком, отрисовкой и жалобами технической поддержке блокировка? Что остается только лично к ним идти.
Б: Да, бывает. И есть еще некоторые банки, которые всегда в свои отделения отправляют. Пример - PNC.
Хорошо, дальше. Что такое чек для американца? Не чек из магазина, а в понимании банков. Смотрите, чек нельзя напрямую «поменять на деньги». Сначала деньги падают на счет БА. То есть, это бумага, подкрепленная цифрами. Не просто бумага с надписью. Помните фильм, где Ди Каприо играл? Он там чеки подделывал. Фильм называется - «Поймай меня, если сможешь». Так вот, в том фильме чек (Бумажка) менялась на деньги. В России зарплата приходит на карту, верно? В США приходит бумажный чек с суммой ЗП, дальше КХ топает в банк и обналичивает чек. КХ ставит свою подпись в банке на чеке, дальше работник банка проверяет подлинность и производит сверку данных. Чтобы банк не обманули, как в фильме. Чек сначала зачисляется на счет банка, затем банк выдает деньги. Тот, кто выписал чек, вам деньги напрямую не выдает. Понимаете? То есть, деньги проходят через компьютеры, через счета, через банки. А не бумага на деньги.
Для нас в чем суть? Есть такая штука, называется eCheck. Это - электроный чек. Очень крутая штука, которая позволяет деньги получить на своем БА за сутки, а то и меньше.
Echeck есть не во всех банках. Отправка по eCheck происходит легко. Пишите аккаунт и Routing-номера (ANRN), куда надо зачислить средства. Проходят сутки, деньги уже на
балансе. Готово. Хороший полноценный банк с eCheck'ом найти сложно и стоить он будет дорого. Именно в плане поисков. У Movo есть eCheck, но это и не банк, а приложение. То есть полноценным банком Movo не является. У нее нет многих функций обычного банка, которые нам нужны и важны. Например - туда нельзя прикрепить БА по ACH для депозита. Или, например, на Movo нельзя принять деньги, если ФИО КХ отличается.
Хорошо, теперь у вас возникает вопрос. Куда выводить и как себе получить деньги в России? Есть два способа. Первый - вы умеете переводить средства из США в Россию или из США в BTC. Здесь все предельно понятно, думаю. Для США-Россия переводов есть разные конторы, например, Western Union. В BTC позволяют переводить криптобиржи.
Второй - вы находите человека, как я, который за определенный процент предоставляет вам подставных лиц, либо свои счета, куда можно залить деньги и получить эквивалент в BTC/QIWI/RUB. Для старта рекомендую второй метод. По мере вкатывания в теме придете к первому. Процент разный у разных обнальщиков, смотрите wwh. И условия разные. Так, например, обналичивание ПП с логов можно найти за 50%. А чистые деньги на Movo нынче забирают некоторые товарищи за 75%. Если вы умеете делать счета в США, для вас не будет проблемой самим залить на Movo и получить самый вкусный процент. Да, чуть дольше, но и потерь меньше.
Совет. Не совершайте моей ошибки и не идите сразу в поиск способов перегонки денег в Россию самостоятельно. На первых этапов всегда выбирайте чужое обналичивание.
Остальное придет с опытом.
А: Movo - внутренняя платежная система?
Б: Да, но не совсем так. У Movo можно сделать платеж по кнопке Send Money. С Movo на Movo. А на саму Movo залить можно по аккаунт и Routing-номерам. Извне. С любого БА. Или с ПП. С Venmo. С чего угодно, что позволяет вязать ее. Но нельзя прикрепить БА. То есть, заливы будут с проверочными платежами (MiniDeposit).
А: AntiFraud обоих сторон нас интересует? И банка-донора и банка-принимающего? То есть, виноваты могут быть и службы отправляющего БА в блокировке денег на нашем самореге другого банка?
Б: Конечно. С другой стороны, если мы работает с Brute, то на AntiFraud повлиять мало можем. Все верно.
А: Почему? Зайти без логов опасно?
Б: Секретный вопрос выходит обычно. Без Cookie довольно опасно.
А: Видел в магазине продаются данные БА и к ним еще секретный вопрос, их можно брать? Б: Брать можно все. Лишнего материала не бывает. Другой вопрос, что к почте там доступа нет, это является проблемой.
А: Почему брать Brute, а не логи? Дешевле - это ясно, но с логами можно поиграться с оповещениями, да и требования к чистоте одинаковые, то есть логи тупо лучше дадут в среднем, чем Brute.
Б: Логи брать в том случае, если деньги есть, так как они дороже. Но и выгода больше. Brute, на мой взгляд, подходит новичкам, либо тем, кто с БА не работает напрямую - тем же, кто работает по ПП. Для БА-работников комфортнее логи.
Здесь немного про чеки, так выглядит типичный чек в США:
Мой личный чек на 2000$, недавно зачислили на БА. По поводу обналичивания и вашего задания. Тоже пару слов скажу. И так, может быть в ходе мыслительной деятельности, некоторые из вас пришли вот к чему. А почему бы не открыть счет на КХ США, отправить карту в Россию и тут не снимать деньги в банкомате? Обычно для снятия денег в России с американских карт - нужен, так называемый Travel Notice. Это когда вы банку говорите, что будете в другом месте, в другой стране какое-то время. Таким способом, некоторые обналичивают свои средства. Минус способа втом, что на карте обычно стоит лимит на снятие. Например, 400-500$ в день. Можно расширить, у каждого банка и карты по-разному. Но есть некоторые специальные карты в офшорных зонах. Они позволяют вам принимать деньги на себя и выводить их на ваши личные счета в СНГ или на QIWI/ЮMoney. Может быть слышали что-то про payoneer.com
Преимущество данной карты конкретно для вас заключается в наличии у нее прямых счетов в разных банках мира. То есть, вам деньги зачисляют по аккаунт и Routing-номерам (ANRN), а вы в этот же день снимаете их в рублях. Не иначе, как фантастика. Никаких вам Wire, сроков ожидания, ничего этого нет. Тупо залили и сняли. Но есть подвох, куда без него. Для больших операций не подходит. Могут заморозить средства. Предел на сайте нужно искать, от 1500$, 700$ держит за раз спокойно. Поэтому, настоятельно рекомендую вам, как начинающим С-работникам, обзавестись данной картой на скан (либо на подставное лицо).
А: А для БА саморегов мы Full Info используем или там там сканы могут понадобиться? Чтобы не рисовать потом
Б: Зависит от банка. Есть банки, где не нужны фотографии/сканы.
Ваше задание - зарегистрировать payoneer.com на скан паспорта (не свой). Карту отправляют почтой России, если в РФ живете, можно указать почтовый ящик соседа и забрать ее оттуда.
Второе задание - взять Full Info, зарегистрировать на Walmart Money Card в США. Walmart Money Card - это предоплаченная перезаряжаемая карта в США. Она отлично подходит для заливов. Живет две недели. При регистрации сохраняйте все данные, особенно номер карты, Exp. Date и CVV. По сути, вы создаете свою первую карту в США. Да,
старожилы сейчас скажут, что это достаточно публичная информация, поэтому ерунда. Ну, Walmart, пусть и публичен, но для заливов по-прежнему годится. Payonner - маленькие суммы пропускает отлично. Можно сделать, как лучше. Payoneer США вам влетит в копеечку, так как прием подставным лицом 50$ где-то и пересылка еще столько же. Payonner русский - только скан паспорта. К Payoneer из США отношение более лояльное.
Payoneer вам пригодится, чтобы выйти из трудного финансового положения, если есть мозги. А Walmart - практика, к тому же Walmart вы можете залить сами. И потом сдать обнальщикам. Тоже, как опыт. И выгоду получите. Некоторые дают до 70% за него. Payoneer нельзя залить с банков, в этом его минус, только с контор. К ПП русский Payoneer не привязывался раньше. Как сейчас дело обстоит - не в курсе.
Walmart с банков бьется достаточно тяжеловато, но все кущают его Routing-номер. Payoneer же вы можете пролить с любой инвест-конторы, которая поддерживает привязку по аккаунт и Routing-номерам. По сути, имея Payoneer, найденную инвест-контору и мешок Brute БА в запасе - нищими не останетесь. Либо должно не повезти сильно.
Пример инвест-конторы: robinhood.com Это ваще третье задание - рассмотреть данную контору. Прочитать ее правила, документы, FAQ, все подводные камни.
Четвертое задание - рассмотреть сайт Zelle, банки-партнеры этой внутренней платежной системы.
И так, обобщим. Payoneer вам нужен для обналичивания инвест-контор по типу robinhood.com. WalmartMoneyCard заливается с банков, в том числе - с банков-партнеров Zelle. Еще у Payoneer много разных фишек есть. По-всякому можно использовать, допустим прикрепить к Amazon, принимать на него платежи. Работа по БА заключается в исследованиях. Если вы работаете по БА, действительно работаете, то это 100% принесет свои плоды, я вам гарантирую.
И да, желательно не переходить на следующий урок, пока вы не сделаете все задания, иначе дальше вы будете теряться и не понимать большую часть материала.
Самореги БА. Урок 24.
Для всех еще раз обозначу сокращения:
RN = Routing-номер
AN = Аккаунт номер
Хорошо, раннее мы уже немного затронули с вами тему того, как вывести деньги. Вы создали сами Movo и Walmart. Это - простые карты для заливов, не банковские аккаунты. В них ограниченный или отсутствующий функционал. В Walmart вы не можете ничего сделать со средствами, пока не получите и не активируете физическую карту. В Movo вы можете сделать отправление по ANRN или на другую Movo внутрибанковским платежем. Но это все равно не совсем полный функционал. То есть, Movo - это даже не банк. Если кто искал RN Movo, то она принадлежит к банку Метрополитан. Также, как и вWalmart. Поэтому, рассмотрим
полноценные БА-самореги, их создание и нюансы. Саморег БА - это созданный в банке на Full Info банковский аккаунт.
Как его сделать? Сначала находим банк, в котором хотим делать наши дальнейшие действия. Находится он в Google или с помощью различных блогов по банкам. Также, есть списки и рейтинги банков. Пример: hustlermoneyblog.com
Допустим, мы нашли банк, в котором хотим создать счет. Ищем в нем возможность открытия счета онлайн (Apply now). Если на сайте банка нет такой кнопки или раздела, то открыть счет можно только в отделении (Нам не подходит). Не путайте открытие счета в банке с Enroll, разные вещи. Enroll - вы вскрываете (Открываете) карту на сайте банка, уже выпущенную СС. А Apply Now - открытие счета. Нам нужно для открытия счета подготовить Full Info (Она должна включать в себя DOB+SSN+ Основные данные). При нажатии в банке на Apply Now, у нас выходит форма с заполнением данных. Вводим данные с Full Info, вроде все неплохо. Переходим дальше, от нас требуют какую-то дичь.
Идем пробивать БГ.
БГ = BG = Background report.
BG включает в себя полную информацию о КХ, историю адресов, работу, имена соседей, любовников, знаки зодиака и другое. Информация по машинам тоже там есть. Возвращаемся обратно в банк, вводим информацию. Переходим дальше. Нас спрашивают - как звали вашу первую жену? Делаем глаза по 5 рублей, потому что в BG этого нет. Пьем кофе и бежим в Facebook КХ. Находим жену, вводим, все получилось. Следующий вопрос - какая у вас машина была в 2005 году - цвет и марка? Бежим пробивать машину. Пробили. А за время, пока мы пробивали тачку, у нас истекло время ответа на вопрос. Поэтому мы заполняем все формы по новой.
Хорошо, ответили на все вопросы по BG вроде бы как. Переходим дальше. На следующей странице, видим такой вопрос - вы брали кредит в банке PNC в 2008 году, какой был ежемесячный платеж? Вы в ярости. Убили столько сил на пробив машины и поиск жены. И тут такая засада, сука, да что за банки такие гребанные. Так вот, вопросы финансового характера относятся к категории КИ и находятся в КР.
КИ = Кредитная история. КР = Credit Report (CR).
То есть, вся информация по поводу КХ в финансовом плане, все банки, в которых есть или были счета, все карты, Loan'ы. Бросаем уже в который раз все наши формы в банке и бежим пробивать CR. Идем заполнять вновь заявку. Хорошо, заполнили. Следующая страница открывается. А там написано. Уважаемый сударь, а вы знали, что у вас уже открыт счет в нашем банке? Хорошо, кофе тут не поможет уже, сами понимаете. Накатим водочки. Изучаем внимательно CR. Все открытые счета во всех банках США у конкретно данного КХ. Выбираем другой банк, которого нет в KR. Заполняем, отвечаем, теперь нас уже поздравляют с открытием счета.
Открывается следующая страница. Нас просят внести небольшой депозит для открытия счета. Откуда его взять? С Brute что ли? Ну, счет же заблокируют тут же. Для этого и нужен микрозалив от кого-нибудь, чтобы вы привязали PrePaid-карту и оттуда залили денег на свой первый счет. Либо покупаете PrePaid-карту в магазинах СС, привязываете по AN/RN и льете оттуда. Суммы первого депозита у всех банков разные. Бывает 1$, бывает 10, есть и 100 и 1000, от типа счета тоже зависит. Есть всякие Premier checking, в которых суммы
старта выше, но и лимиты больше. Есть банк, где стартовый деп 50к$.
Ладно, вернемся к теме. Выбрали PrePaid-карту для первого залива, ввели ее аккаунт и Routing-номера. Нажимаем пополнить. И тут табличка на весь экран - "Не принимаем платежи с PrePaid-карт". На этом все. Идем на завод, парни.
Хорошо, идем на завод. По пути на завод мы думаем, а вдруг мне нужно купить БА и пополнить по АСН по AN/RN этот саморег? А вдруг получится? Купили, пополнили. Выползает радостное "Деньги поступят через 3 дня". Завод отменяется?
Приходим на следующий день, так как АСН идет не сразу и все такое. Но списание по АСН обычно на следующий день происходит. Так вот. Видим такую картинку - средства списаны с БА, который вы прикрепили, но нам тут позвонил человек и нажаловался, поэтому вот вам блокировка и не приходите больше. Можно и на завод, но мы плюем в монитор и закупаем новый БА, уже подороже и покачественнее, если раньше брали какой-нибудь Chase с балансом в 1000$, то теперь берем SunTrust с балансом в 5000$.
Делаем новый саморег БА. Заполняем, вновь пробиваем BG (новый КХ же), CR, ищем машину с женой. Отвечаем на все вопросы. Выбираем, пополняем. Ждем 2 дня, на третий приходят деньги с письмом на почте. Открываем письмо. Написано там следующее - "Уважаемый сударь. Мы звонили, а вы не сняли трубку, поэтому аккаунт в блокироке временно, звоните в ближайшие 3 дня сами".
Хорошо, ищем звонка. Он прозванивает, вроде отлегло, нам разморозили БА. Через несколько дней нам зачисляют наш стартовый депозит на БА (он же небольшой, самый минимальный, от доллара до сотни). Входим в ЛК нашего БА. Только вдумайтесь - мы создали БА. Он НАШ. Походили вы внутри своего аккаунта, пощелкали разные фишки, посмотрели функционал. Нам же бабло надо, точно! Вспоминаем, сколько времени и сил потратили на всю эту штуку. Ну, а что тут мелочиться? Зальем-ка мы сразу 2к!
Ура, деньги списались с Brute, через 3 дня придут. Через 3 дня пытаемся войти в ЛК. Ой, что-то не входит. Блин, звонку надо отдать. Отдали звонку, нервно курим. Вердикт звонка - блокировка по причине мошеничества. Так как сумма слишком большая, новый аккаунт, а вы делаете депозит на 2000$. Поэтому БА мы вам закрыли, деньги вернули обратно, удачи. Начинаем по новой, берем уже третью Full Info. BG, CR, жена, машина, вопросы, банки. Прозваниваем, пополняем. Теперь мы стали умнее. Делаем депозит не на 2000$, а 600-800$. Нам же надоело кушать лапшу быстрого приготовления. Давайте зальем поменьше, зато хоть что-нибудь заработаем.
Хорошо, проходит 3 дня. Входим в БА. Видим на балансе 600$. Супер. Можете гордиться собой. Это очень короткая история о том, как происходит работа с саморегами БА.
FAQ:
А: Почему нам нужно при регистрации БА заполнять достоверную информацию? Чем это вообще обоснованно?
Б: Проверкой банком данных о КХ. Банк не откроет счет, если информация не будет совпадать с той, что есть у них.
А: N26, MisterTango подойдут для саморегов, или они не считаются полноценными банками?
Б: Не считаются полноценными банками.
А: Почему Chase нам не подошел, а SunTrust все дал? Разница была в примере только в балансе, или SunTrust как-либо еще выгодно отличается?
Б: Chase раньше был хорош, но они начали усиливать AntiFraud, когда его совсем сильно начали убивать.
А: Что такое привязка по AN/RN? И где пробивается CR?
Б: Привязка по AN/RN = Аккаунт и Routing-номерам, счета привязываются либо мгновенно, либо вводом этих 2 переменных, о них говорили выше уже.
А: Значит не все банки принимают с PrePaid карт? То есть, надо искать тот самый, или как?
Б: Не все банки принимают с PrePaid карт, верно. Искать банки можно и нужно разные, есть даже банки без первоначального депозита.
А: И как происходит работа с тем же Walmart, Movo и БА саморегом, Brute?
Б: С Walmart на Movo нельзя залить. Скорее, на Movo, а затем на Walmart. Но Movo берут под больший %, поэтому выгоднее лить на нее. С другой стороны, у Movo есть свои нюансы, вы с нее счет в банке не пополните, а с Walmart - запросто. Можно использовать Walmart для депозита, но не все банки кушают такой RN.
На Movo с Brute залить нельзя. Brute крепим к саморегу БА, с саморега на Movo - обналичиваем.
А: Что за правило 12 часов?
Б: Отправления, которые отправлены по АСН до 12 часов (-5, зимой -6) - идут в тот же день. Отправления, отправленные по АСН после 12 часов дня - начинают свой путь только на следующий.
Советую делать банки, которые позволяют совершить первый депозит при открытии счета. Депозит можно сделать не только с БА (По AN и RN), но и с СС в некоторых случаях. С СС думаю тут понятно, а вот первое пополнение банка с БА идет в подавляющем большинстве случаев с помощью АСН. Как мы помним из прошлой лекции, нам нужно поймать проверочные платежи (1-2 дня) и зачисление идет еще 3-4 дня. Итого - неделя. Вопрос - в какой день недели нам лучше всего работать? Верно, в понедельник. В пятницу уже однозначно получаете ответ, либо вас банк опрокидывает, либо да. А в понедельник, если повезет - в четверг даже, и вы успеваете при этом слить деньги куда-то еще (В пятницу).
Мы с вами рассматривали привязку по проверочным платежам. Сейчас многие банки пользуются конторами по API, эти конторы позволяют обойти верификацию проверочными платежами, так как это долго, эти конторы вяжут БА для депозита по логину и паролю.
Пример API - Plaid, Yodlee. По сути, такая же технология, как когда вы привязываете БА к ПП мгновенно. Однако, ПП - это ПП, а тут у нас БА. И есть свои моменты. По закону в США вы можете пополнять свой БА только со своего уже отрытого счета, который оформлен на вас, где ваши ФИО. Что это значит - регистрируете саморег БА на пробитые Full Info данные Brute-БА, привязываете по логину и паролю Brute-БА, сразу вас спрашивают сумму депозита, ждете 3 дня и приходят деньги, это быстрее. ФИО должны обязательно совпадать при привязке мгновенно. Иначе словите блокировку. Запомните. Это к вашему случаю с Payoneer вчера.
Нет минусов при привязке, пробив только (сама стоимость), SSN+DOB у пробивщиков 4-6$. Совет - ФИО должно совпадать, но человек может быть другой. В некоторых банках есть сверка и по адресу, нужно щупать индивидуально.
А: Как сливать большие суммы, если мы сливаем по 600$, а следом прилетает отмена и счет блокируют?
Б: Раскачкой БА, либо открытием БА с повышенными лимитами (говорил об этом выше). Либо банк специальный искать под большие заливы.
А: То есть, Full Info может быть на человека с таким же именем, как у Brute-БА, но не обязательно его?
Б: Верно, но это не со всеми банками работает. Я перечислил API в США (Plaid, Yodlee и другие), под каждую из них вам нужно читать документацию, что они сверяют и как.
Например, я нашел одно API (Quovo), которое сверяет ФИО и адрес при привязке по AN/RN, хотя это бред полный.
Еще одна фишка - когда банк, даже при привязке по ANRN, отправляет вам платеж на ваш саморег, то он так же и отправляет ФИО получателя платежа. В некоторых банках- получателях платежа при несовпадении ФИО КХ и ФИО получателя платежа - отклоняют платеж. Этот момент тоже учитывайте. Movo является в данный момент тоже такой же финансовой организацией, которая отклоняет платеж, который идет не на имя КХ.
Работа с заливом своих саморегов описывается так, если кто не въехал:
Берете свою Full Info, пробиваете на нее BG и CR, берете левый Brute-БА с пробитыми AN/RN, регистрируете саморег БА, отвечаем на вопросы, вводим, на последенй странице просят ввести ANRN номера внешнего Brute-БА и сумму, вписываем, ждем 3 дня, входим в саморег БА, вводим 2 проверочных платежа, идем в конторы по пробиву проверочных платежей (PersonalCapital, Wave и другие), смотрите проверочные платежи, вводим в самореге БА. Все, Brute-БА верифицирован, деньги на счету через некоторое время.
Лог БА обрабатывается иначе, чем Brute-БА, не путаем эти вещи.
Хорошо, у нас деньги лежат на нашем БА самореге. Дальше эти деньги вы заливаете допустим на Movo или куда угодно. Вяжется она так же по ANRN, либо на Walmart, либо в инвест-конторы заливаете, с инвест-контор в Movo или куда угодно. Главное их успеть снять с вашего саморега БА. Если вы делали саморег БА в банке, который поддерживает Zelle, то ищете человека, который принимает Zelle. И он вам в BTC выплатит в тот же день за залив.
А: Почему на саморег может прилететь отмена, а на Movo/Walmart нет?
Б: На Movo тоже может, но Movo в данной цепочке - 3 лицо. В США есть правило - 3 лицо без отмен. Так называемое "Правило трех рук".
Brute-БА (Средства КХ) - Саморег(Средства отмены) - Что-угодно (Без отмены).
И все это законодательно. Логично, что деньги списывают с того человека, который их получает. Но если он при этом платит мне за что-то, то почему я должен страдать из-за него? В США же отмена означает отправку обратно средств на источник зачисления.
Brute-БА - Cаморег БА (1) - Саморег БА (2). На третьем банке (Саморег БА (2)) в цепи уже деньги без отмены. Получается, что саморег БА (1) - это прокладка. Надеюсь, теперь понятно, зачем вам Movo и Walmart. Подставляете их на место саморега БА (2). И заливаете. И средства без отмены уже.
VCC (Virtual Credit Card) эти - по сути ваши карты, вы ими можете расплачиваться в своем магазине, заказать еды из США, оплатить в России с помощью Apple или Google Play очередную баночку пива. Если вы знаете, куда девать без отмены VCC, то сможете с легкостью себе перегонять деньги. К VCC еще вернемся, они будут частью вашего задания.
Могут ли заблокировать без отмены счет? Mогут. Например, заблокировать по вопросу происхождения средств или верификации, или Full Info кривая. Списать ваши деньги права не имеют с счета, где нет отмены, но заблокировать с вопросами - легко.
Далее, давайте обобщим.
Пополнение БА саморега:
1) Пополняем с БА
а) По API, Full Info, Brute-БА = Full Info саморег БА.
б) Через проверочные платежи.
2) Пополняем первый депозит с СС.
3) Брать кредиты на саморег БА
Рассмотрим второй вариант - «Пополняем первый депозит с СС». Как оно происходит.
Выбираем этот пункт, вписываем данные, деньги приходят мгновенно, иногда есть задержки 2-3 дня. В некоторых банках все еще есть возможность пополнить без совпадения Billing'а. И даже с КХ с другим именем. Есть банк, который позволяет пополнить с СС другой страны. Зависит от банка. Но обычно с СС пополняется все же со сверкой данных, то есть, приходится пробивать Full Info под CC+ SSN+DOB. И делаем саморег БА на Full Info от СС. И пополняем. Но мы ж не знаем баланса на СС как быть? Сейчас расскажу.
В CR у нас написаны данные об открытых аккаунтах и картах на КХ. Прикидываем баланс и бьем. CR же не один раз в жизни обновляется, там написаны суммы актуальные (раз в месяц обновление). Например, использование кредита и так далее. И по карте тоже узнать можно информацию в CR. В CR также можно узнать, продали ли вам Valid CC или нет. Там будет написано Closed, если она не Valid.
По сайтам.
Пробив BG:
truthfinder.com
instantcheckmate.com
beenverfied.com
whitepages.com
developer.yodlee.com
Поиск по Nickname:
pipl.com
peekyou.com
Пробив CR:
freecreditreport.com
annualcreditreport.com
Пробив машин КХ:
allstate.com
geico.com
Пробив работы КХ:
guidestar.org
Пробив дома, вплоть до цены и цвета крыши:
zillow.com
Водительские права (DL)
highprogrammer.com
Создаем водительские права, галочку ставить обязательно:
elfqrin.com/usssndriverlicenseidgen.php
Проверяем, какой и где банк по RN (Routing-номеру):
bank-code.net
По BG, как видите, нужен вбив на аккаунт. Остальное бьется бесплатно. Включая CR. Про пробив CR целая статья:
По поводу водительских прав и MMN. Данные по идее про них можно вводить любые, так как у банков нет единой базы. Есть только сверка, чтобы вы не написали в штате Кентукки, а права от Канзаса. То есть, они там различаются. В одном штате номер прав содержит только цифры, а в другом - еще и буквы. Значит, создаем водительские права под штат и под КХ (см. сайт выше, там нужно галочку ставить и водительские права (DL) выбирать, чтобы прямо было идеально). В некоторых штатах права исходя из DOB генерируются. И банк может прикрутить сверку прав некоторых штатов к DOB, которое вы указали.
Все данные созданных прав сохраняете. И не только прав. К каждому КХ создаете папку.
Туда BG грузите, CR. Скриншоты все, данные, логины.
По поводу CR - annualcreditreport пробивает по трём бюро - TransUnion, Experian и EquiFax. freecreditreport.com пробивает только по одному бюро - по Experian. C ним у нас
и идет основная работа, именно с freecreditreport.com. Но зависит от банка, в части ссылки вы иногда можете понять, по какому бюро идет сверка и пробить по нему, либо открыть код страницы и там будет название бюро или провайдера, который производит сверку данных КХ. Исходя из этого уже пробить, но мне хватает Experian для почти всех ситуаций, редко Trans Union бью.
Да, и еще. Когда вы пробиваете CR, то вам тоже вылезают секретные вопросы. Зачастую вас так же спрашивают про финансовые вопросы. Пример - зашли на freecreditreport.com.
Вбили данные КХ. Вышли вопросы и таймер тикает (5 минут).
Вопрос 1 - ваш знак зодиака? Бежим в BG, находим, отвечаем.
Вопрос 2 - на какой вы жили улице? Бежим в BG, отвечаем.
Вопрос 3 - у вас есть карта в банке, который называется как? Отвечаем - (Non of the above). Готово. Получаем доступ к CR, качаем, получаем данные.
FAQ:
А: Самореги БА требовательны к настройке системы?
Б: Portable FF (Поднастроить), Whoer 100, IP без черных листов.
А: 1) Movo должна быть на ту же Full Info, что и саморег? Чтобы при отправление на Movo, она не отказала при отправке ФИО? Верна догадка? 2) Почему ты дал так же вариант еще саморег - инвест-контора - Movo? Зачем прокладка из инвест-конторы?
Б: 1) Да. 2) Не все банки дают сделать отправление на Movo, RN пишет не верный, убирают эту возможность.
А: IP под штат искать? Порты имеют значения?
Б: Под город желательно. Порты значения не имеют.
А: Обязательно FF или можно Chrome?
Б: Можно Chrome.
А: AoL почта не подходит? По настройке - WebRTC включен, Flash выключен? Это все?
Б: Подходит. По настройке - да. DNS SOCKS еще. Отпечаток (Finger) с SOCKS'а тоже пусть цепляет, копайтесь в FF Portable, там есть параметры.
А: Как gmail регистрировать не подскажешь? Даже TextNow номера не принимает для регистрации.
Б: С чистых SOCKS дает без номера. Используйте регистрацию в Outlook'е, если у вас ограниченный бюджет, либо другие сервисы без приема СМС.
А: По Walmart карт не совсем понял, если пока их не получат и не активируют, туда баланс можно заливать/перезаливать или под подставное лицо делается и льется?
Б: По Walmart - вы их заливаете до тех пор, пока их не получат и не активируют, либо до тех пор, пока не получат и не позвонят и не нажалуются (и ее заблокируют).
Задание:
1. Придумать способ обналичивания своих VCC.
2. Сделать самореги в следующих банках:
Charles Swaab
Marcus Savings
Suntrust (для смелых)
Любой банк найти и сделать там саморег себе.
При регистрации банков получать свой опыт. Либо обсуждать эти моменты в чате. САМОСТОЯТЕЛЬНАЯ работа. Когда (если) будете работать, то постоянно я вам все подсказывать не смогу, учитесь решать проблемы и чувствовать AntiFraud.
Почты по степени заметности, на какую больше обращают внимания, а на какую меньше (от самой проверенной, к наиболее рискованной, на которую AntiFraud злится):
Своя почта, корпоративный домен, Gmail, Outlook (Hot), Yahoo, другие крупные провайдеры США, mail.com, protonmail/tutanota, Yandex, mail.ru
По заданию - самореги перечисленных мною банков не пригодны для заливов (блокируют), но дают понимание о работе.
У банков читайте у всех правила и все такое, глаз набьете себе через 10-20 регистраций и будете уже находить ту информацию, которая нужна - почти моментально. У всех FAQ и документаций есть общий шаблон, в нем и ищутся ключевые слова, по ним определяется годность или ее отсутствие определенной конторы или банка. Не помогло - значит технической поддержки на почту/в чат и узнаем подробности. Будьте дотошными. Вы - клиент. Вам надо все узнать о банке/конторе. Вы же не понесете в МММ свои деньги, которая потом закроется.
У меня множество таблиц, графиков и записей. Все четко по папкам раскидано. И в голове множество информации по каждому КХ, знаю их дни рождения, адреса. Пользуюсь Excel и блокнотом. Скриншоты тоже делаю часто. На рабочего КХ у меня по итогу получается комплект со всеми данными, к ним отрисовки водительских прав, иногда даже Selfie делаем. В хозяйстве пригождается. Подставному человеку даешь водительске права и говоришь - сделай фотографию. Уделяю времени на работу - 12-16 часов. Иногда сна нет, парни. 24-36 часов бывает. Заряд есть и работаем. В данном случае азарт включается.
Документы и их подделка. Урок 25.
И так, сейчас мы разберем документы и их подделку. Затем перейдем к оставшимся темам. Открывать документ с помощью Adobe Acrobat PRO, либо PDFEdit. Вообще сгодится практически любая программа, чтобы редактировать PDF-файл.
Это выписка (Statement) из БА.
В общем, рассказываю. Есть конторы, банки, да даже та же ПП. Иногда случается так, что вам падает письмо на почту о том, что нужно пройти верификацию. Аккаунт при этом может после этого попасть в блокировку или не попасть. Зависит от требований отдельно взятой организации, с которой вы работаете. К примеру, вы сделали депозит на банк с Brute-БА. И вас попросили Statement скинуть на почту, типа подтвердите, что это ваш БА. А до тех пор мы вам доступ не закрываем, а лишь подморозим транзакции исходящие. Тут нам стоит понимать, что от нас требуют. Если это PDF-документ - тут все строго. Никаких следов редактирования, все четко должно быть, шрифты - совпадать. За данные я молчу, так как это - основа, и не важно, будет PDF или фото.
Хорошо, а если вас просят фото сделать, то здесь уже интереснее. Как вы знаете, фото содержит в себе exif-данные. Это такие мета-данные, которые выдают сведения о фотографии. Где сделана, кем, какое устройство, вспышка включена или нет, освещение. Время фото. В банке на это обращают внимание. В ПП может и нет, может там это делает система. Зависит от контор. Так вот, если вы делаете PDF, то у вас должны строго быть одинаковые шрифты с теми, что есть в Statement. Все должно быть четко. Вы либо редактируете уже имеющиеся шрифты под свой, либо свой подгоняете под такой, который в Statement. Так как зачастую везде шрифты разные. Если вас просят фото Statement, то тут не критично. Предварительно, соответственно, вы подгоняете все данные в Statement (перед его распечаткой).
Я вам скинул пример. Я делал эту выписку, но это вроде оригинал. То есть, взял выписку с другого аккаунта и подредактировал под свой. Зачастую конторам нужно, чтобы там были видны проверочные платежи. Или какие-то расходные/приходные транзакции. Amazon, к примеру (Если кто заказывал), просит банк выписку со своими транзакциями. Все остальные транзакции не особо важны, но у вас должны сходиться все суммы. Не должно быть так, чтобы оборот за декабрь всех транзакций на 3000$, а в Total (Внизу) - 11000$. Подделка документов - это очень кропотливая работа, нужна усидчивость.
По поводу QR. Не все их сверяют, от конторы зависит, на моей практике эта штука не сверяется, даже в банках. Но каждый случай индивидуален. В основном от вас требуется изменить адрес, дату, AN (Аккаунт-номер), транзакции, дату каждой транзакции и Total. Тот Statement, что вам скинул я - для редактирования сложен. Так как в нем много
данных. Когда я его подделывал, то там часто съезжали все эти строки с транзакциями. И приходилось как-то выкручиваться. В этой выписке конкретно 81 транзакция была в оригинале. Здесь они срезаны. Его отправили в Google в таком виде. И его одобрили.
Хорошо, это Google, и там свои правила (щадящие). В банках и конторах иначе и такое не вкатит. Так, это по PDF-документам.
По тем, где нужно присылать фото выписки.
Выписка должна быть всегда согнута пополам. То есть, КХ его по идее получает по почте. По реальной почте. И в силу специфики письма (Конверт), А4 лист туда вмещаться полностью не может, если его только не сложить. Поэтому вы делаете выписку в PDF. Печатаете на принтере. На ХОРОШЕЙ бумаге. Складываете его и проминаете, чтобы были видны изгибы. Меняете время на телефоне/планшете под актуальное по США (Это важно), отключаете GEO по фото, если было включено. Делаете фотографию, аккуратно загружаете с помощью переноса файлов, чтобы не убить данные вашего телефона (Они проверются на достоверность), говорил об exif-данных выше. Можете поискать. И тогда вам с большой долей вероятности все одобрят успешно.
Выписки просят свежие, до 3 месяцев. К ним же относятся и Utility Bill, счета за свет, воду, газ, телефон, интернет, которые содержат ФИО КХ и полный адрес. У нас были уже косяки, что фотографировали по времени из будущего, после этого аккаунты замораживали, только потом догадались о причине. Вообще зависит от конторы, они сами в требованиях обычно пишут дату. Где-то - 3 месяца, где-то видел 6.
Теперь пару слов о выписках из инвест-контор. Обычно их не принимают к верификациям. Но в некоторых конторах они все равно есть. Stockpile, Robinhood.
Это выписка с Robinhood.
В некоторые организации прокатывает отправка выписки из инвест-контор. Почему эту тему затронул? Потому что выписку от инвест-контор сделать легче и она универсальная. По выпискам и подделке документов это все.
FAQ:
А: Выписки мы скачиваем из ЛК БА своего и редактируем?
Б: Верно. Либо можете попросить у народа. Может быть есть у кого нужные, но делятся неохотно. Ибо хлеб рисовал. Свою базу выписок нарабатывайте.
Да, есть еще одна фишка. Хотел бы рассказать вам про скрытые блокировки и Fraud. Заключается она в том, что вы может и видите, мол, можете сделать депозит 100к$. Но по факту вы этого сделать не можете. И ваш аккаунт скорее всего уйдет в блокировку. Там попросят документы/звонки. Или явку в отделение. Делать нужно все с умом. Если вы сделаете депозит сразу и вам нужны деньги с большей долей вероятности - возьмите за правило первый депозит делать в районе 600-800$. БА на 10000$ (Brute) - сделали депозит 600$. Слили от 600 три сотни. Все ваши действия фиксируются в банке.
Как работает схема для новичков. Берутся Brute-БА. Brute-БА = балансы 5000-10000$, больше нам нет нужды брать для старта. Делаете депозит 600$-800$. Допустим, сделали депозит на 700$. Сумму делите на 2. 350 = выводите дальше. 350 оставляете на счете. Далее, делаете депозит на еще 1200, к примеру, с Brute-БА. На тот же аккаунт. Там уже лежит 350. Приходит сумма. Делим на 2. 775 сливаем. 775 оставляем. Хорошо, допустим, мы не хотим больше работать с подвязанным Brute-БА. Нам кажется, что он сдохнет вот-вот. Выводим от 775 еще 50%. Остается 387. Которые мы затем одним отправлением шлем на вывод. Готово.
Вы можете залить 800 и тут же их слить. За вывод такой суммы разово (используя банк, как транзит) вам ничего банк ОБЫЧНО не делает (зависит от банка). Но при повторном заливе в 80% случаев - блокировка. Не по причине там Fraud'а на Brute-БА. А по причине набора Fraud-очков в вашем принимающем банке.
Далее, скрытые блокировки. Есть скрытые блокировки и лимиты. Один из таких примеров - US банк, когда вы перегоняете с одного счета (Кредитного, к примеру) на другой (Checking). У вас не написан лимит нигде. Вы его сами щупаете. Сами находите. Вы можете разом сделать депозит на 10000$ и вам выдаст сообщение - сударь, ваш лимит 6000$. При этом, в банке на вашем аккаунте сработает предупреждение. И в следующий день вы можете вообще словить блокировку на эти перегоны средств.
Мораль такова - делайте депозиты по немногу и регулярно, если есть такая возможность. Скрытые блокировки - это когда вы можете что-то сделать формально, но этого не происходит, выходят какие-то левые ошибки и др. Опять в пример привожу US банк. И такую систему, как Zelle. В US банке есть Zelle. Вы можете по логике вещей отправить по ней 2000$. Но при попытке нажать Continue - вам выдаст окошко, мол, у нас технические проблемы. С ПП та же штука, вы с этим по-любому сталкивались уже. Когда делаете депозит вроде бы на свой саморег ПП. А вам пишет, мол, мы не можем. У нас проблема. И не пишут, какая проблема. Это и есть скрытая блокировка. Конкретно в ПП он снимается задабриванием Fraud'а и выполнением определенных действий. В банке так НЕ работает. В банке вы либо звоните, либо ждете следующего отчетного периода.
Так, об отчетных периодах тоже тему давайте затронем. Отчетный период - это промежуток времени (Месяц), за который КХ приходят выписки по всем его операциям. Он всегда разный и двигается на день каждый месяц. В той выписке, который я вам скинул - он тоже есть. В банках США обычно отчетный период позволяет обнулить скрытые блокировки. Блокировки обнуляются спустя 3-4 дня от окончания предыдущего периода.
Хорошо, по поводу выписок. Выписки бывают 2 видов. Электронные и бумажные. Они либо приходят КХ на почту, либо по реальной почте. Вам нужно самим выбирать, какой тип доставки выписок оптимален. Вы же понимаете, что если КХ не получит выписку за очередной месяц по почте, то он будет паниковать? Всю жизнь вам банк отправлял их. А тут он не пришел. И вы звоните в банк. И узнаете, что вы выбрали выписки на электронную почту, а не обычной почтой. Вы в шоке (как КХ), у вас ведь нет электронной почты. И начинается разбирательство. Вам оно надо? Нет. Думать надо головой, вот что.
Совет. Суть в том, что вы можете специально подождать, когда КХ придет выписка. На почту или на Email. И после этого начать делать свои расходные дела по его счету. Чтобы КХ думал, что все хорошо. С оповещениями и выписками у нас все, еще две темы остается.
Да, и еще, я все рассказываю исключительно из своей практики, то, как было у меня, все эти моменты на себе проверил. Можете тоже опыт купить за свое время или деньги, но на чужих ошибках менее болезненно получается учиться.
А: Как узнать, когда приходят выписки Brute-БА? Заходить в аккаунт? (что не очень идея)
Б: Никак.
А: После таких скрытых блокировок в отлежку, как и с ПП?
Б: Отлежка до чистой (новой) выписки (дата прихода +3-4 дня).
Хорошо, следующая тема. Коснемся безопасности. Как вы знаете, я принимаю на свою карту, не буду говорить как и чем. Для лучшего усвоения материала, предлагаю вам рассмотреть ироническую зарисовку:
Что тут изображено и что нам нужно видеть: FBI, Интерпол и местная полиция, суммы и последствия. Я лишь предположу, что если вы будете гнать по 10000$+, то у Интерпола будет экономическая целесообразность взяться за вас. 10000$ с одного аккаунта. Как происходит расследование в США, если с БА увели деньги?
Вообще, в БА расследуют всё. Только по-своему. Суммы до 2000$ входят в юрисдикцию полиции города или штата. Полицию города или штата любая контора может послать, даже в пределах США. И поиском преступников занимается в данном случае страховая. Но она постольку поскольку - ибо им проще выплатить страховку, если только суммарная величина убытка не перевалит за какую-то сумму - то они начинают трясти банк. И искать врагов. В лице нас. Дальше полиция обычно упирается в необходимость отправить первую бумажку и дальше дело закрывается. И сами банки, то есть СБ и отдел, который занимается расследованием виртуальных краж, так называемое виртуальное СБ. Суммы выше 2000$, но меньше 5000$ занимается уже полиция страны, ФБР. То есть, там расследование уже будет идти несколько дольше, потому как послать их не всегда получается.
А кто их посылает? Давайте представим ситуацию. Написали заявление, что в банке (допустим, SunTrust) пропало примерно 4000$. Что делает обычный полицейский? Да, он запрашивает логи соединения с этим БА потерпевшего. Далее, он видит, что IP разнится от IP КХ. Дальше по своим источникам/справочникам полицейский проверяет, кому принадлежит данный IP. И замечает - данный IP находится у провайдера VPN. К примеру - Digital Ocean. Полицейский пишет письмо на имя провайдера. С просьбой дать логи соединения. У провайдера два варианта. Либо послать, либо логов нет. Как вы знаете, у многих компаний фишка. Что мы логов не ведем, вы у нас такие ценные и анонимные. Ваши данные это наш приоритет, их никто не получит и так далее. Ну, по факту, вранье. Так вот, первый VPN посылает полицию - логов не ведем. В таком случае, полицейский напоминает им о патриотическом указе больше известном, как 9/11. И провайдер уже и сливает логи.
А по второму варианту все интереснее. Так вот, VPN провайдер работает, как правило на оборудовании некоего оператора интернета. К примеру - Ростелеком в России. Таким образом, полицейский просто пишет письмо в такой-то Ростелеком, у которого по-любому есть логи. И маска вашего VPN'а сорвана, а послать ФБР несколько сложнее - потому, как это сильная контора. И срок за пособничество террористам от 25 лет. Таким образом, как правило все VPN ведут логи.
А что происходит, если VPN находится в другой стране? А тогда просто имеет статус международного, а отказать международный запрос сложнее. И практически все страны идут на сотрудничество. В России до санкций - ФБР или полицейские писали письмо полиции
российской - отдел К. И они тут же шли помогать, хотя ничего не обговорено и выгода небольшая. Это в догонку к тому, что в запросе будет и MAC, и ID номер Windows.
Теперь рассмотрим, что будет в случае суммы выше 5000$, а в таком случае просто возьмется секретная служба, которая в США еще имеет и полномочия защищать полномочия банковской сферы. Что это значит? Это значит, что автоматом запросы идут от Интерпола и запросы от секретной службы идут с грифом дипломатическая почта. И автоматом сдадут все и вся. И звучит забавно, казалось бы, кто поедет за вами куда-то там, поэтому просто возьмут и выпишут ордер на ваш арест и в случае вашего выезда за границу просто возьмут вас там. Местные не будут прессовать без возбуждения дела.
Подведем итоги. Лучше пользоваться своим VPN, в котором можно самим следить за логами. И еще одна позитивная вещь. Так вот, инициация расследования обходится в сумму немного меньше, чем 3000$. И каждый запрос увеличивает стоимость расследования, поэтому вероятность, что будут искать из-за суммы ниже 3000$-4000$ - маленькая, но все же есть.
Так же, не забывайте, что у экономических преступлений в США есть срок давности.
После санкций поменялось отношение. Не на все кидаются. C не просто так, ведь вырос за последние годы. Регулярно, если смотрите сводку новостей, при встречах Путина и Байдена, последний не забывает упомянуть о данной проблеме, но пока она спускается на тормозах. Вместо реальной помощи в России, американцы довольствуются арестами в Таиланде, Бали и так далее.
justice.gov/opa/press-release/file/1032021/download
gazeta.ru/social/2016/10/24/10267649.shtml
Можете посмотреть ради интереса, наверняка найдете некоторые знакомые вам никнеймы.
Если захотят - найдут за любой цепочкой сокрытия IP. Обычно люди сами дают повод себя найти, например, оставляют свои данные. Реквизиты, ники, связи. По ту сторону закона умные головы сидят.
Так, по безопасности это все. Коротко о биржах. Слышали про Coinbase? Берете саморег БА, со всеми данными, сканами. Регистрируете под него биржу, там БА вяжется мгновенно или по AN/RN, зависит от банка. И делаете депозит без отмены на свой саморег БА и выводите туда в BTC. Между этим выводом нужна прокладка. Может быть платежная система какая- нибудь или другой БА саморег. Там в принципе не очень сложный алгоритм, сама суть в прохождении верификации, иногда даже видеоверификацию требуют.
Ладно, поехали дальше. Последняя тема. Поговорим про подставных людей (они же Drop'ы) и вербовку в США. Что такое подставное лицо? Подставное лицо - это человек, что сознательно или не очень сознательно готов принять наш залив. Исходя из этого видно, что подставные лица делятся на разводных и не разводных. Разводные те, кто не осознают, что вы льете грязь. Их еще можно назвать виртуальными, потому что ищутся обычно они в онлайне. Неразводные, соответственно, осознают, что делают. Они в курсе, что эти деньги могут быть не очент законными. Их ищут в реальной жизни. Разберем подробнее про каждый вид подставных людей.
Неразводные:
1) Можно сразу рассказать все как есть, ничего не скрывая.
2) Полный контроль над ними - их знаете и контролируете.
3) Могут кинуть - полиции вы не пожалуетесь на них, ибо ваша деятельность черная.
4) Безопасность - вы лично их знаете, они вас, и если их принимают, то зачастую и вас, потому что очень немногие умеют держать язык за зубами.
Как их найти - ну, может показаться, что это сложно, но поработав полгода или чуть больше с БА, то вполне можно себе позволить командировку в США. Именно командировку!!! Это важно. Не отдых. Не Лас-Вегас, проституток и наркотики. Расскажу по опыту тех, кто ведет конторы подставных лиц и общения с ними. Летим в США, дальше в городе, где вы поселились, ищете район, где много всякого сброда, либо молодежи, студентов, авантюристов. Ищем клуб. Не пафосный, не статусный, среднего класса. Нет лимузинов и дорогих машин перед входом или на парковке, идем туда. Идем не для потусить. Идем работать. Поэтому берем пиво или что-то легкое. И стоим, наблюдаем. Наблюдаем за людьми. Нужно отобрать визуально человек 10-15. Те, кто не может позволить себе что-то, но очень хотят. Таких сразу видно. Выбрали - заводим разговор, можно угостить выпивкой, но не много. В процессе разговора - предлагаем заработок, но не очень легальный. Сразу скажите, что не проститутки или наркотики. Но не спешите, не раскрывайте сразу всю суть. Обычный предварительный разговор. Назначаете встречу на следующий день - это ключевое.
То есть, поверхностно человека ознакомили, не вдаваясь в подробности. И скажите - остальное завтра, встретимся где-то в хорошем, уютном месте. В кафе или баре, чтобы проверить на серьёзность человека. На встречу идем не в одиночку, а берем большого и страшного человека (Если вы сами не такой упитанный кабан). Он должен психологически давить. Некая группа поддержки. И еще не забывайте о дресс-коде, нужно одеться так, чтобы было видно, мол - дорого. Но не броско. На встрече предлагаете принимать платежи и переводить вам. За определенный %. Обычно большинство людей соглашаются. Наверное, подумали, а не окажется ли ваш собеседник техасским рейнджером? Без разницы. Для того, чтобы вас приняли - нужны неопровержимые доказательства вашей деятельности, которых никто не сможет предоставить, ведь вы просто сотрудник одного кадрового агенства из России. Печатаете себе визитки, когда за подставным человеком соберетесь. Можно и поизощреннее делать, на вашу фантазию.
Далее. Разводные подставные лица.
Это виртуальные подставные лица. Обычно, если надумаете с ними работать, то суммы можно любые для наработки заливать. Процент тут обычно другой: 70 % вам, а 30% ему. И сами смотрите. Понимаете, что в полиции на него не подадите в случае того, если он вас кинет. И вообще очень важно, первый залив, неважно какому подставному человеку - минимальныый. Так как тестовый подставной человек. Наверняка по вещевому С, если изучали тему подставных лиц и приема товара, то там есть тестовые подставные лица и нормальные.
Так, по виртуальным тут расскажу два основных пути поиска - их есть больше, но тем не менее.
1) Скам.
Скам - это развод американцев на сайтах знакомств. Находим девочку студентку. Договариваемся с ней о покупке у нее за некие небольшие деньги около 10 фото и за отдельную плату поднять телефонную трубку и поговорить, если получится. Так вот, на ее фото размещаете анкету на сайте знакомств и начинаете ставить «Мне Нравится» мужчинам в стране залива. Обычно на 100 «Мне Нравится» прилетает 10-15 предложений познакомиться. Знакомимся с ними. Дальше общаетесь, а потом через некоторое время рассказываете пожалостливее историю. Что вы якобы работали на своего работодателя долго и упорно, заработали кучу бабла, а теперь не можем их получить в России, и многие соглашаются. А там он уже вам может и в BTC перегнать, если договоритесь. И теперь у вас готовый подставной человек. Тут важно владеть хорошим СИ.
2) Мы - представитель европейской компании, открыли бизнес в США. Ну, как открыли. Не открыли, а пробуем открыть филиал. Например, продажи уже ведем, но юридически не можем работать, так как для открытия филиала и получения визы такого типа в США нужно вложить в уставной фонд не менее 250000$. Мы пока не уверены в емкости рынка и поэтому изучаем спрос. Для этого нам нужны люди, которые готовы за 3-5% принимать деньги себе на счет и переводить в Европу. Это легенда наша. Как развивать - делаем целевую страницу на реальную европейскую контору, но адрес с ошибкой. Телефон указываем, допустим Google Voice или любой другой VOIP (Zadarma и другие сервисы). Размещаемся в социальных сетях, досках объявления (Например, Avito, но для американцев), даем адрес, ждем. Через 3 дня примерно у вас будет 150-200 подставных лиц, каждый должен прислать скан ID или DL и реквизиты БА. Ну, и естественно бланк красивый надо еще нарисовать для работы. И готовый по сути Drop-проект. Обычно можно вложиться в 30-50$. А можно купить Drop-проект. В США готовый стоит 500-2000$ примерно.
Минусы:
a) Как только подставной человек понял, что его развели - может кинуть вас на залив.
б) Нет полного контроля за такими подставными людьми. В любой момент может забухать или что-то подобное.
в) Внешние факторы: Соседка сказала, что злые люди, так деньги отмывают.
г) Массовость - попробуй проконтролировать 100 человек и одновременно с ними общаться и их словами и вопросами.
Плюсы:
а) Дешево.
б) Массово (Много подставных лиц по сути за пару дней работы). в) Работа в онлайне - низкая себестоимость.
г) Анонимность вытекает из онлайна.
д) Безопастность - то есть, вы просто интернет персонаж
е) Можно документы собирать, просить Selfie делать с документами, и вы уже имеете комплекты под те же биржи. Либо брать кредиты.
Бронирование отелей. Авиабилеты. Урок 26.
В этом уроке поговорим о таком направлении работы, как бронирование и аренда, а если более конкретнее - отели, автомобили, экскурсии.
Существует несколько способов сделать бронирование в отели за чужой счет:
• Оплата по форме авторизации.
• Оплата СС через агента.
• Оплата через Booking.
• Оплата ревардами.
Разберем каждый из этих вариантов.
1) Вариант по форме авторизации. Что это вообще такое? Форма авторизации - это анкета, в которой указываются все данные плательщика, срок проживания и данные карты, данной формой КХ подтверждает свое согласие на списание средств. Далее, работник отеля, вводит данные карты в ПОС-терминал и совершает оплату.
Теперь все по порядку. Идем на booking.com. Выбираем отель, делаем бронирование на того, кого будем заселять, можно обойтись и без booking.com, а сразу звонить в отель. Звоним в отель и представляясь агентом, запрашиваем форму авторизации для оплаты бронирования.
Диалог выглядит примерно как-то так:
- Привет, я из туристического агентства «ХХХХХ», мы хотим забронировать номер для нашего клиента. Возможно ли оплатить через форму авторизации?
- Да, конечно.
- Очень хорошо, отправьте форму на [email protected].
Форма авторизации:
Заполняем форму авторизации. Credit Card Holder's Name вписываем КХ или вымышленное имя. Hotel Guest Name вписываем того, кого будем заселять. Телефоны указываем, например, Skype с автоответчиком. Делаем отрисовку, тут важный нюанс, лучше делать отрисовку не в виде сканов, а в виде фотографий в руке. Отправляем все это на электронную почту, указанное в форме, часто просят отправить по факсу, тут нужно звонить и просить дать адрес Email.
Получаем Slip-Check, чек подтверждения проведенной транзы. Без этого чека никогда никого не заселяйте! Необходимо соблюдать максимальные лимиты на одну транзакцию. Не делать более 2000-3000$, так как очень часто на большие суммы стоит ограничение на совершение платежей.
Что делать, если стоимость бронирования 4000$ на 10 дней? Разбиваем на два бронирования - первая на 2000$ - 5 дней и вторая на 2000$ - 5 дней.
Схема выглядит так. Заходим на booking.com и делаем бронирование на того, кто будет проживать (можно делать, хоть за месяц до заселения). За 2-3 дня до заселения звоним в отель, получаем форму авторизации - оплачиваем. Заселились. За 1-2 дня до начала второго бронирования, звоним с того же номера в отель, получаем форму авторизации - оплачиваем.
Самые лучшие карты для внесения оплаты - это Малазия, Сингапур, ЮАР, Германия. Здесь нам важем максимальный срок на то, когда может прилететь отмена. К звонкам и отрисовкам надо подойти максимально серьезно! Качество должно быть высокое, сомнений у работников отеля быть не должно!
2) Вариант вбива в агента. Существует огромное множество агентов посредников между отелем и человеком, кому этот отель нужен. Главное отличие тут в том, что агент имеет свою платежную систему для приема оплаты за отель.
Разберем на примере Expedia.com. Бьём с DS или SSH-туннеля, подбор SSH-туннелей и DS'ов штука очень серьёзная. У агентов очень жесткий AntiFraud, поэтому всё делаем максимально четко. Материал подбираем тоже внимательно, ZIP SSH-туннеля/DS'а должен совпадать с ZIP СC.
Если нет материала под ZIP, значит не берем этот SSH-туннель/DS, так как даже если оплата и пройдет, то бронирование не даст, а если и даст, то потом будет отмена, проверено многократно. Еще есть один нюанс, который повышает шансы - можно вписать в проживающих КХ. Далее, он может просто не приехать, а еще лучше прозвонить отель от имени агента, через которого делали бронирование и попросить поменять Имя и Фамилию КХ на нужную нам.
Надо понимать, что Expedia.com очень популярный, и дает он очень неохотно, но агентов очень много и надо просто искать. Скажу сразу, что поиск агента дело дорогое и долгое, тут нужно подойти системно - пробовать разный материал, разные схемы и так далее.
Обязательно, опять же, записывайте все свои действия во время тестов, чтобы потом точно понимать, как вбивать. Соответственно, на эти эксперименты нужно иметь свободные средства.
Основной минус такого вбива - это жуткий AntiFraud, часто нужен звонок и отрисовки, но все это окупается плюсом - редко бывают отмены бронирования во время проживания. Это связано с тем, что затраты на AntiFraud платежная система берет на себя.
На что стоит обращать внимание, так это на то, что очень часто платежные системы сверяют телефон из данных СС, ну и частенько звонят - при малейшем подозрении, тут мы можем сами изначально проверить, активный ли номер у КХ, и если он включен и КХ берет трубку, то надо заспамить его насмерть, чтобы телефон он выключил. Ну, или купить СС, где номер не активен. И, соответственно, когда из платежной системы (банка-эквайера) они дозвониться не смогут, то они напишут на электронную почту, и надо будет прозвонить самим.
Еще обращайте внимание на сам отель, который выбираете, если он новый или не популярный, то могут сказать, что вы мошенник по подозрению на залив.
3) Следующее - вбив в booking.com. Booking.com - одна из крупнейших компаний на рынке онлайн путешествий. У них всё очень просто - отели выставляют свои обьекты, пользователи выбирают подходящие и платят отелям, которые раз в месяц выплачивают Booking комиссию. То есть, Booking не отменяет вообще ничего и своей платежной системы не имеет.
Когда вы вводите на сайте данные СС, Booking по защищенному каналу пересылает ваши данные отелю, а отель списывает с вас деньги в какой-то момент времени по своему усмотрению. Может списать сразу, может через месяц, а может вообще не списывать и попросить вас об оплате на месте. Списание оплаты абсолютно непредсказуемая вещь, и определяется оно исключительно владельцем отеля, но никак не Booking.com.
И тут надо быть готовым ко многим вопросам, как, например, покажите карту, оплатите наличными и так далее. Надо понимать, что когда вы или ваши клиенты заселяетесь, то все эти вопросы могут возникнуть, и говорить с вами будут не по-русски.
Вбили, дальше очень желательно проконтролировать списание средств, звонком в банк на робота или, если били с Enroll CC, то необходимо посмотреть транзакции онлайн. Если бьете EU CC, то по обстоятельствам, но, чаще всего, там ничего не узнаешь. Но при ситуации, когда отель не смог списать средства с карты, они могут написать на почту и тогда можно сунуть другую СС. Но очень часто они этого не делают!
Дальше, ждём некоторое время и звоним в отель и говорим:
«Привет, я Вася Пупкин, только что оплатил номер через Booking. Проверьте, пожалуйста, все ли оплачено и не нужно ли дополнительных затрат от меня».
Ну, желательно ещё просто поговорить немного - поспрашивать про погоду, про цены в баре, спросить сколько такси стоит в городе. Вы должны быть похожи на настоящего туриста.
Если все в порядке, то можно селиться. У Booking и сервисов типа него, Agoda.com например, очень серьезный минус в том, что частенько прилетает отмена платежа во время проживания. В такой ситуации приходиться платить самому наличными. А в том случае, если КХ поднимает скандал, то можно пообщаться с местной полицией. Соответственно, никогда нельзя бить СС той страны, куда едет турист.
Важный аспект. Как вообще отличить агента от псевдо-агента? То есть, при поиске агента мы должны понимать принципы его работы и уже исходя из этого решать для себя, подходит он вам или нет. Первоначально читаем Google, отзывы о сервисе, так называемый How it work. Соответственно, бьем мы в сервисы иностранные и читаем тоже не на русскиъ сайтах.
Далее, вбиваем тест с карты Enroll и смотрим в транзакциях, кто списывает деньги. Если списывает сам отель, то это не агент, а сервис типа Booking, если списывает сама платежная система сайта куда били, значит это и есть агент.
Прошу обратить внимание на то, что даже вбив в агента нет гарантий, что бронирование не слетит во время проживания.
4) Brute-аккаунты ревардов. Получить заветное бронирование можно, используя различные программы лояльности.
Они есть двух типов:
Программы лояльности банков эмитентов СС (я думаю, что все об этом знают) КХ при том, когда расплачивается картой за каждый потраченный доллар получает мили, очки какие- нибудь, реварды на виртуальный счет. И их можно потратить на отели, авиабилеты или еще на что-то.
И второй тип - это программы лояльности сетей отелей, крупных туристических агентств, больших магазинов и так далее. Работать с ними, конечно, не так просто, и на эксперименты нужно довольно много денег, к этому нужно быть готовым.
Первоначально собирается информация о существующих программах лояльности, потом надо написать софт для Brut'а, найти аккаунты и попробовать сделать бронирование. Там нюансов много и у каждой такой программы свои фишки, разобраться в них можно только попробовав.
Основная заморочка - даст ли делать бронирование не на аккаунт КХ, а на левого Васю? Не очень трудно догадаться, что чаще всего не даст. Тут можно поступить так. Пробовать звонком менять данные гостей, но тут нужно быть готовым к тому, что будут пробовать набрать КХ и встает вопрос активности номера. Можно позвонить в отель и сказать -
«Привет, вместо меня приедет Вася с женой». Еще вариант по скану (отрисовке). При заселении показывается бронирование, а в случае если возникает вопрос: "Где человек, на которого забронирован номер", отвечаем: "Его пока нет, будет позже". И показываем ксерокопию его паспорта, которую предварительно отрисовали и распечатали.
Сами аккаунты мы Brut'им сами, также можно покупать у логоводов, а еще иногда продавцы на форумах продают что-то. Но чаще всего ничего стоящего не продадут. Еще есть варианты
совмещать, например, взять аккаунт и привязать к нему новую карту и ей оплатить.
Аренда автомобилей
Есть два варианта бронирования автомобилей: Оплата полностью через агента (наш вариант).
Оплата части с карты (Обычно 30-50%) и остальное через кассу непосредственно (нам это не подходит).
Вбив стандартный описывать не имеет смысла, вы это уже умеете, если прочитали уроки выше. Итак, вбив прошел удачно, и вы идете получать тачку, дальше вам придется внести депозит за автомобиль со своей карты, на которой есть ваше имя.
Правила:
Карту используют для блокировки некоторой суммы в качестве страховки и после сдачи автомобиля, сумма размораживается через 3-5 дней. Обязательно читайте правила пользования сервисом, убедитесь, что вы оплачиваете 100% за аренду, и никаких доплат не потребуется. Обязательно смотрите на минимальный возраст водителя, часто на это не обращают внимание и просто не выдают автомобиль. И, что самое важное, всегда имеем с собой деньги на оплату при слете.
Карта, которую вы оставляете должна быть вам не важна, то есть, если вы пользуетесь такой услугой, то под нее надо сделать карту, чтобы после аренды заблокировать ее, так как деньги могут снять и через несколько месяцев.
Экскурсии. Один из них - viator.com. Вбивы тут стандартные, расписывать смысла нет, остановлюсь на некоторых нюансах. AntiFraud, чаще всего, тоже очень серьезный. Также, как с Booking попадаются сервисы, которые не делают отмену платежа сами. Правда, редко, но такие встречаются, так что при тестах необходимо обратить внимание. При заполнении данных мы указываем данные для трансфера, то есть, отель, откуда забрать и телефон. Отель можно указать соседний, и просто подойти туда, но не нужно опаздывать, чтобы водитель не стал названивать в отель вам в номер.
Если вы оставляете номер телефона, то тоже смотрите, на кого он оформлен. Также, не стоит бить СС той страны, где идет экскурсия, это очевидно, я думаю.
Дальше хочу рассказать вам обязательные правила при пользовании Carding-отелями. До заселения всегда прозванивать в отель и подтверждать, что с бронированием все в порядке. Всегда иметь деньги наличными, чтобы при слете вы могли бы все оплатить. Не тратить денег больше, чем есть.
При оплате формой всегда дожидайтесь получения «Slip-check», так как даже при звонке вам могут сказать, что все в порядке, а после заселения окажется, что нет, и придется платить свои.
Никогда не давать свою карту, её могут просить для депозита или еще для чего-то, если просят - оставляйте наличные.
Срок проживания не должен быть больше 14 дней, вы должны сами понимать - чем меньше, тем лучше.
Никогда и никому не говорить откуда бронирование, никто не должен знать про С (Carding). Не рекомендую селится в русские отели по Carding'у. В России при заселении у вас попросят паспорт, там есть все данные, найти вас труда не составит.
Авиабилеты
Сначала я расскажу о разных вариантах добычи билетов, а потом поговорим о безопасности всего этого мероприятия.
Итак, какие есть варианты:
• Агенты.
• Форма.
• Реварды.
• Вбив в аккаунт.
Так, первый вариант - агенты. Агент - это посредник, например, bravofly.com, между огромным количеством авиакомпаний и пассажиром, оплата при этом поступает агенту. Этот вариант безопасен для того, кто летит, так как при слёте все вопросы к тому посреднику, кто билет выписал.
Чаще всего агенты - это сайты с платежными системами, где оплата через VBV. То есть, у нас тут три варианта:
1) СС+VBV - бронирование держится лучше всего, но материал (СС) очень дорогой и найти его весьма затруднительно. В европейские магазины материал США+VBV раньше лез нормально - сейчас лезет уже не особо.
2) СС+NoVBV BIN - тут уже слет возможет в любой момент, очень зависит от страны СС, от самого магазина и от много чего еще.
3) СС American Express - сами CC Amex не имеют VBV как такового и какое-то время назад были платежные системы, которые Amex кушали, и если бить Amex'ом Австралии или Новой Зеландии то давали. Сейчас этот способ менее эфективен, так как все прочухали и затянули AntiFraud.
Также, до сих пор находятся магазины без VBV, но их очень мало и они очень жёсткие. Я довольно долго занимаюсь билетами, и дам несколько советов. Если вы решили попробовать себя на этом поприще - убедитесь в том, что вы вообще умеете вбивать, без опыта с товаром, вещами и E-Gift не нужно вообще начинать, так как здесь понадобится опыт и в понимании того, как работает AntiFraud, и в настройке машины под вбив, и в отрисовках, и в звонках.
Не начинайте поиск магазинов авиабилетов без хорошего капитала, который вы можете спокойно слить. Научитесь работать системно. То есть, когда вы нашли некий магазин, который по вашему мнению должен давать, вы должны разработать систему для его тестирования. Нужно попробовать разный материал. Нужно тестировать разные направления. Разные сроки бронирования. Разные суммы купленных билетов.
Прежде, чем лететь самому или отправлять клиентов, вы должны быть убеждены на 100%, что ваш метод надежен! На сегодняшний день тема авиабилетов сильно побита, даже карты с VBV не дает никаких гарантий успеха. В зависимости от авиакомпании и направления, от пассажиров могут на стойке запросить отрисовку СС, например, поэтому все нюансы вы должны знать заранее.
Очень часто оплата проходит нормально, билеты дают, но происходит слет, чаще всего это дополнительная проверка платежа или еще что-то. Тут надо прозванивать и разбираться в причинах слета, чтобы далее продуктивнее работать.
При работе с материалом VBV стоит рассмотреть сам вбив поподробнее. Настраиваем виртуальную машину, все должно быть идеально, после вбива производим чистку, если пользуемся LS (Linken Sphere), то чистим и её. Покупаем SOCKS или SSH-туннель. Важно, чтобы он был быстрый и чистый, подбираем максимально близко под IP КХ, а данные по IP КХ и UserAgent'у КХ получаем от продавца СС+VBV. Заходим на сайт агента, если мы бьём VBV, то надо на 100% знать, что там он есть. Затем, выбираем билет, оплачиваем.
На примере СС+VBV Германии опишу более подробно.
CC DE FULL INFO CLASSIC (это BIN Classic), цена на такие CC от 25 до 50 евро (лимит- гарантия в среднем - 500 евро), продавцы материала обычно говорят, что бьется в среднем на
1500 евро.
CC DE FULL INFO HIGH (это BIN от Premium до корпоративных), цена таких СС до 75 евро. СС HIGH бывают с лимит-гарантией до 750 евро.
CC DE FULL INFO BUISNESS (это BIN Business), цена на такие CC до 90 евро, лимит- гарантия до 1300-1500 евро.
Понятно, что цифры вестьма средние и лимит-гарантия и цена могут отличаться в разы. Также, на сегодняшний момент есть продавцы, которые вообще не дают лимит гарантии. Они пользуються тем, что такой материал редкий и пользуется огромным спросом. Не покупаем никогда Full Info - SPARKASSEN (название банка). Во-первых мелочные, а во- вторых мощная AntiFraud система. А еще в третьих - по ним нет замен.
Лимит-гарантия - это, например, мы купили CC DE FULL INFO HIGH и там написано - LimitGarantee - 750 EURO, мы делаем, вбив на 600-700 евро и СС не проходит, то они ее меняют, даже если она Valid. Естественно, если карта не Valid, тоже делается замена. Замену СС все продавцы делают строго при предоставлении видео того, как вы вбиваете. Поэтому стоит скачать и установить программу Bandicam. Видео должно начинаться с момента открытия CC от продавца в Privnote, потом показать, что SOCKS/SSH-туннель у вас чистый (Check2ip.com) и закончиться либо удачным вбивом, либо проблемами на сбросе VBV.
Скачать можно тут: rutracker.org/forum/viewtopic.php?t=5022971
Формат выдаваемых СС обычный, но плюс к этому в Full Info DE (Германии) идет:
DOB
Kontonummer (номер счета от 7-10 цифр)
Servicenummer (не на все СС)
Bankleitzahl (номер банка для других банков, обычно не просит его, так как он един в банке) SC, соотвестенно, SecurityCode, для нас он известен как VBV, но очень большое но, что он в 70% случаях не нужен, так как в немецких банках SC сбрасывается автоматом каждые 30 дней. Получается, мы активируем SC каждый раз используя Kontonummer (номер счета), DOB, Exp. Date и CVV2 (трехзначный код).
Запоминаем основные почтовики, необходимые для работы с Германией:
web.de
gmx.net
t-online.de
Это бесплатные. Или можно Gmail использовать, или корпоративные почты. Делаем на них почту под КХ. Вбиваем данные пассажира, вбиваем данные карты, меняем VBV и если все получается, то радуемся. Если карта не Valid, не хватает средств до обговоренного лимита, не дает изменить VBV, ставим Bandicam на стоп, заливаем на Sendspace, отправляем продавцу СС и ждем замены.
По продавцам VBV скажу сразу - эта информация приватная, и вместе с опытом вы и ее найдете. Напомню, что это сервисы, которые не имеют собственной платежной системы и просто передают ваши данные в авиакомпанию и уже авиакомпания их обрабатывает. При
этом, вы можете сами не видеть этого. То есть, когда вы делаете бронирование через агрегатор, например, какой-нибудь Skyscanner, то вы увидете, что перешли при оплате на другой сайт. А при бронировании на Vayama вы никуда не переходите, но деньги снимает та авиакомпания, чей рейс вы делаете. По факту, это прямой вбив со всеми вытекающими последствиями.
Как тут разобраться? Метода тут два - вбивать тесты с Enroll CC и смотреть, кто именно списал деньги. Можно еще позвонить в авиакомпанию и под видом внесения неких изменений все разузнать, но этот метод не 100%, так как часто бывает так, что в авиакомпании говорят - «Обращайтесь к агенту, который выписал билет». Хотя, само списание денег произвела авиакомпания. Если вы сделали билет через такой магазин, то желательно сделать клиенту поддельные документы на билет и обязательно предупредить о возможных проблемах.
При таком вбиве никогда не бейте материалом той страны, куда летите! Бывали случаи, когда снимают на пересадке и начинают очень сильно терзать.
Следующий способ - это вбив в агента формой оплаты. Тут все также, как с отелями. Только звоним агенту, придумываем историю, почему мы не можем оплатить через интернет, запрашиваем форму, делаем отрисовку, делаем звонок и делаем уже сам билет. Скажу сразу, очень немного агентов сейчас принимают оплату по форме. И делать билеты на небольшие суммы тут, конечно, не очень интересно, так как себестоимость высокая получается.
Следующая тема - это реварды. Тут тоже самое, что и по отелям, я уже выше писал, где было про отели. Отмечу важную вещь - чаще всего программы лояльности как раз позволяют делать отели, авиабилеты, аренду автомобилей. То есть, все для туриста. Остается совсем немного - найти.
Мили от авиакомпаний тоже весьма рабочая тема. Хотя, у крупных авиакомпаний уже все убито, и тут я хочу отметить важный нюанс. Когда мы оплачиваем билет милями - часто требуется доплата налогов и сборов деньгами, тут вбиваем СС, но также требуется найти СС, чтобы отмена платежа летела максимально долго. Сумма налогов и доплат обычно не большая 20-100$ на пассажира. Порой, можно оплатить налоги с виртуальной карты, например, QIWI или ЯндексДеньги, но почти везде это уже не работает.
Самые побитые авиакомпании - это British Airways, Delta Air, Lufthansa. Они ведут себя очень странно, могут и высадить с рейса на пересадке. Бывает, что регистрируешься на рейс, а в самолет уже не пускают. Это я все пишу к тому, что прежде чем кого-то отправлять - очень важно все проверить. Активность телефона очень важна, я об этом говорил уже выше по отелям.
Также, есть мили не какой-то конкретно авиакомпании, а обьединения, например, SkyTeam и в некоторых возможен вбив по Code-Share. То есть, у вас есть мили авиакомпании одной, а вы используете их для рейса компании уже другой. Тут совет такой - не используйте мили русских авиакомпаний и не используйте мили западных авиакомпаний для рейсов русских авиакомпаний.
Аккаунты можем добывать следующими способами:
• Используем Brute сами. (То есть, сами ломаем аккаунты)
• Покупаем с логов.
• Покупаем в магазинах аккаунтов.
А следующий способ я использовать не рекомендую. Прямой вбив в авиакомпанию. Чаще всего вбить в авиакомпанию никаких проблем не бывает, там и VBV нет, да и AntiFraud не такой жесткий, все это потому, что авиакомпания может всегда с вас денгьги взять через суд. Вбив напрямую дело криминальное и очень опасное, случаев, когда авиакомпании отсуживают все деньги - очень много, так что делать это крайне не советую.
Безопасность по авиабилетам. Итак, если вы хотите воспользоваться такой услугой, выбирайте продавцов с хорошими отзывами, используйте гаранта при сделках. Всегда имейте деньги на оплату билета наличными! Никогда и никому не говорите о происхождении билетов. Никогжа не имейте с собой электронных следов на ноутбуках и телефоне, все всегда шифруйте! Не нужно прыгать выше головы. То есть, если у вас нет наличных на всякий случай, то не нужно покупать билеты на бизнес-класс.
Если вы открываете сервис. Убедитесь на 100%, что ваша схема работает. Не работайте без оплаты. Не берите заказов, которые не можете исполнить. Всегда осторожно относитесь к заказам, где куча народа с детьми. Никогда не бейте напрямую в авиакомпанию и в русские магазины авиабилетов. Всегда и обо всем договаривайтесь на берегу.
FAQ:
А: Насколько безопасно передавать свои паспортные данные при пользовании такого вида услугами на форумах и так далее?
Б: Если все делается через агента, то относительно безопасно.
А: Можно ли таким образом брать с собой своих родных и близких?
Б: Да, многие летают.
А: Какие рынки сбыта? Где искать клиентов?
Б: Теневые форумы, куча их.
А: Проходит ли оплата с ПП?
Б: Не знаю, не работал и не пробовал.
А: С Linken Sphere лучше заходят вбивы?
Б: Да, лучше. Всем советую.
А: Какие страны или регионы, которые плохо подходят для наших целей, например, отели?
Б: Таиланд, Турция, Египет, Бали.
А: Оптимальный срок нахождения в отеле?
Б: Дней 10.
Небольшое дополнение к руководству:
Схема по Refund. Урок 27.
(Если переводить на русский, то означает - возвращение денег. Держите это все время в голове)
Начало всех начал лежит в выборе магазина для Refund. Магазин должен иметь доставку в твою страну, службу поддержки, с которой мы будем неумолимо вести спор, а также должен быть НЕ из СНГ. Я думаю, что все понятно, почему мы не берем магазины из СНГ. По этим критериям выбираем любой иностранный магазин. Просто вводим в поисковик название нужного предмета одежды, электроники и так далее.
Это был первый пункт, теперь переходим ко второму.
Здесь мы уже начинаем прощупывать варианты. Заходим в чат (Если есть, если нет - пишем на почту) и начинаем разводить пустозвоние, притворяясь обычным покупателем. Дело всё в том, что в последствие это сыграет нам на руку, так как мы будем выглядеть как примерный покупатель, который уже давно тут находится, очень уважаем и вообще (Верните мне мои деньги). Обязательно спросите, есть ли у них возможность возврата денег. Короче, притворяемся обычным хомяком, который боится за сохранность посылки. СИ в деле, поэтому обязательно общайтесь до Refund'а со службой поддержки, делая тем самым для себя идеальное прикрытие.
Если вы подтверждаете для себя, что сможете вернуть деньги, если вдруг магическим образом товар пропадет или будет негодным (О, Господи!), то смело добавляйте его в список тех, откуда можно возвращать деньги.
С подбором, вроде как, закончили, теперь можно переходить к прогреву магазина.
Итак, после того, как ты выбрал магазин, настало время сделать прогретый аккаунт, чтобы тебя не опрокинули на деньги. IP должен не иметь плохой истории в данном магазине, то есть с него не должно быть Refund'ов.
По поводу аккаунтов есть 2 варианта:
Ты можешь купить аккаунт, поменять данные человека на свои и отложить аккаунт на несколько недель, чтобы он отлежался. Но в таком способе есть риск, что тебе дадут аккаунт без почты, а потом восстановят пароль. Недалёк тот момент, когда такой аккаунт своруют обратно вместе со всем, что ты назаказывал, а главное - с возможностью возврата денег и твоими потенциальными деньгами.
Но это был первый вариант, которым я лично не пользуюсь, ведь есть ещё один вариант - это самому с нуля создать хороший прогретый аккаунт. Для прогрева нужно создать себе историю заказов и показать, что ты постоянный покупатель и приносишь магазину прибыль. Чем больше ты потратил денег в магазине перед Refund'ом - тем лояльнее поддержка к тебе будет относиться и проще будет возвращать деньги (делать Refund).
С чего вообще начинать и как двигаться? Тут всё сугубо на твоё усмотрение, но я всегда советую выиграть пару споров на каком-нибудь китайском барахольном рынке. Суть в том, что именно здесь ты ощутишь всю прелесть спора, поймёшь, что, куда и как, а главное - сможешь понять, как правильно обводить жадных до дешёвого риса китайцев, формируя из
себя новую личность, под новым IP и с новым хорошо проработанным аккаунтом.
Дальше уже больше, но вперёд не забегай, особенно, если ты новичок. Дело в том, что споры в других магазинах - это варианты уже посложнее, к которым свои нервы и умения надо подготовить. Ты же не хочешь упасть в грязь пару раз, забить на всё и потерять свои деньги? Вот и я о том же, поэтому начинать надо оттуда, где зарождался русский Refund, а именно - на DHgate и так далее. Будь умницей и не спеши вперёд. Мы уже поняли, как профессионально выбрать магазин, как лучше всего создать и прогреть аккаунт.
Сейчас будет ещё интереснее, ведь мы начинаем оформлять заветную посылочку, которую так ждут наши загребущие руки. При оформлении посылочки мы используем либо свои данные, либо данные подставного человека, которые можно получить по доверенности. Можно и без доверенности на друзей, но друзья не бесконечны, а особенно - друзья, которые умеют молчать. О подставных лицах и доверенности подробно поговорим дальше.
Имя немного меняем. Если это был Maksim Petrov, то мы прописываем Maxim Pitrov или Maxsim Pitrow. По поводу данных не боимся, используем любые, которые придут в голову. Здесь главное - это совпадение индекса.
«До востребования» - это наилучший вариант получения посылки, ведь приходит она только на почтовое отделение и забирается по треку или паспорту. Если же есть только варианты курьерской доставки или чего-то подобного, то нужно просить самовывоз, чтобы лишний раз не палить место своего проживания.
Во многих шопах можно выбрать способ доставки самостоятельно. Прописываем «DO VOSTREBOVANIYA» и радуемся жизни. Ребята абсолютно спокойно прописывают это на посылке, а вот многоуважаемым трудягам из твоего любимого почтового отделения гораздо проще понять, чего от них хотят. Читают, понимают, оставляют и ждут, пока ты туда придёшь.
Лучше всего, ещё перед оформлением самой первой посылки, завести себе EXСEL-таблицу для ведения отчётности и сбора информации по магазинам и твоим Refund'ам. Зачем оно нам надо? Оно нам надо, чтобы улучшить качество Refund'а, отслеживать изменения в своих успехах и, что главное, понимать, из каких магазинов лучше делают Refund, а из каких - нет. Ну и естественно, чтобы не запутаться в том, что мы вообще сделали. Это довольно просто сделать, особенно когда количество Refund'ов перевалит просто за пять штук. Вся информация должна быть структурирована и прописана, чтобы твой мозг не умер от нагрузки в виде паролей, логинов, тупой информации, а-ля «Эти носки с пингвинами я возвращад отсюда» и так далее.
Сначала я тоже относился к этой идее скептически, но потом изменил своё мнение. Так что заведи таблицу, а форму я тебе сейчас пропишу.
Первый лист - Рабочий.
Здесь должны быть следующие колонки:
• Адрес сайта.
• Логин.
• Пароль.
• Личная информация, указанная в профиле.
• Адрес почты поддержки.
• Адрес почты, с которой ты писал.
• Время ответа технической поддержки.
• Наличие Live-чата.
• Оценка поведения технической поддержки. Второй лист - Лист оценки собственных действий.
• Адрес сайта
• Что возвращал?
• Успех/Неуспех Refund'а.
• Когда совершен заказ.
• Какие аргументы приводил во время спора?
• Какие методы СИ использовал во время спора?
• Как вела себя поддержка во время спора?
• Дата начала спора.
• Дата конца спора.
• Стоит ли повторять Refund с этого сайта?
Первый лист помогает не держать в голове общие данные, второй помогает оценить то, как ты работаешь и что работает, а что стоит уже бы изменить в своих действиях. Всё просто и понятно, но ты удивишься, насколько работа с этими листами - действенная штука. Мы подготовили уже всё, что можно. Всё отлично, посылка уже в наших руках, мы готовы делать Refund.
Но посылка закрыта. «Помогите, пожалуйста!» - кричишь ты, не зная, что ему делать с тем китайским барахлом, что ему принесли.
Да, настало время поработать руками! Сейчас мы с тобой повскрываем посылочки.
Что нам с тобой для этого понадобится?
1) Фен обычный с регулировкой мощности, либо паяльная лампа (Вариант для самых смелых).
2) Толстые резиновые перчатки за 50 рублей. Не медицинские, а для уборки, те самые, жёлтенькие.
3) Весы с тонкой грамовкой, стоят в пределах 2000 рублей, но свои я брал за 699 рублей.
4) Материалы для практики и деньги на них, примерно 400 рублей.
Собрал всё и уже готов? Отлично. Поговорим о том, как это всё будет работать.
1) Открываем посылку с феном.
2) Забираем оттуда товар полностью или достаём на время, чтобы сделать его нерабочим.
3) Закатываем товар обратно в посылку (если делаем Refund из-за дефекта) или запихиваем туда всякого барахла (если делаем Refund по причине пустой посылки).
4) Снимаем видео, показывая, что товара нет или он нерабочий.
5) Кидаем спор, отсуживаем деньги.
Вот и я говорю, что всё очень интересно.
Теперь, поговорив о теории, начнём уже делать реальные вещи.
Покупаем скотч разных видов. Берём журнал, тетрадку, бумагу А4 для принтера и какой- нибудь кусок картона. Наклеиваем куски на разные поверхности, берём фен и нагреваем. Ровно так, как мы прогревали аккаунты и мозги технической поддержки, мы прогреваем и скотч.
Задача, как ты уже понял, научиться бесследно отклеивать его с любых поверхностей, которые, возможно, будут у тебя на руках. Мы прогреваем скотч, отклеиваем его, переклеивая на другую поверхность. Затем проворачиваем всё обратно. Тебе нужно научиться отклеивать и приклеивать клейкую ленту БЕЗ разводов, скомканных кусков клея и так далее, короче говоря, нужно сделать всё так, как будто посылка только один раз упаковывалась и ещё не вскрывалась нами. Когда ты научился делать это так, как нужно, приступай к более приближенному к реальности варианту. А именно - отклейке с почтовой упаковки. Для этого иди на почту, молодой, и покупай там мелкие почтовые коробки.
Приходишь домой, клеишь на них несколько видов скотча и отклеиваешь. Всё просто и понятно, но на деле не так легко, как кажется, поэтому сначала вложись и потренируйся, а потом уже будешь свою Apple-технику Refund'ить.
Тебе нужна грамотная честная работа. Несколько часов в день, разные виды скотча. Купи малярный и цветной тоже, помимо обычного тонкого, и попробуй поработать с ними. Это важно, так как зачастую упаковки очень сильно отличаются друг от друга. Короче, да.
«Больше разнообразной тренировки» переводится как «Меньше боли потом». Поэтому делай всё заранее и сразу красиво и профессионально, потрать на это время.
Поговорим о тонкостях:
1) Будет очень горячо, поэтому привыкай работать в перчатках, на то они тебе и даны.
2) Ничего не получится с первого раза, как бы ты ни старался, поэтому если хочешь свои огромные деньги, то терпи и делай дело, а не ной.
3) Помни, что твоя задача легко нагреть скотч, чтобы он идеально отделился, а не расплавить его и пакет к хуям, чтобы всё превратилось в кашу. Тренировки как раз и помогают поймать момент, поэтому сделай всё, как нужно.
Небольшие советы для распаковок:
1) Если хочешь быть готовым вообще ко всему, то перед Refund'ом, например, из магазина
«ShopName» вбивай на Youtube «ShopName, распаковка». Там ты и увидишь заранее, с какой упаковкой будешь иметь дело, а главное - с каким скотчем.
2) На том же Youtube можно посмотреть обучение на тему «Как отклеить скотч с бумаги без следов», очень наглядно.
Стандартные глянцевые пакеты могут сворачиваться во время прогрева, если переборщить с температурой. Другое дело, что некоторые из таких паков легко вскрываются и без первоначального нагрева, простым усилием рук в определённой области.
Короче говоря, не спеши с распаковкой. Спокойно осмотри и попытайся найти оптимальный вариант открытия. Я быстро научился справляться с такими посылками, а значит - сможешь справиться и ты.
Что делать, если скотч не приклеивается обратно?
Трагедия века, правда? Нет. Если такая штука происходит, берем прозрачный клей, типа обувного, клея момента или ещё какой хуйни, проклеиваем место стыка и всё.
Единственно - клей надо подобрать заранее. Переклей одну ленту раза 4-5, чтобы она отклеивалась, а затем попробуй обработать выбранным клеем.
Теперь поговорим о том, что делать, если посылку удалось вскрыть. Что дальше? Два варианта.
1) Достаём предмет, делаем дефект/выводим из строя и запихиваем обратно.
2) Убираем предмет из посылки, набиваем её барахлом и закрываем, показывая на распаковке, что пусто, верните деньги.
Чем набивать, если набиваешь?
Камни, газеты, куски дерьма. Главное - ни слова по-русски, а именно - никаких газет с русскими заголовками и никаких упоминаний о России. Лучше всего - это песок, камни и белая бумага. Взвешиваем посылку. Набиваем ее ровно по весу, перед запаковкой еще раз проверяем на весах, чтобы все было как в документах на посылку. Запаковываем, а дальше
всё дело в споре, о чем вы еще поговорим.
А сейчас приступаем к очень необычной и вкусной теме, которая крайне важна в Refund'е. Начинаем мы эту тему с очень прикладной и важной подтемы, а именно - общение с поддержкой разных магазинов. Короче говоря, споры, манипуляции и грамотный разговор.
Итак, основа любого общения - это баланс контроля над ситуацией. Само слово «диалог» подразумевает наличие двух сторон, то есть полярностей, которые имеют определённую власть друг над другом. Общение же людей - это не физика с химией, здесь силы не стремятся уравновесить друг друга, и потому одна из них в любом случае будет в доминирующей позиции. Наша первая задача во время спора с поддержкой - дать им ощущения контроля над ситуацией, дать им почувствовать то, как они помогают жертве обстоятельств, пробудить их внутреннего героя.
Суть в том, что человек сам, в силу своей альтруистичности, пытается помочь пострадавшему. Вы удивитесь, насколько охотнее вам вернут деньги за ваш товар, если вы пустите такую пыль в глаза поддержки.
Что для этого нужно?
1) Вежливость.
2) Грамотность.
3) Верный отыгрыш персонажа-жертвы.
4) Чувство баланса доминантности.
5) Чётко поставленная цель - одурманить поддержку и заставить чувствовать себя героем.
6) Верный набор фраз, составленных так, чтобы они передавали горечь, панику и растерянность в связи с проблемой.
7) Чётко поставленная перед самой поддержкой цель. Нужно вселить в него уверенность, что вернув тебе бабки, он станет героем этого дня, а ты будешь спасён.
Именно благодаря такому подходу поддержка не будет видеть огрехи в твоей смелой истории и закроет глаза на косяки. Здесь каких-то ещё советов я лично дать не могу, потому как успех данной темы зависит больше от того, насколько хорошо у тебя подвешен язык, насколько ты заинтересован в вопросе и насколько готов к обходу скриптов самой технической поддержки.
Кстати говоря, о них.
Да, поддержка целиком и полностью состоит из скриптов. Уже не знаю, каким рисом этих китайцев пичкают, но по факту у большинства из них даже мозг устроен одинаково.
Короче говоря, без шуток, есть список фраз и заготовленных реплик. И он действительно одинаковый у большинства. Поэтому по факту приспособиться можно к любому повороту, а вообще по факту, со временем ты просто научишься просчитывать реплики на десять ступеней вперёд, ибо там и правда одно и то же. В этом деле просто нужен опыт.
Итак, основной скрипт начала разговора выглядит так:
- Здравствуйте, у меня огромная проблема! В моей посылке испорченный товар! Я даже не знаю, что мне делать, деньги-то я уже отправил... Я столько денег на неё потратил…
- Успокойтесь. Опишите проблему подробно.
- Во время распаковки я подумал, что лучше записать её на видео, потому что очень боюсь заказывать что-то в интернете и заказываю не часто - боюсь, что обманут… Вот видео распаковки. Меня обманули прямо на почте или виновата почта вашей страны, я совершенно не знаю, что мне делать!
- Успокойтесь. Мы вышлем вам деньги обратно.
- ВЫ - МОЙ ГЕРОЙ!
- Спасибо. До свидания.
Да, может быть и такое, но это происходит не слишком часто.
В остальных же вариантах магазин начнёт плотно приседать тебе на лицо. Не расслабляйся, ведь могут быть огромные проблемы в споре, решать которые мы научимся прямо сейчас.
Проблема номер раз: «Вам, государь, отказано в возврате»
Да, и такое бывает, даже не хотят мило побеседовать. Вроде всё чётко, а говорить не хотят и посылают. Решение кроется в СИ. Здесь стоит понимать, что продать и надавить можно на кого угодно, важно лишь знать правильные точки.
Итак, как правило они не посылают сразу, а выставляют странные условия. Например - «Принесите документы с почты»
Как решить?
1 вариант - Сослаться на то, что по закону документы надо брать сразу, а ты не ждал подставы, потому что вес совпал полностью (Для подтверждения этого надо записать два видео, одно с распаковкой и одно со взвешиванием полностью идентичной, запакованной посылкой, но уже набитой нашим хламом). Таким образом, ты не виноват и всё делалось по закону, ещё и видео есть!
2 вариант - Подделать документы. Разумно, но это карается законом. Делайте на свой страх и риск, хотя я настоятельно не советую.
3 вариант - Реально сходить за документами на почту, но тоже не советую, потому что можно присесть за вскрытие и обеспечение ложной доказательной базы, то бишь мошенничество.
4 вариант - Вывезти на разговоре. А именно, использовать следующий вариант: «Понимаете, я шокирован не меньше вашего. Я честно заказал товар на сайте «ShopName» и уже ждал свой товар. Мой аккаунт очень хорош и я уже нормально заказывал у вас товар, а с этим меня просто обманули. Я чувствую горечь и утрату, я чувствую себя обманутым и опущенным… Слышишь, Китай, давай решим всё без полиции, чего ты морозишься? (Или «Давайте не привлекать третью сторону»).
По моему опыту скажу, что это действительно нормально работает. Обычно после этого сразу же оформляется Refund, потому что магазин видит, что ты действительно ни в чём не виноват. Если так, то можно праздновать свою победу и уже начинать открывать вкуснейшее светлое нефильтрованное, но что делать, если совсем не так?
Что делать, если всё пошло не так?
На самом деле, такое бывает в очень редких и очень определённых случаях. Короче говоря, ещё надо уметь. Для такого надо ошибиться где-то в споре с поддержкой, нужно упустить всю аргументацию и, естественно, лажануть с фактической доказательной базой. По сути из данной ситуации выход только один - продолжать давить дальше, угрожать обращением в суд с иском за развод на них, и грозить тем, что их в итоге закроют.
Но можете быть спокойны. Исчезновение или негодность товара - это гарантия того, что вам вернут деньги. Угроза подать в суд действует, как транквилизатор для коня. Туша этого магазина просто падает с такого грамотного, и мы побеждаем, получая Refund.
Здесь всему голова - это практика, которой нужно много и она должна быть постоянна. Данная ментальная база психотипов, заготовленных фраз и всего прочего образуется у вас только лишь с опытом. Как же ещё можно попрактиковаться и подготовиться к предстоящему спору? Что нужно знать, чтобы обмануть магазин? Правильно. Нужно знать правила.
Правила магазинов обычно очень похожи и нацелены больше на покупателя, потому что по факту эти правила формирует не сам магазин, а прописанные законы о купле-продаже. Ведь
не зря говорят, что клиент всегда прав.
Что можно вынести из данного утверждения?
Правила магазина могут быть ямой для самого магазина.
Итак, открываем наш магазин, находим правила на родном языке магазина и читаем. Да, на это уйдёт много времени, но из этих правил можно выстроить дорогу к хорошему Refund'у с этой площадки. Короче говоря, играть на их же поле, по их же правилам, только обыгрывать под чистую.
Берём самое наглядное - AliExpress. Торговля подделками, упоминание производителя без его согласия, маркировки брендов - это три пункта, прописанные в их же правилах, которые являются поводами для Refund'а. Это - лишь мелкий пример, но факт есть факт - игра по их же правилам сбивает их с ног, ведь они сами написали это на своём сайте. Вы берёте правила, выписываете на отдельный листок жирные пункты, по которым можно выбить Refund.
Затем подбираете по каждому пункту претензии, то есть на основании чего ты, как покупатель хочешь вернуть свои деньги. Эти претензии пишешь на второй лист. Затем представляешь себя продавцом и пишешь на третьем листе ответы на эти претензии, как бы прорабатывая то, какие ответы могут последовать на твои предъявы. Затем на четвёртом пишешь опровержения к ответам с третьего листа. Уверяю, как минимум половина из этого сойдётся, ведь скрипт пишут такие же люди, но ты, если действительно проработаешь это заранее, будешь готов ко всему, сможешь написать грамотный ответ быстро и чётко.
Вот тебе практика, предвиденье и максимальная подготовка к спору в полном объёме. Итак, запоминаем. Основа для любого социального инженера - это знания. Без СИ делать здесь нечего, а в СИ без знаний, соответственно, тоже.
Поэтому сейчас немного практики в области чтения, а именно - список литературы необходимой к прочтению каждому просто хорошему человеку из Refund-культуры СНГ.
Что тебе надо прочитать, чтобы научится спорить?
1) «Искусство обмана» - Кевин Митник.
2) «Искусство вторжения» - Кевин Митник.
3) «Призрак в сети». Мемуары величайшего хакера» - Кевин Митник.
4) «Разоблачение магии или настольная книга шарлатана» - Тимур Гагарин, Светлана Бородина.
5) «Механизмы манипуляции» - Роберт Левин.
6) «Кремлёвская школа переговоров» - Игорь Рызов.
7) Роберт Чалдини «Психология влияния» - это для того, чтобы понять, как правильно занимать лидирующие положения.
8) Филип Зимбардо «Эффект люцифера» - это для понимания того, на что давить и кем надо притворятся, чтобы заставить продавца выходить за рамки этикета и нарушать правила.
9) Стэнли Милгрем «Подчинение авторитету» - это для того, чтобы понять, как себя вести, когда вы уже заняли доминирующее положение, о том, как сохранить власть и довести дело до конца.
Читайте книги. Я серьезно. Без саморазвития просто никуда, особенно в Refund'е, где каждый раз надо думать по-новому. Именно благодаря прочтению этого списка вы сможете нереально повысить свои умения, так что не упускайте из виду, если во время практики споров у вас возникнут проблемы. Большинство ответов есть в этих книгах. Учитесь обманывать у лучших, как говорится.
Теперь затронем очень сладенькую тему ликвидности. Поясню. Сейчас мы будем разбирать, какой товар надо возвращать, чтобы жить красиво.
Всё просто - включи мозг и подумай. Если ты не живешь в бункере, то знаешь, что сейчас популярно. Как всегда спросом пользуются Iphone, дешевые и хорошие телефоны, шмотки известных брендов и прочее.
Такой товар однозначно выкупят, а значит мы будем иметь прибыль всегда. Здесь ещё стоит учитывать, для кого ты делаешь Refund.
Разумеется, опытные бизнесмены будут разговаривать о том, что нужно держать в уме несколько параметров, всё со спросом очень сложно, но это в оптовой торговле.
У нас же всё просто. Клиенты - это те, кто гонится за понтами, совсем бедные ребята и люди с большими кошельками.
Выбираем один из этих участков поля, составляем примерный список того, что каждому из них может быть интересно, делаем Refund на самый спросовый товар из списка и сбываем его им.
Сразу скажу, что для начала нужно целиться в сегмент «Бедные ребята» Им тупо проще сбыть, чем тем, кому важны понты или кошелькам.
Когда будешь начинать, твой доход, мой дорогой хулиган, будет на 90% состоять из сбывания всякой мелочи, Refund который сделал по-приколу, именно им. Они - это хлеб и соль нашего дела, ведь именно они будут скупать по заниженной цене всякий хлам.
Далее, когда подрастёшь, отыгрываться будешь на кошельках, толкая им оригинал разных фирм. Но даже в этом сегменте не забывай о том, как дорог нам сегмент нищих ребят!
Короче говоря, работай постепенно и всё будет отлично.
А сейчас мы затронем несколько тем, но главная из них - как не спалиться перед магазином, но также нам надо обойти таможенный лимит, если хотим принимать больше 1000 евро в месяц.
Суть состоит в том, что мы здесь хотим делать Refund в особенно крупных, соответственно, таможенный лимит в 1000 евро - это очень тупое и ненужное ограничение, которое нам предстоит обойти.
В этом деле нам поможет почтовая доверенность!
Для тех, кто не в курсе, чётко и быстро поясняю. Доверенность - это документ, позволяющий нам получать посылки на имя другого лица. Это удобно тем, что мы в любом случае остаёмся полностью в тени, наше имя нигде не светится, мы создаём анонимность приёма. Ещё один жирный плюс - это обход лимита таможни, если, конечно, ты не хочешь по закону платить налог с каждой посылки.
Как и на кого сделать доверенность?
Самый простой и непринуждённый путь - это сделать доверенность на своих друзей. Как оформить - ищите в Google сами, там всё очень быстро и по форме. Не рекомендую использовать для крупного масштабирования. Только в целях Refund'а для себя или минимальной перепродажи. Для начинающего - самое оно, но, исходя из конкретной цели -
«Крупное масштабирование», мы с вами пойдём по другому пути.
Мы будем подписывать на доверенность незнакомых людей. Наркоманы, алкоголики, студенты и прочие странные ребята. Именно эта компания поляжет в основу нашего чёрного бизнеса.
Мы с вами подходим на улице к таким отбросам и держим структуру разговора следующего образца:
- Здравствуйте, уважаемые. Заработать за полчаса тысячу не хотите?
- Хотим… А как?
- Я плачу вам тысячу за то, что оформляю на вас почтовую доверенность. Я бизнесмен, мне часто приходят посылки из Китая, и чтобы не платить 30% государству, я лучше заплачу по тысяче вам.
- Ну окей.
Готово. С приходом одного такого человека, мы получаем лимит ещё на 1000 евро.
Второй вариант - обрисовываешь ситуацию своему другу-студенту, который подписывает на это дело своих одногруппников. Вариант более простой, сам так делаю.
Если будет возможность - проси фото СНИЛС и паспорта. Это уже нужно для открытия PayPal на их имя, через который можно будет вернуть деньги, если магазин отказал вам в возврате. Кстати, важная информация по поводу использования платёжных систем. Не используй кошелек, а сделай в нем виртуальную карту.
Зачем? Затем, что это моментально повысит уровень доверия магазина к тебе, позволит быть в их глазах честным покупателем. При оплате всегда используй виртуальную карту. Их можно сделать в QIWI или ЮMoney. Покупай кошельки через deer.io, либо регистрируй их сам через сервисы SMS-активации и верифицируй на покупные данные. Только если регистрируешь через онлайн-SMS, то не забывай сразу же отключать SMS-подтверждения в настройках, пока у тебя есть доступ к номеру, иначе потом ничего не сможешь сделать с деньгами на кошельке.
Теперь поговорим о настройке твоего ПК.
Для того, чтобы создать видимость нового покупателя для магазина, тебе нужно изменить свой IP адрес и параметры железа. Сразу стоит оговориться, что нам не нужна безопасность, потому что искать нас никто особо не будет. Нам нужно только лишь создать новую личность, чтобы не получить от магазина проблем.
Не будем заморачиваться с виртуальными машинами, DS и прочей сложной технической штукой, потому что умные ребята давно всё сделали за нас и придумали более простое решение.
Скачиваем TheForks отсюда - theforks.ru после регистрации. Пользоваться функционалом для анонимности можно бесплатно. Чтобы сгенерировать новую личность, жмем на шестеренку, выбираем вкладку "Основные", затем жмем "Удалить историю и сбросить браузер". После этого ваше железо случайным образом изменится.
Теперь меняем IP.
Покупаем HTTPS прокси где-нибудь, я беру на proxy6.net. В TheForks слева внизу жмем "VPN", далее "Свои настройки", тип прокси "http". Туда вписываете данные своего прокси.
1) Используй и эмулируй IP той страны, куда заказываешь товар. Так к тебе не будет претензий и странных вопросов, а главное - молчаливых отказов и подозрительных утверждений о том, что ты пытаешься всех обмануть.
2) Постоянно пробивай себя на анонимность перед входом в магазин. Тот же 2ip.ru поможет тебе понять, что у тебя все нормально.
Да, кстати, во время того, как грабишь очередной магазин через TheForks, запускай на своей машине VPN. Подойдет вообще любой, ибо, повторюсь, искать нас никто не будет и VPN нам нужен просто для маскировки, а не для безопасности.
Но зачем нам VPN, если уже есть прокси? Быть может всякое, утечка IP или еще какая проблема, поэтому VPN лишним точно не будет. Просто поставь и все.
Небольшая памятка на случай, если тебя все-таки поймали.
1. Что делать?
Если попал и не уверен, что делать - молчи, не зависимо от того, что говорит “бесплатный” адвокат.
2. Язык твой - враг твой.
Если до адвоката дело еще не дошло - все равно молчи и говори, что ничего не знаешь, ничего не видел, ничего не делал.
3. Не бойся.
Будут делать больно (есть разные нехорошие методы) - все равно говори, что ничего не знаешь. Калечить не станут - те, кто этим занимается - профессионалы. Будет больно - потерпишь, а синяки и даже вывихи, что тоже бывает - пройдут.
4. Сразу начнут запугивать.
Будут пугать сроком и суровой статьёй (это всегда первый приём любого “сотрудника”) - морозься. Говори, что ни в чем не виноват.
5. Не гони понты.
Не оскорбляй “сотрудников”, не строй из себя крутого, не показывай, что уверен в себе. Не говори, что тебе ничего не будет, не говори, что не смогут ничего доказать. Не говори, что тебя все равно отмажут, даже если так и будет. Если даже знаешь, что завтра выйдешь (Папа там у тебя, предположим, крутой, или друг есть серьезный, который вытащить может) - никогда не говори “Я все равно завтра выйду”. Попал - веди себя, как нормальный адекватный пассажир в переполненном вагоне метро - не гони понтов и молча жди, когда сможешь выйти. Начнешь говорить - ничем хорошим 100% не кончится - по-любому докопаются.
6. Ни в чём не признавайся.
Если даже кажется, что всё совсем плохо и уже поймал дикую панику - всё равно помни житейскую мудрость - Чистосердечное признание облегчает следствие и является прямой дорогой в тюрьму. И это не шутка, это реальность.
7. ИДИ В ОТКАЗ.
Знай, сначала тебя, скорее всего, заставят писать объяснительную (если, конечно, нет прямых неоспоримых улик твоей вины). Ничего не пиши. Скажи, что ничего не знаешь и отказываешься давать показания. Знай - заставить тебя силой что-либо объяснить или писать они не могут.
8. РУЧКА.
НЕ БЕРИ В РУКИ РУЧКУ. Вообще не трогай её! Хоть раз дотронешься, и ты попал. Значит, сдался. Значит, раскатают.
9. Легенда.
Ничего не объясняй на словах. Вообще ничего! Придумал грамотную легенду, которая объясняет, что ты не виноват? Молодец. Все равно молчи - не рассказывай этой легенды никому, пока что тебе все равно лучше молчать.
10. Будет больно.
Дальше тебе будут долго, возможно, в пределах часов пяти. А могут и делать больно, хоть всю ночь - все равно терпи - главное - не дразнись и молчи. И даже не заикайся о том, какие они плохие. Поверь, они и без твоих оскорблений отлично знают, что ты о них думаешь.
11. Угрозы и запугивания - немного про птиц.
Тебе могут грозить (Начиная с того момента, как начнешь открещиваться от всего и морозиться), например, кинуть на ночь к петухам. Есть у этих товарищей такой прикол. Но это - именно прикол. Знай - во-первых в РОВД как таковых “Камер” вообще нет, есть только пара холодных бетонных ящиков, где держат людей по ночам (Хорошо еще, если там есть что-нибудь деревянное - помни, в таком ящике можно легко отморозить себе что-нибудь и поймать не очень хорошую болезнь половых органов. И тебе кто потом будет оплачивать лечение? За решёткой твоё здоровье - только в твоих руках. Старайся его беречь насколько это возможно).
Так вот, вернемся к нашим баранам, точнее петухам. Знай, что хотя пугать неопытных правонарушителей вроде тебя - чем-то надо, но петухов на всех не найдется. Кроме того, петухи - это те кого, а не те кто.
Короче, усвой тот факт, что пока ты не попадешь, как минимум в СИЗО (а это произойдет только после того, как суд примет решение о взятии тебя под стражу, тебе официально предъявят обвинение и по твоему делу начнется следствие). Так вот, до этого момента никто тебя, даже если ты косишь под Шерон Стоун и разговариваешь фальцетом. В общем, ты понял - ничего не будет.
А уже начиная с СИЗО - там - если уж ты совсем бесхарактерное эмо, то так тому и быть, а если ты хотя бы крепок духом - пусть даже не телом (А крепких только телом опускают так же, как и слабаков - там реально важна только сила духа). Так вот, там - не зависимо от воли тех, кто тебя туда отправил - все станет на свои места, и ты займешь то положение, которое заслуживаешь.
В общем, этот приём, как и любые другие аналогичные запугивания - совершенно стандартен, и ни на эту, ни на какую другую подобную страшилку - реагировать совершенно никак не стоит. Просто сохраняй хладнокровие, будь спокоен и молчи. Не мешай человеку работать.
12. Как со всем этим справиться?
Думай об облаках. О том, какие они красивые, как там летают птицы, как светит солнышко и как там хорошо. Будут угрожать и пугать - думай об облаках. Дадут по морде со всей дури за то, что молчишь с отстранённым видом - так, как будто думаешь об облаках - все равно думай об облаках. Зубы тебе выбивать не станут, кости не поломают. А синяки максимум за неделю заживут. Спросят о чем думаешь - можешь сказать “Ни о чём” (Смотри не проболтайся, что думаешь об облаках). Спросят о чём угодно еще - повторяй что “Ничего не знаешь” и “Тебе нечего сказать”.
13. Психологическая уловка.
Тебе обязательно скажут о том, что раз ты молчишь - значит ты 100% виноват - потому что
если бы не не был виноват - не молчал бы. Это - тоже стандартная уловка - не ведись. Им надо всеми способами заставить тебя “говорить” хоть что-либо. Тогда по закону ты потеряешь право не давать показаний в дальнейшем. Не попадись на это - просто молчи!
14. Берут на испуг.
Знай, сразу же, как только тебя начнут допрашивать - если на тебя есть хоть какие-то жалкие серьёзные подозрения - тебе скажут, что на тебя уже есть неопровержимые улики, назовут тебе длинный список статей, по которым ты идешь, назовут сроки заключения (Максимально возможные) по каждой из этих статей, в результате чего выяснится, что за то, что ты (По их мнению) сделал, что тебе грозит минимум 7 (Если что -то серьёзное, скажут, что грозит 15, если очень серьёзное - скажут что ты уже идешь на пожизненное) лет. Это - так же стандартный прием, призванный тебя напугать и сломить твою волю. По сути же, это - галимый развод. Не ведись. И думай про облака.
15. ТЕБЯ БУДУТ ЖЕСТОКО ОБМАНЫВАТЬ.
Сегодня тебе обещают впаять 7 лет и пугают неоспоримыми уликами, а завтра тебе выписывают административное правонарушение на 500 рублей и отпускают, потому что улик на самом деле нет. Для следователя это - как игра в покер для опытного игрока. Если у него действительно есть *Хорошая карта* - он лишь спокойно скажет ,”Играю”… Если же у него нет ничего - будет делать вид, что он уже выиграл. Так и тут.
Поэтому уже на данном этапе усвой урок - если ты попал - никому не верь. Особенно тому, что говорит следователь. Он тебя будет стараться не просто обмануть. Он тебя будет обманывать в квадрате, если не в кубе! Потому что для него ты - работа. Ему все равно, что ты о нем подумаешь, если он тебя удачно (Или же не очень удачно) обманет. Ему плевать, насколько ты начнешь его презирать, будучи подло и удачно обманут. Для него главное - результат. Расколоть тебя. И всё, что он будет тебе когда-либо вобще говорить будет иметь одну цель - расколоть тебя.
А, поскольку, я думаю, ты не разделяешь его желаний - по большому счёту - можешь вообще его не слушать. Представь, что его голос - своеобразная мелодия. Слушай её, но не вдумывайся. Слушай и представляй облака. Отстранись от всего. Не принимай ничего близко к сердцу. Твоя единственная настоящая задача - как минимум до предъявления тебе официального обвинения - не давать никаких показаний, а также - насколько это возможно - сохранять психологическое равновесие. Так что отринь всё плохое. Смотри на всё со стороны. В общем, думай об облаках.
15. Что можно и нужно говорить?
Единственные фразы, которые тебе можно произносить при сотрудниках: “Я ничего не знаю”, “Я не виноват”, “Я отказываюсь что-либо писать”, “Я отказываюсь что-либо объяснять”, ”Мне всё равно”(С последней фразой по-аккуратнее, после неё тебя либо сильно куда-нибудь ударят, либо сначала отправят на нарко-экспертизу, а потом уже ударят. Не важно
- терпи, так надо). И главное - после каждой такой фразы говори - “Я отказываюсь давать показания” (С этим будет психологически трудно, но держись, можно только так).
16. Тебя будут разводить.
Тебе обязательно объяснят, что молчание это уже само по себе признание вины. Скажут, что если будешь молчать - все эти 7 лет/15 лет/пожизненно ты и получишь. А если расскажешь всё как было - (Расскажешь свою “легенду” о том, что ты совершенно невиновен, ты ведь её уже придумал? - Продолжай держать её в секрете! Если расскажешь, какой ты невинный, хороший и пушистый - считай, что рассказал всё, как было на самом деле. С опытом поймёшь почему это так, но это так.)
Тебя будут убеждать, что “Если ты расскажешь, как всё было, и раскроешь тем самым им
глаза на то, какой ты хороший, пушистый и ни в чем не виноватый - тогда можешь и вообще через час выйти на улицу свободным. Мы же не станем держать в заключении невиновного человека!
Знай - это очередная уловка. Даже твоя легенда о том, что ты не виновен - это уже показания, а начав давать показания, ты автоматически теряешь своё конституционное право в дальнейшем не давать показания. Из чего следует, что рассказав любую сказку или легенду, пусть ты по ней хоть 10 раз ни в чём не виноват - ты, как минимум, попадаешь под статью о даче ложных показаний (Для этого им достаточно будет доказать то, что хотя бы один из пунктиков твоей сказки не соответствует действительности), а это уже срок. Хочешь срок?
Если нет, тогда молчи. И держи свою легенду в тайне.
17. Подбирай слова.
Знай, если ты попал - тебя будут прессовать. Возможно, жёстко прессовать, как морально, так и физически. Помни, что ни в коем случае не говори сотрудничкам “Не хочу”. Это автоматически вызовет удар в какую-либо точку твоего тела. Причем, ударивший тебя не будет ни в чем виноват - просто у них такие рефлексы. (”Не буду” можно, но гораздо лучше и правильнее говорить “Отказываюсь”). Знай, у тебя есть право не давать показания, которые могут быть использованы против тебя (на этом основании ты можешь, и должен не давать вообще никаких показаний.) А о том, что у тебя есть это право там знают не хуже тебя, и именно это право у тебя будут всеми средствами пытаться отнять. Самым первым - заставив тебя рассказать байку о том, что ты не виновен.
18. Если ты пока пока еще свидетель.
Если тебя вызвали как свидетеля и заставляют давать показания, то по закону ты не имеешь права отказаться давать показания, кроме как против себя и своих близких родственников. Это легко могут попытаться использовать для того, чтобы получив от тебя свидетельские показания - использовать их против тебя. Это уловка.
Если ты никого не убил и не сделал ничего действительно плохого, а всего лишь совершил какое-нибудь мошенничество или, скажем, любое компьютерное преступление - тебя наверняка, в первый раз, вызовут как свидетеля и, грозя уголовным наказанием за отказ от дачи свидетельских показаний - будут пытаться вытянуть из тебя столько информации, сколько возможно. После этого, скорее всего, сразу же после того, как выпытают из тебя всё, что можно в качестве свидетельских показаний - тебе скажут, что вынуждены тебя временно задержать. (Имеют полное право, даже без малейших оснований - до трёх суток для выяснения обстоятельств).
19. Всем хочется кушать, или развод на деньги.
Дальше - дальше тебя будут держать трое суток и ждать, пока “За тебя” кто-нибудь придет “Разговаривать”, расскажут, что на тебя есть весьма серьёзные улики (90% которых - твои же собственные, только что данные показания), а затем - будут надеяться на то, что с ними попробуют “Договориться”. И будь уверен, твой папа\родственник\верный друг - таки отдаст за тебя следаку N десятков тысяч деревянных. Но, по сути, просто за то, чтобы бумаги с твоими же показаниями “Отдали” обратно, а тебя отпустили.
Всем ведь кушать хочется. А на одну зарплату прожить не всегда просто.
20. Мини-итоги.
В общем, теперь ты уже знаешь, почему, хотя на тебя и есть весомые логи у провайдера, и ты все-таки засветил свой IP (Или если ты не кибер-преступник, а преступник самый обычный, но не совершивший ничего излишне-социально-опасного). Именно поэтому тебя вызвали именно как свидетеля.
21. Так что же все-таки делать?
Что делать? - Говорить что: “Ничего не знаешь”, ”Ничего не видел”, ”Не помнишь” (Кстати, если тебя вызвали как свидетеля, то в этом есть и плюс - бить тебя не будут, могут только очень сильно давить морально\угрожать\запугивать. В общем, использовать для этого все доступные великой наукой психологией методы. А этих методов у опытного следователя много, так что держись) - и главное - не забывай, что ты на самом деле “Ничего не знаешь”, ”Ничего не видел” и “Не помнишь”. Даже более того, постарайся самому себе внушить, что ты “Ничего не знаешь”,”Ничего не видел” и “Не помнишь”.
Если тебе мало лет и ты выглядишь хлюпиком, можешь хоть прослезиться с этими фразами не устах. Бить не будут. Но мгновенно поймут, что многого от тебя не добьешься и немного умерят пыл допроса.
Заметь, прикидываться таким идиотом на допросе - не стоит. Там, если ты будешь гнать откровенную чушь, прослезившись, тебя могут жестоко побить. Как вести себя на допросе я уже описал - будь спокоен, как вода в озере в тихий безветренный день и думай об облаках. Не показывай силы, не показывай слабости. И при этом - ничего не говори, кроме описанных выше “Я отказываюсь давать показания” (статья 51 Конституции РФ). И попроси это зафиксировать. Не подписывай даже этого!
Потом будет дополнительная карта у адвоката, если будете нанимать. Если нет - хуже от того, что не подпишешь не будет, а лучше не будет точно). Желательно тут, даже не говорить “Я не знаю” и “Я не видел”. И, конечно же, не забывай не брать в руки ручку!
22. Попытаются использовать твою неопытность.
Что еще тебе нужно знать? Предлагая тебе дать показания (они же “Сказка про белого бычка”, они же “Легенда”), обязательно будет что-то подобное: "Почему не будешь рассказывать? Говори, не бойся! Ты всегда можешь любые свои показания, если захочешь, сменить! Обьясни мне на словах хотя бы, как все было, а я напишу - просто для себя. Не бойся - можешь даже это не подписывать. Это - просто формальность”.
Будь уверен, хотя слова могут отличаться, суть останется та же. От тебя будут требовать обьяснений хотя бы на словах. Даже “Без подписи”. Если ты внимательно читал правила, описанные выше, то у тебя сразу в голове должны возникнуть команды:
1. Не говори ничего кроме - “Я попросил записать, что отказываюсь давать показания”. (”Я не знаю”, “Я не видел”, “Я не помню”, “Я не виноват” по своей сути уже показания. Будь с этим крайне осторожен.
2. Вспоминаем ручку. В памяти всплывает “НЕ ПРИКАСАТЬСЯ К РУЧКЕ”.
Послесловие
Ну, вот мы и подошли к концу руководства. Пожалуй, я рассказал все, что знал, даже больше. Надеюсь, эта информация поможет вам добиться ваших целей, какие бы они не были. А если по какой-то теме у вас все-таки остались вопросы, то прошу, пожалуйста, не стесняйтесь и задавайте любые вопросы в комментариях, мы с удовольствем ответим и поможем. Всегда дадим полезные советы и рекомендации.
Дальше, хотелось бы сказать, что я намерен развиваться в этом направлении.
Во-первых, есть еще очень много и много информации, которая касается темы Carding'а. Например, добыча материала, расходников, взлом аккаунтов и так далее. То есть, есть еще довольно много интересных тем.
Во-вторых, информация имеет свойство устаревать.
Конец. Всем удачи в работе и в жизни!
Что есть в руководстве:
1) Научитесь работать с СС (Credit Card).
2) Сможете находить правильные и хорошие BIN'ы.
3) Настройка системы.
4) Сделаете себе самую безопасную машину. Покажу, как защититься от взлома.
5) Сможете создать сами себе свой VPN.
6) Научитесь обходить защиту (AntiFraud).
7) Найдете хорошие и дающие интернет-магазины.
8) Работа с E-Gift.
9) Enroll. (Онлайн-банкинг)
10) Логи. Brute-аккаунты.
11) Работа с PayPal.
12) Работа с БА.
13) Авибилеты и отели.
14) Множество очень полезных советов.
15) Все нужные и не очень контакты для того, чтобы начать работать, хоть сегодня.
16) И многое, многое, многое другое...
КОГДА Я ПИШУ ЛЕКЦИИ - ЭТО ЗНАЧИТ УРОКИ (Я ПРОСТО ЗАСТРЯЛ В ПРОШЛОМ, СТАРИЧОК)
Тут же сделаю примечание, что я решил сделать это руководство для всех, а значит максимально доступным для понимания каждого. Само руководство разделено на уроки, а перед некоторыми уроками будет список терминов, который необходимо знать и держать в голове. Иногда термины переплетаются и один термин может иметь два разных значения. Об этом я тоже буду предупреждать, чтобы не вышло путаницы.
Также, не забывайте мне писать, если возникают вопросы. Обратная связь очень важна, так как невозможно написать и рассказать обо всем.
Чтобы постоянно не листать и не убивать колесо мыши, то просто введите в поиск нужный вам урок (Например, Урок 5.2), тогда вы сразу перейдете к нему, не тратя свое драгоценное время.
Уроки:
Введение в С (Carding) - Урок 1. Типы карт (СС) - Урок 1.1.
Шифрование. Безопасность. Анонимность. Урок 2.
Введение в безопасность. Выбор ОС. Урок 3.
Виртуальная машина для поиска в теневом интернете. Урок 3.1.
Чистый IP - Урок 4.
Инструменты для вбива - Урок 5.
Подключение к DS - Урок 5.1.
Настройка LS (Linken Sphere) - Урок 5.2.
Создание личного VPN - Урок 5.3.
Как чистить логи на сервере - Урок 5.4.
Связка VPN+TOR+VPN - Урок 5.5.
AntiFraud (AF) - Урок 6.
Как работает AntiFraud - Урок 6.1.
Основные понятие вбива - Урок 7.
Магазины СС (Credit Card) - Урок 8.
Прогрев магазина - Урок 8.1.
Посредники - Урок 9.
Как вбить в Skype? Первый вбив - Урок 9.1.
Как вбить в хороший магазин? - Урок 9.2.
3DSecure - Урок 10.
Подставные лица (Drop'ы) и перехват-сервисы (PickUp) - Урок 11.
Перенаправление посылки (Rerout) - Урок 12.
Работа по Европе и Азии (Особенности) - Урок 13.
Поиск интернет-магазинов - Урок 14.
Парсинг ссылок - Урок 14.1.
E-Gift - Урок 15.
Enroll - Урок 16.
Логи. Brute-аккаунты - Урок 17.
Что видит магазин? - Урок 18.
Настройка Android на примере Nox - Урок 18.1.
Настройка WebRTC - Урок 18.2.
Работа с ПП - Урок 19.
Депозит и способы оплаты с помощью ПП - Урок 20.
Слив денег с ПП - Урок 21.
Банковские аккаунты. БА - Урок 22.
Способы заливов в БА - Урок 23.
Самореги БА - Урок 24.
Документы и их подделка - Урок 25.
Бронирование отелей. Авибилеты - Урок 26.
Схема по Refund - Урок 27.
Небольшая памятка на случай, если вас поймали.
Термины
Добавлю еще то, что я решил не использовать постоянно обычные термины, которые общеприняты в нашем сообществе, так сказать, которые более тривиальные, поэтому будут только официальные термины, которые более легки для понимания.
(Например, СС можно назвать и картоном, и картошкой, и картой, и картографом, и катером, и чем-либо еще угодно. Именно по этой причине - все термины будут написаны так, чтобы смог понять любой человек)
Почему я это сделал? Потому что иногда весь текст - это сплошной набор терминов. Для простоты понимания я «упростил» их. В общем, увидите сами. К терминам, конечно, я буду давать и общепринятые варианты, которые используют на форумах и так далее.
С - Carding, кардинг, карж.
CC - Credit Card, карта. Вообще, это не должна быть обязательно именно кредитная карта. По факту, это вообще любая карта.
BINChecker - Checker, проверяет и пробивает BIN.
BIN - первые 6-7 цифр СС.
CheckerCC - проверяет СС на Valid.
Valid - валидность. Рабочая СС или нет.
КХ (Card Holder, CH) - Держатель и владелец СС.
Введение в С (Carding). Урок 1.
torproject.org/download/download-easy.html.en - TOR-браузер можно скачать только по этой ссылке. TOR позволяет вам оставаться анонимными в сети, то есть, поиск по DarkNet можно делать через TOR-браузер. TOR можно ставить на свою основную систему. Что касается виртуальной машины, обсудим ее на соответствующем уроке. Теперь небольшое отступление, расскажу за руководство.
Основное направление в руководстве - Carding, методов работы в Carding много, кто-то просто бьет с СС (Credit Card), кто-то делает Enroll'ы, кто-то Gift'ы, PayPal, банковские аккаунты. Короче, много не очень понятных слов для многих из вас, здесь все это включено, выбор будет за вами. По опыту скажу, что почти все выбирают себе одно направление и работают с ним. То есть, кто работает, например, с банковскими аккаунтами, редко вбивает карты (Credit Card).
По темам выше - мы рассмотрим все, задача заключается в том, чтобы помочь вам найти свою тему. Стараемся работать организационно, в процессе работы обращайте всегда внимание на свои неудачи и желательно фиксируйте их. Например, вбиваете карту, а вам выскакивает ошибка, делайте снимок экрана, показывайте мне в Telegram и разбираем проблему, так будет намного проще понять в чем проблема и помочь вам. Не нужно стесняться глупых вопросов. Основная суть, даже не в руководстве, руководство - это материал, шаблон по которому можно работать, а главное у нас, что можно всегда обратиться ко мне в индивидуальном порядке, разобрать свою проблему. Но руководство и уроки тоже очень важны, особенно на начальном этапе. Это ваша база.
Полезные сервисы во время обучения:
1) Сервис для снимка экрана - prnt.sc
Скачиваете программу и легко делаете снимки через кнопку на клавиатуре «PrtSc».
2) Сервис анонимных записок - privnote.com
Создали записку, передали и после прочтения она будет уничтожена. Плюс там есть кнопка "параметры" с дополнительными настройками.
Скажу за Jabber. Создайте себе резервный Jabber.
О том, как это сделать написано здесь: xakep.ru/2017/07/21/jabber-otr-howto/
А здесь просто довольно полезная и интересная информация: cryptoworld.su/safe-comunications-tell-snouden/
Jabber можно держать, где вам удобно, а удобней на основной системе. Jabber на серверах «.ru» удаляйте сразу, если есть такие. Это помойка. В идеале - сервер должен находиться в стране, где логи не ведутся. То есть, страна не должна находиться в программе Eyes 14. И да, это не должна быть страна, где вы пребываете в данный момент.
Еще что касается работы в Carding, то воспринимайте это как хобби, дополнительное направление для заработка, не нужно бросать все и зацикливаться только на нем, развивайтесь также вне онлайна. Достаточно вечером уделять время, чтобы иметь стабильный хороший доход. И это касается любой деятельности, всегда развивайте себя в нескольких направлениях. Еще добавлю за VPN. Так вот, VPN мы будем делать свой личный, покупать тоже не нужно, будет работать, как на телефоне, так и на компьютере.
Ладно, начнем с базовых понятий в Carding'е. Основа Carding у нас начинается с чего? Правильно - безопасность. Верно, но первое, что обычно приходит на ум при слове "Carding"
- это все-таки кредитная карта. С нее и начнем. А безопасности еще посвятим несколько отдельных уроков. Кредитная карта - Credit Card. Credit Card - CC. Дальше обозначается - СС. Правильней, конечно, говорить банковская карта, но все называют именно СС, не столько важно кредитная карта это или дебетовая карта. Что такое CC, все знают, но если углубиться, то точно не все. Уточню на всякий случай, что работаем мы с данными карт, без материальной карты, так как у нас Online Carding. Рассмотрим СС на нашем примере. Владелец карты Jonh Doe, даже не представляет, какая ему оказывается честь:
Code:
4037840052172271 | 2024 | 11 | 475 | Jonh | Doe | 2970 Park View Drive | [email protected] | United States | U.s. Bank National Association Nd | IN | Columbus | 47201Сделаем разбор. Начнем с номера карты - 4037840052172291. Основа в номере карты у нас что? Правильно - BIN. Поясню. В номере карты есть цифры, в которых содержится информация о том, что из себя представляет карта, 6 первых цифр. Называется БИН / BIN. Это первые 6 цифр любой карты. Хотя, уже начинают появляться карты, где BIN в 7 цифрах. BIN - банковский идентификационный номер. Теперь научимся вытягивать информацию с BIN'a. Можно зайти в Google и вбить простой запрос “BIN Checker”. И перед нами будет список сайтов. Самый первый это - bincodes.com/bin-checker/ Неплохой BINChecker, красивый, но... по опыту далеко не самый точный, а самый точный Google нам на первых страницах не выдает, BINChecker - bins.su. BINChecker сменил домен, видимо индексация еще до него не дошла в полной мере. Заходим на него и вводим BIN с нашего примера СС в поле BINS.
Номер карты - 4037840052172291, значит BIN - 403784. Жмем FIND. Получаем информацию:
403784 US VISA CREDIT PLATINUM U.S. BANK NATIONAL ASSOCIATION ND
Эта информация и заложена в нашем BIN, если у вас есть личная банковская карта, там все также, можно пробить BIN и посмотреть информацию, что у вас за карта. Еще раз обозначу, что бывает разная информация на разных BINChecker'ах, поэтому, если нас интересует точные данные лучше перепроверять на нескольких сервисах. На практике самый точный, как уже и сказал - bins.su. У каждого банка есть свой список BIN'ов, под которым они выпускают карты, то есть, под одним BIN есть много карт. Например, под BIN 403784 есть еще СС, только остальные цифры отличаются, понятно почему.
bincodes.com/bin-search, по этой ссылке можно выбрать страну, тип карты, банк и посмотреть какие BIN'ы есть у какого банка. Ссылку сохраняем в блокнотик или в закладки, как и все остальные полезные сервисы, в процессе работы хороший инструмент. В нашем деле есть такие понятия, как хорошие и плохие BIN'ы. Плохие BIN'ы - BIN'ы старого выпуска, которые часто использовались нашими коллегами, хорошие BIN'ы, наоборот. То есть, если BIN «грязный» (Часто использовался для Carding целей), то банки не особо любят пропускать транзакции с такими BIN'ами при малейшем подозрении в мошенничестве (на Fraud).
BINChecker'ы:
bins.su - Хороший и удобный.
binlist.net
bindb.com/bin-database.html - Авторитетный.
bincodes.com/bin-checker/ - Альтернатива.
bincodes.com/bin-creditcard-generator/ (или же namso-gen.com) - там есть еще и генератор СС.
Совет. Проверяйте BIN на всех ресурсах.
Fraud - вид мошенничества в области информационных технологий, в частности, несанкционированные действия и неправомочное пользование ресурсами и услугами в сетях связи.
Хорошие BIN'ы в Carding очень важны. По работе с СС, это вообще чуть ли не половина успеха. В основном - это BIN'ы НЕ лучших банков, если говорить за США.
https://en.wikipedia.org/wiki/List_of_largest_banks_in_the_United_States - это список крупнейших, а значит и лучших банков США. Все эти моменты, в том числе за BIN'ы, еще более подробно у нас всплывут ниже, как будем углубляться. Сейчас общая информация для понимания процесса, понятия с которых будем стартовать. (Вообще, чем лучше банк, тем сложнее вбить его СС. В идеале - это должны быть достаточно маленькие и локальные банки, у которых мало отделений. В общем, не берите крупные банки, если есть возможность)
Вернемся к нашей CC:
2024 | 11 | - срок действия карты. Ноябрь, 2024 года. То есть, дата, после которой карта будет уже не активна. Expiration Date, если на английском. Уточню, что дата окончания срока действия считается по последнему числу месяца, а не по первому.
475 - CVV код. Уточню, что CVV и CVV2 - это одно и тоже, если столкнетесь с разным написанием. CVV - код для проверки подлинности карты. У Master Card код называется - CVC или CVC2. У VISA и Master этот код из 3 цифр. А у American Express этот код из четырех цифр. CVV - Card Verification Value. И не путаем CVV с PIN-кодом. Если карта без кода CVV, то значит с нее нельзя оплачивать в интернете.
Jonh | Doe - имя и фамилия владельца карты. Jonh Doe. Владелец карты - Card Holder - CH, КХ.
2970 Park View Drive | United States | | IN | Columbus | 47201 - это Billing адрес, на который зарегистрирована карта, обычно адрес проживания КХ. 2970 Park View Drive - улица с номером дома, United States - США, IN - Штат Индиана, Columbus - Город, 47201 - ZIP номер. ZIP - по нашему это индекс. Можно вбить в Google "47201 ZIP Code" и проверить, что он соответствует штату, городу и данные на карте корректны. Если при вбиве вам выдаст ошибку, что ZIP с карты не верный, как это можно исправить? То есть, ZIP в данных карты левый. Да, по адресу с карты найти ZIP. Вбить адрес и посмотреть его ZIP.
В данных СС можно найти еще Email КХ - [email protected]. Еще может быть номер телефона КХ. Иногда номера телефона нет, как и Email'a - есть/нет. Зависит от того, как слили данные. Если Email с карты нам в 90% не нужен, то номер телефона обычно нужен. В магазинах, где продают СС, указывают, какие данные есть (C телефоном/без и так далее).
Зачем нам нужен телефон на карте, еще узнаем. Данные карт, как на нашем примере, добывают путем взлома магазинов и слива базы данных, Fishing'ом. То есть, человек делает покупку в интернет магазине, вбивает данные карты, а ее сливают и базу выставляют на продажу. Немного отвлечемся от конференции, посмотрите часть из сериала, для большего понимания, как это устроено.
Еще раз вернемся к номеру карты:
4037840052172271
По этому номеру можно сразу на глаз понять, что карта у нас VISA. Да, по первой цифре. Карты VISA начинаются с цифры 4. Master Card - 5. American Express - 3. Maestro - это дебетовые карты от Master Card. После цифр BIN'a у нас идут цифры, не считая последней, где зашифрованы данные, о том дебетовая карта или кредитная, валюта карты и регион выпуска. Последняя цифра карты - это проверочное число, через специальный алгоритм проходит проверка соответствия этого числа и номера карты, то есть, последнее число образуется через математические операции с остальными цифрами. Банковские карты могут быть еще дебетовыми и кредитными, как уже поняли. Дебетовые карты имеют свой устойчивый баланс. Кредитные карты могут уходить в минус, то есть, кредитные деньги.
403784 US VISA CREDIT PLATINUM U.S. BANK NATIONAL ASSOCIATION ND
Когда мы пробивали BIN. Level - это статус карты. У нас Level - PLATINUM. Например, у студента и бизнесмена будут разные по статусу карты. То есть, разные лимиты, проценты, возможности и подобные вещи. За более высокий статус карты, клиент больше платит за ее обслуживание. Международные банковские карты используются в международных системах
платежей. Наиболее популярные платёжные системы - Visa, MasterCard, Diners Club, American Express, JCB и China Unionpay.
Наиболее доступны в мире карты Visa Electron, Cirrus/Maestro. В большинстве случаев они являются дебетовыми и, как правило, не позволяют производить электронные платежи через интернет. Это повышает безопасность их использования. Эти карты - самые дешёвые по стоимости выпуска и обслуживания. Самые популярные в мире - карты Visa Classic и MasterCard Standard. Они бывают как дебетовые, так и кредитные, а также позволяют рассчитываться через интернет.
Карты серий Gold/Platinum - престижные карты, подчёркивающие солидность его обладателя. Используются как элемент имиджа. Технически, карты Visa Classic - Visa Gold, MasterCard Standard - MasterCard Gold отличаются дизайном, стоимостью выпуска и обслуживания и, в зависимости от банка-эмитента карты, разными наборами услуг (Например, предоставлением медицинской страховки, или службы «консьерж», позволяющей бронировать билеты на транспорт и в театр, гостиницы и выполнять ещё ряд поручений).
Владельцам карт класса Gold и Platinum некоторые магазины и другие организации предоставляют скидки и другие преимущества (Например, возможность пользования в аэропорту залом бизнес-класса вне зависимости от категории билета, специальные условия при аренде автомобиля).
Кроме того, в связи с распространением карт класса Gold и Platinum, международные платёжные системы вводят новые форматы эксклюзивных карт, свидетельствующих о крайне высоком статусе их обладателя.
Также, существуют титановые (Titanium) карты - самые престижные карты, предоставляющие своим владельцам эксклюзивные привилегии по всему миру. Первой такую карту выпустила компания American Express - карту Центурион.
Теперь о деньгах на карте, баланс карты. Узнать баланс покупая просто данные CC - нельзя. Баланс можно узнать, разве что делая доступ в онлайн-банк, как у нас Сбербанк Онлайн. И то, уже только после того, как купили карту, а потом еще пробили дополнительную информацию о КХ. Но этот момент не сильно нам мешает в работе, в США и Европе деньги в основном хранят на картах, баланс там обычно есть. Также, существует понятие "валидность карты", что означает - жива/активна ли карта. Бывает вариант, мы купили карту, вбиваем, но она не вошла, обычно ошибка - Card Decline. Один из вариантов - наша карта мертва была изначальна, то есть, не Valid, не рабочая. У разных магазинов и продавцов, которые продают карты, на этот счет разные правила возврата такого материала (не Valid'а). Для проверки на Valid карты, есть специальные Checker'ы СС, работают по принципу - вводим карту в CheckerСС, происходит малый вбив карты (Мелкое списание средств), то есть, ее проверка и нам выдает результат - Valid/не Valid. Минус таких Checker'ов СС, что он может убить карту сразу после проверки, даже если покажет, что карта Valid.
CheckerСС работает так - ввели в него данные карты, проверяем. CheckerСС списывает мелкую сумму с карты и возвращает их обратно на карту. Если деньги списываются, то выдает, что карта активна (Valid). Если нет - не Valid. А почему Checker'ы СС делают возврат на карту списанных им средств? Чтобы его не заблокировали (CheckerСС). Через такие Checker'ы СС проходит много карт, и банки знают коды, на которых базируется CheckerСС. То есть, может быть, что проверили карту, показало Valid, но после ее банк уже блокирует.
Такая проблема не на всех Checker'ах СС, чем более приватный CheckerСС, тем лучше. Также карту можно проверять самостоятельно, вбивая какую-то мелочь. Например, вбив в пожертвование. 1$ - 5$. Если транзакция прошла, значит карта Valid. Пожертвования детям, каким-то сайтам и так далее. Также, карту могут заблокировать, если ее вбивать во все подряд, то есть, из-за большого числа транзакций, в короткий промежуток времени, банк может ее заблокировать, поэтому правило, одна СС - один/два вбива.
Лучше делать так, вбили - получили результат с карты и после этого можно пробовать еще, когда мы уже ничем не рискуем. Проблема Valid материала - больная тема сейчас, но от этого всего есть выход.
FAQ:
А: Как подбирать нужные BIN'ы?
Б: BIN'ы вы интуитивно научитесь подбивать в процессе. Это приходит с опытом. Со временем у вас накопится своя личная копилка хороших BIN'ов. Проблема в том, что об этих BIN'ах знаете не только вы, поэтому их достаточно быстро раскупают (СС с хорошими BIN'ами). Решение простое - постоянно мониторить магазины по продаже СС, а также иметь несколько этих магазинов. Я, например, нанял отдельного человека, который ищет для меня BIN'ы и хорошие СС, сразу же их скупает, а я потом уже бью.
А: Насколько острая проблема с Valid материалом?
Б: Острая, но не критично.
А: Есть какая-то градация карт по номиналу на карте, на какую сумму рассчитывать покупая ту или иную карту?
Б: По статусу есть.
А: Что такое VCC и в чем ее особенности в нашем деле?
Б: Virtual Credit Card - Виртуальная карта, еще познакомимся.
Старайтесь уловить в каждой теме суть. Тогда у вас будет формироваться полная картина. Структура - это важно.
Типы карт (СС). Урок 1.1 (Для общего ознакомления)
Итак, начнём с типов карт American Exspress:
Репутация американского гиганта финансовых операций сегодня безупречна и тщательно поддерживается на высочайшем уровне. American Express делает упор на качество услуг и сервиса и выстраивает свои отношения с клиентами, опираясь на многолетний опыт и традиции. Компания предлагает персональные и корпоративные кредитные карты.
Держатели корпоративных карт (Corporate Card) - сотрудники крупных мировых корпораций.
Персональные карты выпускаются четырех видов: Personal Card (Так называемая
«Зеленая»), Gold Card, Platinum Card and Centurion Card (Идет по нарастанию приоритетов). Все они отличаются только классом, поскольку традиционные преимущества полагаются каждому клиенту AmEx.
Далее, идут карты VISA:
Visa Electron - самый простой вид карт. Не имеет выпуклых элементов, что ограничивает возможность использования этого вида карт в терминалах, основанных на снятии оттиска с карты (Механическое копирование без подключения к базе данных). Как правило, установлены минимальные лимиты на операции и минимальные гарантии.
Visa Virtual Card - карта для совершения платежей через интернет. Порой «Выпускается» без физической выдачи карты. Фактически, это предоставление владельцу лишь реквизитов карты (Номер, CVV2, дата действия), которые можно использовать для оплаты через интернет. Удешевляется эмиссия карты, но снижается защищённость. Обычно являются предоплаченными в момент эмиссии и не предусматривают возможность пополнения. Могут быть анонимными, что иногда вызывает трудности при обработке в платёжных системах с обязательной верификацией имени владельца.
Visa Classic - карта со стандартным набором функций. Сюда входят платежи в большинстве торговых точек, принимающих карты, бронирование различных товаров и услуг в интернете, страхование находящихся на счету денег и так далее.
Visa Gold - карта, которая имеет дополнительные гарантии платёжеспособности держателя, более высокие платёжные и кредитные лимиты по сравнению с Classic, а также ряд дополнительных сервисов, среди которых экспресс-выдача наличных и экстренная замена карты в случае утери или кражи карты вдали от банка-эмитента, дополнительные скидки и привилегии в таких сферах, как путешествия, прокат автомобилей, покупки эксклюзивных товаров и услуг. Как правило, вместе с обязательными привилегиями от платёжной системы, банки-эмитенты карт предлагают собственные дополнительные услуги для держателей карт Gold и более высокого уровня.
Visa Platinum - элитная карта, которая обычно предоставляет возможность владельцу
получить дополнительные услуги, скидки, страховки в объёмах, превышающих привилегии для держателей карт Gold.
Visa Signature - карточный продукт для особо состоятельных клиентов, отличительными особенностями которого являются максимальная покупательная способность, повышенные лимиты на различные группы операций по картам, эксклюзивные услуги в области отдыха, покупок и путешествий, а также консьерж-сервис и специальные возможности на личной странице в интернете.
Visa Infinite - позиционируется, как наиболее престижная карта для клиентов с наивысшей платёжеспособностью. В ряде случаев кредитный лимит по такой карте неограничен.
Visa Black Card - имиджевый элитарный продукт. Материалом для изготовления служит не обычный пластик, а патентованный специальный углепласт. Позиционируется, как символ принадлежности держателя к верхушке общества. Из-за повышенных требований, в США владельцами этой карты могут стать не более 1 % жителей. Владелец сможет останавливаться в VIP-салонах международных аэропортов, пользоваться услугами консьерж-сервиса, обеспечивается туристическая страховка, покрытие ущерба при автомобильной аварии, возмещение затрат при отмене поездок.
Visa Business Credit и Visa Business Debit - карты для представителей юридических лиц, предназначенные для расчётов в интересах бизнеса. Данные карты позиционируются, как продукт для малого бизнеса.
Visa Business Electron Card - карты позиционируются платёжной системой, как продукт для малого бизнеса в странах с развивающейся экономикой.
Visa Corporate - карты бизнес-сегмента, предназначенные для компаний среднего и крупного бизнеса.
Visa Fleet - карты бизнес-сегмента, ориентированные на компании, использующие автотранспорт в своей основной деятельности. Этот тип карт помогает компаниям отслеживать эксплуатационные расходы своего автопарка, а также получать дополнительные скидки на топливо и сервисное обслуживание.
Visa Debit - карта для каждодневных расходов. Её особенность состоит в том, что списание средств происходит с депозитного счёта клиента, как если бы он снимал со счёта наличные или выписывал чеки в оплату приобретённых товаров или услуг.
Visa Prepaid Card - карта, баланс которой пополняется при выдаче в банке, и дальнейшие операции проводятся в пределах доступного остатка средств. Разновидностью данного типа карт является подарочная карта - Gift Card. Разновидностью данного типа карт можно считать и карты моментальной выдачи - Visa Instant Issue - заранее персонализованные, но не персонифицированные (Без указания имени держателя). Особенностью этого типа карт является быстрая выдача карты, как правило в течение 15-20 минут с момента обращения клиента в банк.
Visa TravelMoney - карта, предназначенная в первую очередь для безопасной перевозки денежных средств, например в ходе путешествия, являясь более технологичным аналогом дорожных чеков. Как правило, по данному виду карт возможны только операции снятия наличных в банкоматах, однако отдельные банки допускают и покупки по картам TravelMoney.
Visa Mini Card - карта уменьшенного формата, нередко выпускается с отверстием, подразумевая использование и в качестве брелока и не только. Необходимо отметить, что соседство с металлическими ключами крайне нежелательно и может пагубно сказаться как на записанной на магнитной полосе информации, так и привести к повышенному механическому износу карты. В силу нестандартного формата, этот тип карт невозможно использовать в банкоматах, терминалах с контактными чипами (Бесконтактный протокол поддерживается - если карта снабжена таким чипом), также не получится использовать карту в импринтерах. Таким образом, данный продукт пригоден лишь для оплаты покупок или получения наличных в точках, оборудованных электронным терминалом, способным работать по магнитной полосе или бесконтактному чипу. По этой причине данный тип карт, как правило, выпускают в «связке» с картой стандартного формата, имеющей доступ к тому же карточному счёту.
Visa Buxx - целевой аудиторией этой карты являются подростки, не имеющие пока самостоятельного дохода. Родители имеют возможность зачислять на карту «безналичные карманные деньги» и контролировать движения по счёту.
Visa Horizon - дебетовая карта, которая хранит средства на самом чипе, предварительно преавторизовывая их со счёта в банке. При её использовании нет необходимости устанавливать связь в режиме реального времени с банком-эмитентом для получения авторизации. Вся информация о доступном балансе находится на самой карте в памяти встроенного чипа и доступна для чтения терминалом в торговой точке. Держатель карты при необходимости может пополнить баланс на карточке со своего счёта в банке либо через банкомат, либо через один из терминалов в торговой сети или отделениях банка. Visa Horizon идеально подходит в тех случаях, когда существуют проблемы со связью или таковая вообще отсутствует. Поскольку для данного продукта отсутствует риск неплатёжеспособности или перерасхода средств за счёт предварительной авторизации, то Visa Horizon идеально подходит для выдачи клиентам, у которых отсутствуют банковская и кредитная истории. В отличие от карты с электронным кошельком, в котором баланс на карте предоплачивается и в случае потери карты клиент теряет непотраченные средства с карты, Visa Horizon позволяет восстановить остававшиеся к моменту потери карты средства на счету клиента в банке.
Visa Cash или, как ещё её принято называть, «электронный кошелёк», является предоплаченной картой и совмещает в себе удобства платёжных карт с защищённостью и функциональностью встроенного чипа. Карта Visa Cash позволяет легко и быстро оплачивать мелкие расходы, поэтому в основном может использоваться для покупки недорогих предметов, таких, как газеты, билеты в кино, для оплаты непродолжительных телефонных переговоров и так далее. Карта Visa Cash может быть либо пополняемой, либо одноразовой. Решение об этом принимается банком-эмитентом, выдающим карту, и согласовывается с клиентом.
Visa Payroll - обычный тип карт, который сразу при приобретении предоставляет страховку личного имущества человека, приобретённого при помощи данной карты Visa. Общая сумма страховки не может превышать 50 тысяч долларов на человека. На данный момент такие карты выпускаются только в США.
Visa Check, Visa Gold Check и Visa Business Check - карты, созданные для сотрудничества с программами накопления миль у авиаперевозчиков. В основном это касается системы WorldPerks компании NWA.
Visa Platinum Check - аналогична предыдущим трём картам, однако не может быть объединена с программой WorldPerks, хотя предоставляет боо льшие возможности для обладателей, чем Visa Check или Visa Gold Check.
Visa Purchasing - карта предлагается банками с 1994 года и предназначена для учёта затрат на офисные нужды. Карта может быть использована как средними, так и крупными компаниями и выдаётся, как правило, людям, отвечающим в этих компаниях за хозяйственную деятельность. Её использование позволяет компаниям как частного, так и государственного сектора обходиться без требующего много труда и бумаг процесса оформления небольших закупок товаров и услуг. Карта непосредственно предназначена для закупки товаров и оплаты услуг на сумму в пределах 5 тысяч долларов США. Для данных карт к банкам предъявляются требования по специальной форме отчётности при выставлении счетов. Благодаря этой форме предприятие может существенно сэкономить на административных расходах, связанных с приобретением товаров, а также получить информацию, анализ которой может быть взят за основу для проведения переговоров с поставщиками товаров и услуг относительно более выгодных условий сотрудничества.
Visa Commercial - создаёт простую консолидацию расходных данных со всех отделов, подразделений и дочерних предприятий компании, что обеспечивает интегрированный обзор всех расходов по проведению мероприятий и закупкам, а также командировочных расходов.
Следует обратить внимание, что в некоторых странах или регионах доступны не все виды карт. Это может быть связано с особенностями законодательства той или иной страны, а также региональными ограничениями самой платёжной системы.
Далее, рассмотрим карты типа Master Card (Основные):
MasterCard Maestro - это самые доступные банковские карты, вследствие своей низкой стоимости и первоначального взноса. Приобретая ее, вы становитесь обладателем полноправной международной карты, широко применяемой в мире.
MasterCard Standard - наличие таких карточек подчеркивает, что вы - состоявшийся человек, успешно ведущий дела. Отправляясь за границу и имея при себе одну из этих карт, у вас не будет проблем забронировать номер в отеле или взять напрокат автомобиль.
MasterCard Gold - эти карты внушают большее уважение к владельцу этой карты. Они однозначно говорят о том, что его авторитет и вес в обществе выше обычного, что человек достиг в своей жизни серьезных результатов. Это дает владельцу «золотых» карт право на скидки при заказе дорогих номеров в гостиницах и при совершении покупок в престижных магазинах.
MasterCard Platinum - особые банковские карты класса «Премиум». Дают безграничные возможности, полную свободу и эксклюзивность. Владельцу платиновой карты обеспечен статус VIP-персоны в любом месте, в любой точке во всем мире. Это гарантирует одновременно высококлассное обслуживание и существенные скидки.
Помимо уже имеющихся карт, клиентам предлагают обзавестись американской Discover (начинается с цифры 6).
Discover, наоборот, как бы народная, причем изначально ориентированная на кредитные программы. Основная «фишка» системы - бонусы. При покупке товаров и услуг при помощи заемных средств с карты клиенту возвращается какая-то часть суммы (Весьма незначительная), при этом, чем больше тратишь, тем больше процент возврата.
Картами Discover пользоваться невыгодно! Причин тут несколько. Во-первых, совершенно непонятно, где ими можно будет расплачиваться, так как не везде принимают данную платежную систему. А если и принимают, то там, вне всякого сомнения, цены будут несколько завышенными. Во-вторых, проблема с банкоматами - сунуть ее можно будет только в АТМ банка-эмитента. С соответствующим уровнем комиссии. В-третьих, в Европу и Азию с этим «пластиком» тоже не поедешь - логотип с оранжевым «апельсином» в центре крайне редко можно увидеть в Старом свете. Те же, кто часто ездят в США или Канаду всегда могут расплатиться привычной Visa.
Однако, некоторые сторонники, назвали ее лучшей кредитной картой для людей, беспокоящихся о мошенничестве в интернете и защиты личности.
Шифрование. Безопасность. Анонимность. Урок 2.
Поговорим о шифровании. Сразу скажу, что это довольно трудная тема, да и она не является обязательной на все 100%. Скорее, эта информация нужна тем, кто уже чего-то действительно добился (в нашем деле) и желает серьезно заняться своей безопасностью и анонимностью. В этом уроке расписано о том, что такое безопасность, как она достигается и так далее. Если вам кажется, что это слишком сложно для вас или не нужно, то можете смело переходить к следующему уроку.
Повторюсь, эта информация не является обязательной на все 100%, но для общего понимания очень полезна.
Итак, обсудим и разберем фундаментальные основы шифрования, мы изучим симметричное и асимметричное шифрование, также слегка затронем такие понятия как: хеши, SSL, TLS, сертификаты, перехват данных при помощи утилиты SSLStrip и слабости, связанные с шифрованием. Это фундаментальные знания, необходимые для выбора подходящих средств обеспечения безопасности с целью снижения рисков.
В целом, шифрование состоит из двух составляющих - зашифровывание и расшифровывание. С помощью шифрования обеспечиваются три состояния безопасности информации:
1. Конфиденциальность - шифрование используется для скрытия информации от не авторизованных пользователей при передаче или при хранении.
2. Целостность - шифрование используется для предотвращения изменения информации при передаче или хранении.
3. Идентифицируемость - шифрование используется для аутентификации источника информации и предотвращения отказа отправителя информации от того факта, что данные были отправлены именно им.
Для того, чтобы прочитать зашифрованную информацию, принимающей стороне необходимы ключ и дешифратор (Устройство, реализующее алгоритм расшифровывания).
Идея шифрования состоит в том, что злоумышленник, перехватив зашифрованные данные и не имея к ним ключа, не может ни прочитать, ни изменить передаваемую информацию. Давайте представим закрытую дверь на замок для того, чтобы узнать, что находится по ту сторону двери, нам необходимо открыть ее ключом от этого замка. Так и в случае шифрования данных. Только вместо замка у нас выступает алгоритм шифрования данных, а вместо ключа секретный ключ (Пароль) для дешифровки данных.
Основная цель шифрования применяется для хранения важной информации в зашифрованном виде. Вообще, шифрование используется для хранение важной информации в ненадежных источниках и передачи ее по незащищенным каналам связи.
Такая передача данных представляет из себя два взаимно обратных процесса:
1. Перед отправлением данных по линии связи или перед помещением на хранение они подвергаются зашифровыванию.
2. Для восстановления исходных данных из зашифрованных к ним применяется процедура расшифровывания.
Шифрование изначально использовалось только для передачи конфиденциальной информации. Однако впоследствии шифровать информацию начали с целью ее хранения в ненадежных источниках. Шифрование информации с целью ее хранения применяется и сейчас, это позволяет избежать необходимости в физическом защищенном хранилище (USB, SSD-диски).
Какие имеются методы шифрования:
1. Симметричное шифрование - использует один и тот же ключ и для зашифровывания, и для расшифровывания.
2. Асимметричное шифрование - использует два разных ключа: один для зашифровывания (Который также называется открытым), другой для расшифровывания (Называется закрытым) или наоборот.
Эти методы решают определенные задачи и обладают как достоинствами, так и недостатками. Конкретный выбор применяемого метода зависит от целей, с которыми информация подвергается шифрованию. Для того чтобы сделать правильный выбор в подходе по шифрованию, какой метод шифрования где применять, и ответить на другие сопутствующие вопросы, вам будет необходимо понимать, что такое шифрование, как я и говорил ранее.
Например:
• Отправитель отправляет зашифрованное сообщение: "Привет, Антон"
• Злоумышленники перехватывают данное сообщение, но так как у них нет ключа для дешифровки они лишь видят набор символов: "%#&$!"
• Получатель, имея ключ дешифровки, с легкостью может прочитать сообщение которое отправил отправитель в зашифрованном виде, и он уже видит текст отправителя в первозданном виде: "Привет, Антон"
Не будет преувеличением сказать, что шифрование - это самый лучший инструмент, который только есть в нашем арсенале для защиты от хакеров и слежки.
Шифрование - это метод преобразования данных, пригодных для чтения человеком, они называются незашифрованным текстом, в форму, которую человек не сможет прочитать, и это называется зашифрованным текстом. Это позволяет хранить или передавать данные в нечитабельном виде, за счет чего они остаются конфиденциальными и приватными.
Дешифрование - это метод преобразования зашифрованного текста обратно в читабельный человеку текст. Если вы осуществите простой поиск в Google, то увидите надпись HTTPS и наличие зеленой иконки замка, это означает, что все содержимое веб-страниц недоступно для чтения людям, которые отслеживают передачу данных по сети.
Есть два основных компонента шифрования:
1. Алгоритм шифрования - известен публично и многие, многие люди тщательно его изучили в попытке определить, является ли алгоритм сильным.
2. Секретный ключ - можете представить, что секретный ключ - это пароль и он должен держаться в тайне.
Алгоритм можно представить, как замок, а секретный ключ - это ключ к этому замку. В симметричных криптосистемах для шифрования и расшифровывания используется один и тот же ключ.
Давайте рассмотрим пример. Я хочу отправить Антону какой-то файл, но я не хочу, чтобы какие-то третьи лица могли его просмотреть. Для наглядности и простоты использования я решил зашифровать данный файл программой 7-Zip. По этой же аналогичной структуре шифруются сектора/диски в VeraCrypt, TrueCrypt.
Определения:
1. Алгоритм шифрования - это математический процесс преобразования информации в строку данных, которые выглядят, как случайный набор символов и букв.
2. Хеш-функция - это преобразования входных данных в выходную битовую строку. Задача функции обеспечивать целостность и позволять обнаружить непреднамеренные модификации.
На выходе мы получаем зашифрованный архив, который для распаковки и получении информации, что находится внутри необходимо ввести ключ дешифровки, говоря простым языком - пароль. Допустим, что для зашифровки я использовал симметричный алгоритм блочного шифрования - Advanced Encryption Standard (AES). В данном алгоритме используется только один ключ, ключ создается при помощи нашего пароля. Также, вы можете выбрать, какой размер блока будет использован 128 / 256 / 512 / 1024 бит.
Представьте себе дверь и множество замков на ней. У вас займет много времени, чтобы открыть или закрыть эту дверь. Также и с алгоритмами, чем выше битрейт, тем сильнее алгоритм, но тем медленнее он шифрует и дешифрует, можете считать это стойкостью алгоритма.
256 / 512 бит - это также и объем ключевого пространства, то есть цифра, обозначающая суммарное количество возможных различных ключей, которые вы можете получить при помощи этого алгоритма шифрования.
Для взлома симметричного шифра требуется перебрать 2^N комбинаций, где N длина ключа. Для взлома симметричного шифрования с длиной ключа 256 бит можно создать следующее количество комбинаций, то есть возможных ключей: 2^256 = 1.1579209e+77 или если разложить 1.1579209e * 10^7, то при расчете получается следующее число возможных вариаций (Это 78-разрядное число):
Code:
2^256 = 115792089237316195423570985008687907853269984665640564039457584007913129639936Если что, то можете проверить сами это число тут - kalkulyatoronlajn.ru
Таким образом, для всех, кто сомневается в безопасности шансов столкновения 2^256, есть число: где вероятность того, что столкновение будет иметь один из более чем 1.1579209e*10^7= 78-разрядному числу (Число, которое выше). Проще говоря, это само попадание или столкновение практически невозможно.
Все это означает, что ключ крайне сложно подобрать, даже при помощи очень мощных компьютеров, но при условии, что вы использовали длинный и случайный пароль при генерации ключа. Про пароль поговорим отдельно, какой использовать и так далее. Вместе с программами и почему.
Люди и правительства постоянно пытаются взломать алгоритмы шифрования. Я дам вам список алгоритмов, которые хороши, а которые нет, какие из них поддаются взлому, а какие на сегодняшний день невозможно взломать.
Алгоритмы симметричного шифрования:
1. Data Encryption Standard (DES) - алгоритм для симметричного шифрования, разработанный фирмой IBM и утверждённый правительством США в 1977 году, как официальный стандарт (FIPS 46-3). Размер блока для DES равен 64 бита.
2. Triple-DES (3DES) - симметричный блочный шифр, созданный в 1978 году на основе алгоритма DES с целью устранения главного недостатка последнего малой длины ключа (56 бит), который может быть взломан методом полного перебора ключа.
3. Blowfish - криптографический алгоритм, реализующий блочное симметричное шифрование с переменной длиной ключа.
4. RC4 - потоковый шифр, широко применяющийся в различных системах защиты информации в компьютерных сетях (Например, в протоколах SSL и TLS, алгоритмах обеспечения безопасности беспроводных сетей WEP и WPA).
5. RC5 - это блочный шифр, разработанный Роном Ривестом из компании RSA Security Inc. с переменным количеством раундов, длиной блока и длиной ключа. Это расширяет сферу использования и упрощает переход на более сильный вариант алгоритма.
6. RC6 - симметричный блочный криптографический алгоритм, производный от алгоритма RC5.
7. Advanced Encryption Standard (AES) - симметричный алгоритм блочного шифрования (Размер блока 128 бит, ключ 128/192/256 бит), принятый в качестве стандарта шифрования правительством США по результатам конкурса AES. Этот алгоритм хорошо проанализирован и сейчас широко используется, как это было с его предшественником DES.
Симметричные алгоритмы используются в большинстве систем шифрования, которые вы используете ежедневно: HTTPS, Полное шифрование диска (TrueCrypt, VeraCrypt и другие), Шифрование файлов (7-Zip, WinZip и другие), TOR, VPN. Практически везде используется симметричное шифрование.
Advanced Encryption Standard (AES) - это общепринятый стандарт симметричного шифрования. Для максимальной защиты используйте AES-256, где это возможно. AES быстрый и на сегодняшний день его невозможно взломать (При условии, что пароль у вас сильный, про это будет ниже).
Асимметричное шифрование. Очень умные люди изобрели это шифрование с использованием открытого и закрытого ключей и алгоритмы, основанные на сложности определенных математических задач. Я не буду углубляться в математические детали, потому что их понимание не обязательно для вашей защиты. Для правильного выбора средств защиты вам лишь достаточно иметь базовое понимание алгоритмов и стойкости алгоритмов, а также криптографических систем, которые вы собираетесь использовать.
Как мы знаем в симметричном методе шифрование используется один секретный ключ, тогда как в асимметричных методах шифрования (Или криптографии с открытым ключом) для зашифровывания информации используют один ключ (Открытый), а для расшифровывания другой (Секретный). Эти ключи различны и не могут быть получены один из другого.
Закрепим материал:
Симметричный метод шифрования - один ключ, использует один и тот же ключ и для зашифровывания, и для расшифровывания.
Асимметричный метод шифрования - два ключа открытый (Публичный от англ. Public) и закрытый (Приватный от англ. Private).
Итак, допустим, у нас есть файл для Антона, который был зашифрован с помощью программы 7-Zip с использованием алгоритма шифрования AES-256 и сильного пароля, но как нам доставить пароль Антону, чтобы он смог дешифровать файл?
Самый лучший способ, что-либо передать и быть уверенным в доставке информации указанному адресату - это лично в руки. Но это не очень хорошая затея, так как мы можем попросту не знать, где находится адресат, либо он может находится настолько далеко, что доставить что-либо "Лично в руки" становится проблематичным, а быть может нам попросту нужна анонимность.
Асимметричные алгоритмы (с применением открытого и закрытого ключа):
1. RSA (Rivest-Shamir-Adleman) - криптографический алгоритм с открытым ключом. Данный алгоритм очень популярен, один из самых распространенных асимметричных алгоритмов из всех, что вы увидите, и я покажу вам, где вообще их искать и как использовать. Криптостойкость этого алгоритма основана на сложности факторизации или разложения больших чисел в произведение простых множителей.
2. ECC (Elliptic curve cryptosystem) - распространенный и приобретающий популярность алгоритм. Эта криптографическая система на основе эллиптических кривых, или ECC. Стойкость этого алгоритма опирается на задачу вычисления дискретных логарифмов на эллиптических кривых.
3. DH (Diffie-Hellman) - Его стойкость основана на задаче дискретного логарифмирования в конечном поле. Диффи-Хеллман становится все более популярным, потому что у него есть свойство под названием "Прямая секретность", мы обсудим его позже.
4. ElGamal - схема Эль-Гамаля, и криптостойкость этого алгоритма также основана на сложности задачи дискретного логарифмирования в конечном поле.
Криптостойкость (Способность криптографического алгоритма противостоять криптоанализу) - этого алгоритма основана на сложности факторизации или разложения больших чисел произведения простых множителей.
Эти асимметричные алгоритмы помогают решать проблему обмена или согласования ключей, а также позволяют создавать так называемые электронные цифровые подписи. Так что потенциально мы можем использовать открытый и закрытый ключи, чтобы отправить Антону наш секретный ключ защищенным образом, без возможности перехвата его содержимого.
Еще раз отмечу, в алгоритмах с применением открытых и закрытых ключей используются два ключа, а не один, как в симметричном шифровании. Разница в том, что в асимметричном шифровании есть открытый ключ, который создается, чтобы быть известным для любого человека, то есть это публичный ключ, и есть закрытый ключ, который должен всегда храниться в секрете и быть приватным. Эти ключи математически связаны и оба они генерируются в одно и то же время. Они должны генерироваться одновременно, потому что они математически связаны друг с другом. Любой веб-сайт, использующий HTTPS, имеет открытый и закрытый ключи, которые используются для обмена симметричным сеансовым ключом, чтобы отправлять вам зашифрованные данные.
Это немного похоже на Zip-файл. Они используют эти открытые/закрытые ключи и затем им нужно отправить другой ключ, типа ключа, который мы используем для Zip-файла, с целью осуществить шифрование (End-to-end. Разберем дальше).
Запомните:
Если Вы шифруете при помощи закрытого ключа, Вам нужен открытый ключ для дешифровки. Если Вы шифруете при помощи открытого ключа, Вам нужен закрытый ключ для дешифровки.
В асимметричном шифровании, если сообщение зашифровано одним ключом, то необходим второй ключ для дешифровки этого сообщения. Если вы шифруете при помощи закрытого ключа, то вам нужен открытый ключ для дешифровки. Если вы шифруете при помощи открытого ключа, то для дешифровки вам нужен закрытый ключ. Невозможно зашифровать и дешифровать одним и тем же ключом, и это крайне важно. Для шифрования или дешифрования вам всегда нужны взаимосвязанные ключи.
Так вот, вернемся к нашему вопросу. Какие же есть все-таки способы доставить пароль?
Способ первый
В первом способе отправитель шифрует при помощи открытого (Публичного) ключа получателя - Антона. Это означает, что вам нужны анонимность и конфиденциальность,
чтобы никто не смог прочитать сообщение, кроме получателя. Допустим, вы зашифровываете файл при помощи открытого ключа получателя. Сообщение может быть расшифровано только человеком, обладающим подходящим закрытым ключом, то есть закрытым ключом Антона. Так как мы знаем, что данные ключи взаимосвязаны, одним шифруем, другим дешифруем и никак иначе.
Получатель (Антон) не может идентифицировать отправителя этого сообщения. Так как открытый (Публичный) ключ на то и открытый, что он выкладывается обычно в общий доступ, и любой может использовать открытый (Публичный) ключ Антона для шифрования. Когда отправитель шифрует при помощи открытого ключа получателя, сообщение конфиденциально и оно может быть прочитано лишь получателем, у которого есть закрытый ключ для дешифрования сообщения, но как я и говорил ранее возможности идентификации отправителя нет, при условии конечно если вы сами не пришлете там каких-либо данных для последующей вас идентификации
Способ второй
Все выше сказанное выливается во второй способ использования открытых (Публичных) и закрытых (Приватных) ключей. Если вы шифруете своим собственным закрытым ключом, то это означает, что вы заинтересованы в аутентификации. В этом случае вам важно, чтобы получатель знал, что именно вы отправили зашифрованное сообщение. Для этого вы шифруете пароль (Файл) при помощи своего закрытого ключа. Это наделяет уверенностью получателя, что единственным человеком, который мог зашифровать эти данные, является человек, который владеет этим закрытым ключом, вашим закрытым ключом.
Например, вы создатель какого-то программного обеспечения, но правительство не годует и всячески препятствует вашей деятельности.
Смоделируем такую ситуацию:
Допустим, я хочу скачать это программное обеспечение, здесь указана хеш-сумма этого файла, однако, если веб-сайт скомпрометирован, то это означает, что злоумышленники могли подменить данный файл для загрузки и добавить к нему вирус или что-то для слежки за мной, и они также могли подменить и контрольную сумму.
Значит, этот хеш ничего не значит. Он не поможет обнаружить преднамеренную модификацию файла. Нам нужно что-то еще для удостоверения, что данный сайт это в действительности официальный сайт программного обеспечения.
И здесь мы подходим к сертификатам, цифровым подписям и другим средствам. Все эти документы, получаются в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить отсутствие искажения информации в электронном документе с момента формирования подписи (Целостность), принадлежность подписи владельцу сертификата (Авторство), а в случае успешной проверки подтвердить факт подписания электронного документа (неотказуемость).
Шифрование данных с помощью закрытого ключа отправителя называется форматом открытого сообщения, потому что любой человек, обладающий копией соответствующего открытого (Публичного) ключа, может дешифровать сообщение. Можете считать это, как если бы вы официально поместили что-либо в интернет для публичного доступа, и поскольку
вы зашифровали его своим закрытым ключом, любой может убедиться, что именно вы оставили это сообщение. Конфиденциальность или анонимность в данном случае не обеспечивается, но обеспечивается аутентификация отправителя, то есть вас.
Далее. Когда различные технологии шифрования используются в комбинации, типа тех, о которых мы уже говорили ранее, поскольку они все могут быть использованы в комбинации и не могут использоваться по отдельности, то они называются криптографической системой, и криптосистемы могут обеспечить вас целым рядом средств обеспечения безопасности.
Криптографическая система могут обеспечить вас целым рядом средств безопасности. В числе этих средств:
1. Конфиденциальность - необходимость предотвращения утечки (Разглашения) какой-либо информации.
2. Аутентификация - процедура проверки подлинности, то есть мы знаем, что Антон - это реально Антон и никто другой.
3. Предотвращение отказа - что означает, что если вы отправили шифрованное сообщение, то позже вы не сможете начать отрицать этот факт.
4. Достоверность - подлинность того, что сообщение не было модифицировано каким-либо образом.
Примерами криптосистем являются любые вещи, которые используют технологию шифрования, это: PGP, BitLocker, TrueCrypt, VeraCrypt, TLS, даже BitTorrent, и даже 7- Zip.
Например, чтобы мы могли послать наш файл Антону, мы можем использовать открытый ключ Антона для шифрования файлов или для передачи чего угодно в зашифрованном виде. Но для начала, конечно, нам потребуется открытый ключ Антона, нам достаточно получить его один раз неким защищенным способом, и после этого мы сможем всегда посылать зашифрованные сообщения, доступные для чтения исключительно Антону.
PGP - Это система, которую мы можем использовать для этих целей, она использует технологию шифрования сообщений, файлов и другой информации, представленной в электронном виде.
PGP (Pretty Good Privacy) - компьютерная программа, также библиотека функций, позволяющая выполнять операции шифрования и цифровой подписи сообщений, файлов и другой информации, представленной в электронном виде, в том числе прозрачное шифрование данных на запоминающих устройствах, например, на жёстком диске. Для этих целей мы можем использовать Jabber + PGP.
Об этом чуть ниже. Но давайте вернемся к шифрованию. Когда речь заходит о криптографии с использованием открытых и закрытых ключей или асимметричном шифровании, есть как сильные, так и слабые стороны.
Асимметричное шифрование - открытые и закрытые ключи:
1. Лучшее распределение ключей, так как Антон может поместить свой открытый ключ прямо себе в подпись и любой человек будет иметь возможность посылать ей
зашифрованные сообщения или данные, которые сможет прочитать только он.
2. Масштабируемость - если вы используете симметричные ключи и желаете отправить ваш файл Антону и, скажем, еще десяти людям, вам придется передать свой пароль 10 раз. Это совершенно не масштабируемо. Асимметричные алгоритмы имеют более хорошую масштабируемость, нежели чем симметричные системы.
3. Аутентификация, предотвращение отказа - это означает, если вы отправили шифрованное сообщение, то позже вы не сможете начать отрицать этот факт. Так как оно было зашифровано личным приватным ключом, вашим приватным ключом.
4. Медленные - если вы посмотрите на длину сообщения в битах после работы асимметричных алгоритмов, то заметите, что она гораздо больше, чем у алгоритмов шифрования с симметричными ключами, и это свидетельство того, насколько они медленнее.
5. Математически-интенсивные - Чем больше длинна в битах, тем больше число математических операций, а, следовательно, большая нагрузка на систему.
Симметричное шифрование - закрытый ключ:
1. Быстрые - если вы посмотрите на длину сообщения в битах после работы симметричных алгоритмов, то заметите, что она гораздо меньше, чем у алгоритмов шифрования с асимметричными ключами, и это свидетельство того, насколько они быстрее.
2. Надежные - Посмотрите на вышеописанное по поводу AES-256, где был с расчетом числа 2^256 и убедитесь сами, а ведь есть и 384 / 512 /1024 и более.
Для того, чтобы закрепить материал, вернемся к аналогии с количеством замков на двери. С открытыми и закрытыми ключами на двери висит много-много замков, так что шифрование и дешифрование занимает гораздо больше времени. Для центрального процессора это большой объем математических операций, поэтому и существуют гибридные системы, или гибридные криптографические системы. Открытые и закрытые ключи используются для обмена ключами согласования, и мы используем симметричные алгоритмы типа AES для шифрования данных, тем самым извлекая максимальную выгоду. HTTPS, использующий протоколы TLS и SSL, является примером подобного типа гибридных систем, как и PGP.
FAQ:
А: 1. Методы стеганографии как-то применяются в работе? 2. Асимметричное шифрование на примере работает примерно так - зашифровываем публичным AES, расшифровываем условным паролем: qwerty?
Б: 1. Конечно применяйте, все от вас зависит. 2. Создаем взаимопару - приватный и публичный. Одним шифруешь, другим дешифруешь. Приватный также с парольной фазой идет симметричной.
А: Каким методом можно будет передать код Антону? (Пример)
Б: Зависит от ситуации, вообще просто верифицировать его через OTR по отпечатку. И уже потом, когда по OTR верифицировали - можно прямо туда и кинуть, либо другим шифрованным источником, которому вы доверяете и уверены, что Антон - это действительно Антон.
А: Возможно ли модифицировать файл, не изменив его контрольную сумму?
Б: По сути возможно, но не рентабельно, так как в основном весь хэш файла зависит от веса файла, например, вес файла 1 454 458 байт, а файл, который подменили 1 594 137 бай и хэш их будет различаться и тут надо подгонять идеально, и все зависит от типа еще шифрования. По сути, нет. Так как придется что-то удалять из него и чем-то заменять, чтобы заполнить пространство. Думаю, что суть ясна, чтобы сохранить и так далее.
Давайте теперь более детально поговорим из чего состоит шифрование.
Хеширование - преобразование массива входных данных произвольной длины в (Выходную) битовую строку фиксированной длины, выполняемое определенным алгоритмом. Функция, реализующая алгоритм и выполняющая преобразование, называется
«Хеш-функцией» или «Функцией свёртки». Исходные данные называются входным массивом, «Ключом» или «Сообщением». Результат преобразования (Выходные данные) называется «Хешем», «Хеш-кодом», «Хеш-суммой», «Сводкой сообщения».
Хеш-функция принимает входные данные любого размера. Это может быть E-mail, файл,
слово. И происходит конвертация данных при помощи хеш-функции, например, в следующий вид:
Code:
732b01dfbfc088bf6e958b0d2d6f1482a3c35c7437b798fdeb6e77c78d84ccb1Важная особенность хеш-функции - вы не можете конвертировать из хеша обратно в изначальные входные данные. Это односторонняя хеш-функция и для нее не нужны ключи.
Есть много примеров хеш-функций: MD2, MD4, MD5, HAVAL, SHA, SHA-1, SHA-256, SHA-384, SHA-512, Tiger и так далее. В наше время, если вы подбираете криптографическую систему, вам стоит использовать SHA-256 и выше, я имею ввиду SHA- 384 и SHA-512 и так далее.
Чтобы проще разобраться с материалом, отойдем от сухого текста и смоделируем ситуацию. Допустим, вам нужно скачать для себя операционную систему Windows 7 Home Premium.
Мы знаем, что данная операционная система поставляется от разработчика Microsoft, далее уже идем в поиск и совершаем следующий поисковый запрос:
Code:
site:microsoft.com Windows 7 Home Premium hashОператор site: Этот оператор ограничивает поиск конкретным доменом или сайтом. То есть, если делаем запрос: site:microsoft.com Windows 7 Home Premium hash, то результаты будут получены со страниц, содержащих слова «Windows», «7», «Home», «Premium» и «hash» именно на сайте «microsoft.com», а не в других частях Интернета.
Эта информация так же является ключевой для поиска интернет-магазинов с помощью операторов в поисковых системах. Таким способом, можно легко найти хеш-сумму операционной системы Windows 7 Home Premium 64bit на официальном сайте Microsoft: SHA1 Hash value:
6C9058389C1E2E5122B7C933275F963EDF1C07B9
Вообще, я бы рекомендовал находить хеш-суммы и осуществлять поиск начиная от 256 и выше, но на официальном сайте была только данная сумма, так что я возьму то, что есть. Далее, нам необходимо найти файл, который соответствует данной хеш-сумме, для этого так же используем поисковую систему Google и операторы, как искать с помощью операторов и что это такое ссылка выше.
Code:
inurl:download "6C9058389C1E2E5122B7C933275F963EDF1C07B9"После того, когда вы скачиваете этот файл, то при помощи нашей хеш-суммы можно удостовериться, что этот файл не изменялся, то есть, он обладает целостностью.
Есть инструменты, которые вы можете скачать, чтобы делать это:
Одним из таких инструментов является Quick Hash (quickhash-gui.org), и я покажу, как сверить хеш-суммы и убедиться в целостности полученной информации.
Также, я приложу ниже, информацию по другим хеш-суммам данного файла:
Code:
MD5: DA319B5826162829C436306BEBEA7F0F
SHA-1: 6C9058389C1E2E5122B7C933275F963EDF1C07B9 SHA-256:
C10A9DA74A34E3AB57446CDDD7A0F825D526DA78D9796D442DB5022C33E3CB7F
SHA-512: E0CB678BF9577C70F33EDDC0221BC44ACD5ABD4938567B92DC31939B814E72D01FAC8 82870AB0834395F1A77C2CD5856FD88D2B05FBE1D1D9CCE9713C1D8AB73Вы можете заметить, что с увеличением этих цифр в алгоритме хеширования, длина хеша становится все больше, поскольку это длина в битах. SHA-1 - короткий, 256, 512 и MD5, который слаб и не должен использоваться вообще. Так что это является способом подтверждения того, что файл, который вы скачали, сохранил свою целостность.
Некоторые из вас наверняка зададутся вопросом:
"Что, если файл, который я собираюсь скачать, уже скомпрометирован?"
Допустим, у нас веб-сайт (veracrypt.fr) программного обеспечения VeraCrypt
И я хочу скачать VeraCrypt, на сайте имеются хеш-суммы файлов в кодировке SHA-256 и SHA-512
Code:
SHA-256: 6cff2cce52eb97321b1696f82e9ccefa7c80328d91c49bf10b49e3897677896e
VeraCrypt Setup 1.21.exe
SHA-512:
5c68a5a14fa22ee30eb51bc7d3fd35207f58eefb8da492f338c6dac54f68133885c47fa2b172d8783614 2c75d838dac782b9faca406a2ffb8854cc7d93f8b359
VeraCrypt Setup 1.21.exeОднако есть одно «НО», если веб-сайт был скомпрометирован, то это означает, что злоумышленники могли подменить данный файл для загрузки и добавить к нему что-либо, вирус или что-то для слежки, и они также могли подменить и контрольную сумму.
Следовательно, получается, что хеш ничего не значит, то есть он не может обнаружить преднамеренную модификацию файла. И нам нужно что-то еще, чтобы удостовериться, что данное программное обеспечение действительно исходит от разработчика. Что сайт VeraCrypt - это официальный сайт VeraCrypt и так далее.
И здесь мы подходим к сертификатам, цифровым подписям и другим средствам, которые сейчас разберем, а пока давайте затронем не маловажную суть хеширования.
Пароли, и все что нужно знать по ним. Когда вы вводите пароль на веб-сайте или в операционной системе, крайне плохой способ хранить этот пароль в базе данных, поскольку если эта база данных окажется скомпрометированной, то и ваш пароль окажется скомпрометирован. Но давайте разберемся, что такое хороший пароль. И какие пароли стоит и не стоит использовать. Обычно пароли перебираются по всяким словарям паролей, или так называемой базе паролей и так далее.
Думаю, по базе паролей понятно, это когда есть определенный список паролей, который подбирается для прохождения авторизации. А по словарю, это когда используется метод перебора пароля, исходя из собранных на вас данных к примеру, или не имея ее, то есть составление слов к примеру:
МоскваУлица1905годаМаша - то такой пароль не будет сильным, даже исходя из того, что он будет набран в другой раскладке, так как его легко можно будет перебрать, собрав информацию на вас и проанализировав можно запустить узконаправленный перебор по словарю с составлением и генерацией нужного вида пароля.
Что я могу порекомендовать по поводу паролей:
1. Используйте сильный пароль, я думаю многие из вас хоть слышали такую фразу, используйте сильные пароли в виде цифр, заглавных букв, строчных букв и специальных символов, но не так-то просто это все запомнить, но наверняка вы знаете хотя бы один такой пароль без смысловой нагрузки
Давайте предположим, что этот пароль - 3hF9$u?h, но он маленький - всего 8 символов, такой пароль не является сверх безопасным, но плюс такого пароля, что мы можем использовать его при шифрование диска, к примеру, защищенных разделов. Не используйте такой пароль, желательно, нигде. Просто запомните как-то и храните в каком то защищенном месте. Я, например, знаю несколько наборов символов, которые лежат у меня в голове и нигде не используются.
Возьмем ранее наш пароль МоскваУлица1905годаМаша и слегка его модернизируем, нашим набором символов - МоскваУлица!90% 3hF9$u?hгодаМаша, как мы можем заметить я нажал клавишу “Shift” при вводе 1 и 5 и они заменились у меня на спец символы. То есть, в английской раскладке он будет выглядеть так VjcrdfEkbwf!09%3hF9$u?hujlfVfif, и такой пароль легко запоминается, так как он имеет смысловую нагрузку, плюс уникальный секретный ключ (Шифр), который есть у вас в голове и нигде не используется.
Вы также можете сверить свои пароли или из чего он составляется со списком обнародованных паролей.
2. Использование пароля хотя бы от 21 символа.
3. Хранение всяких заметок, паролей, прочей конфиденциальной информации в зашифрованном виде, для этого вам необходимо использовать программы для полнодискового шифрования такие, как VeraCrypt, TrueCrypt и другие аналоги, сам использую VeraCrypt.
А для паролей и заметок к паролям используйте программу KeePass 2: https://ru.wikipedia.org/wiki/KeePass или KeePassX 2 https://ru.wikipedia.org/wiki/KeePassX
Keepass - это первая версия. Умеет только БД старого формата (их, вроде, легко расшифровать).
Keepass 2 - вторая версия, поддерживающая актуальный .kbdx-формат, их нельзя расшифровать (вернее, я не видел вариантов).
KeepassX - это переписанный на С Keepass первой версии, как и прародитель, умеет только .kbd-файлы, зато кроссплатформенный.
Начиная со второй версии KeepassX тоже умеет в .kdbx (keepassx.org/changelog)
Сам я пользуюсь KeePass 2, так как мне больше импонирует данный интерфейс и другие мои прихоти. Так что рекомендую. Эти три фундаментальные вещи по паролям запомните.
Поговорим о цифровых подписях. Вернемся опять к нашему VeraCrypt. Как узнать, что сайт действительно официальный и программное обеспечение исходит от разработчика?
Простой и довольно-таки хитрый способ найти официальный сайт - это найти программное обеспечение в Wikipedia и уже там перейти по ссылке на официальный сайт программного обеспечения. Однако, мы можем также нажать на зеленый замок и там посмотреть сертификат, что именно он выдан.
Цифровая подпись - это значение хеша. Это результат работы хеш-функции с фиксированным размером, который зашифрован закрытым ключом отправителя с целью создания цифровой подписи или подписанного сообщения. С технической точки зрения цифровая подпись - это отметка, подтверждающая лицо, которое подписало сообщение. Это выдача гарантии на объект, который был подписан с ее помощью.
Для наглядности, что такое цифровая подпись, даю вам небольшую памятку. Смотрим на подписывание:
Подписывание: То, что вы можете видеть на картинке выше, но исходя из нашего файла, который мы разбираем:
Алгоритм хеширования → Значение хеша (6cff2cce52eb97321b1696f82e9ccefa7c80328d91c49bf10b49e3897677896e) → Закрытый ключ = Цифровая подпись
Если объект шифрования подписан цифровой подписью, то обеспечена аутентификация, потому что объект зашифрован при помощи закрытого ключа, шифровать которым может только владелец этого закрытого ключа. Это и есть аутентификация. Она обеспечивает невозможность отказа от авторства, поскольку, повторюсь, использован закрытый ключ отправителя. И она обеспечивает целостность, поскольку мы хешируем.
Цифровая подпись может быть использована, например, в программном обеспечении. Может использоваться для драйверов внутри вашей операционной системы. Может использоваться для сертификатов и подтверждать, что подписанные объекты исходят именно от того лица, которое указано в сертификате, и что целостность данных этих объектов была сохранена, то есть никаких изменений они не претерпели.
А как же убедиться в том, что файл действительно исходит от разработчика, в нашем случае VeraCrypt? То есть, чтобы в случае обмана вы могли бы со 100% уверенностью сказать, что вы пользовались именно их программным обеспечением, и он был подписан именно их цифровой подписью.
Сертификат можно проверить, но обычно он проверяется автоматически:
Что мы здесь видим. Сертификат выдан: кому - IDRIX SARL, кем - GlobalSign. Итак, GlobalSign - это компания, чей закрытый ключ был использован для цифровой подписи этой программы. GlobalSign сообщает: "Данное программное обеспечение легитимно и оно не подвергалось модификации". Здесь написано: "Сертификат предназначен для удостоверения того, что программное обеспечение исходит от разработчика программного обеспечения, программное обеспечение защищено от модификации после его выпуска".
Чтобы узнать, действующая ли это цифровая подпись, или нет, нам нужно повернуть изначальный процесс в обратную сторону.
То есть, смотрим опять нашу памятку:
Проверка: То, что вы можете видеть в памятке выше, но исходя из нашего файла, который мы разбираем:
Подписанно сообщение → Открытый ключ (Это файл в формате .asc имеет обычно следующий вид - idrix.fr/VeraCrypt/VeraCrypt_PGP_public_key.asc, закрытый ключ также выглядит) = Значение хеша, то есть должно получиться:
Code:
d55c26807a591643dd4c21ac0ffaaa733aafa52307d36ed9a95ed0a5ef35e4feПосле чего это значение хеша надо будет сверить с хешем указанным, то есть открываем там программу QuickHash, прогоняем наш файл и в том алгоритме, котором он нам представлен, должно все совпасть, если не совпадает, то сам файл изменен, и там может быть вирус, или что-то для прослушки за нами, или еще что-то не очень хорошее.
Code:
SHA-256: d55c26807a591643dd4c21ac0ffaaa733aafa52307d36ed9a95ed0a5ef35e4fe VeraCrypt Setup 1.23-Hotfix-2.exeЯ проверил полученный хеш, и как мы можем видеть на скриншоте ниже они идентичны. Следовательно, файлы легитимны и соответствуют цифровой подписи разработчика, и этот файл точно исходит от него.
И данное программное обеспечение будет виновато (Точнее, его создатель) в случае заражение вашего компьютера WannaCry или каким-либо еще другим не очень хорошим вирусом. Прочитайте несколько раз, если вы не поняли, и попробуйте вникнуть. Этот момент действительно важен.
А то, что мы видели на нашей замечательной памятке - это то, что Windows проверяет сертификат в подлинности то, что действительно такой сертификат зарегистрирован с таким номером.
Давайте проведу аналогию, чтобы понять, что же делает Windows, когда пишет эти строки в сертификате:
Вы пришли в банк с фальшивыми деньгами, и они проверяют деньги через специальные растворы или приборы, и тут внезапно смывается краска, или не просвечиваются водяные знаки и вам говорят, что ваши купюры не соответствуют и это фальшивка, так же и Windows. То есть, если бы кто-то другой переписал все данные сертификата и сделал копию сертификата для подписи, с такими данными, то она бы не соответствовала действительности, а это уже более сложная тема, но думаю, что все понятно.
А если верификация не проходит, вы обычно видите такое предупреждение:
Это означает, что либо файл не имеет цифровой подписи, либо Windows (Вспомните работника банка) не доверяет этой цифровой подписи (А в случае с работником банка, он не доверяет вашей купюре). Вы можете ее проверить, способ я описывал выше (А работник банка может проверить на аппарате своем или там нанесением растворов).
В Linux'е с этим все просто, так как вы просто так не установите проприетарное ПО, так как все ПО обычно ставится из официальных репозиториев, где проходит всю проверку.
Позже расскажу за Linux и его преимущества более подробно.
Давайте пройдемся по этому материалу еще раз, потому что я уверен, некоторым все это может показаться довольно-таки трудным для восприятия. Смотрим снова на нашу памятку. Видим «Подписывание».
Итак, значение хеша (Самой программы. То есть, если бы человек сам ее прогнал через QuickHash), которое было зашифровано с применением закрытого ключа (Его личного ключа) отправителя или выпуска ПО. Это цифровая подпись. Она обеспечивает аутентификацию, неотказуемость и целостность. А если вы зашифруете что-либо и вдобавок снабдите это цифровой подписью, то вы сможете добиться конфиденциальности наряду с аутентификацией, неотказуемостью и целостностью. Цифровые подписи удостоверяют, что программа или что-либо другое получены от определенного лица или издателя, и они защищают программное обеспечение или сообщения от их модификации после того, как они были изданы или отправлены. На этом думаю мы разобрались с цифровыми подписями.
Давайте теперь перейдем к End-to-End шифрованию (E2EE).
End-to-End шифрование заключается в том, что данные шифруются отправителем и дешифруются только получателем. Если вы хотите избежать отслеживания, массовой слежки, хакеров и так далее, то вам нужен именно этот вид шифрования передаваемых данных.
Примерами технологии End-to-End шифрования являются такие вещи, как PGP, S/MIME, OTR, что расшифровывается как “Off the record” (рус. "Не для записи"), ZRTP, что расшифровывается, как Z в протоколе RTP, а также SSL и TLS, реализованные правильным образом, все это может использоваться в качестве End-to-End шифрования.
Компании, которые разрабатывают программное обеспечение, использующее End-to-End шифрование и системы с нулевым разглашением, не могут раскрыть детали обмена данными вашим врагам, даже по принуждению, даже если бы они этого сами захотели. В этом и заключается преимущество End-to-End шифрования с нулевым разглашением. End-to- End шифрование обеспечивает защиту в процессе передачи данных, но очевидно, что оно не может защитить данные после их получения. Далее, вам нужен другой механизм защиты.
Используйте End-to-End шифрование везде, где это только возможно.
Использование защищенного HTTPS на всех веб-сайтах становится все более необходимым, независимо от типов передаваемых данных. Цифровой сертификат, тоже самое, что и цифровая подпись, есть ряд отличий, там центры сертификации и так далее. Вы обычно с этим не сталкиваетесь, не буду расписывать, кому интересно - вбейте в поисковик «Центры сертификации ключей и HTTPS» и «Цифровые сертификаты».
Зеленый замочек в URL или HTTPS означает, что ваш интернет-провайдер или, допустим, правительство, они лишь могут отследить целевой домен. Что это значит? Допустим, между нами и Google находится злоумышленник. Он не сможет узнать, что именно я искал, потому что это оконечное шифрование между моим браузером и сервером.
Давайте посмотрим на примере. Для начала мы будем использовать пример не зашифрованного соединения при помощи HTTP соединения.
HTTP, HyperText Transfer Protocol - широко распространенный протокол передачи
данных, изначально предназначенный для передачи гипертекстовых документов. По умолчанию протокол HTTP использует TCP-порт 80.
На скриншотах ниже я буду использовать программу для анализа сетевого трафика - WireShark.
Для эксперимента я взял сайт базирующийся на HTTP протоколе government.ru после того, как я кликну по ссылке запрос от сайта будет отображен в окне программы WireShark под цифрой один, но давайте сразу разберем, за что отвечает каждое окно программы для лучшего усвоения материала.
1. Данная область называется Packet List - в ней вы можете посмотреть с каким сервером идет обмен данными, протокол, который используется и общую информацию о кадрах.
2. Следующая область называется Packet Details - в ней отображаются детали пакетов, который был выбран в Packet List.
3. И последняя область называется Packet Bite - в ней отображается шестнадцатеричное отображение данного пакета, также отображается смещение в виде ASC'и, и также, если мы кликнем правой кнопкой по данной области можем посмотреть, как все это будет выгладить в битах.
Давайте разберем, полученные пакеты подробнее и узнаем наглядно о слежке, анализе и так далее.
1. Пересылаемые пакеты по нашему фильтру HTTP.
2. Целевой домен, то есть главная страница сайта без всякой ереси после слеша "/".
3. User Agent, то есть параметры браузера, версия операционной системы и другие параметры.
4. Referer - указывает, с какой страницы мы перешли на эту страницу, так как мы перешли с защищенной страницы, там было много пакетов с переадресацией. В конечном итоге, мы с этой же страницы сослались на себя же, если я, к примеру, перешел с главной страницы сайта на данную, то в Referer'е бы стояла главная страница сайта.
5. Cookies, либо сессия. Здесь ваш пароль и приплыл (Замазал). Можно зайти под вашей сессией залогиненой и шариться.
6. Ну, а это уже конечная страница, где мы находимся.
Если вы думаете, что это потолок, что может данный софт, то боюсь вас расстроить - это только верхушка айсберга. Для того, чтобы у вас после прочитанного не осталось сомнений я решил разобрать эти пункты перейдя с одной страницы веб-сайта на другую.
И как мы можем видеть:
1. Referer - указывает предыдущую страницу, которые мы разбирали именно с нее мы пришли на данную страницу.
2. На какой странице мы сейчас находимся.
Как мы видим, сам по себе протокол HTTP не предполагает использования шифрования для передачи информации. Тем не менее, для HTTP есть распространенное расширение, которое реализует упаковку передаваемых данных в криптографический протокол SSL или TLS.
Название этого расширения - HTTPS (HyperText Transfer Protocol Secure). Для HTTPS- соединений обычно используется TCP-порт 443. HTTPS широко используется для защиты информации от перехвата, а также, как правило, обеспечивает защиту от атак вида Man- inthe-Middle - в том случае, если сертификат проверяется на клиенте, и при этом приватный ключ сертификата не был скомпрометирован, пользователь не подтверждал использование неподписанного сертификата, и на компьютере пользователя не были внедрены сертификаты центра сертификации злоумышленника.
1. Google - использует защищенный протокол соединения HTTPS.
2. Пакет запроса данных по защищенному протоколу HTTPS.
3. Как мы видим в деталях пакета у нас только Encrypted Application Data.
Никакой другой информации, что содержится на веб-страницы, или где находится человек у нас нет.
4. Так как у нас есть IP-адрес, с каким сервером ведется обмен пакетами, просматриваем, что это за IP-адрес и исходя из полученных данных, мы можем сделать вывод, что человек находится на целевой странице Google.
По сути, использование HTTPS безопасно и как я говорил ранее:
Компании, которые разрабатывают программное обеспечение, использующее End-to-End шифрование и системы с нулевым разглашением, не могут раскрыть детали обмена данными вашим врагам, даже по принуждению, даже если бы они этого сами захотели. В этом и заключается преимущество End-to-End шифрования с нулевым разглашением.
SSLStrip - снятие HTTPS. Но также исходя из этого имеются атаки по снятию SSL. Разберем, что это такое. Любой атакующий, который может расположиться между источником и адресатом трафика, в нашем случае, компьютера и сервера, то этот атакующий может совершить атаку вида “Man in the middle” (рус. "Человек посередине"). Одна из подобных атак, которая требует весьма небольших навыков и ресурсов, называется SSL Stripping (рус. "Снятие SSL"). Атакующий выступает в роли прокси здесь и подменяет зашифрованные HTTPS-соединения на HTTP-соединения.
Давайте откроем скриншот и посмотрим, что же это такое:
1. Как мы можем видеть, мы отправляем запрос с HTTP.
2. Он проходит через SSLStrip и не изменяется, также идет дальше.
3. Сервер видит, что вы пришли по небезопасному протоколу без шифрования и меняет его на безопасный с использованием шифрования. То есть, на HTTPS (Совершается 301 либо 302 Redirect - это настраивается на сервере)
4. SSLStrip видит, что сервер отправил вам запрос в HTTPS (Смотрите пункт 3) и автоматически также изменяет его на небезопасный - на HTTP. Тем самым, убирая TLS шифрование.
SSLStrip здесь проксирует ответ от веб-сервера, имитируя ваш браузер, и отправляет вам обратно HTTP-версию сайта. Сервер никогда не заметит отличий. Так как сервер думает, что вы общаетесь по защищённому протоколу HTTPS, так как он не видит, что злоумышленник (SSLStrip) изменил вам протокол на небезопасный.
И что вы увидите - это будет практически неотличимо от подлинного сайта. Давайте я покажу вам, как должен выглядеть веб-сайт:
1. Мы видим защищенную версию сайта, то есть с End-to-End шифрованием (слева).
2. Теперь я выполнил HTTPS-stripping (Снятие SSL - SSLStrip). И так выглядит версия сайта после атаки (справа).
Как можно заметить, отличие в том, что у вас теперь нет HTTPS и большинство людей не заметят эту разницу. И как я уже сказал, сервер никогда не заметит, что что-то не так, потому что он общается с прокси, который ведет себя точно также, как вели бы себя вы.
Другой интересный способ для проведения этой атаки - когда атакующий находится в вашей локальной сети, так что это либо происходит по Ethernet-кабелю, либо по беспроводной связи через Wi-Fi. Они могут обмануть вашу машину и заставить ее отправлять трафик через них, и это известно как ARP-spoofing, или ARP-отравление. Атакующий посылает ARP-пакеты, имитируя шлюз жертвы по умолчанию.
Это работает, потому что у Ethernet нет механизмов для аутентификации, нет этого функционала, поэтому любая машина в принципе может отправить то, что называется ARP- пакетом, и сообщить, что она - одна из машин в этой сети, например, шлюз или маршрутизатор, и это приводит к тому, что вы начинаете отправлять свой трафик через липовый маршрутизатор, который затем переправляет его, попутно снимая SSL, и после этого переправляет трафик обратно к вам, как мы уже видели.
В двух словах, что такое ARR-spoofing и как это работает более простым языком. Все, что выходит в интернет есть физический адрес, то есть MAC адрес. Следовательно, у компьютера есть сетевая карта или Wi-Fi карта, а у нее есть свой MAC. Записывается обычно MAC адрес так - 00:07:5B:3C:88:91, между цифрами может быть двоеточие или тире, это 6 пар символов, по 8 бит на каждую пару то есть 48 бит всего.
Следовательно, 2^48 = 281 474 976 710 656 - а это в свою очередь 281 триллион 474 миллиарда 976 миллионов уникальных адресов. Также, первые три октета - это идентификатор организации, следующие три октета выбираются изготовителем для каждого экземпляра устройства (За исключением сетей системной сетевой архитектуры SNA).
Также, MAC адрес легко изменить на любой другой. Для чего я это рассказываю? А для того, что зная только IP адрес невозможно связаться с устройством в сети. И если мне известен IP адрес устройства, к примеру, моего роутера, то я не имею возможности обмениваться с ним информацией, пока не узнаю его MAC.
Как раз для этих целей и служит ARP протокол, который отправляет с вашего устройства на другое устройство запрос, будто у тебя IP 192.168.1.1. После чего отправляет ему свой MAC адрес и получается, что связь установлена.
Для наглядности атака происходит следующим образом:
IP адрес и MAC адрес компьютера под цифрой 1 отличается от IP адреса и MAC адреса роутера под цифрой 2 от вашего настоящего роутера. Злоумышленник создает виртуальный роутер под цифрой 3 и завязывает всю вашу сеть через себя, и компьютер отправляет запрос неверный, который идет не на роутер настоящий, а на нашего хакера (Поддельный роутер) и также в обратном порядке. Получается, что весь трафик проходит через нашего злоумышленника.
Давайте теперь подумаем, что можно сделать для предотвращения всего этого? Что же, на клиентской стороне вы можете попытаться замечать те случаи, когда у вас отсутствует HTTPS, но если вы будете заняты, то вряд ли сможете это заметить. И тем не менее, вам следует обращать на это внимание. Но далее я расскажу вам метод, как обезопасить себя.
Более надежный метод - это использование туннеля или шифрованного туннеля, так чтобы снятие SSL стало невозможно, поскольку трафик, который вы отправляете, будет зашифрован иным способом. Например, можно использовать SSH-туннелирование. Можно использовать VPN-технологию типа IPsec. А вообще, стоит обратить внимание на End-to-End шифрование.
Помимо всего прочего, вам лучше не подключаться к сомнительным сетям без использования туннелирования, VPN или шифрования, потому что это именно то, что может произойти, если у вас их нет. Ваш SSL может быть снят и весь ваш трафик станет открытым.
Наличие ARP-spoofing'а и Sniffing'а в вашей локальной сети можно в определенной степени обнаружить, и есть пара инструментов для примера, которые вы можете использовать. Это ARPWatch. Он мониторит вашу Ethernet-сеть на наличие ARP-spoofing'а или отравления. И есть другой инструмент, это Sniffdet, он обнаруживает тех, кто наблюдает за сетевым трафиком.
Что касается серверной стороны, у вас может не быть контроля за серверной стороной. То есть, вы не всегда можете контролировать HTTPS соединение, чтобы оно было всегда с зеленым замком. Есть возможность активации строгой безопасности, передачи данных по протоколу HTTP, сокращенно HSTS, этот механизм использует особый заголовок для принудительного использования браузером только лишь HTTPS-трафика.
Это работает только, если вы ранее посещали сайт, и затем ваш клиент фактически запоминает, что данный сайт принимает исключительно HTTPS-трафик. А если вы все-такие снимете SSL, то получите сообщение об ошибке, потому что на этом сайте была активирована строгая транспортная безопасность HTTP.
В общем, сделаем краткий эпилог. Шифрование - это фантастический инструмент для приватности, безопасности и анонимности. По факту, этот инструмент реально работает и злоумышленники (Хакеры) будут стараться избегать его. То есть, никакой дурак не будет совершать прямую атаку на шифрование. Как говорится, умный в гору не пойдет, умный гору обойдет. И вам следует иметь это ввиду.
И все, что они могут сделать - это найти слабые места. Вспомните случай с Россом Ульбрихтом создателем «Шелкового пути» он попался на Captcha. На простом. То есть, никто никогда не будет Brut'ить ваши пароли и прочее. Им гораздо проще установить вам KeyLogger на вашу систему или отправить вам ссылку на сайт с зараженным JavaScript и произвести атаку, либо PDF-файл и так далее.
Шифрование никто и никогда не захочет ломать. Атакующие будут просто пытаться обойти шифрование. Вам следует иметь это ввиду.
Безопасность - это так называемый феномен слабого звена. Она настолько сильна, насколько сильно самое слабое звено в цепочке. Надежное шифрование зачастую - это сильное звено. Мы, человеческие создания, как правило являемся слабым звеном. Как говориться: "Язык мой - враг мой".
Как проводится MITM атака:
FAQ:
А: Когда злоумышленник создает виртуальный роутер, жертва это может заметить?
Б: Может, конечно, но обычно это замечается с помощью плагинов, брандмауэра и другого софта. .
А: Как применить в работе эту информацию?
Б: Абсолютно по-разному. Вы должны понимать, что доверять можно только себе и если у вас нет понимания, то у вас не будет гарантии своей безопасности.
А: Как мне перенести всю информацию на закриптованный диск?
Б: Просто берете, перетаскиваете и копируете. Перед этим нужно смонтировать его.
А: Какой плагин стоит использовать для безопасного определения подлинных сертификаток/проверки со старыми.
Б: HTTPS Everywhere. Или настраивать брандмауэр надо.
Анонимные почтовые сервисы:
protonmail.com
disroot.org/en
tutanota.com
mailfence.com
Введение в безопасность. Выбор OC. Урок 3.
Я попытаюсь на простом языке объяснить, как вас могут теоретически взломать. Я обойдусь без сложных терминов, для обычных пользователей. Также, дам вам краткое представление о взломе операционной системы, а более продвинутые пользователи между строк будут читать техническую информацию.
Считаю, что пользователям любой операционной системы, а тем более тем, кто связан с этим по работе, необходимо понимать, что профессиональные вирусы - это не исполняемый файл, который переименовали в документ и просят вас запустить. И не всегда блокировка макрокоманд не даст злоумышленнику выполнить код на вашей системе.
Сам пользуюсь различными операционками, от Windows и до Linux. Я работаю на Linux, но иногда использую Windows. Далее, будет много негатива про Linux, но он не связан с какими- либо фанатическим убеждениями, просто я хочу объективно рассказать и убедить, что не важно, какой операционной системой вы пользуетесь - взломать вас могут везде.
Ваш выбор операционной системы имеет значение для вашей безопасности, приватности и анонимности. Различные операционные системы подходят для различных нужд. Цель данного раздела помочь вам разобраться в этой непростой ситуации. Ответить на вопросы, какая операционная система подходит под ваши требования исходя из рисков, и для чего вы хотите ее использовать, под конкретную ситуацию, под конкретные требования.
Поговорим о нашем выборе операционной системы, и как она влияет на вашу безопасность, потому что операционная система - это реальная основа вашей безопасности. Есть много заблуждений, когда речь идет об операционных системах и безопасности. Вы, наверное, слышали, например, что MacBook'и не могут быть заражены вирусами. Также, множество людей постоянно обсуждает, насколько дырявая операционная система Windows. Об этом можно рассуждать годами, но интересно насколько безопасен Linux?
И есть люди, назовем их лагерь Linux, которые считают, что Linux является самой лучшей операционной системой. Если спросить у любителей Linux, а есть ли у вас антивирус, то в ответ будет только смех. Аргумент у них такой - Linux создан профессионалами, и все там по стандарту защищено. Сажаем свою любимую собаку за Ubuntu и можно за её данные не волноваться.
Вообще, есть две вещи, которые бесконечны, вселенная и дураки. С вселенной все понятно, но как быть с последними? Как объяснить различным пользователям Windows, что нельзя работать без антивирусной защиты? А как объяснить создателям антивирусов, что нельзя защититься от взлома матрицей доступа (Когда блокируют чтение или запись некоторых файлов, то есть разграничение доступа) и что взлом - это не всегда: «Обнаружена угроза: Процесс autorun.exe, пытается выполнить запись в системную ветку реестра».
Ваша защищенность выглядит хорошей только в теории. Допустим, вы тот самый пользователь Ubuntu, вы устанавливаете на ПК своей любимой собаки эту ОС. Тогда многие утверждают следующее - если собаке на почту придет сообщение myDocument.docx, то даже если это окажется исполняемый файл, и он его по инструкции запустит, то ничего не произойдет - ведь для большинства действий необходим пароль - root (Пароль администратора в смысле). Вы серьезно? Вы от нашествия представителей младших классов школы защищаетесь? Или все-таки от злоумышленников, которые являются членами преступных группировок, контролируют большие финансовые потоки и вообще?
Давным-давно, когда Linux только зарождался, его пользователи в большинстве, были профессионалы. Но со временем появились удобные для простого пользователя в работе дистрибутивы и начался рост числа пользователей-домохозяек. А что делает любая домохозяйка? Правильно, совершает интернет-платежи, а там, где деньги, туда слетаются, как пчелы на мед рой различного отребья, которое хочет на этом безвозмездно поправить свои финансы. 90% домохозяек пользуются Windows - и вирусы разрабатываются под эту операционную систему, и если хотя бы 20-30% домохозяек перейдут на Linux, то туда сразу будут вливаться большие финансы под разработку вредоносного ПО. И отчеты антивирусных компаний показывают о медленном, но увеличивающемся количестве таких программ.
Ладно, вернемся к нашей собаке. Единственная причина не беспокоится о своей безопасности одна - разработка вируса под его ОС нерентабельна. А вот так - экономически невыгодна, возможный доход злоумышленников будет меньше расходов. Долго ли так будет продолжаться - большой вопрос. Но все же, технически, насколько возможно, что нашу собаку взломают и данные уведут? Если конек безопасности нашей собаки в том, что она никому не нужна и вирусы под её ОС пока еще не пишут - то это игра в русскую рулетку.
Смоделируем такую жизненную ситуацию. Допустим, на днях, вы познакомились в интернете с симпатичной девушкой, вы с ней какое-то время общаетесь, делитесь там своими секретами и так далее. Например, в какой-то момент она узнает, что на вашем счету лежит кругленькая сумма монет BTC. Представим, что подругу зовут - Катя, а у Кати есть друг программист, который довольно неплохо разбирается в компьютерах. Тогда они и решают вместе с другом сообразить на двоих. Что им для этого требуется: небольшой стартовый капитал, прямые руки друга (Пусть его будут звать Антон) и немного отваги.
Катя знает, что вы пользуетесь Ubuntu 14 LTS. Как вы себе представляете процесс взлома? Вы, как и большинство пользователей, считаете, что Катя отправит вам на почту файл с вложением, который попросят запустить, но так как вы не дураки, то, конечно, все ваши данные в безопасности, и мы не будем запускать этот файл!
Тогда Катя идет на некоторый безымянный и теневой ресурс и покупает у Некто уязвимость к вашему любимому браузеру за N-ое количество денег. Некто не только снабжает вашу новую подругу технической информацией об уязвимости, но и высылает для Антона (подельника Кати, кто забыл) пример, как все это запустить.
Уязвимость, которую получает подруга - уязвимость нулевого дня в браузере Google Chrome. Например, открытые дыры CVE-2015-1233 или CVE-2014-3177, CVE-2014-3176, CVE-2013-6658 (Смотрите выше) и сколько их еще не закрыто - большой вопрос.
Как видно из описания уязвимостей, Катя может выполнить код в контексте процесса и работать это будет не только в ОС Windows, но и в Linux, и Mac OS. Уязвимости взяты для примера случайным образом. Еще раз повторюсь, это уязвимости браузера.
Антон составляет скрипт (JS - Java Script) и записывает туда Shell-код (Набор строк, которые прописываются в командной строке), который должен выполнится на целевой системе - вашем ПК. Для этого ему необходимо как-то передать ссылку. Первый вариант с почтой сразу отметаем - вы осторожный пользователь и ссылки из почты не открываете.
Тогда они решили немного импровизировать. Им известно, что вы обычный человек и паранойей не страдаете. Поэтому, скорее всего, перейдете все-таки по ссылке, если вам ее скинет более-менее знакомый (в нашем случае - Катя) человек в социальной сети. На самом деле, это можно обыграть по-разному. Тут уже все зависит от вашей фантазии. Вариантов действительно очень много.
После посещения вами ссылки в контексте процесса вашего браузера выполнился небольшой код, который написал Антон - буквально несколько команд, которые в дальнейшем загрузили тело вируса и перешли в его выполнение. Но как же. Вы уверены, что Катя просто
показывает вам свои фотографии, никакие файлы на диск не загружаются, предупреждений нет, паролей от root никто не спрашивает.
Повышаем привилегии. После того, как разработка Антона начала выполнять свои первые инструкции на вашем процессоре, стал вопрос, а что делать дальше? В вашей теории, даже если и произойдет заражение, то вам ничего не будет, вы поставили сложный пароль для root доступа, да и вводить его сразу и внезапно не будете.
Антон с Катей предусмотрели такой вопрос и заранее его решили. Тот же самый Некто подсказал им, что у него есть парочка уязвимостей нулевого дня в ядре Linux, наподобие свежих уязвимостей в ядре версии 3.17 и 3.14 - CVE-2014-9322, CVE-2014-3153.
Прочитав описание уязвимостей, Антон понял, что они позволят ему выполнить код в контексте вашего ядра ОС. И все, что ему необходимо это, чтобы его вредоносное приложение, воспользовавшись этими свежими дырами и выполнила код в ring-0.
Пока вы ни о чем не подозреваете и рассматриваете фотографии Кати, код Антона уже серьезно вторгся в просторы вашей системы и ни антивирус (Его просто нет), ни чего-либо еще не могут, даже отобразить сообщение об вторжении. Так как Антон решил не останавливаться на достигнутом, то он пошел дальше. Попав на самый нижний уровень вашей ОС, в котором предполагается выполнение только доверенного кода, Антон начал поиск файла, который ответственен за запуск ОС. Как только ПО от Антона нашло этот файл, оно модифицирует его таким образом, чтобы при перезагрузке вашего ПК продолжался выполняться код Антона.
Rootkit (по-русски, "руткит") - программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
И таким образом Антон и Катя получили доступ к вашему ПК под управлением ОС Linux, но как им скрыть свое присутствие? Для этого Антон решил, что перезапишет код самой операционной системы, который загружен в память вашего ПК, но как? Ведь если те же действия провести на ОС Windows, то один небольшой системный компонент обнаружит это и принудительно перезагрузит ПК.
Тогда Антон открыл документацию на процессор, который стоит на вашем ПК и стал изучать. Ему известно, что архитектура процессора вашего x86, но что это дает? Ведь на необходимые ему страницы в ядре стоит защита от записи. Тогда Антом обратил внимание на регистр cr0 - небольшой блок памяти в котором хранятся данные, с которыми работает процессор.
А что будет, если я шестнадцатеричный бит установлю в ноль, быстро перезапишу необходимые методы ядра и сразу же восстановлю регистр - подумал Антон. И так и сделал, как оказалось, если сбросить этот бит в ноль, то защиту от записи можно временно отключить.
Таким образом, Антом получил полный контроль над вашей ОС. Да, уязвимость потом нашли и исправили, но программный код, который засел таким образом в вашей ОС, уже никак не обнаружить. Ежеминутный контроль целостности показывает, что ни один файл в системе не изменен - программа Антона просто подменяет его при чтении. Процессов новых нет - вредоносный процесс просто скрыт и если на другой ОС существуют решения, которые давно уже обнаруживают такие техники, то под вашей ОС такого нет.
В общем, заключение, Катя и Антон легко смогли получить доступ ко всем вашим платежным системам, вывели все ваши деньги. А потом еще и удалили все ваши файлы. Вывод - будьте осторожны, особенно с Катями.
Я хотел этой простой историей показать простые принципы. Как все это происходит, что необходимо четко разделять виртуализацию, ведь виртуализация - это еще одна масштабная вещь в параметре вашей безопасности. Мы к этому еще вернемся. Не старайтесь бродить по интернету на своем ПК, открывать подозрительные ссылки и скачивать какое-то сомнительное программное обеспечение, да и еще не совсем понятно откуда. Внимательно подходите к вопросам своей безопасности по поводу JS и включайте его только на доверительных ресурсах.
НО! Обычно такие уязвимости стоят больших денег, и факт того, что именно вас взломают уменьшается. При том, что заинтересуются именно вами, вероятность крайне мала. Как я уже писал в начала урока по шифрованию - вся эта информация нужна уже тогда, когда вы достигли какого-то успеха, на ваших кошельках всегда лежат крупные суммы, а вы обладаете целым арсеналом разной техники.
(Например, у меня несколько ПК на разных ОС. Один ПК - тестовый, на котором я проверяю разные методы работы, программы, ссылки и так далее. На нем не хранится никаких важных данных, к этому всему он подключен к другой сети. Второй и третий ПК - исключительно для работы. Ну, и четвертый ПК для себя - социальные сети, игры, интернет и так далее. На нем тоже нет никаких важных данных, и он никак не касается работы, поэтому если его и заразят как-то, то я ничего не потеряю).
Кстати, еще небольшая информация. Если вы следите за своей безопасностью и анонимностью, то вы должны быть очень осторожны в интернете. Во-первых, всегда держите в голове то, что интернет - это обитель обмана и лжи (Особенно теневой интернет). Забудьте о таких вещах, как знакомство с людьми в интернете, ибо вы не можете знать, кто сидит за той стороной экрана. Друг или товарищ майор. Во-вторых, всегда помните, что ваших друзей в социальных сетях могут взломать. И, вам повезет, если вы просто попадетесь на очередной развод, где вам предложат перевести деньги на карту. И не повезет, если от лица друга, используя грамотно СИ, смогут узнать у вас какие-то данные (Тот же переход по ссылке).
Так, ладно, эту тему мы закрыли. А сейчас я бы хотел произвести некую оценку рисков и исходя из этих моментов, чтобы вы также могли делать это самостоятельно без каких-либо специальных навыков, чисто своей логикой.
Возможно, вас интересует вопрос, какую из операционных систем мы будем считать самой слабой? Windows, OS X или различные Linux-системы, возможно ядро Linux, что из них было наиболее уязвимым в истории?
cvedetails.com - это бесплатная база данных/источник информации об уязвимости CVE (Это общепринятый стандарт именования уязвимостей, присутствующих в коммерческих и Open-Source программных продуктах). Можно просмотреть сведения об уязвимостях по номеру CVE, exploit'ы, ссылки на уязвимости, полный список уязвимых продуктов и CVSS отчетов об оценках и самые частые уязвимости с течением времени и многое другое.
Давайте попробуем поработать с данным сайтом. Для начала мы перейдем на данную страницу сайта - cvedetails.com/top-50-products.php - тут представлен список: “Топ-50 продуктов по общему количеству уязвимых уязвимостей” (с 1999 года по настоящее время).
И как мы можем видеть на второй строчке у нас находится Linux Kernel. Проще говоря, это Linux Ядро, как мы видим оно занимает вторую строчку по количеству. И вы, наверное, спросите, а почему?
Цифры которые изображены в правом столбике, это количество уязвимостей найденных в той или иной операционной системе, или приложении.
Давайте спустимся в самый низ веб-страницы. Мы видим там следующее: “Общее число уязвимостей 50 продуктов по производителям”. И, как мы можем видеть, Linux уже не занимает первую строчку, но вы скажите, что Windows (Microsoft) постоянно обновляется, да и у нее куча продуктов на рынке Office и другие программы, а у Apple есть различные версии операционной системы, да и тоже там свои нюансы.
Да, все верно. Все вы будете правы, но и у Linux есть куча всего. Давайте более детально подойдем к специфике этого использования. Давайте все разберем на деле, а там, я думаю, вы все сами поймете, о чем я хочу вам рассказать.
Переходим на страницу: cvedetails.com/vendor.php?vendor_id=33
Эта страница показывает статистику уязвимостей в Linux. На что стоит обратить свое внимание:
1. Количество уязвимостей по годам.
2. Уязвимости по типу.
Теперь необходимо разобрать, на какие параметры стоит обратить внимание:
Первое на что мы должны обратить внимание - это на количество уязвимостей по годам, как мы можем видеть, что с каждым годом есть тренд к увеличению обнаружения уязвимостей.
Второе на что мы должны обратить свое внимание - это на степень опасности уязвимостей, как мы можем видеть серьезными тут являются выполнение кода (Execute Code) и переполнения буфера (Overflow).
Красный и оранжевый:
• Красный столбец - это выполнение кода на стороне клиента без его ведома, думаю не надо рассказывать, чем именно это чревато.
• Оранжевый столбец - это переполнение буфера, то есть имеется ввиду явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера. Чревато тем, что произойдет повышение уровня привилегий и еще куча всего.
Подробнее можете ознакомиться тут: https://ru.wikipedia.org/wiki/Переполнение_буфера
И для полноты картины мы можем подняться чуть выше, и увидеть таблицу с тенденциями уязвимостей с течением времени. По структурированным данным мы легко можем произвести анализ, так как мы видим ранжирование данных по временому циклу, а также по степени опасности уязвиомтей (Столбцы). Вы можете нажать на эти цифры и посмотреть подробную статистику о уязвимостях.
Теперь у нас сложилась небольшая картина, как все устроено, мы разбирали это на основе Linux, но для анализа требуются несколько кандидатов. Сейчас я расмотрю в краткой емкой форме на примере трех основных разработчиков, а именно:
• Linux
• Microsoft
• Apple
Как мы можем видеть, в общей статистике уязвимостей по всем продуктам:
• Microsoft - 10947 уязвимостей.
• Apple - 6595 уязвимостей.
• Debian - 2619 уязвимостей.
Основываясь на фактах и статистике, попробуем выяснить, к чему в действительности мы придем, когда дело касается безопасности этих операционных систем.
Windows
Итак, первым мы будем разбирать Windows, на сколько дырявая операционная система Windows можно рассуждать годами. Достаточно взглянуть на статистику ранее описанную. И у вас в сознание должна загореться та самая красная лампочка, которая бы сигнализировала вам, что, возможно, это не самый лучший вариант. Но статистика - статистикой, но давайте разберемся почему. У нее изначально была слабая система безопасности. Стоит отдать ей должное. В более поздних версиях операционных систем Microsoft начали серьезно относиться к вопросам безопасности.
И с учетом последних продуктов, последних средств безопасности типа: BitLocker, EMET, Device Guard, Windows Hello и доверенных приложений Windows Trusted Apps, теперь есть вполне серьезный набор средств безопасности. Но действительно ли это так? Вообще, я соглашусь, безопасность операционных систем семейства Windows по степенно улучшается, но этого не достаточно, а тем более для нас.
В этих операционных системах все тесно взаимосвязано с серверами Microsoft, все ваши действия в системе, как по ниточкам сообщают на сервера Microsoft, также подводят Windows, особенно в актуальной версии Windows 10, проблемы, связанные со слежкой и конфиденциальностью, это не особо связано со средствами безопасности, но это отталкивает некоторых людей, что говорить уже о нас.
Важный момент: Если вы прочтете лицензионное соглашение от Microsoft, которое идет с каждой операционной системой семейства Windows, то вы увидите, что они отдадут ваш ключ шифрования от BitLocker по первому звоночку из правоохранительных органов, а это в свою очередь натыкает на мысль, какого хрена Windows?! Зачем ты хранишь мои пароли от шифрования у себя на серверах, что за дела?
Дело в том, что «Ставя галочку» в лицензионном соглашении с Microsoft, пользователи дарят корпорации право распоряжаться своими данными.
«Мы можем получать доступ, раскрывать и сохранять для себя ваши персональные данные, включая любой контент, любые файлы на ваших устройствах, в ваших письмах и в других видах личных коммуникаций, если у нас будут основания считать это необходимым для защиты наших клиентов или для соблюдения условий, регулирующих использование наших услуг»
Гласит лицензионное соглашение.
Другими словами, все, что вы скажете в сети - напишете, сохраните, создадите или скачаете у себя на компьютере или любом другом устройства с Windows 10, все это может быть дистанционно удалено или скопировано у вас - если некто в Microsoft решит, что это им нужно. То есть, по условиям EULA Microsoft для вмешательства в личную жизнь клиентов и контроля над ней не требуется даже санкций властей! Достаточно лишь разрешения при установке OC от пользователей, слишком ленивых, чтобы прочитать полностью лицензионное соглашение. Пожалуй, это все, что надо знать о Windows.
Mac OS X
Далее, у нас идет Mac OS X. На сегодня, опять же, как и Windows, содержит надежные средства безопасности. Вещи типа рандомизации распределения адресного пространства, песочница для запуска приложений, FileVault 2, настройки приватности и магазин доверенных приложений Apple (AppStore). Все сильные средства безопасности.
Но если бы не одно «НО», Mac OS X так же имеет проблемы с конфиденциальностью. Если вы обновили до Mac OS X Yosemite (10.10), и вы используете настройки по умолчанию, каждый раз, когда вы начинаете вводить Spotlight (Чтобы открыть приложение или найти файл на вашем компьютере), ваши локальные условия поиска и местоположение уже отправлены компании Apple и третьим лицам (В том числе Microsoft).
Washington Post так же опубликовала видео-демонстрацию отслеживания в реальном времени Yosemite:
washingtonpost.com/posttv/business/technology/how-apples-os-x-yosemite-tracks-you/2014/10/22/66df4386-59f1-11e4-9d6c-756a229d8b18_video.html
Разберем это видео:
1. Например, простой вывод поиска Spotlight, (Это средство для поиска файлов в вашей операционной системе) теперь передает ваше местоположение и названия файлов, которые вы ищете, в адрес Apple на постоянной основе. Вы можете заметить, что ваше местоположение передается в Apple даже несмотря на то, что вам не показывается соответствующая иконка с уведомлением. Они решили утаить это уведомление под предлогом того, что пользователи будут перегружены слишком большим количеством сообщений с уведомлениями. Это означает, что если вы согласились использовать службы геолокации, то вы также согласились на передачу сведений о вашем местоположении в Apple.
2. Вы можете заметить, что данные начинают отправляться до того, как вы набираете текст, а также при нажатии клавиш. То есть, по ходу набора текста, данные отправляются тоже.
3. Как мы видим, автор видео говорит: “Я ищу на своем компьютере документ под названием "Секретные планы, которые слил мне Обама", а Apple получает информацию об этом вместе с моим местоположением и пользовательским ID, который является уникальной строкой из букв и цифр, используемой для моей идентификации. Apple говорят нам, что это значение меняется каждые 15 минут, но нам приходится верить в то, что новое значение не привязывается к предыдущему. Опять же, они получают информацию о нашем местоположении, и как показывает автор, что действительно он находится в офисе Washington Post, основываясь на передаваемых координатах.
Как же мы можем отключить эти вещи со слежкой? Чтобы отключить эти вещи, сначала нам нужно зайти в System Preferences > Spotlight. Там мы видим все места, куда заглядывает Spotlight, чтобы осуществлять поиск для вас. Это может быть очень полезно. Однако, это может быть и проблемой конфиденциальности, как вы могли только что убедиться. Я бы рекомендовал отключить все, но, если вам что-то нужно, то можете, конечно,оставить.
Если вы используете Safari, то вам необходимо отключить следующее, нажмите Safari > Preferences > Search и необходимо снять галочку Include Spotlight Suggestions.
Linux
Linux-подобные операционные системы, Unix-подобные операционные системы. Есть их большое разнообразие, я группирую их все в одну категорию. Если вы ищете самые защищенные операционные системы, то вы найдете их только здесь (Будут ниже).
Такие вещи, как SELinux, являются хорошим примером этого. Это реализация разграниченного мандатного управления доступом - MAC, которая удовлетворяет требованиям правительства и военных.
Мандатное управление доступом (Англ. Mandatory access control, MAC) - разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (Допуска) субъектам на обращение к информации такого уровня конфиденциальности. Также, иногда переводится, как Принудительный контроль доступа. Это способ, сочетающий защиту и ограничение прав, применяемый по отношению к компьютерным процессам, данным и системным устройствам и предназначенный для предотвращения их нежелательного использования.
SELinux - это система принудительного контроля доступа, реализованная на уровне ядра. Это не столько важный момент для вас, чтобы заострять на этом момент.
Разберем более стандартные операционные системы: Ubuntu, Debian, Fedora, Arch Linux, Tails и другие - опять же, все они имеют достаточно надежные средства безопасности.
Когда мы рассматриваем Windows, Mac OS X и Linux, все они в похожих условиях. Но когда речь заходит об их существующих средствах и функциональных возможностях безопасности. Когда мы добавляем приватность в комплект к безопасности, то нам нужно начинать приглядываться к Linux-дистрибутивам.
Я бы рекомендовал для безопасности использовать Linux-дистрибутивы, но вам придется пожертвовать интероперабельностью и удобством использования. Например, вы не сможете использовать Photoshop или Microsoft Office, хотя это решаемо при помощи “Wine” - что это такое вы можете посмотреть на YouTube.
В двух словах, если вы не знаете, существует много-много операционных систем, которые определенным образом эволюционировали c середины 1960-х годов из операционной системы под названием UNIX.
Держите список операционных систем. Можете посмотреть наглядно, сколько всего дистрибутивов Linux и от кого они произошли:
Просто посмотрите, как много операционных систем базируются на Debian, теперь вы можете вернуться к статистике, которую мы делали по анализу ранее, и слегка посмотреть на нее под другим углом.
Я бы рекомендовал использовать дистрибутивы основанные на Debian - Debian, Kali Linux, Parrot OS, а также Fedora, Arch Linux.
Немного про эти операционные системы. Как вы уже заметили, при детальном знакомстве с инфографикой выше, два основных сообщества - это Debian и RedHat, также есть куча других, но есть одно НО: "Если у вас менее известная Linux или Unix-подобная операционная система, то вы можете обнаружить, что выпуск исправлений происходит медленнее, поскольку за ними не стоят огромные многомиллиардные корпорации, в которых выпуск всех исправлений поставлен на поток".
Fedora Linux - это дистрибутив Linux с одним из самых крупных сообществ пользователей среди других дистрибутивов. Но он не такой популярный, как Debian. Среди пользователей ходит мнение, что Fedora сложна в использовании и настройке. Весомый плюс этой системы в том, что Fedora - это только свободное программное обеспечение. Операционная система Linux очень часто рассматривается, как свободное программное обеспечение. Но это не на 100% верно. Хотя, большинство программ, которые вы используете - свободны, некоторые драйвера и прошивки оборудования имеют закрытый код. Также, есть компоненты с открытым исходным кодом, но с ограниченной лицензией.
Разработчики дистрибутивов определяют, насколько часто их пользователи будут контактировать с проприетарным программным обеспечением. Они могут включать в состав дистрибутива MediaCodec'и, драйвера видеокарт и сетевых адаптеров, а также дополнительные модули, например, Adobe Flash. Это поможет пользователям слушать музыку, играть в игры и просматривать веб-страницы, но это несвободное программное обеспечение.
Fedora занимает принципиальную позицию в этом вопросе. Это помогает избежать судебных исков против RedHat. Несвободное программное обеспечение просто не допускается в репозитории. Дистрибутив не будет вам мешать устанавливать такие программы, но и помогать тоже не будет. Вам придется использовать сторонние репозитории, например, RPM Fusion. Это один из моментов, почему Fedora считается сложной. Но добавить репозиторий в систему - дело нескольких минут.
Но, например, такие статьи habrahabr.ru/post/337290, вводят, конечно, слегка в заблуждение. Так как раньше некоммерческие продукты, насколько я помню, под подобные запреты не попадали. Fedora Project хоть и спонсируется Красной Шапкой для отработки новых технологий, но является некоммерческой структурой и прибыли не извлекает из своей деятельности, насколько я понимаю. Странно это все.
Arch Linux - это независимо разрабатываемый дистрибутив Linux, оптимизированный для архитектур i686 и x86/64, ориентированный на опытных пользователей Linux.
В целом, вам нужно быть компетентным пользователем, чтобы использовать эту систему, вам нужно быть в курсе об этом заранее. Она использует Pacman, менеджер пакетов собственной разработки от создателя Arch Linux. Pacman обеспечивает установку актуальных обновлений с полным контролем зависимостей пакетов, работая по системе плавающих релизов или Rolling Release. Arch может быть установлен с образа диска или с FTP-сервера.
Поясню, менеджер пакетов/репозиторий - это как App Store или Google Play, откуда вы в два клика можете скачать и установить нужное вам приложение или программу.
Установочный процесс по умолчанию предоставляет надежную основу, позволяющую пользователям создавать настраиваемую установку. Вдобавок, утилита Arch Build System (ABS) предоставляла возможность легко собирать новые пакеты, модифицировать конфигурацию стоковых пакетов и делиться этими пакетами с другими пользователями посредством Arch User Repository (Репозиторий пользователей Arch). Это легковесный дистрибутив Linux. На него ставится преимущественно свободно-распространяемое и OpenSource программное обеспечение и ПО из поддерживаемого сообществом репозитория AUR.
Ubuntu - Чтобы отмести этот вопрос, сразу скажу, что Ubuntu отправляет ваши данные третьим лицам без вашего согласия. Если вы пользователь Ubuntu, и вы используете настройки по умолчанию, каждый раз, когда вы начинаете вводить Dash (Чтобы открыть приложение или найти файл на вашем компьютере), ваши условия поиска отправляются различным третьим лицам, некоторые из которых рекламируют вас.
Кстати, можете вспомнить ситуацию про Windows, которая решила раздавать WIndows 10 бесплатно, но в итоге собирает все данные, якобы для рекламы. То есть, всю вашу личную информацию и так далее. Если вы хотите больше информации по этой системе, ознакомьтесь хотя бы с Лицензионным соглашением WIndows. И у вас начнет дергаться глаз.
На счет Ubuntu, чтобы предотвратить отправку данных третьим лицам, вам нужно выполнить ряд инструкций на этом сайте: fixubuntu.com
Следуем указанным здесь инструкциям, здесь показано, как изменить нужные настройки. Выше мы уже разбирали похожую ситуацию на примере Mac OS X.
Однако, я в любом случае не рекомендую Ubuntu, я лишь привожу это для вашего интереса в том случае, если так получилось, что вы используете эту систему. Ubuntu лучше в целях приватности и анонимности, чем Windows или Mac OS X. Я рекомендую Ubuntu людям, не имеющим опыта работы с Linux и считающим, что приведенные выше дистрибутивы слишком сложные для усвоения для них.
Debian - это операционная система, основанная на Linux, это дистрибутив Linux. Она целиком состоит из свободного программного обеспечения с открытым исходным кодом, большая часть которого находится под универсальной общественной лицензией GNU.
Дистрибутив Debian содержит более 51 000 пакетов скомпилированных программ, которые
упакованы в отличном формате для легкой установки на вашу машину. Все они бесплатны. Это похоже на башню. В основании находится ядро, над ним - основные инструменты, далее идут все программы, которые вы запускаете на компьютере. На вершине этой башни находится Debian, тщательно организующая и складывающая все это воедино, чтобы все компоненты могли работать вместе. С таким подходом ваша система не будет стучаться на домашние сервера Microsoft.
Tails - дистрибутив Linux на основе Debian, созданный для обеспечения приватности и анонимности. Является продолжением развития ОС Incognito. Все исходящие соединения заворачиваются в анонимную сеть TOR, а все не анонимные блокируются. Система предназначена для загрузки с LiveCD или LiveUSB и не оставляет следов на машине, где использовалась. Проект TOR является главным спонсором TAILS. Операционная система рекомендована к использованию «Фондом свободной прессы», а также использовалась Эдвардом Сноуденом для разоблачения PRISM.
Его используйте только для поиска чего-то в интернете (Чего - сами понимаете), так как быстро устанете с ним. К примеру, пришли куда-то вставили флешку со своей ОС, поискали, что вам надо и вытащили все.
Kali Linux - GNU/Linux-LiveCD, возникший как результат слияния WHAX и Auditor Security Collection. Проект создали Мати Ахарони (Mati Aharoni) и Макс Мозер (Max Moser). Предназначен прежде всего для проведения тестов на безопасность. Предшественником Kali был BackTrack, созданный на базе нескольких Linux-дистрибутивов. Первоначально предназначался для использования на ОС Slackware, а затем плавно перешёл на Ubuntu.
После основой стал Debian.
Parrot OS - Набирающий популярность Security-дистрибутив, основанный на Debian- Linux. Довольно простой в освоении, подходит и для новичков, и для профессионалов. Этот дистрибутив нацелен, как на проведение тестирования на проникновение, так и на анонимную работу в сети интернет. Довольно легкий и эффективный инструмент, многие Security специалисты нашли в нем замену все более «Прожорливому» Kali, тем более, что Parrot использует репозитории Kali для обновления. Использует графическое окружение MATE и дисплей-менеджер LightDM.
По функционалу он похож на Kali Linux, здесь тоже вместе с системой поставляется огромное количество специального программного обеспечения для тестирования безопасности.
Как вы можете видеть все системы, которые я упомянул выше, в основном так или иначе базируются на Debian (начиная с Ubuntu).
То, как вы будете разруливать с обновлениями безопасности в Linux, будет зависеть от дистрибутива, который вы используете. Я собираюсь рассказать об обновлениях безопасности на примере Debian и систем, созданных на основе Debian.
Смотрите, здесь - wiki.debian.org/Derivatives/Census
Указаны все производные от Debian дистрибутивы. Многие из них - это операционные системы, важные для области безопасности, такие как Kali, Tails и так далее. Проект Debian выполняет отличную работу по обеспечению обновлений безопасности для Debian.
Безопасность - это приоритет для этого проекта и этой операционной системы. Если вы хотите найти детали проблем безопасности, для исправления которых выпускаются патчи, то взгляните на страницу с информацией по безопасности, представленную Debian (debian.org/security).
Если вы спуститесь ниже, то увидите все обновления. Можете нажать на любое обновление и получить больше информации об этом конкретном обновлении. Можете перейти в каталог Mitre CVE и узнать больше по данной уязвимости, которую вы выберите. Здесь подробная информация об этой уязвимости. Еще больше деталей видим здесь. И отсюда мы можем попасть в различные источники для большего количества сведений, и в принципе, можем даже найти код Exploit'а для данной уязвимости.
Мы это разбирали выше на примере сайта - cvedetails.com
По заявлениям проекта Debian, они обрабатывают все проблемы безопасности, доведенные до их внимания, и исправляют их в течение определенных разумных сроков. Они также говорят, что множество предупреждений безопасности координируются другими поставщиками свободного ПО и публикуются в тот же день, что и найденная уязвимость, а также, что у них есть внутренняя команда Аудита Безопасности, которая ищет в архивах новые или неисправленные ошибки безопасности. Они также верят в то, что безопасность путем сокрытия не работает, и что общедоступность информации позволяет находить уязвимости в безопасности.
Все это хорошо, поэтому я и рекомендую дистрибутивы основанные на Debian в качестве основной надежной операционной системы для повседневного использования, когда речь идет о безопасности, приватности и анонимности.
Насчет установки и всего такого прочего. Пожалуй, я не буду расписывать, как установить каждую ОС, ибо тогда мы вылезем за рамки руководства. Если хотите, то все сможете найти в интернете, на том же Youtube есть куча видео, как установить ту или иную систему.
К тому же, нет смысла описывать здесь установку, так как практически всегда она индивидуальна и каждый столкнется с какими-то своими проблемами. В общем, как говорится, Google в помощь.
FAQ:
А: Есть ли еще популярные пути взлома, если не считать способ взлома через левые ссылки и исполняемые файлы, прикрепленные к "Обычным"?
Б: Их большое количество, обычно используют уязвимости. Вопрос в доставке зловредных файлов и способы реализации (Как я и писал, способов - океан и больше).
А: Есть ли какая-либо привязка к железу кроме MAC, которую можно отследить? Допустим, я использовал ноутбук с Windows 10, а потом решил его использовать для наших "Рабочих целей". Отследят ли меня потом, например, по идентификатору материнки? Нужно ли брать отдельное новое железо для нашей работы?
Б: Тут все зависит от вашего объема. И будут ли в вашу сторону смотреть вообще. Если представить, что вы уже потенциально опасный человек и вас будут вычислять, то следовательно тут надо задумываться не только о MAC'е. Так как, к примеру, скорее всего, у каждого в квартире есть роутер, вполне обычный. Так вот, этот роутер, если вы присоединялись к нему со своего ПК по Wi-fi, скорее всего, отправил данные в GoogleMaps или YandexMaps, а также другие источники. На первое время вам ничего этого не нужно, вам нужна эта информация на будущее, когда ваш доход будет уже исчисляться миллионами, скажем так.
А: Какую связку все-таки лучше использовать для нашей работы? Какой дистрибутив Linux, и так ли нужен Windows в виртуальной машине или достаточно браузера с подменой идентификатора?
Б: IP → VPN → TOR → SOCKS, IP → VPN → SOCKS, IP → VPN → TOR → VPN → SOCKS.
Лучше делать изоляцию, конечно. То есть, за изоляцию возьмем, например:
VPN, TOR, SOCKS, VPN+SOCKS. По поводу браузера, Windows и так далее - все индивидуально, так как бьется все по-разному.
А: Лучше ставить Debian основной или на виртуальную машину и с нее работать?
Б: Основой. На виртуальной машине, только если для обучения.
А: Какие характеристики компьютера нужны для комфортной работы с Debian?
Б: Как минимум, для работы понадобиться 8 ГБ, так как у вас будут еще виртуальная машина. Самый лучший вариант - это 16 ГБ оперативной памяти. А так, по сути, чем больше оперативной памяти, тем лучше.
А: Есть ли наличие на Linux подобие антивируса?
Б: Нет, зачем он? Там есть магазин приложений все приложения с открытым исходным кодом, а к нему еще большое сообщество (30+ миллионов человек, которые постоянно следят за пополнением этого магазина). Ко всему прочему, когда вы захотите скачать какую-то программу, то идет автоматическая сверка хэша. Если сверка успешная, то программа скачается и все хорошо, а если нет, то тогда и выйдет ошибка. А это значит, что, скорее всего, это было зловредное ПО.
А: Я полный ноль в Linux - какой мне ставить?
Б: Не ставьте Fedora, смотрите в сторону Debian-подобных дистрибутивов. Посмотрите любой дистрибутив с приятным для вас интерфейсом. Вы можете посмотреть, какую хотите графическую оболочку: losst.ru/luchshie-graficheskie-obolochki-ubuntu
А: Если мы говорим о таких программах, как PSI и поиске «Чего-то такого» в интернете, то это лучше делать с виртуальной машиной какой-то или же можно спокойно на основной, но
браузер, например, хранить на жестком диске, который зашифрован?
Б: Можно и так, но лучше хранить логи и все остальное на зашифрованном носителе, не стараясь хранить какую-то приватную информацию, которая может вам навредить на вашем носителе без криптоконтейнеров.
Еще немного о безопасности:
1. Не трепитесь языком, не в интернете, не в жизни. Никому никогда не нужно знать, откуда вы, как вас зовут, сколько детей и любую другую личную информацию, совсем не важно, кто спрашивает - друг или знакомый, любой может оказаться не тем, кем себя позиционирует, и даже я.
2. Не используйте Nickname, которые вы взяли из своего ID в VK, Steam, Email или любого другого сервиса или сайта. Использованный в белой сфере Nickname - может вывести людей из серой сферы на вас.
3. Не регистрируйте почты и аккаунты на свой номер телефона, сервисы предоставляющие услуги почтовых ящиков запросто выдадут информацию по требованию. Для приема СМС можно использовать онлайн сервисы (ссылки я дам). Не используйте личные почты при регистрации на серых сайтах и магазинах, заводите отдельные для этих целей.
4. Никогда не стоит думать, что "Я не настолько крупная рыба, чтобы меня искали" - нередко такие люди потом ищут деньги на адвокатов, не стоит заблуждаться, никогда не пренебрегайте безопасностью, ведь лучше спать спокойно.
5. Приём посылок осуществляйте только через посредников, сервисы по пересылке или подставных лиц. Не светите свои имена нигде.
6. Jabber и все остальные средства коммуникации лучше хранить в виртуальной машине, если храните на основной - лучше отключить сохранение истории и паролей.
Виртуальная машина для поиска в теневом интернете. Урок 3.1.
Лично я рекомендую использовать VirtualBox или VMWare. Не забываем включать виртуализацию в BIOS'е вашего ПК - иначе виртуальная машина не сможет работать.
Лучше всего будет, если вы поместите образ виртуальной машины в зашифрованный носитель или контейнер. Для носителям лучшие параметры - это USB 3.0, 32-128gb.
Шифровать мы будем следующим софтом:
TrueCrypt 7.1a или VeraCrypt
Здесь выбор, скажем так, за вами. Смотрите, что вам больше подходит.
TrueCrypt версии только 7.1а, остальные не очень безопасны, и VeraCrypt - продолжение рода TrueCrypt, поскольку он был заброшен разработчиками. Я использую VeraCrypt.
Шифруем носитель/SSD или создаем контейнер на ПК, затем внутрь контейнера помещаем образ виртуальной машины. Теперь, перед запуском виртуальной машины, вам будет необходимо сначала вскрыть зашифрованный контейнер с помощью пароля.
Как шифровать - можно посмотреть в справке самой программы или поискать в интернете, это не очень сложно и требует нажатия буквально нескольких кнопок.
Есть два альтернативных контейнерам варианта, а именно:
• Шифрование всего жесткого диска на вашем компьютере.
• Создание скрытой ОС.
При обычных контейнерах ключ шифрования можно вытащить из файла гибернации и снять с ОЗУ, поэтому отключаем гибернацию на своих компьютерах. Но при использовании скрытой ОС, можно поместить всю информацию и файлы внутрь нее, и даже если вас будут пытать, вы сможете выдать пароль шифрования от обычной белой ОС, в то время, как скрытая будет мирно хранить ваши файлы.
Шифрование всего жесткого диска - долгое (На 1 ТБ памяти уходит примерно 6 часов), но надежное средство, так как с гибернации, даже если она включена, ключи уже не вытащить, а чтобы успеть снять с ОЗУ, надо очень постараться, остается только Brute, и тут мы переходим к следующему пункту безопасности, а именно - пароли.
При скрытой ОС или шифровании диска, для запуска системы нужно будет ввести пароль в Boot-Loader'e, то есть, даже до пароля учетной записи Windows, до включения самой системы.
На любом форуме, странице в социальной сети, почте или скрытом контейнере необходимо соблюдать обязательные пункты при выборе пароля:
1. Длинна не мене 15 символов, лучше все 30.
2. Верхний+Нижний регистр, цифры и специальные символы.
Пример хорошего пароля: sHO&D=633qwvBB!aC{6} - на Brute этого пароля уйдут десятилетия, а то и столетия.
3. На один форум/магазин/сайт - один, уникальный пароль.
4. Двухфакторная аутентификация - используйте везде, где есть возможность.
Если использовать одинаковые пароли, велика вероятность взлома всего, что можно. Никто не застрахован от слива или продажи базы данных на каком-то магазине DS (Dedicated Server), например. Злоумышленники просто получают ваш пароль, а потом по кругу пускают по всем сервисам/форумам, и забирают все, что можно.
Однако, надежный пароль - это не панацея, ведь его могут перехватить прямо из вашей системы, подцепив на неё Stealer, вредоносное ПО или другой вирус. Выход банален и прост
- создайте отдельную виртуальную машину (вообще любую) специально для софта и грязных, непроверенных файлов.
И запускайте все только на этой виртуальной машине, пусть лучше страдает она, чем ваш компьютер. Соблюдать элементарные правила гигиены намного проще, чем потом терять аккаунты или выплачивать пострадавшим, поэтому не поленитесь и сделайте, зато будете спать спокойно.
Предназначение виртуальной машины для вас будет делиться на два пункта, а именно, первое - для поиска по теневым ресурсам и общения в этой среде (Форумы, сайты, магазины и так далее), второе - это уже для самих вбивов и работы. Настройка виртуальной машины для этих случаев разная, но немного похожая все-таки.
Что вам надо, чтобы настроить свою виртуальную машину для первого варианта (поиск по теневым ресурсам):
1. VPN. Лучше всего ставить именно свой. Как это сделать и все нюансы - будут ниже в руководстве.
2. TOR Browser
3. Jabber / ICQ
4. Замените свои DNS, например, на Google - support.li.ru/google-dns/win7/
Их можно еще прописать в роутер. Для лучшего эффекта можно вообще использовать софт DNSCrypt. Эту программу запомните, ей часто придется пользоваться.
5. Браузер для поиска. (Я всегда использую FireFox)
6. Отключаем WebRTC. WebRTC позволяет сторонним пользователям на раз определять IP- адрес пользователя сети, минуя программные заслоны VPN, TOR, SOCKS и других сетевых защитников: whoer.net/blog/article/kak-otklyuchit-webrtc-v-raznyx-brauzerax/
7. Если используете SOCKS или SSH-туннели, то Proxifer+Plinker (об этих программах тоже будет ниже).
8. Можно еще замкнуть интернет через брандмауэр так, чтобы при падении VPN'а на виртуальной машине не было выхода в сеть, и не утек ваш реальный IP.
Настройка виртуальной машины именно для работы будет уже ниже. Максимально подробно и в разных вариациях.
Термины:
AntiFraud - AF, антифрод. Наш главный враг, который не разрешает нам спокойно снимать деньги с СС.
BTC - Bitcoin, биток.
Checker IP - проверяет IP на чистоту и пригодность.
IP - ИП, айпи.
SOCKS - носок.
SSH-туннель - тунец.
DS - Dedicated Server, дедик, дед.
Чистый IP - Основа. Урок 4.
Тема простая. Заключительная часть по вашей безопасности-анонимности в Carding'е. Прежде всего нужно понимать, что у вас два разных понятия анонимности.
Первая - это личная безопасность, чтобы вас не взяли за жопу, чтобы вас не слил ваш провайдер. Для этих целей мы и будем создавать личный VPN. Что он нам даст? Он даст нам скрыть наши реальные данные. При отключении логов на сервере, VPN уберет все ваши "Путешествия" в сети от провайдера.
Вторая - это анонимность, которая должна обладать рядом параметров, чтобы обойти AntiFraud при вбиве. Позже вы ближе познакомитесь с AntiFraud. В двух словах, AntiFraud - это система против мошенников, таких людей, как мы. Она обладает рядом параметров, которые в каждом магазине индивидуальны, но наша задача быть для нее "Своим", быть для нее обычным КХ. Если к IP нашего VPN у нас нет никаких требований, кроме того, что ваш VPN должен быть поднят не на территории СНГ, то к IP для обхода AntiFraud у нас самые строгие требования - чистота, отсутствие в черных списках, минимальный или отсутствующий уровень Fraud'а и прочее.
Касательно безопасности. Если вы работаете по России, то рано или поздно ваша попа окажется в плохой ситуации, ибо следят плюс-минус все. А что касается США, то работа по ней по тому и безопасна относительно для нас, что чтобы вас привлечь необходимо затратить на расследование уйму денег. Привлечь вас стоит дороже, чем ваш вбитый телефон. Ну, как вы, возможно, заметили уровень безопасности в России в среднем выше, ибо мы пропустили первоначальный этап внедрения банковских технологий, и, можно сказать, попали на тот уровень, когда данные плюс-минус начали защищаться.
Начальный уровень анонимности - использовать для теневых ресурсов TOR. Хотя, нас не привлекают к ответственности за посещение сайтов, тем не менее, если вы вдруг попадете на карандаш к силовикам, то первое, куда они придут - это ваш провайдер.
torproject.org - ссылка для скачивания TOR-браузера. Это условие необязательное, но предупрежден, значит вооружен. Также, еще отмечу то, почему нам нужен личный VPN. Логи. Все эти платные VPN - это здорово и удобно, но по сути никто вам не даст гарантии, что вас не пишyт. Вероятность того, что пишут примерно 95 %.
Привыкайте работать по минимуму, не привлекая сервисы, без которых вы можете обойтись. Вы сможете поставить себе свой личный VPN (Это будет в руководстве). За 5$ в месяц (аренда сервера). Со скоростью выше, чем у многих платных. На телефоне тоже будет работать. Поэтому, кто не завел BTC-кошелек - заводите. Расчеты в нашей сфере в основном производятся в BTC, а еще довольно часто через QIWI.
Обменники (криптовалюта):
bestchange.ru
localbitcoins.com/ru/
risex.net
Не стоит хранить деньги в BTC постоянно, так как курс может как возрасти, так и упасть. Поэтому оценивайте свои риски и желания самостоятельно.
Кстати, QIWI - его принимают к оплате не все, но как один из вариантов, возможно.
Плюсы: Возможность прямого вывода на карту, если не светить номер телефона, угнать практически невозможно
Минусы: Могут заблокировать кошелёк, русская платежная система, а значит выдаст любые данные по первому требованию, следовательно убедительно рекомендую, если и использовать, то только в следующем формате: левая SIM-карта, левая почта, не используйте свой телефон, купите левый или используйте виртуальную SIM-карту. Выводить только на карту подставного лица. Не используйте свой IP и ПК (можно виртуальную машину).
Если говорить про вывод денег через BTC, то здесь ситуация немного сложнее, но вывести все-таки можно:
1. Через обменник можно обменять деньги с BTC на карту, QIWI или банк.
2. Можно вывести и в наличные, но нужно искать хорошего продавца, скажем так.
То, что BTC анонимен - миф и заблуждение, все транзакции в BlockChain, как на ладони, их не очень сложно отследить, просто для регистрации не нужны никакие личные данные.
Поэтому для сохранения анонимности средств рекомендую пользоваться BTC-миксерами.
FAQ:
А: Надо ли мне менять IP, если я живу в Европе/США? Насколько разумно пользоваться интернетом публичным - в кафе, магазине, метро и так далее? А если ломать Wi-fi сети и с них сидеть? Короче, есть ли в этом смысл?
Б: Менять надо. Во-первых, личный VPN нужен, чтобы твой IP не светился нигде. Во- вторых, при вбиве нужен будет IP под определенную местность. В Wi-fi кафе лучше сидеть через VPN, иначе могут слить твой трафик. Ломать Wi-fi можно, но не все могут - это отдельная тема. Мы затрагивать не будем.
А: И как завести BTC-кошелек, чтобы не палить нигде свои личные данные, потому что часто требуют паспортные данные и прочую чепуху? Можно как-то это обойти? Или только покупать левые документы и на них регистрировать?
Б: Да, покупать документы от 30 до 80 рублей. И регистрировать. В процессе работы каждый будет находить свои методы.
Jabber многие из вас уже щупали, но не лишним будут ссылки на клиенты и описание. На сегодняшний день это, пожалуй, лучший способ анонимного общения, но, конечно, не забывайте, что сервера не должны быть в России. Лучше заводите несколько. Две
достаточно, чтобы, если упадет сервер на одной учетной записи, то вы не потерялись.
Еще немного информации о Jabber:
OTR - https://ru.wikipedia.org/wiki/Off-the-Record_Messaging
Jabber-клиенты - jabberworld.info/Клиенты_Jabber
Самые удобные - PSI и Pidgin.
securityinabox.org/en/guide/pidgin/windows/ - о безопасности в России.
ru-sfera.org/threads/nastrojka-otr-na-psi.2658/ - руководство по PSI и OTR.
А что касается паролей, данных учетных записей, СС и прочей информации, то удобно пользоваться программой Keepas.
keepass.info/download.html
Работает Keepas просто - создается файл, в котором будут лежать ваши данные, он будет зашифрован. У вас на руках будет мастер-пароль от него. Можно пользоваться, как на ПК, так и на телефоне. Штука крайне удобная. Чтобы всегда был под рукой можно закинуть его на облако, DropBox, к примеру, а файлы на облаке можно зашифровать программой BoxCryptor.
boxcryptor.com/ru/
Предоставляете BoxCryptor'у доступ к облаку вашему и выполняете на нем шифрование, даже если облако взломают, получить доступ к вашим файлам не смогут.
Поговорим о втором пункте анонимности, точнее, об IP и требований к нему. В этом нам помогут сайты Checker IP:
Checker'ы IP:
whoer.net/ru - Основа.
witch.valdikss.org.ru - Не сильно доверяю, но иногда можно проверить.
whatleaks.com - DNSLeaks.
check2ip.com - Проверка на наличие в черных списках.
ip-score.com - Очки Fraud.
getipintel.net - Очки Fraud и проверка на открытые порты.
ipqualityscore.com/user/proxy-detection-api/lookup - Важная проверка! (нужна регистрация)
dnsleaktest.com - Проверка на утечку.
fraud.cat/Home/Faq - Платная (по подписке)
Что дают эти сайты? Они помогают нам узнать информацию о нашем IP, не только сам IP и DNS, но и другие, которые могут нас палить. Руководствуясь этими сайтами мы будем настраивать наши системы и адреса. Мы должны настроить все параметры так, чтобы AntiFraud нас не палил и не давал нам не нужные очки Fraud. Если таких очков будет много, то нам автоматом прилетит Decline. Главное правило - IP должен быть чистым. IP популярных VPN-сервисов находятся в черных списках или помечены, как анонимайзеры,
так как их использует огромное количество людей в самых разных целях. Сайты Checker'ы IP вам это покажут.
Немного о Telegram. Telegram, как вы понимаете - это вещь не анонимная. Все, что вы не контролируете - заведомо опасное. Поэтому не советую лишний раз использовать его для проведения каких-либо незаконных дел. Кстати, кто не слышал недавно нашли уязвимость в секретных чатах, суть такова, что не такие уж они и анонимные.
Итак, если с первым пунктом по анонимности все понятно - мы создадим личный VPN, то для работы со вторым пунктом мы будем использовать специальные инструменты:
1. SOCKS.
2. SSH-туннели.
3. Dedicated Server - выделенные сервер.
4. VNC.
1. SOCKS. Прокси-сервер.
Минусы: Недолговечные, до 3 суток живут. Не шифруется трафик. Могут умереть в процессе вбива, такое бывает.
Плюсы: Можно покупать подписку и использовать много разных IP. Подходят для типа работы вбил и забыл. Под СС подходит.
2. SSH-туннели.
Минусы: Сложно найти чистые.
Плюсы: Живут долго, месяцами. Стоят около одного доллара. Хорошо подходит под банковские аккаунты и PayPal, те места, где желательно иметь один IP долгое время. Раскачивать аккаунт, то есть, иметь постоянный доступ.
3. Dedicated Server - это выделенный сервер. Простыми словами - это чужой компьютер. Подключаясь к DS мы попадаем на чужой рабочий стол и наш IP будет соответствовать IP DS.
Плюсы: Как и у SSH-туннелей. Брать нужно с правами администратора, чтобы кроме вас, никого на этом DS больше не было.
4. VNC - https://ru.wikipedia.org/wiki/Virtual_Network_Computing. Очень похожа на DS. C существенным отличием, что подключаясь мы сидим непосредственно в сессии нашего КХ, а это значит, что у нас не только IP, но и Cookie общие. Это может существенно облегчить вбив. Однако, в продаже их немного и цены у них лично я встречал от 10 долларов и выше.
Как они выглядят: 122.156.2.14:22@user:1234
Где - айпи:порт@имяпользователя:пароль
При использовании двоеточие и собаку вводить не нужно (122.156.2.1422@user1234) Порты могут быть разными, у SSH-туннелей 22, у остальных инструментов любые свободные порты из 65535 возможных портов.
Немного о портах - https://ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP
whatleaks.com - можете себя сейчас проверить. Сайт покажет ваши открытые порты. Просто ради интереса, на вбив не влияет.
Методы работы у нас следующие (Каждый выберет, что ему удобнее, но советую попробовать все):
1) Использовать DS и при надобности SOCKS и SSH-туннель на него.
2) Использовать виртуальную машину, то есть, на ней запускать SOCKS или SSH-туннель.
3) Использовать отдельный ПК с английской Windows и на нем запускать SSH-туннель или SOCKS.
4) Использовать разные браузеры Anti-detected + (SOCKS или SSH-туннель), которые могут очень гибко настраиваться не только по IP, но и много других параметров важных нам. Пример - Linken Sphere (о ней будет дальше).
FAQ:
А: Что такое чистый IP? Будет ли отмена платежа, если я буду пытаться вбивать через родную систему, которая стоит у меня сейчас? Или через компьютер друга/девушки? И, как я понял, Telegram - это вообще не вариант, если хочешь обсудить с человеком, хоть сколько-нибудь криминальное дело?
Б: Можешь подключить любой публичный VPN и зайти на сайты Checker'ы IP. Они тебе покажут, что твой IP, скорее всего, не является "Родным", а значит магазин при вбиве набросит тебе Fraud-очков и отменит транзакцию. Когда будет урок про AntiFraud, поймешь, почему с ПК девушки ты не вобьешь, ведь AntiFraud смотрит не только на IP, но и на шрифты в твоем ПК, Finger Print отпечаток, Java палит, DNS Leak есть такой параметр и все это нужно учесть.
А: И сколько нужно всего денег на софт (Не на СС), если брать идеальный, средний и нищенский вариант?
Б: Если берешь подписку на Anti-detected, то там 100 долларов на месяц. А если связка виртуальная машина + SOCKS, то виртуальная машина бесплатно. SOCKS от 0,5 доллара каждый. Если DS, то нормальный DS от 5 долларов и выше с правами администратора.
А: А если DS без прав администратора брать, спалят? Так ли критично?
Б: Спалят, если ты будешь перебирать пароли на этом DS или фильмы смотреть в высоком разрешении начнешь. По сути, DS - это ваш общий с КХ ПК. И логично, чтобы КХ не нервничал, нужно не нагружать его систему.
А: А можно как-то узнать, нет ли сейчас у меня каких-то ушлых гостей?
Б: Ты увидишь, если в твоей учетной записи сидит еще один человек. Он же, как правило, своих программ наставит и прочей деятельностью займется.
А: Что такое DNS?
Б: Система доменных имен. Это сервер с именами доменов, к которому мы обращаемся, когда пытаемся зайти на какой-либо сайт. Лучше несколько видео-роликов посмотрите, чтобы хорошо понять. У вас должна быть ясная картинка в голове.
А: И как DNS меняется в случае его несоответствия стране SOCKS'a?
Б: В браузерах Anti-detected можно менять DNS в случае несоответствия. И в программах Double SSH Manager.
SSH-Туннели:
sshseller.tk
getssh.net
farsh.biz
tunastock.ru
getssh.net/en/ssh
@sshTAMAPA
@sshseller_tk
@amigo_trade
@almaz_00
SOCKS:
vip72.org
911.gg
faceless.cc
luxsocks.ru
DS - Dedicated Service:
f-pc.net
dedicatesales.com
xdedicvhnguh5s6k.onion
Инструменты для вбива. Урок 5.
Итак. Поговорим более детально о программах, которые помогут нам устанавливать соединения. Программы-инструменты для вбива. Какие инструменты по смене IP мы рассмотрели?
1. SOCKS.
2. SSH-туннели.
3. DS.
4. VNC.
Все верно. Для того, чтобы нас не замечал наш провайдер, где и чем мы занимаемся, и не поймали наши зарубежные друзья. Если вдруг SOCKS упадет, под ним будет IP нашего VPN, а не реальный IP. У нас пирог из инструментов. В самом низу личный VPN для безопасности, а поверх него SOCKS/SSH-туннели/DS для AntiFraud.
Рассмотрим такой случай, что мы выбрали для работы виртуальную машину, на которой мы установим операционную систему с которой и будем делать вбив. Если мы работаем по США, то нужно ставить английскую версию Windows, но система у нас английская, а IP остался прежним, так вот, чтобы изменить его на IP США, мы должны использовать дополнительный инструмент. Имя ему - прокси-сервер. SOCKS и SSH-туннели. Если же у нас есть возможность поставить английскую Windows на основной ПК, то необходимость в виртуальной машине отпадает сама собой, но мы по-прежнему используем SOCKS и SSH- туннели, чтобы поменять IP. Свой личный ПК лучше не связывать с Carding'ом. Личное -
это личное, а работа - это работа, так что либо второй ноутбук, либо виртуальная машина. Альтернативным вариантом можно использовать DS.
К слову, с вашего ПК тоже можно сделать DS, подключаться к ней от другого ПК и также работать. Принцип работы близкий к работе TeamViewer, кто пользовался, сразу поймет о чем идет речь. Таким образом, когда мы запускаем DS, то мы попадаем на чужой рабочий стол, на нем уже и работаем. DS'ы добываются Brut'ом портов ПК. Чаще всего, Brute - взлом, осуществляемый через подбор логина и пароля, с помощью специальных программ. DS можно купить под страну или штат. Живучесть DS обычно около двух недель, бывает меньше, мой как-то раз жил месяц, но я его не грузил и работал изредка. Также, необходимо рассмотреть такой инструмент, как браузерный Anti-detected. Например, как я уже писал - Linken Sphere - LS.
Это браузер, который позволяет менять данные, которые палит AntiFraud. Например, IP, DNS, часовой пояс, WEBRTC, эмулятор системы, то есть, можно настроить, что нас будут видеть, будто работаем с IPhone, Android, Windows, Linux и прочее. Возможностей у него тьма, он идет по подписке, на сайте расценки и описание подробное.
LS помогает нам менять множество параметров, но нам по-прежнему необходимо приобретать отдельно SOCKS или SSH-туннели.
В итоге, SOCKS и SSH-туннели требуются почти во всех случаях кроме DS, так как DS уже имеет IP страны, которую вы покупаете, но чтобы более точно позиционировать свой IP, можно навесить SSH-туннель или SOCKS. Это нужно, если DS у вас в штате Огайо, а вам бить нужно в Нью-Йорке.
Резюме - варианты-связки для работы:
1. Виртуальная машина (или же отдельный ПК) + SSH-туннель или SOCKS на ней.
2. DS + SOCKS, чтобы изменить IP, если нужно.
3. Anti-detected + SOCKS или SSH-туннель.
И перед каждой связкой стоит наш личный VPN. Он должен быть всегда, чтобы скрыть наш реальный IP. VPN всегда ставится на основную машину, не на виртуальную машину и не на DS. Если вы на DS поставите VPN, то ваша цепочка будет выглядеть так: ваш IP - USA IP DS - IP личного VPN. Именно для того, чтобы зашифровать подключение к DS, мы и ставим на основную систему VPN.
Логи отключаем, чтобы сервер VPN не хранил в журнале компромат наших подключений. Это улика.
Если будете использовать LS или другой Anti-detected, то софт именно там не нужен. Будем разбирать подключение каждой программы, если у кого-то будут проблемы. Я в свое время много потратил времени на их проработку. Советую все попробовать использовать.
Посмотреть все плюсы и минусы.
Подключение к DS. Можно использовать стандартный Windows'ский метод. Команда "Выполнить" в меню Пуск, где вводим mstsc. Перед нами откроется окно, где можно будет
подключится к удаленному рабочему столу, там и вводим данные от нашего DS - IP + Порт, логин, пароль. Инструкция - akak.ru/recipes/6577-kak-vyipolnit-vhod-na-dedicated-server- dedik. Или же можно использовать программы от xDedic, принцип тот же, только вопрос кому, что ближе.
xDedic RDP Client v1.0 - для подключения к DS'ам.
Важно понимать, что DS разные по возможностям, на них разные OC, с правом администратора или без, как и наши с вами ПК - у всех разные. Чтобы не оставлять следы при подключении к DS, можно использовать Cleaner'ы логов.
xDedicLogCleaner - для очистки логов системы.
Лучше не хранить компрометирующие вас файлы на нем. Все лишнее удалять, пользоваться Portable версиями программ, чтобы все было тихо и незаметно для КХ. Для лучшей работы нужно брать DS с правами администратора. Это позволит создавать свои учетные записи, скрывать их, что обеспечит нам увеличение продолжительности жизни DS'а.
xDedic Log Cleaner предназначен для очистки логов системы, очистки временных папок, например, temp, также можно удалить аккаунт с DS вместе со всеми файлами, которые вы насоздавали во время пользования. Очистка производится не от имени вашего аккаунта, а от имени системы (System).
Внимание, очень важно: Программа работает ТОЛЬКО на серверах с правами администратора! OS: Windows Vista и выше.
Описание кнопок для xDedic Log Cleaner:
[ Flush ] - очистка логов в один клик. Дальше объяснять нет смысла, и так понятно!
[ Auto Flush ] - очистка логов в заданный промежуток времени, то есть, выбрали время, нажали ОК и все, программу можно закрыть, очистка логов будет каждые N минут.
[Flush&LogOFF] - чистим логи и выходим с аккаунта. Полезно, если вы не создавали себе учетную запись на DS, а рабоатете под купленным аккаунтом, то есть вы отключились от DS, а запись того, что вы отключились осталась в логах, ее надо стереть. Закончили работу с DS - выбрали опцию, задали время, нажали ОК, отключились от DS. Программа сама заметет следы и отключит учетную запись.
[AccountDelete] - Полезная и в то же время опасная функция. Полезность:
1) Отключает вашу учетную запись.
2) Удаляет ее с системы.
3) Удаляет папку вашей учетки с C:\Users.
4) Чистит все логи. Полное заметание следов на DS.
Опасность: вы больше не сможете зайти на DS под этой учетной записью. Также, если единственная учетная запись на DS - Administrator, и вы ее удалите - никто больше не сможет зайти на сервер, поможет только переустановка системы.
Dedic RDP Patch v2.1 - для создания скрытой учетной записи на DS.
Характеристики DS и права оговариваются при покупке. DS'ы разделяются на - серверные: Windows Server 2008/2011/2012/2016 и домашние: Windows 7, Windows 8, Windows 10. На серверных может несколько человек работать, на домашних только один. Также, для лучшего понимания можно почитать: dedicatesales.com/faq.html
И немного о VNC. VNC, по сути, также подключается, как и DS, только через свой клиент. У DS'а - RDP, у VNC - VNC. Разница в том, что вы сидите с пользователем в одной учетной записи, но в разных сессиях. То есть, по сути, вы и КХ - это будто одно лицо, что, безусловно, успешно влияет на вбив, ибо вы не придумываете - собираете личность, а пользуетесь реальным КХ.
Вот, мы подключили наш VPN, подключили нашу связку и получили IP, который будет использоваться на вбиве. У нашего IP есть такой параметр, как RiskScore. Его значение от 0 до 100, чем он меньше, тем нам лучше. RiskScore определяет насколько наш IP является мошенническим (Указывает, насколько высока вероятность того, что IP-адрес связан с транзакциями повышенного риска). Существует служба, имя ей MinFraud, она и занимается тем, что определяет RiskScore нашего IP. RiskScore напрямую лучше не проверять, а лучше проверить такой показатель, как Proxy Score, зная Proxy Score можно примерно узнать и RiskScore.
"Если Proxy Score 0 - RiskScore будет 0-10. Proxy Score 1-2 - RiskScore будет уже около 60"
Поговорим о Proxy Score. IPScore используют более 7000 интернет магазинов для определения мошеннических транзакций, если с какого-то IP адреса совершали покупки от чужого имени, такой IP заносится в базу данных, и следующая покупка будет тщательно проверятся работниками магазина, и шанс, что вбив будет успешным - минимален. Proxy Score находится в пределах от 0 до 4 и показывает вероятность того, что IP пользователя является прокси-сервером из общего доступа. Оценка Proxy Score 1 или 2 указывает на средний риск, оценка Proxy Score 3 или выше - на высокий риск. Proxy Score 0 показывают полностью анонимные прокси-сервера.
0.5 15% / 1.0 30% / 2.0 60% / 3.0 90%
Существуют сервисы для проверки Proxy Score - fraud.cat
FAQ - fraud.cat/Home/Faq
maxmind.com/ru/explanation-of-minfraud-riskscore - немного о том, как работают системы, которые нас проверяют. Также, у IP есть такая тема, как черные списки. Отсутствие вашего IP в эти списках благотворно влияет на вбив, на его успех.
ip-score.com/ - заходите на этот сайт. Правая колонка - Blacklists check. Если более двух показателей Listed, то лучше сменить IP. У кого ноль и один - это хорошо.
Идем дальше - getipintel.net. Заходите, листайте вниз до строки, куда нужно вбить IP. Если показатель IP выше 0.6-0.7, то для вбива не подходит. Один - это максимум, максимум
- плохо. Это значит, что нас палят на использование прокси-сервера. что не есть хорошо, ибо обычный КХ редко использует прокси-сервера. Зависит это значение от провайдера, от вашего подключения, от SOCKS. Запомните, если показатель IP выше 0.6-0.7, то для вбива не подходит.
Далее идем сюда (нужна регистрация) - ipqualityscore.com/user/proxy- detection-api/lookup
В окне будет наш IP. Выбираем пункт 3 в опциях и проверяем. Там будут четыре параметра такие:
Proxy/VPN Detection: false VPN: false
TOR: false Fraud Score 0
100 - это плохо. Читаем.
Если кратко, то везде должно быть False, а Fraud Score меньше 60, тогда имеет смысл использовать этот IP на вбив.
ipqualityscore.com/user/proxy-detection-api/documentation - о том, как вычисляют плохие IP.
По сути, вы теперь понимаете, как путем прогона вашего IP через Checker'ы AntiFraud сайта принимает решение давать вам товар или сделать отмену при вбиве.
FAQ:
А: То есть, можно забивать свой IP под VPN, пока не станет "Грязным"? Или как?
Б: Можно бить, пока чистый, но свой личный VPN не надо, он не для этого.
А: Прогонять IP желательно через весь комплекс тобою обозначенных ресурсов?
Б: Желательно, ибо то, что не видит один, может увидеть другой.
А: Получается, что пока IP чистый, то можно вообще не скрываться и пробовать вбивать или как?
Б: IP твой - IP RU, а значит он чист для вбива по RU. Идеально подойдет, но согласись, странно, если КХ из США будет делать покупки находясь во Владивостоке.
А: А если я в США?
Б: А если ты в США, то рано или поздно твою жопу схватят. Работать в стране, где ты живешь - это куча проблем.
Дополнительный материал:
Про анонимность в Интернете:
habr.com/post/190396/
habr.com/post/190664/
habr.com/post/203680/
habr.com/post/204266/
sourceforge.net/projects/whonix/ - Что очень важно для анонимности.
myshadow.org/trace-my-shadow - Что можно отследить через Интернет.
panopticlick.eff.org - Проверить, собирает ли данные твой браузер.
Немного про Cookie:
habr.com/post/126643/
habr.com/post/104725/
habr.com/post/190488/
Логи:
habr.com/post/332502/
thesafety.us/ru/vpn-logs
Необходимый софт для работы на виртуальной машине:
VMWare:
mega.co.nz/#!gwRFRY4I!6SvVM9QIX0LLeXjcz5XgrG1HDxOSEtiY6Kg_0uaSVK4
nnm-club.me/forum/viewtopic.php?t=964361
nnm-club.me/forum/viewtopic.php?t=931454 (для пользователей MAC)
Установка:
Скачать разные ОС:
nnm-club.me/forum/viewtopic.php?t=337306 (Windows 7)
rutracker.org/forum/viewtopic.php?t=4461985 (XP x32)
rutracker.org/forum/viewtopic.php?t=4602474 (XP x64)
Установка ОС на виртуальную машину:
Остальные необходимые программы:
mozilla.org/en-US/firefox/new/ - Firefox
portableapps.com/apps/internet/firefox_portable - Firefox Portable
ccleaner.org.ua/download/ - CCleaner
sendspace.com/file/lf3rvd - Plinker - программа для запуска SSH-туннелей,
Proxifier - программа, позволяющая программам, не имеющим возможность работать через прокси-сервера, обходить это ограничение
Bitvise SSH Client 6.08 и Proxifier v3.31 хорошо сочетаются друг с другом, поэтому старайтесь соблюдать версии. Разные версии по-разному реагируют друг на друга. Эта связка работает.
Подключение к DS. Вопросы и ответы. Урок 5.1.
Подключиться к DS можно с помощью встроенного в ОС Windows утилиты: Подключение к удаленному рабочему столу. Пуск => Программы => Стандартные => Связь => Подключение к удаленному рабочему столу.
Можно еще так: Пуск => Выполнить => mstsc.
Еще одна утилита для подключение к DS - это [BL4CK] VNC Viewer: Authentication Bypass.
Просто запустите ее и вводите IP адрес DS.
Как залить софт на DS?
Тоже нет ничего сложного. Если он (Софт) находится в интернете - то все делаете, как на своем ПК - открываете браузер и скачиваете, если он находится у вас в компьютере - то сначала необходимо выложить его на любой файлообменник (dump.ru, sendspace.com), а потом по полученной ссылке из браузера DS'а - опять скачать его.
Также, можно к дискам DS подключить ваш локальный диск через опции mstsc (Меню- Параметры или Дополнительно). Выбираем, какой диск подключить и потом соединяемся с DS. На DS открываем Мой Компьютер и там видим наш диск, откуда и копируем, что нам надо.
После покупки рекомендуется сменить пароль на любой свой.
Как сменить пароль?
На DS жмете "start" "run" cmd. Вводите: net user, пользователь, пароль и Enter.
Как создать нового пользователя на DS?
Сразу скажу, что лишние учетки - это дополнительный повод потерять сервер. Например:
Жмем: "start" "run" пишем cmd и вводим:
Code:
net user sql 1234567 /add
net localgroup Administrators sql /addВ данном случае будет создана учетная запись SQL с паролем 1234567.
Что делать если не работает буфер обмена? Нельзя скопировать текст, ссылки и так далее. Выполняем:
tscc.msc > connections > %connection_name% > client settings > clipboard mapping
Действует после перезапуска RDP службы.
Бывает, что rdpclip.exe криво работает. Помогает только перезагрузка процесса (Убить в диспетчере задач и Win-R -> rdpclip.exe)
Что делать если при подключении выдает сообщение:
Code:
terminal exeeded the maximum connections?В данном случае, в 99% случаев поможет, так называемое консольное подключение, или подключение через нулевую сессию.
Для этого в Пуск-Выполнить набираем:
Code:
mstsc /v:0.0.0.0 /admin и бьем ENTERИли же: mstsc /v:0.0.0.0 /f -console (конечно же вместо нулей набираем IP DS).
При входе на DS не получается сменить раскладку.
Чтобы ввести логин/пароль на английском языке. Решается проще простого. После набора IP, не жмем подключение к DS, а идем в опции "Дополнительно", где вводим логин на нужной раскладке и только потом присоединяемся к DS и вводим пароль (он будет вводиться на той же раскладке, что и логин).
Что означает надпись "Вход в локальный компьютер"?
В этом случае при входе на DS, после ввода пароля вам необходимо в поле, которое находится под паролем выбрать другую строчку, ту, где написано "......(This computer)" и после этого уже входим на сервер.
Как быть если в купленном DS я вижу других "левых" пользователей?
Не надо в этом случае паниковать и спешить обвинять сервис в продаже “Не в одни руки" - этого никогда не было и не будет. Во-первых, следует точно быть уверенным, что это НЕ локальные пользователи DS (сами хозяева). Во-вторых, избавиться от нежелательных соседей довольно-таки несложно и с данной просьбой вам следует обратиться к консультанту в ICQ 311582 и вам обязательно помогут.
Как правильно работать?
Основным здесь будет:
• Прячьте свой софт поглубже в системные папки, типа c:/windows/system32.
• Не создавать множества дополнительных учетных записей, помимо выданной вам при покупке.
• Переименовывайте свои файлы .exe по аналогии с системными, например svchost.exe.
• Предупреждайте оповещения Антивируса - сразу настраивайте их на совместную работу с вашим софтом.
• Не трогайте уже существующие на сервере учетные записи.
• Без крайней необходимости не перегружайте сервер.
• Избегайте большой нагрузки на процессор (до 50% опасный максимум).
• В случае установки программ следите, чтобы не появлялось ярлыков на рабочем столе и в Меню - Пуск или же вручную удалите их из профиля All users.
Настройка Linken Sphere (LS). Урок 5.2.
Скажу пару слов об Anti-Detected'ах. Как я считаю, вещь очень полезная и нужная в нашем ремесле. Однако, делятся они на две группы. Те, которые скрывают железо (Процессор, видеокарту) и те, которые подменяют нам браузер.
Из тех, что подменяют железо, могу посоветовать Aff Combine. Стоит 1000$. Может, кому-то надо.
А те, кто подменяют браузер - их довольно много, но выделить я могу только Linken Sphere, потому что у них у одних самая приемлемая цена, есть техническая поддержка, частые обновления, еще можно и config'и купить (об этом будет ниже). О других Anti-Detected'ах молчу, так как цены на них 2000$, а работают хуже той же Linken Sphere. В общем, сами решайте.
Итак, одним из средств, упрощающих нашу работу - Linken Sphere (LS) ls.tenebris.cc.
На сайте есть краткий FAQ по продукту. Стоимость продукта при оплате одного месяца - 100$. При оплате за 6 месяцев (Pro Версия) - 500$.
Что дает Pro-версия? Купив лицензию вы получаете возможность на их сайте покупать приватные config'и. Стоимость одного config'а - 3$. Config - это «модель» (сборка) характеристик - версия ОС, версия браузера и прочее. То есть, это config слитый с реальной машины.
Все это работает довольно просто. Купили СС, сделали под нее отдельный config, в config поставили SSH-туннель или SOCKS - и вперед. В самой LS - как в браузере, также открываются вкладки, причем можно открывать вкладки разных config'ов. С LS вбиваюся самые лучшие магазины, с самой сильной защитой, если что. Виртуальная машина для работы Linken Sphere не нужна.
Продолжим. Как же все-таки настроить LS? Для начала открываем его, заходим, нажимаем Setup New Session.
После открытия мы увидим такое окно:
Это новый дизайн, дальше фотографии будут со старым дизайном, но ничего сильно там не меняется.
Далее выбираем наш User Agent (их можно добавлят и самостоятельно): useragentstring.com/pages/useragentstring.php?typ=Browser
Потом нажимаем на кнопку Config Manager:
Видим варианты, которые нам доступны:
Выбрали и нажимаем кнопку Generate:
Что мы получили:
Идем в WebGL из скриншота выше. В WebGL проверяем, что WebGL встал сам. Если видим сразу так, то он встал:
То есть, когда мы открыли это окно то, что мы видим в красном прямоугольнике - это само уже должно встать. Если он не встал сразу - я удаляю такой config.
Удалить config:
Тогда возвращаюсь сюда:
Дальше мы выставляем наш SOCKS или SSH-туннель. Пример с SOCKS:
(1) - это примечание, я туда сам пишут SSH-туннель (SOCKS), он там остается и прочее, это просто поле для примечаний. Ниже - то, куда мы вписываем наш SOCKS или SSH-туннель
- его IP и его порт.
После этого мы нажимаем Check Proxy (кнопка 2). И получаем результат (обозначен цифрой 3), что туннель или SOCKS живой и его ZIP.
Время сюда (в зеленой рамке) автоматически подтягивается с туннеля/SOCKS'а, также его можно здесь самому поменять. Если все так, как сейчас видим - нажимаем в правом нижнем углу кнопку Save.
Получаем открытое окно:
Как делаю я:
1) Захожу на Whatleaks и смотрю качество SOCKS'а (SSH-туннеля)
2) Смотрю открытые порты и прочее.
3) Закрываю config.
Опять нажимая Setup. Ищу свой профиль «Без имени»
Выбираю и меняю имя:
Для удобства - под имя КХ. Опять Save и захожу в config. Что интересного еще здесь есть? Например, можно выставить GEO под КХ.
В этом месте. Где его взять? GoogleMaps в помощь:
Вбиваем адрес КХ и на картах получаем на этот адрес GEO. Надо щелкнуть мышкой рядом с положением дома. Берём эту информацию и вставляем сюда:
GEO и прочии детали - на первое время вам этого не надо. Достаточно того, что я описал выше.
Создание личного VPN. Урок 5.3.
Сервера VPS (Купить):
my.blazingfast.io
cp.king-servers.com
abusehosting.net
morene.host
abuhost.net
vps.ag
profitserver.ru
Открываем личный кабинет в my.blazingfast.io. Перед этим вы уже должны купить себе сервер VPS. Обычно он стоит от 3-5$. (Сейчас там уже лучше сервера не брать)
Жмем на панель, получаем наш сервер, нажимаем на него.
Получаем данные нашего сервера, нас интересует IP и пароль. Сохраняем себе куда-нибудь в блокнот для удобства. Открываем PuTTy, вписываем в окно HostName IP вашего сервера.
Жмем Enter. Далее, ввели в PuTTy IP, нажали кнопку Open. В новом окне нужно будет ввести логин - пишем слово root. Жмем Enter.
ВАЖНО! После нажатия Enter вам предложили ввести пароль. Скопируйте пароль, и нажмите по терминалу правой кнопкой мыши и Enter. По умолчанию пароли в терминалах не отображаются. Если дважды Access denied, то закрываем PuTTy и заходим заново.
Теперь вводим - wget https://git.io/vpn -O thisiseasy-ru-vpn.sh && bash thisiseasy-ru-vpn.sh - ТОЖЕ ПРАВОЙ КНОПКОЙ МЫШИ И ЖМЕМ ENTER. Жмем Enter. Нам предлагают выбрать протокол - оставляем по умолчанию - жмем Enter. Далее, нам предлагают по умолчанию порт 1194, тоже жмем Enter. Далее, мы видим, что нам предлагают выбрать DNS для нашего VPN, ставим цифру 3 - нас интересует DNS от Google. Жмите Enter.
Далее, вам предложат ввести имя вашего клиента, вводите любое, какое нравится.
Жмем Enter. Ждем, пока завершится процесс создания config-файла. Напишет Finished, и появится терминальная строка.
Теперь сверните свой PuTTy. Заходим в программу WinScp.
Вводим IP, ваш пароль и имя пользователя (root).
Вот, мы видим справа содержимое нашего сервера, а слева - наш ПК.
Сразу отредактируем наш config на логи. Открываем ИмяКлиента.ovpn. У config'ов OpenVPN расширение .ovpn. Находим значение verb 3, исправляем verb 3 на verb 0. Enter (Переход на следующую строку). Дописываем log /dev/null
Сохраняем изменения. Теперь мы перенесем наш config с вашего сервера на ваш ПК. Заходите на своем ПК в ProgramFiles/OpenVPN/config. Копируем ваш config в эту папку. (Если не получается скопировать, то сначала перенесите config на рабочий стол, а потом уже в ProgramFiles/OpenVPN/config. То есть, мы в PuTTy создали config, потом через WinScp нашли файл config'а, отредактировали его, чтобы не писались логи. Теперь копируем наш config с сервера нашей VPS к нам на ПК. Запускаем OpenVPN.
Находим иконку монитора и подключаемся. Открываем браузер whoer.net.
Итак, вновь открываем PuTTy. В PuTTy сейчас вставляем опять - wget https://git.io/vpn -O thisiseasy-ru-vpn.sh && bash thisiseasy-ru-vpn.sh Сейчас мы создаем второй config. Теперь мы добавляем нового User'а. Следовательно, новый config создаем. Таким образом, у нас будет два config'а на одном VPS сервере. Это нужно для того, чтобы сидеть на ПК и на телефоне одновременно.
Создается новый config. Открываем WinScp и видим, что наш новый config рядом с предыдущим.
Теперь опять правим. Verb 3 на Verb 0. log /dev/null.
Итак, кто создал второй config и отредактировал его, можете смело копировать его в телефон, скачивать на телефон OpenVPN, находить в программе путь, где лежит на телефоне ваш config и подключаться.
Итак, сделаем итог по созданию личного VPN.
Программа PuTTy нужна нам для того, чтобы зайти на наш сервер VPS и создать на ней config.ovpn с определенными характеристиками. PuTTy - это по сути SSH-клиент. Вместо нее может быть любая аналогичная, например, Termius. Это для информации. Можете поставить себе ее на телефон и тоже заходить на свой сервер, сидя в телефоне. Такое бывает нужно, если под рукой нет ПК, а VPN создать нужно.
WinScp - это программа для подключения к "файловой" составляющей нашего сервера (по сути GUI). То есть, он нам нужен для того, чтобы перенести наш config в нужную директорию на нашем ПК. OpenVPN - это GUI клиента OpenVPN. Нужен нам для удобного подключения. По сути, все эти действия можно выполнять в терминале, но это вы освоите легко, если вас заинтересует Linux.
Существует такое понятие как DNSLeak. DNSLeak - это утечка вашего реального IP. К примеру, вы подключились к SOCKS, а сайты Checker'ы вашего IP выдают ваш, что IP у вас USA, а DNS USA и Россия. Для нас это плохо, ибо что хорошего в нашем кристально чистом IP, если вас видно за ним по DNS. Подробнее о DNS почитайте в Google - это система доменных имен. Возникает DNSLeak из-за того, что ваши запросы к американскому идут не напрямую, а через цепочку Вы-Россия-США. В итоге, некоторые Checker'ы способны увидеть всю цепочку, что нам не нужно. Как это победить?
comss.ru/page.php?id=2814 - используем программу DNSCrypt.
Установки службы DNSCrypt-proxy в ОС Windows, Linux и MacOS для шифрования DNS трафика между пользователем и защищенными DNS-серверами. Это позволяет предотвратить попытки отслеживания, перехвата DNS и MITM-атаки. То есть, ваш DNS траффик шифруется и не отслеживается.
Проверить свое подключение на утечку DNS можно тут - dnsleaktest.com
Информация, которую можно получить через интернет - myshadow.org/trace-my-shadow
Как чистить логи на сервере? Урок 5.4.
Поговорим о логах на сервере, не только о логах OpenVPN, но и о всех логах, которые пишутся на сервере. Хорошим подспорьем будет для нас статья с Habr'а, описывающая типы
логов и их предназначение:
habr.com/post/332502/ - логи и их предназначение.
Отметим, что большинство лог-файлов содержится в директории /var/log. Логи мы не любим и поэтому задаем вопрос. Можно ли удалить всё содержимое /var/log и не переживать за логи? Нет. Это может привести к сбоям и частым сообщениям об ошибках. Если удалить мы их не можем, то необходимо очистить их содержимое. Таким образом, очищая содержимое этих файлов, мы собственно очищаем основные логи наших действий на сервере. Какие типы логов в директории /var/log нас интересуют:
-----/var/log/syslog или /var/log/messages содержит глобальный системный журнал, в котором пишутся сообщения с момента запуска системы, от ядра Linux, различных служб, обнаруженных устройствах, сетевых интерфейсов и много другого.
-----/var/log/auth.log или /var/log/secure - информация об авторизации пользователей, включая удачные и неудачные попытки входа в систему, а также задействованные механизмы аутентификации.
Так как мы с вами работаем с OpenVPN стоит остановиться на нем подробнее. OpenVPN - это программа для создания туннеля. Она пишет логи - кто и откуда инициировал подключение к туннелю, как прошло подключение и так далее, то есть, пишет логи на протяжении всей работы. Мы можем указать ей файл, куда будут писаться логи, но если этого не делать, то по умолчанию логи работы OpenVPN пишутся в /var/log/syslog.
Итак, с типами логов разобрались. С тем, куда пишутся логи OpenVPN тоже разобрались, теперь о том, как их очистить.
Запускаем PuTTy. Вводим логин и пароль. И, тем самым, подключаемся к нашему серверу. Мы знаем, что на нашем сервере ведутся разного рода логи, и знаем директорию /var/log.
Давайте посмотрим содержимое этой папки, вводите команду в PuTTy: dir /var/log/ -l
Вы видите кучу файлов-логов, которые подробно описаны в статье на Habr'е, что я дал.
Это все логи. Там, где мы видим цифры после названия или расширения .gz можно смело удалять. На работе сервиса не скажется. Сейчас мы это делать не будем, ибо нам эти логи не мешают. Это базовые логи, но нас сейчас интересует только содержимое файла syslog потому что туда по умолчанию скидывает отчет о своей работе OpenVPN. Хотим глянуть, какие там логи накопились.
Вводим следующую команду:
Code:
cat /var/log/syslogА теперь давайте проверим, пишутся ли наши логи OpenVPN именно сюда. Подключите ваш config OpenVPN, что мы создавали. Теперь вернемся обратно к терминалу, чтобы увидеть изменения в syslog, необходимо перезагрузить OpenVPN командой:
Code:
/etc/init.d/openvpn restartСервер выдал нам сообщение, что произошел рестарт OpenVPN. Теперь мы должны посмотреть опять содержимое syslog, и мы обнаружим старый наш лог + лог OpenVPN:
Code:
cat /var/log/syslogЧто первые, что вторые, как мы видим, пишутся в Syslog. Теперь, когда мы наглядно увидели, что лог нашего подключения пишется в Syslog наша задача почистить его содержимое. Вводим следующее в PuTTy (командная строка, терминал):
Code:
cat /dev/null > /var/log/auth.log && cat /dev/null > /var/log/syslogКак проверить, что мы очистили логи? Мы должны проверить содержимое этих файлов уже знакомыми нам командами.
Перезагружаем сервер:
Code:
/etc/init.d/openvpn restart
Code:
cat /var/log/syslog
Code:
cat /var/log/auth.logТеперь они имеют 2-10 записей (Или вообще пусты), вместо огромного листа строк. Остается только лог последнего подключения.
Поздравляю, вы в ручную очистили логи на сервере. Сейчас у меня нет готового решения, как это сделать на автомате, скорее всего, необходимо писать скрипт (Могу дать, кому надо) и давать ему право на исполнение каждые сутки. Но нам это и не нужно. Чистите таким образом раз в неделю и будет вам счастье.
Резюме, как быстро чистить (То есть, резюме нашей лекции по очистке логов на сервере):
Заходим в PuTTy. Вводим логин и пароль.
Выполняем команду:
Code:
cat /dev/null > /var/log/auth.log && cat /dev/null > /var/log/syslogВсе, что я описал, можно делать и в программе WinScp, заходить в папку с логами, открывать, чистить в ручную, но зачем так делать, если у нас готовое надежное решение, и более легкое.
И конечно, не забывайте, что провайдер нашего VPN, все равно может вести логи нашей активности, что по факту не играет роли особо, ибо, чтобы что-то доказать одного вашего IP будет мало. Логи на вашем ПК и на сервере - это доказательство, которое мы чистим.
Главное:
- понимать, пока выполняется условие, что ловить тебя дороже, чем покрыть убытки от тебя
- ты будешь в безопасности.
Рассмотрим случай, когда у вас syslog и, например, syslog.1 в папке /var/log. То есть, два файла. Чтобы это понять, входим опять в директорию логов и смотрим, какие файлы там есть:
Code:
dir /var/log/ -lЕсли увидели там, например, присутствует файл syslog.1, то удалить его можно командой:
Code:
cd /var/log && rm syslog.1Продолжим. А теперь о логах на вашем ПК. Логи на вашем ПК пишутся сюда:
Заходите туда и смотрите, там, как правило не более, 10 строк. Так мало, потому что мы в самом config'е еще прописали, чтобы логи не писались на вашем ПК. Если бы мы не исправляли наш config после его создания, то в этом файле, что у вас на ПК была бы прописана вся активность OpenVPN GUI. Ради эксперимента можете создать новый config, не редактируя его и посмотреть на его логи, что и как он пишет.
Таким образом, вы научились отключать логи для вашего ПК, а потом удалять их на самом сервере.
P.S: Все необходимые программы есть в Интенете.
Связка VPN+TOR+VPN. Урок 5.5.
Данная связка работает только на VBOX.
У кого VMWARE можно импортировать свою систему под VBOX.
Хоть вы будете работать через 20 VPN серверов, это всего лишь увеличит время затраченное на вашу поимку. Каким образом происходит ваше раскрытие личности? Все просто, есть ваш VPN сервер у любого VPN сервера есть провайдер. Посылают запрос провайдеру и спрашивают, кто подключался к этому серверу, соответственно узнают ваш IP.
Какой есть выход из этой ситуации? VPN-TOR-VPN, универсальная цепочка. Первый VPN защитит вас от различных СОРМ систем и скроет использование ТОР. Далее, у вас идет ТОR, который заметает ваши следы. И последний VPN или DS обеспечивает нам белый IP на выходе.
1. virtualbox.org - Скачиваем VirtualBox.
2. whonix.org/wiki/VirtualBox/XFCE - скачиваем Whonix Gateway. Можно скачать и Workstation и быть супер-анонимным работая из-под ее среды.
3. Нажимаем Ctrl+I в VBox и импортируем скачанный Gateway
4. Переходим в Settings (Значок шестеренки) - ставим 380MB оперативной памяти (тогда Whonix-Gateway откроется в терминальном режиме, что более чем достаточно для ее работы и не жрет оперативной памяти).
5. Во вкладке Systems так же ставим галочку только в HARD DRIVE и перетаскиваем его на самый верх.
6. General - Advanced - Shared Clipboard (Bidirectional)
7. Drag’n’Drop - Host to Guest
8. Запускаем Gateway.
9. Выбираем "Iam Ready to Enable Tor", ждем "Next" 10.
Теперь трафик с основной машины идет на Whonix Gateway. Whonix будет грузиться в консольном режиме, больше в Whonix Gateway никаких изменений вносить не нужно.
1. Теперь связываем Whonix и Windows.
2. Запускаем наш Whonix Gateway. ПКМ по виртуальной машине Windows, выбираем пункт "Настроить", далее переходим в "Сеть" отключаем первый адаптер -> включаем второй адаптер -> выбираем "Внутренняя сеть" ниже выбираем "Whonix"
3. Готово! Теперь у нас весь трафик идет через ТОР и Whonix Gateway.
Еще раз. Сначала на основе VPN, запускаем GATEWAY, потом снова VPN на виртуальной машине (Я использую второй VPN Nord) Готово. (Цепляем потом SOCKS'ы/SSH- туннели/DS'ы)
В идеале установить виртуальную машину со скриптом, дабы подменить параметры VBOX.
ANTIFRAUD. Урок 6.
Поговорим за AntiFraud. Как уже поняли из урока по безопасности, чтобы выполнить успешный вбив, нужно соблюдать определенные правила. AntiFraud - защита от мошенничества. Fraud - мошенничество. В нашем случае, мошенничество с банковскими картами. То есть, AntiFraud борется с мошенничеством. У AntiFraud есть свои настройки, начиная от простых до самых сложных, чем сложнее настройки, тем жестче проходят проверки транзакций. Самые простые - это защита по CVV коду, анализ карты по стране выпуску, проверка IP адреса. Чем сложнее AntiFraud, тем дороже он обходится интернет- магазину, в основном они платят деньги за AntiFraud исходя из количества транзакций, которое через него проходит. Автоматически можно сделать вывод, что не все магазины используют AntiFraud высокого уровня, так как это не всегда выгодно, что и подтверждается на практике при вбивах. Есть магазины, где можно и с TOR'а вбить, а есть где обращают внимание на каждую деталь.
AntiFraud имеет группу фильтров, через которые проходит информация и после этого система начисляет, так называемые, Fraud-баллы. На основании Fraud-баллов система решает, что делать с транзакцией - пропустить, отменить или отправить на ручную проверку к менеджеру. Когда мы вбиваем в магазин - у нас есть возможность указать два адреса.
Billing адрес и Shipping адрес. Billing адрес - это адрес проживания КХ, то есть, когда человек оформлял карту, он указывал этот адрес. Shipping адрес - это адрес, куда нужно доставить товар. Это нужно запомнить. Допустим, мы набрали определенные очки Fraud при вбиве, например, проблемы с IP, к тому же наши Billing и Shipping адреса не совпадают, то есть, в Billing адресе - один адрес, а в Shipping - другой, то на наш платеж накинут дополнительные Fraud-баллы.
pochtoy.com/newbies/billing-shipping-address/ - можно тут еще глянуть за адреса.
Также, могут проходить проверку доменные адреса нашей почты. Что это значит? Например, есть почтовые сервисы, по типу mail.com, где регистрация проходит без СМС проверки, то есть, зарегистрироваться довольно просто. Поэтому лучше использовать почты по типу Gmail, yahoo, aol.
Принять СМС нам помогают сервисы по типу:
simsms.org
sms-reg.com
sms-activate.ru
@rodik19 (дорого)
Можно использовать также корпоративные почты, то есть, почты компаний, но не советую. Корпоративные почты можно купить тут - fraud.cat
Почему не советую корпоративные почты, можно почитать в материале:
Есть такой момент с AntiFraud'ом, что часто из-за жестких проверок страдают обычные покупатели. Поэтому в пиковые дни продаж, системе снижают уровень проверки - черная пятница, время перед рождеством - это те дни, когда вбивы проходят проще. Из-за этого декабрь считается самым благоприятным временем для нашего ремесла.
У некоторых магазинов есть даже такие моменты, что считывается информация, откуда мы зашли на их сайт - через прямой домен или со стороннего источника, поэтому лучше переходить в свой магазин во время вбива через поисковые системы, например, через Google. Может быть, что палят открытые вкладки в вашем браузере на данный момент и время, которое ваш адрес IP находится в сети. Так что иметь в открытых вкладках магазин, в который собрались вбивать и с ним Carding-форумы - не совсем будет правильно.
Но опять же, не везде это нам мешает. Зависит от магазина. Уточню, что программы на ПК, информация о железе - все это не замечается, если кто думал. Только данные, которые выдает браузер. Все, что можно подглядеть находится тут - whoer.net
Есть такое понятие, как "прогрев", то есть, перед вбивом прогреть магазин. Прогреть - полазить по страницам, добавлять/удалять товары с корзины, можно пообщаться с онлайн- поддержкой, уточнить пару вопросов - это лишним не бывает никогда.
AntiFraud часто отправляет на ручную проверку заказ и, если ты, допустим, предварительно общался с технической поддержкой, то заказ будут проверять более лояльно. По Email еще уточню момент, что делать нужно ее под имя и фамилию нашего КХ, то есть, чтобы было совпадение с Billing именем.
Таблица атрибутов, по которым некоторые AntiFraud могут нас заметить.
ЧТО СМОТРИТ ИНТЕРНЕТ-МАГАЗИН:
Code:
Mail similarity to billing name - От 0 до 1. (от 0% до 100%). Насколько E-Mail адрес (Без домена и цифр) совпадает с Billing именем (Почта).
Unique billing last 4 (past hour) - Количество разных 4 последних цифр CC за последний час (Карта).
Unique billing addresses (past month) - Количество разных Billing адресов (Домашний адрес КХ СС).
Email domain - Домен почты (то, что идёт после "@") (Почта).
Number of users with the same shipping address - Кол-во разных пользователей, которые используют адрес доставки, как у нашего "клиента". (Пересылка/Посредник)
Estimated email address age - Ориентировочный возраст почты "клиента". Возможно, просчитывается по словарям или базам почты. К примеру, сейчас почту: [email protected] - вряд ли зарегистрируешь, она, скорее всего, древняя. А вот [email protected] зарегистрировать легко (Почта).
Unique billing BINs (past month) - Кол-во разных BIN'ов на данном аккаунте за последний месяц (Аккаунт).
User location - Локация "клиента" по IP (IP).
Browser/OS - Система и браузер (Система).
Shipping/billing address distance - Дистанция между Billing и Shipping адресами (Дистанция между домашним адресом КХ и адресом, куда он хочет доставить посылку).
Changes in payment methods in the last day - Кол-во измененных видов оплаты за последний день (Аккаунт).
Network - IP-сеть (IP).
Payment method payment gateway - Способ оплаты (Способ оплаты. К PayPal, к примеру, доверие может быть больше у магазина, чем к CC).
Unique billing postal codes (Past month) - Кол-во уникальных Billing почтовых индексов за последний месяц (Аккаунт).
Account age - Возраст аккаунта (Аккаунт).
Unique billing BINs (Past day) - Количество разных BIN'ов за последний день (Больше BIN'ов - меньше вероятность на успех).
Unique billing postal codes (Past hour) - Кол-во уникальных Billing почтовых индексов за последний час (Больше адресов - меньше успех).
Shipping address country - Страна получения товара.
Purchase amount in USD - Стоимость заказа в USD.
Number of users with the same billing address - Кол-во разных пользователей, которые используют этот же Billing адрес (Известные адреса Drop'ов у магазинов в черных списках).
Time since previous transaction - Время между последними транзакционными событиями.
Shipping name length - Количество символов в имени получателя (Аккаунт).
Unique billing addresses (Past day) - Количество разных Billing адресов за последний день (Чем меньше, тем лучше).
Unique Billing Names (Past month) - Количество разных Billing имен за последний месяц (Чем меньше, тем лучше).
Timezone offset - Разница между UTC временем и временем "клиента", в минутах, узнается через браузер (Система).
Number of digits in the shipping address - Кол-во цифр в Shipping адресе. (Дома мало цифр имеют, если много цифр, то, наверно, определяют как посредника).
IP address - IP с которого зашёл "клиент" (IP).
Unique billing names (Past hour) - Кол-во разных Billing имен за последний день (Чем меньше, тем лучше).
Mx records from email domain count - Количество MX Records на домене почты (Почта).
Credit Card BIN And Last4 - BIN и последние 4 цифры CC (Карта).
Unique billing BINs (Past hour) - Кол-во разных BIN'ов на данном аккаунте за последний час (Аккаунт).
Number of digits in the billing address - Количество цифр в платежном адресе.
Digit-Normalized email address - Адрес электронной почты с пониженным регистром и с заменой цифр на знак "#" (Почта).
API event without page view - пользователь получил "Non-transaction" API событие. Но обошёл/не прошёл Javascript AntiFraud'а.
Signup to transaction time - Количество дней между транзакцией и регистрацией (Аккаунт).
Browser fingerprint - Уникальный идентификатор браузера (Система).
Unique Shipping Add in Orders (Month) - Количество уникальных адресов доставки за последний месяц (Чем меньше, тем лучше).
Billing last name in email - Отображается ли последнее слово имени Billing адреса в адресе почты ([email protected]) - John Smith.
Latest name - Последнее имя (Карта).
Billing address is reshipper - Является ли Billing адрес известным адресом пересылки/посредника (Адрес Drop'а/Посредника, что находится в черном списке).
IP/credit card country match - Соответствие стран IP/CC (IP+Карта).
Transaction billing last 4 - Последние 4 цифры Billing транзакции (Карта).
IP connection type - Connection of the IP block the user connected from (Проверяют не заблокирован (Для их магазина) ли у тебя IP).
Device fingerprint - Уникальный отпечаток устройства, с которого подключился пользователь (Система).
Unique Billing Names in Orders (Month) - Кол-во уникальных Billing имен за последний месяц (Чем меньше, тем лучше).
Latest changed password - Последний измененный пароль/изменялся ли пароль (Аккаунт).Полные проверки проводят не везде, многие моменты обходятся с помощью Anti-detect (LS), либо если бить через хороший DS.
Можно почитать, несколько частей: habr.com/post/253725/
FAQ:
А: Если я буду общаться с тех. поддержкой через Google-переводчик, то они поймут, что я мошенник или это можно все списать на то, что я русский, например, но живу в США. Или как это происходит?
Вы сказали, что потом заказ отправляется на проверку к специалисту. Так вот, кто этот специалист? Такой же человек, как и мы, только пытается защитить магазин или же там может сидеть какая-нибудь бабка, которая не особо и разбирается в этих Интернетах. А если там действительно кто-то с мозгами, то какими данными располагает этот специалист, а что может запросить у нас для того, чтобы транзакция все-таки прошла?
Б: США - самая многонациональная страна, так что никто там ничего не поймет. Обычный менеджер магазина, могут запросить дополнительную верификацию, например, отрисовать карту или прозвонить, для этого есть сервисы на разных форумах.
А: Я, как понимаю, под каждую СС надо делать новую почту, но если AntiFraud замечает почту по сроку, как тогда быть?
Б: Крайне редко такое замечают, сам даже не встречал такое.
А: Заказ ушел к менеджеру на проверку. Это 100% буду звонить или можно как-то по- другому решить?
Б: Да, будут звонить или отрисовать документы потребуется, но не 100%.
А: Что если делать вбив прозвонив, он будет более успешен?
Б: Не сказал бы, сейчас редко получается.
А: Fingerprint, отпечаток устройства - это MAC адрес?
Б: https://ru.wikipedia.org/wiki/Цифровой_отпечаток_устройства
Немного об AntiFraud: habr.com/company/payture/blog/250437/
Что такое FingerPrint: habr.com/company/oleg-bunin/blog/321294/
Как работает AntiFraud. Урок 6.1.
Например, вы сделали вбив, но он у вас почему-то не зашел. И вот, что AntiFraud узнал у вас, и почему он понял, что вы мошенник.
Это пример только одного вбива - через DS, поэтому информация может быть всегда разная, да и от магазина самого зависит сильно. Но это просто, чтобы вы осознавали, насколько сильный у вас соперник - этот AntiFraud.
Список данных:
• First и Last Name Billing. Roy Lee
• Телефон Billing. 512-750-5839
• E-Mail Billing. *********@carlosrul.com
• Billing Adress. 5502 Blueridge Ct,Austin,TX,78731
• First и Last Name Shipping. Roy Lee
• Телефон Shipping. 512-750-5839
• E-Mail Shipping. *********@carlosrul.com
• Shipping Adress. 5502 Blueridge Ct,Austin,TX,78731
• IP
ort. 97.79.172.134:3391• BIN или полный номер CC. 4050371112147141
• Сумма заказа в USD. $432.99
• Какой тип Вашего интернет-магазина? (Гигант/Крупный/Средний/Мелкий) Скорее крупный, так как имеет заказы такого формата BBB6159269514
• Как настроить к Вам систему? (Агрессивно/Недоверенный клиент/Нейтрально/Доверенный клиент) Агрессивно
• Сколько заказов до этого входило в интернет-магазин с похожими данными? (К примеру, один заказ до этого Вы вбивали с таким же E-Mail. Тогда нужно написать "1".) 1
• Что бьёте? (E-Gift, Amazon, Ebay, PayPal, Одежду, Технику, Авиабилеты, Еду/Алкоголь, прочее) Техника Dyson V7
Ярлыки AntiFraud системы:
Экстремальный риск - умножает FraudScore.
Средний риск - сильно увеличивает FraudScore.
Маленький риск - увеличивает FraudScore.
Нейтральное значение - не увеличивает FraudScore.
Доверенное значение - уменьшает FraudScore.
Внимание!
Разные AntiFraud системы могут работать по другому, снизу написанны не "рецепты золотых правил"!
Больше > 60 FraudScore - Отмена заказа.
Больше > 40 FraudScore - бот тщательно проверяет Ваш заказ, и решает, что с ним делать.
Больше > 20 FraudScore - отправляется на проверку человеком.
Остальные заказы пропускаются, как одобренные.
FS - FraudScore
# Проверка Scores #
FraudScore: 79 из 100 - Risky (Средний риск) [Заказ пройдёт проверку ботом и человеком, скорее всего понадобиться звонок/документы, возможна отмена]
RiskScore: 8.65 - (Нейтральное значение)
ProxyScore: 0.00 - (Нейтральное значение)
# Описание #
USD > 600 - False (Доверенное значение)
Сумма заказа меньше 600$ (Не превышает стандартные транзакции крупных интернет- магазинов с техникой), это хорошо.
Указан верный Billing адрес, расстояние между Billing и IP достаточно большое, это подозрительно.
Не найдены социальные сети на указанный E-Mail, выявлены используемые username'ы КХ. Некоторые показатели IP указывают на использование средств анонимности.
Все характеристики почты указывают, что почта мошенническая - левая.
Указан Business номер, выявлен настоящий номер, указанный номер не относится к КХ - левый.
Открыто 3 порта!
# Проверка Location #
Distance IP/Billing Location: 73.59 miles / 118.43 km (Средний риск)
Distance IP/Shipping Location: 73.59 miles / 118.43 km (Маленький риск)
Distance IP/New Billing Location: N/A (Нейтрально значение) [Указан верный Billing]
Distance Billing/Shipping Location: N/A (Нейтральное значение) [Bill = Ship]
Ship Forwarder Address: No (Нейтральное значение) [Не является адресом известного посредника]
# Billing #
Address Type: Single Family (Нейтральное значение) [Указанный billing является жилым домом для нескольких семей]
Neighborhood: Lakewood Village (Нейтральное значение) [Окружение, район] Valid Address: Yes (Нейтральное значение) [Верный адрес]
Billing Country Matches IP Country: Yes (Доверенное значение)
Billing City Matches Shipping City: Yes (Нейтральное значение)
Billing State Matches Shipping State: Yes (Нейтральное значение)
Billing Country Matches Shipping Country: Yes (Нейтральное значение)
Billing ZIP Code Matches Shipping ZIP Code: Yes (Нейтральное значение)
Full Name: Roy I Lee III (Нейтральное значение) [Выявлено полное имя]
Current Adress: 5502 Blueridge Ct Austin TX 78731-2636; 7505 FM 215 Valley Mills TX 76689- 3114; 28343 Willis Rnch San Antonio TX 78260-6056; (Доверенное значение) [Адрес выявлен, КХ живёт по указанному Billing адресу; выявлена другая недвижимость]
Previous Locations: Austin, TX; Eagle Pass, TX; Rockport, TX; Manor, TX (Нейтральное значение) [Бывшие города проживания КХ выявлены]
Relatives: Robert L Lee; Elisa S Lee; Lisa S Lee (Нейтральное значение) [Выявлены родственники; некоторые живут по указанному Billing адресу;]
# Социальные сети #
Username's: royxlee, leer76 (Экстремальный риск)
Не найдены ни на Billing имя с привязанным E-Mail, ни просто привязанных на E-Mail (Экстремальный риск).
# IP #
User Type: Business (Средний риск) [IP принадлежит бизнесу; IP не потребительский]
IP Country Match: Yes (Нейтральное значение) [IP страны совпадает с Billing]
Corporate Proxy: No (Нейтральное значение) [Не используется корпоративный-прокси]
Proxy IP Address: No (Нейтральное значение) [Не используется прокси]
IP ISP: Spectrum Business (Средний риск) [Известный поставщик интернет-услуг для бизнеса]
IP Usage Type: Fixed Line ISP (Нейтральное значение) [IP принадлежит кабельному интернету, предоставленный IP не является Web Hosting'ом; IP не является коммерческим;]
IP Time Zone: -05:00
IP Loc: 29.42412, -98.49363
IP Region: Texas (Нейтральное значение) [IP штат совпадает с Billing]
IP City: San Antonio (Средний риск) [IP город не совпадает с Billing]
IP Zip: 78201 (Маленький риск) [IP Zip не совпадает с Billing]
IP Continent: North America (Нейтральное значение) [IP Continent совпадает с Billing]
IP Domain: spectrum.com (Нейтральное значение)
IP Net Speed: DSL (Нейтральное значение)
Proxy/VPN Detection: Not A Proxy/VPN (Нейтральное значение) [Не обнаружено использование Proxy]
Hostname: rrcs-97-79-172-134.sw.biz.rr.com (Экстремальный риск) [Имеется заданное имя хоста - но без Ping'а, это указывает, что IP не является публичным сервером, но может являтся приватным сервисом средств анонимности]
Ping Hostname: 100% Packets Loss (Доверенное значение) [Связь с хостом не установлена, хост не работает; это не публичный сервер]
Ping: Двухсторонний PING (Экстремальный риск) [Возможно использование proxy] Blacklist's: 0 (Нейтральное значение) [IP не найден ни в одной из 139 баз BlackList'ов) [IP не найден в Blacklist'ах]
Server IP Domain: - (нейтральное значение) [Не найден ни один домен]
# BIN #
Issuing Country: United States (US)
Issuing Bank: CHASE BANK USA N.A.
BIN Found: Yes (Нейтральное значение)
BIN Name Match: Yes (Нейтральное значение)
Bin Country Match: Yes (Нейтральное значение)
Prepaid Card: No (Нейтральное значение)
# BlackList's #
IP Address In Blacklist: No (Нейтральное значение)
Email In Blacklist: No (Нейтральное значение)
Credit Card In Blacklist: No (Нейтральное значение)
Shipping Address In Blacklist: No (Нейтральное значение)
Phone In Blacklist: No (Нейтральное значение)
# E-Mail #
High Traffic Domain: Yes (Нейтральное значение) [Известный поставщик E-Mail] Free Email Domain: No (Доверенное значение) [Платный домен почты]
Domain Authority: 2 (Экстремальный риск) [Домен не имеет авторитета] Alexa Global Rank: 0 (Экстремальный риск) [Домен не имеет Alexa-рейтинга]
Domain Register: 2018-06-09 (Экстремальный риск) [Домен зарегистрирован недавно] Updated On: 2018-06-09 (Экстремальный риск) [Домен пока не перекупали]
Fresh Email: Yes (Доверенное значение) [Свежий E-Mail]
E-Mail Owner: - (Экстремальный риск) [Не выявлен владелец почты, не совпадает с Billing именем]
E-mail First Seen: - (Экстремальный риск) [Ваш EMail не знаком базам данных]
Email Longevity: Never seen before (Экстремальный риск) [E-Mail не появлялся в базах White/Black]
E-Mail Valid: Yes (Доверенное значение) [Почта существует]
E-Mail Adress: - (Экстремальный риск) [Адрес e-mail не выявлен, не совпадает с Billing адресом]
E-Mail/Name: False (Экстремальный риск) [Адрес e-mail не связан с Billing именем]
PR-E-Mail: 5 (Экстремальный риск) [От 0 до 5, комбинация элементов адреса почты обычно связанна с мошенническими заказами, всё указывает, что почты - левые]
# Проверка телефонного номера #
Type: Mobile (Доверенное значение) [Мобильный телефон]
Org. number: AT&T (Нейтральное значение) [Известный поставщик услуг связи]
Registered in: Austin, TX (Нейтральное значение) [Совпадает с Billing адресом]
Status: Active (Доверенное значение) [Номер доступен для звонка]
Listing Type: Business (Экстремальный риск) [Номер принадлежит бизнес-компании/не рабочий, не потребительский номер]
Name First&Last Mobile: Timothy Knetl (Экстремальный риск) [Имя выявлено, не совпадает с Billing именем]
Current Adress: 609 W High St, Goliad, TX, 77963 (Экстремальный риск) [Адрес номера не совпадает с Billing адресом, совпадает только штат]
Owner: Timothy Knetl (Экстремальный риск) [Владелец телефона на данный момент выявлен, не совпадает с Billing именем]
Valid Phone: True (Доверенное значение)
Spam/Fraud Potential: Low Risk
Explanation: Телефон и адрес не связанны, имя и адрес связанны. Телефон не связан с именем. (Экстремальный риск) [Связь между номером и КХ не выявлена, между адресом номера и Billing адресом связь не выявлена; Имя и адрес связаны]
Phone/Name: False (Экстремальный риск) [Billing имя не имеет отношение к номеру]
Phone/Address: False (Экстремальный риск) [Адрес и номер не соответствуют друг другу]
Name/Adress: True (Доверенное значение) [Имя и адрес связаны]
Based on Adress - Current Phone: (512) 343-7416 - Landline; (830) 438-2501 - Landline; (361) 729-3086 - Landline; (Экстремальный риск) [Выявлен настоящий городской номер указанного Billing адреса]
# Data B #
Based on Phone - Name: R L TRANSFER ST
Based on Address - Name: R L TRANSFER ST
Based on Address - Phone: 5123437416
# Открытые Порты IP #
80 (http) - открыт, маленький риск, возможно использование Web Proxy.
3390 (dsc) - открыт, экстремальный риск, возможно использование Dedicated Server.
3391 (savant) - открыт, экстремальный риск, возможно использование Dedicated Server.
Термины:
Billing-адрес - тот адрес, на который сделана (зарегистрирована) карта.
Shipping-адрес - адрес, куда должна придти посылка.
Подставное лицо, Drop - он же дроп. Под этим понятием подразумевается почти всегда человек или контора, которая берет на себя все самые главные риски, которые мы брать не хотим по понятным причинам. Довольно часто сажают и ловят.
Посредник - условно говоря служба доставки или почта, которая может доставить нам товар или же послать на подставное лицо. Идеально подходит, если мы хотим товар послать себе в Россию.
Прозвонщик, звонок - человек с хорошим английским (любым иностранным языком, который вам нужен). Нужен для того, чтобы позвонить на почту, в банк, в интернет-магазин, куда-либо еще. Используется в самых разных целях.
Основные понятие вбива. Урок 7.
Рассмотрим основные понятия, несколько моментов и попутно скажу, что нам понадобится к практике. Первый и основной регион работы - США. Их особенности мы и рассмотрим.
Первая и главная особенность работы по США и, по совместительству, главная проблема - это AVS (Address Verification System). Система распознающая адреса КХ, она срабатывает в процессе оформления заказа, это, можно сказать, центральный механизм AntiFraud'а в магазинах США
Code:
4037840052172271 | 2024 | 11 | 475 | Jonh | Doe | 2970 Park View Drive | [email protected] | United States | U.s. Bank National Association Nd | IN | Columbus | 472012970 Park View Drive United States IN | Columbus | 47201
Здесь у нас улица и дом, штат, город и ZIP (Он же индекс почтовый). Суть системы AVS в сверке Billing адреса. Они сверяет, указанный нами Billing с тем, который записан в банковском файле КХ. Банковский файл - файл в банке, где содержится информация о КХ. Сверяется именно BILLING адрес, то есть, Shipping адрес не сверяется системой AVS, но слать на разные Billing и Shipping мы не всегда можем, да и вообще к этому магазины относятся негативно. Важный момент состоит в том, что именно сверяет система AVS. Она сверяет только цифры из Billing'а. То есть, отсюда - 2970 Park View Drive United States IN | Columbus | 47201. Она будет сверять 2970 в Address Line и 47201 в ZIP. Буквы не сверяются.
Методов вбива бывает два:
BillShip - Billing = Shipping
Bill not Ship - Billing =! (Не равен) Shipping'у
BillShip значит, что при вбиве мы вводим одинаковые адреса, как в Billing, так и в Shipping адрес. Это может быть или отправка посылки на адрес КХ, или же (Если нам удалось сменить Billing адрес или в магазине просто нет AVS), Billing указываем от Drop'а\Посредника и Shipping, соответственно, тоже.
Bill не равно Ship значит, что адреса мы вводим разные, в Billing адрес с карты, в Shipping Drop/Посредника. В США бывают магазины без AVS, но их довольно мало. Также, бывают те, что сверяют только ZIP.
Какие во всех этих ситуациях могут быть алгоритмы вбива:
1. Вбив на разные адреса. То есть, Bill не равно Ship.
То есть, Billing вводим с карты, а Shipping от Drop\Посредника. Вариант не самый надежный,
но рабочий. Он сопряжен с некоторыми дополнительными телодвижениями. Здесь важно прогреть магазин предварительно, написать техническое поддержке, к примеру, и объяснить, что временно живем не по основному адресу. Причин может быть много - ремонт, пожар, ураган, что угодно, главное, чтобы было правдоподобно. И после этого уже можно вбивать. Также, в такой ситуации, скорее всего, потом попросят прозвонить или же запросят документы. Их можно отрисовать, а в случае со звонком попросить набрать в магазин и все подтвердить. При таком варианте работы очень желательно, чтобы ZIP'ы Billing и Shipping адреса были, как можно ближе друг к другу, это повышает уровень доверия и AntiFraud на это не накидывает такое зверское количество баллов, как за разные штаты в противоположных концах США.
2. Возможно в магазинах, где сверяется только ZIP.
Это можно узнать, пробив туда отработкой или любой СС заранее. То есть, вбиваем Billing и Shipping любой совпадающий с реальным ZIP'ом с карты, и пробуем оформить заказ, с самым мелким товаром. То есть, ZIP с CC, адреса левые, но под этот ZIP.
Варианты после этого:
- Может сразу выбить ошибку, что адрес неправильный, значит сверка по всем цифрам.
- Может принять платеж, но отказать в письме, сказать, что адрес не сходится.
- Могут выслать товар.
Если товар выслали, значит магазин сверяет только ZIP. Ну, по факту, сверяет не магазин, а платежная система. Если такой магазин нашли, то берем СС с таким ZIP'ом, как в адресе нашего Drop'а или посредника, и вбиваем. То есть, ZIP КХ, адреса Drop'а или посредника и в Billing, и в Shipping.
3. Вбив европейских карт в американские магазины.
Мы можем взять европейскую карту и вбить в магазин США. Система AVS такой Billing сверить не сможет, поэтому такой вбив тоже идет BillShip.
Тут либо:
- Откажут под предлогом, что не можем сверить Ваш адрес, оплатите другой картой или PayPal.
- Запросят документы, их можно отрисовать.
- Вышлют товар.
4. Enroll
Это доступ в онлайн-банкинг, как Сбербанк-онлайн, например. Во многих Roll'ах можно сменить Billing адрес. На эту тему будет отдельный урок. После смены, соответственно, можно вбивать BillShip'ом.
5. PickUp, Rerout.
Суть PickUp'а - это вбив BillShip на КХ, то есть, бьем товар на адрес владельца карты. Когда товар туда попадает, при помощи PickUp сервиса и звонка посылка перехватывается. Это тоже тема отдельного урока. Rerout схож по механизму работы, но здесь посылка не перехватывается, а перенаправляется.
Что еще касательно AVS - эта система может сверять телефон. Это не так часто есть в платежных системах, но такое бывает. Здесь выход - брать СС с данными о телефоне и вбивать, как есть, а потом или звонить с подменой номера просить сделать звонок через некоторое время после заказа, или же флудить телефон КХ.
К примеру, через этот сервис - ebomb.biz
Спам почты и телефона:
just-kill.cc
ebomb.biz
@Serggik00
@BlueSunset
Credit Cards (Купить):
bankomat.cc
fe-acc18.ru
validcc.su
27kaqicipyhous2p.onion
UNICCSHOP.MN
approved.xxx
bingo.hi.cn
carderbay.com
uniccshop.bazar
clevershop.cc
hustlebank.com
thebulldog.vip
cvv-me.su
freshbay.cc
entershop.uk
pluscc.mn
rescator.cm
validcc.ws
briansclub.cm
Проверить СС:
undef.su
Посредники:
my.meest.us/en (Америка)
pochtoy.com (Америка)
posredniki.info/category/usa/ (Список)
shopopoisk.ru/posredniki/ (еще список)
Сервис номеров (VOIP):
evoice.com
gvoice.pw
textnow.com
Или просто покупаем GoogleVoice.
Перенаправление (Rerout):
@Researcherwwh (UPS, Fedex)
@rasmus_call (Fedex)
@Nika_Nikola (Женский голос - Ника)
@fbi_call
@dark68
Перехват-сервис (PickUp):
@ninjablack63
@HotChiliMe
@MoonService2
Подставное лицо/Drop's:
@NormanSpears
@Project_13
@ARENASERVICE
@leon_support
@bocman11
@dolbim_us
@vikontesssi
Прозвонить (Звонки):
@Malfey_Prozvon
@brabus_call
@Mr_Gruffelo
@VeeChe
Отрисовка документов:
@meyer1ansky
@Angedaniya
@Serggik00_Otrisovca
@getla
@docerfake
FAQ:
А: Как-то видно, что у магазина нет АВС? Какой-то значок? Разве разумно сразу писать в тех. поддержку? В том плане, что сначала ты пытаешься сделать покупку, у тебя не получается, а только потом пишешь в тех. поддержку с возмущением и гневом, потом уже решая все остальные проблемы. Глупый вопрос, но какой способ наименее затратный, но при этом самый выгодный?
Б: Нет, никак не видно, только тестами. Насчет того, чтобы писать в тех. поддержку - да, это невозможные ситуации, они решаются до покупки.
А: 1) Если бьем европейскую карту в США, то BillShip европейской страны? То есть, требуется международная доставка? 2) Если платежная система сверяет телефон, то делаем PickUp/ Rerout на BillShip КХ, или просто телефон его указываем и потом флудим/звоним?
Б: 1) BillShip Drop'а\Посредника. 2) Зависит от остальных обстоятельств, но раз сверяет телефон, то все остальное тоже сверяет.
Магазины СС (Credit Card). Урок 8.
Разберем FESHOP - fe-acc18.ru. Заходите на свой аккаунт. Ничего сложного не будет, но структуру магазинов разберем. Нам нужен раздел CVV's. Как видим, тут есть свои фильтры, используя которые мы и будем подбирать СС четко под свои нужды. BIN's - это окно для того, чтобы искать СС по своим BIN'ам. В процессе вбивов и приобретения опыта у вас будет формироваться список хороших, читай, лезущих в магазинов, BIN'ов. Можете написать любой BIN и проверить есть ли в магазине СС под данный BIN.
440293 - Вбиваем, сколько карт нашел? Много. Помимо BIN'а мы можем выбрать по стране и штату, и так далее. Это полезно, если СС ищем под конкретный IP. В идеале IP должен совпадать с ZIP'ом СС.
Что такое Base на ваш взгляд? Верно. Базы. Карты добываются по-разному и добавляются на сайт в разное время, от того и разбиты на базы. Могут быть по дате добавления, по стране.
Добывают чаще всего SNIFF. SNIFF-базы. SNIFF - это ПО (Программное обеспечение), которое перехватывает данные CC, их вешают обычно в магазинах, собирают данные и продают. Также, в описании базы бывает оговорено, что СС без имени или адреса, или дополнительной информации. Обращайте внимание на то из какой базы вы покупаете СС - это важно. Бывает, что в магазине нет AVS, тогда CC без адреса нам подойдут.
Кстати, дам вам один сервис VPN, он без AVS - tunnelbear.com/download
Можно, проверяя СС вбивать VPN себе. CC без адреса обычно дешевле. В некоторых магазинах, например, JOKER, еще указывают и Valid-базы.
Процент валидности базы выясняют так, берут несколько десятков карт из базы, прогоняют через Checker получают процент Valid'а. Если база свежее, то логично, что там больше Valid'а, но это не всегда так.
Выбирайте любую базу. Видим графу Check time. Что в ней?
BASE HASN'T REFUND - не дается время на проверку. Безвозвратная. Купили и все, даже если не Valid.
5 MINUTES TO CHECK - дается 5 минут. Купили, вбили, не вошла. идем обратно в магазин, проверяем на Checker'е магазина, если не Valid, то вернут деньги. На все 5 минут. Делаем из этого вывод, прежде, чем вбивать СС, все должно быть готово к вбиву.
По факту, лучше всего покупать СС с возвратом, ибо никто тебе не даст гарантий, что not Refund 100% Valid и войдет легко.
В каждом магазине свои поисковики, в некоторых больше информации, в некоторых меньше. Особое внимание уделяйте Level карты, то есть, ее статус. Если в магазине не пишут какой уровень карты, то можно пробить по BIN.
Prepaid, Business, Gift - Такие уровни сразу мимо. Ориентируйтесь на Classic, Gold, Platinum. Еще иногда Premier, но лучше первые три.
Также, можно отметить еще - validcc.su (регистрация стоит 200$, если есть приглашение, достать его можно)
Сейчас жалуются на Valid. Будьте внимательнее.
Отмечу еще, что СС под IP искать проще. И в завершении.
Задание:
Если есть средства, то зарегистрироваться здесь и приобрести LS (Linken Sphere). Можете на двоих-троих купить, спокойно работает и не вылетает. Подписка стоит 100$ за месяц.
Прогрев магазина. Урок 8.1.
Прогрев магазина - это общение с ним - СИ (Социальная инженерия). На какие категории можно разделить общение:
1. Общение через Email.
2. Общение через Live-Chat (не всегда может быть доступен, зависит от часового пояса)
3. Общение через телефон.
Теперь о каждом пункте подробнее.
Преимущества общения через Email - вы заранее имеете возможность подготовить ваши вопросы/ответы, выстроить определенную стратегию вашего общения,спрогнозировать ее в какой-то мере, но и тут не обходиться без недостатков, а именно, что магазин может отвечать в течении нескольких суток. Здесь нужно учитывать, что из-за долгого ожидания, обязательства продавца продавшего вам СС (По замене), естественно, будут уже не актуальны. В этом случае, нужно заранее прогревать магазин и уже только потом покупать материал.
Общение через Live-Chat. Плюсы - не нужно ждать сутки/двое, как в случае с E-mail, все общение займет не более 10 минут, после чего можно приступать к процессу вбива нашей СС.
Сразу скажу, что для тех, кто владеет английским не достаточно хорошо, тем рекомендую использовать Yandex переводчик. Остальные делают перевод кривым и не очень естественным.
Ну и, конечно, же самый лучший товар можно вытащить, если прогреть магазин через звонок. Даже в тех случаях, когда, казалось бы, уже нет надежды сломать AntiFraud первыми двумя вариантами, грамотный звонок вами лично или же через сервис, который делает звонки, здесь сыграет решаюшую роль.
Давайте разберем более детально в различных ситуациях. Как мы с вами знаем, США славится своими природными катаклизмами и чувством сострадания и толерантности ко всем без исключения. Так вот, в США почти каждый месяц природа устраивает очередное испытание. Обычно это пожары, наводнения, ураганы. И эти новости всегда разносят по всему миру - и мы должны за ними следить. Тут такое дело, американцы люди добрые и всегда готовы придти на помощь, пойти на встречу. Поэтому находим материал (СС) штата, в ктором случилась беда, и пишем в магазин, что мы стали жертвой катастрофы.
И тут по ситуации. Дом сгорел, а вместе с ним ноутбук и телефоны, поэтому пишу с ПК друга или родственника. Просите менеджера подобрать вам что-нибудь в среднем ценовом диапазоне (ПК или телефон какой-нибудь) и просите выслать на адрес друга или родственника, так как от вашего дома остался только рваный американский флаг. Варианты разные, все зависит от вашей фантазии. Следите за новостями и пробуйте. С Канадой также работает. Там народ тоже крайне доброжелательный.
В Канаде тоже АVS, плюс могут отрисовку запросить или прочую верификацию. Если все сделаете, как просят, то вышлют, тогда все хорошо.
Теперь о том, как делать не стоит. Забудьте про подарки, отъезды и прочие слишком примитивные истории и сказки. Будьте оригинальны и убедительны.
У меня был случай, что магазин один сложный написал мне письмо после заказа. Из серии, почему ты тут шлешь на разные BillShip, а я сказал, что у меня дом термиты завелись, сейчас дезинфекция (Такое часто у них бывает). Живу у родни и все такое.
Не забывайте, что на том конце сидит менеджер, а он, прежде всего, человек, с кучей бытовых проблем, как и у вас. Также, хорошие темы - мальчишник/девичник, семейные разборки (ссоры, разводы, измены). В общем, фантазируйте и вперед. Можете слать на подставное лицо (Drop'а, подставное лицо) и на посредника, как хотите.
Теперь о другом методе вбива. Вбив через форму. Форма эта называется - Authorization Form. Значит, заходим в магазин, гуляем по магазину, добавляем товар в корзину. Когда дошли до CheckOut'а, пишем в чат, что не можем оплатить. Мол, нажимаю на CheckOut и ничего не происходит. Вам предложат почистить Cookie/Перезагрузить браузер, это по стандарту.
Вы такие, все попробовал, но ничего не поменялось. Доходим опять до CheckOut'а, и опять пишем. Спрашиваете, какие еще методы оплаты есть. В ответ вам могут предложить: PayPal, Банк, Форму или вбить за вас. Нас интересует либо форма, либо вбив за нас. Если дадут форму, то ее нужно заполнить - вписать номер СС, ФИО, адрес, сумму вбива и наименование товара и отправить им по электронной почте. Можете сами, если есть принтер и сканер.
Можете заказать отрисовку.
Второй вариант, вбив за нас. Менеджер магазина сам будет бить СС и вышлет нам чек о списании денег. Так, обязательное правило оплаты по форме - вы должны отправить им фото СС с двух сторон. Лучше в таком случае бить европейские СС, так как отмена будет идти пару недель.
Вбив формой, как и вбив звонком - это Offline покупка, то есть, магазин не видит настройки нашего ПК и AntiFraud не сработает. Если более-менее владеете английским, то мой вам совет - научитесь разговаривать по-английски по телефону с магазинами. Просто звоните и разговаривайте. И уже через пару месяцев вы сможете легко делать заказ по телефону, не платя звонкам - будете экономить кучу денег. Конечно, первые разы будет тяжело, но все приходит с опытом. Со временем в легкую будете вбивать голосом.
И еще, пара советов. Вот, допустим, у нас магазин с часами. Перед звонком создайте атмосферу того, что вы в США, включите на заднем фоне телевизор на английском, погромче желательно, чтобы точно было слышно на другом конце. Или радио. В общем, что-то на английском. Дальше, допустим часы стоят 1500$.
Гуляем по сайту и находим отзыв о наших часах. И при разговоре с менеджером говорим, что мой друг покупал у вас часы. Они мне очень понравились, и я хотел бы купить себе такие же или подарить кому-то. Только я не знаю бренд часов. И дальше погнали, менеджер начинает угадывать те часы, которые мы хотим, по параметрам, которые мы ему дали. И в итоге предлагает именно наши. А дальше уже вбив по телефону идет: Billing адрес, номер карты и так далее.
По поводу акцента не переживайте. Америка страна, созданная иммигранатами и акцент там у всех. Конечно, первое время вы столкнетесь с тем, что не будете понимать то, что вам говорят. Ссылайтесь на плохую связь, просите повторять. Смотрите сериалы на английском, помогает быстро освоить язык.
Рекомендую звонить с Sip-System сервиса для подмены номера. То есть, при звонке в магазин они увидят нужный нам номер - номер КХ.
FAQ:
А: Эти три метода прогрева конкретно на интернет-магазины. А какой принцип, допустим, на Ebay?
Б: В случае с Ebay, мы также можем использовать общение через Email с продавцом, также можно предварительно добавить интересующие вас товары в корзину, и спустя там, к примеру, 3-5 часов пробовать их пробивать.
А: Тема с катаклизмами еще разве не устарела?
Б: Эта тема не устареет до тех пор, пока катаклизмы не прекратятся, в чем я сильно сомневаюсь.
А: Как понять, когда при вбиве нужно прогревать магазин?
Б: Почти всегда нужно, это всегда не будет лишним. Конечно, можно и и прогрева, но шанс того, что получится вбить - несколько падает.
А: Считается ли покупка дешевого товара, например, на 100$ - прогревом магазина? То есть, после такой покупки доверие магазина к нам будет больше и можно будет сделать заказ уже на 1000$?
Б: Да, конечно, если вы вбивали не с гостя, а с аккаунта, то у вас после каждого заказа формируется Feedback, что благоприятно сказывается на следующих заказах.
А: Что делать, если запросят фото карты с двух сторон? Смогут такое отрисовать?
Б: Да, сделают за 5 минут. Это не очень сложно.
А: Если вбивать постоянно только один магазин, имеет ли смысл каждый раз придумывать новую историю или тут достаточно нескольких вариантов?
Б: Зависит от того, насколько крупный магазин. Если крупный, то никто не запомнит. И лучше, конечно, стараться разговаривать с разными менеджерами.
А: Имеет ли смысл вбивать всякую мелочь на адрес КХ, чтобы прогреть магазин?
Б: Лишним не будет. Я иногда делаю так.
А: Если вводить имя, которое на посреднике, а не КХ, не будет никаких подозрений?
Б: Зависит от магазина, насколько сильный там стоит AntiFraud.
А: Где лучше смотреть новости по США/Канаде?
Б: По главным новостным порталам, как CNN и так далее.
Посредники. Урок 9.
Первое, что важно знать и помнить о посредниках - это абсолютно белое юридическое лицо.
Также, могут называться пересылка-сервис, но это реже. Обычно посредник - это официальная контора, предоставляющая услуги приема товара и последующей его пересылки. Услуги предлагаются для жителей России, к примеру, для того, чтобы они могли заказать товар в Америке, даже в магазинах, которые не предполагают отправку в Россию.
Или, где доставка очень дорогая. Дороже, чем сам товар. Так вот, если я живу в России и мне нужно сделать обычный белый заказ в США, но нет доставки, то как я поступаю. Я иду сюда и выбираю себе посредника - posredniki.info/category/usa/.
Для нас посредники также очень полезны, но так как это белая организация, нужно быть осторожным, чтобы посылку вашу не потерять. Популярные такие, как ShopFuns однозначно не берем.
И перед выбором ищем по типу посредник + Carding, потому, как такой запрос поможет проверить, есть ли какая-то информация по посредникам на других форумах или же на сайте посредников может быть целое полотно про наше ремесло и про то, как они с этим борются, таких обходим стороной.
После выбора регистрируем аккаунт. Здесь можно пойти двумя путями, оба нормальные. Регистрировать на свои данные или регистрировать на чужой паспорт. Не все посредники вообще требуют какие-либо документы, но те, которые требуют, делают это в обязательном порядке. Или могут перед высылкой уже попросить документы. Сам по себе посредник это, по сути, склад с ячейками. Там можно копить свои посылки и потом собрать их в одну и выслать.
Если регистрируете на левые данные (чужой паспорт), то сразу купите лучше полный комплект документов, чтобы не было проблем с отрисовкой (паспорт - обе страницы, СНИЛС, документы на оплату ЖКХ - газ, вода, электричество). К этому все, купите VPS сервер или просто SSH-туннели, с которого будете всегда заходить на свой аккаунт. Также, сделайте себе аккаунт в ПП (PayPal) на левые данные, привяжите его к этому посреднику.
Пару примеров популярных посредников:
meest.us - вполне хороши для работы, лояльно относится к именам отличным от имени аккаунта - об этом отдельно.
fishisfast.com - лично у меня с ними были проблемы, но знаю, что успешно некоторые работают.
mainbox.com
pochtoy.com
После регистрации посредника, вам дается адрес в Америке или два адреса в разных штатах. К примеру, регистрировали аккаунт на имя Михаил Бакунин.
Вы получаете адрес.
Здесь физический адрес - 600 Markley St. Port Reading, NJ 07064. И номер вашей ячейки Suite 098489.
Посредников регистрируем строго на славянские имена или кавказские. Некоторые посредники лояльно относятся, когда приходят посылки на левое имя. Это весьма удобно. В зависимости от посредника после прибытия товаров они копятся в течение определенного времени там бесплатно. Обычно месяц или два.
Касательно оплаты услуг посредника - только белыми деньгами. Аккаунт посредника могут заблокировать, к примеру, если туда обратился магазин, но в ряде случаев можно
договориться и вытянуть аккаунт. Но это не частые ситуации, когда они блокируют касательно разных имен. Желательно, чтобы не приходило больше, чем на два-три разных имени, дальше могут быть вопросы.
Есть также такая вещь, что могут украсть посылку вашу, если видят разные имена. Есть такие моменты тоже иногда. Потому, как посылка приходит на склад, а там уже ее до ячейки распределяет человек.
Нотификация ФСБ: portal.eaeunion.org/ru-ru/public/main.aspx
Рекомендации для работы с посредником:
1. Не слать сразу после регистрации аккаунта миллион посылок. Отлежите неделю, а лучше все две. Вышлите 1-2 посылки за неделю. И постепенно увеличивайте количество. Здесь работает правило раскачки, как и во многих других темах.
2. Четко изучить правила работы посредника, это позволит избежать потери посылок.
3. Завести портативный браузер для аккаунтов ПП и посредника, и работать исключительно с него. Cookie - наше все.
4. Не перегружать посредника дорогими посылками. Лучше завести несколько аккаунтов, и слать на каждый по чуть-чуть. Ни один нормальный человек не будет покупать себе 10 дорогих телефонов за 10 дней. Помните об этом.
5. Не использовать посредника для вбива дорогой техники, лучше использовать подставное лицо. Так вы не убьете аккаунт, в случае отмены.
6. При вбиве указывать левый номер телефона или ГВ (Google Voice). Не стоить писать номер телефона посредника или КХ.
Рекомендации по пересылке товаров к себе:
1. Не превышать таможенного лимита (для России) 1000 EUR или 1200 USD в месяц - на одну посылку. То есть, если вы указали, что товара в посылке на 1200 USD, то в этом месяце на тоже имя вы уже не сможете выслать посылку. Он встрянет на таможне, и будете ждать нового месяца для прохождения таможни.
2. Четко осознавать указываемые цены на товар, ссылки, а, также, нотификации ФСБ. Например, на посредника пришел IPhone X, ваша задача сделать следующее: пишем, что товар Б/У, ставим цену в 2 раза ниже, чем за новый товар, находим разрешенную для ввоза модель по ссылке (portal.eaeunion.org/ru-ru/public/main.aspx) и указываем номер нотификации ФСБ на посреднике для данного товара. Для поиска моделей, чаще всего использую EBay, 90% посредников с удовольствием принимают такие ссылки.
3. Всегда занижать стоимость товаров на шмотки. Например, если вы шлете кроссовки Nike за 300 USD, пишите, что кроссовки Nifi и указываете стоимость 30-40 USD. Я всегда так делаю. То же касается и сумок, штанов - вообще всех вещей. Всегда прокатывает. Потому что возиться и устанавливать четкую стоимость вещей никто не будет.
4. Что касается часов - просим открыть коробку, и выслать часы отдельно, коробку отдельно.
5. Что касается ювелирных изделий - пишем, что это бижутерия. И по многу класть в посылку не следует. Лучше выслать цепоку отдельно, кольцо отдельно. Рекомендую слать ювелирные изделия с кучей шмоток, меньше шансов, что спалит таможня.
6. Технику высылать по 2-3 позиции в посылке. Например, один IPhone + один PS 4 + одна
видеокарта. Не нужно в одну посылку напихивать по 10 позиций всех товаров. Помните, что если одинаковых позиций в посылку от 5 и больше, то попадете под коммерческую партию, и тогда потеряете посылку. Так как запросят накладные, выписки со счетов и так далее.
7. Не копить посылки на посреднике, особенно ценные. Пришел IPhone/IPad/Rolex на посредника - сразу высылайте. Лучше заплатить лишние 60 USD за доставку, чем потерять все.
8. Оплачивать посредника только своими деньгами. Никакого кардинга. Не пилите ветку, на которой сидите.
FAQ:
А: 1) А как получать товар, если на другой паспорт делали аккаунт, а не на себя? 2) Как магазины относятся к посредникам? 3) Нам интересны только посредники, которые лояльны к отличным от заказам именам (То есть, чтобы имя аккаунта в посреднике было отличным от имени в заказе? Получается, что имя может уже дважды не соответствовать - в заказе и аккаунте, в аккаунте и тебе самом. Можно ли в таком случае регистрировать аккаунт на Drop'а в России, чтобы убрать хотя бы одно несоответствие? 4) Что лить в уши магазины по поводу разницы в именах с заказом?
Б: 1) Высылать можно на отличающееся имя от того, которое зарегистрировано. 2) В меру негативно, но если BillShip, то без проблем. А если Bill не равно Ship, то могут попросить прояснить ситуацию. 3/4) Магазины не сверяют имена с карты. Только цифры. За теми исключениями, когда магазины вручную все проверяют и запрашивают имя и подобные данные, это только в самых крупных магазинах.
А: 1) Белые деньги - это как? 2) Выходим из ситуации с несколькими именами на один аккаунт - просто регистрируем больше аккаунтов?
Б: 1) Обычные деньги. 2) Лучше шлем на одно и то же имя.
А: Есть ли какой то риск, при получении товара в России?
Б: Нет, с посредника все выходит ровно и чисто.
А: Условно, мы вбиваем на КХ, а шлем на себя в Россию, получается на аккаунте будут несколько посылок вбитых на разных КХ, это нормально?
Б: А как они там окажутся? Если вбиваем на КХ, а шлем в Россию?
А: То есть, имя можно в магазине при заказе указывать, как Петя Петренко при карте США? Принимаем на посредника, где тоже Петя Петренко, а шлем на Евгения Краснопольского (На нас)?
Б: Да.
Примечание:
Что касается связок для работы с туннелями - это либо Bitwise\Plinker + Proxifier, либо Bitwise\Plinker + Firefox сам, либо Double SSH Manager, либо сфера. Все эти связки позволяют подменить DNS. Вам понадобится Linken Sphere, СС, SSH-туннель\SOCKS
Еще немного теории. Если берете с базы, где есть время на Refund, то значит следите за временем, чтобы успеть отправить на проверку карту, если не зашла. Сервисы в которые будете бить, там можно просто под штат материал брать, но в будущем лучше вообще под ZIP искать. Перед взятием СС, если видим имя КХ, регистрируем заранее на его имя почту. Gmail, Jahoo, AoL, Outlook - там СМС. Mail.com без СМС, для простых вбивов подойдет,
также там есть выбор разных доменов. Чтобы принять СМС код при регистрации почты, можно использовать сервис - simsms.org - там дешево.
После как зарегистрируем для тех кто вообще никогда не вбивал, советую начать со вбива в skype.com
Как вбить в Skype. Первый вбив. Урок 9.1.
Итак. Процедура стандартная, как и при любом вбиве:
• Покупаем СС USA, Visa или MC.
Находим SOCKS\SSH-туннель под город\штат КХ.
• При желании проверяем на RiskScore.
• Проверяем на Whoer.net в черных списках IP или нет.
• Выставляем часовой пояс под штат (Именно часовой пояс, а не просто время переводим).
• Регистрируем почту под КХ. Я регистрирую каждый раз на mail.com (Многие спрашивают, можно ли использовать купленные почты. Тут на ваше усмотрение, кто-то пользуется такими почтами, я лично под Skype всегда регистрирую, тем более на mail.com на это требуется меньше минуты времени).
Если все все готово, приступаем к делу!
• Идем на skype.com и жмем на Sign In.
• Нажимаем на Create an account.
• Заполняем все данные, номер телефона КХ с измененными несколькими цифрами.
• Указываем желаемый логин\пароль, оставляем галочку на By email, заполняем Captch'у и идем далее.
• Аккаунт зарегистрирован. Теперь откроем кредит. Жмем слева на Discover credit.
• Далее жмем на Add credit to your account.
• Выбераем размер кредита. Не ставим галочку с «Пополнять кредит автоматически при низком балансе»! Жмем далее.
• Указываем данные КХ с СС и жмем далее.
• В качестве метода оплаты выбераем Pay by card, вводим номер СС\срок действия\CCV-код. Соглашаемся с условиями поставив галочку и жмем далее.
• Если СС живая и Skype ее принял, увидим следующее сообщение. Если карта мертвая, у Вас 2 варианта:
1) Начать весь процесс заного с новой СС, предварительно почистив систему CСleaner'ом.
2) Просто взять новую СС под этот же штат и вбить ее тут же (В этом случае аккаунт могут заблокировать, либо он проживет не долго).
• 25 долларов поступили на наш счет.
• Прокручиваем главную страницу аккаунта вниз и жмем на Purchase history.
• Статус Delivered говорит о том что оплата прошла, статус Refused - что оплата не прошла. Далее жмем на Stored payment details. Далее на следующем шаге жмем «Удалить» напротив нашей карты и соглашаемся с этим действием. Все, карта отвязана от аккаунта.
• Возвращаемся на главную страницу аккаунта и прокручиваем снова вниз. Жмем на Skype Number.
• Жмем на Get a Skype Number.
• Выбираем нужную Вам страну.
• Далее выбераем штат\город. Появится список с доступными номерами телефонов, выбераем любой и жмем купить.
• Выбираем аренду на 3 или 12 месяцев, в зависимости от размера баланса на счету.
• Ставим галочку и покупаем подписку (Соглашаемся с тем, что деньги за арендованный номер не возвращаются).
• Подписка куплена.
• На главной странице аккаунта жмем на Caller ID.
• В этом разделе будут отображаться все ваши купленные номера. Галочка установленная напротив номера, говорит о том что у принимающего звонок человека будет отображаться этот номер.
Если будете прозванивать с другого номера, уберите галочку напротив текущего номера и поставьте у необходимого.
Если Вы дружите с разговорным английским, то без проблем запишите голосовое сообщение на автоатветчик.
Запускаем скайп и идем в меню Tools -> Options -> Calls -> Voice Messages. Жмем кнопку запись и говорим в микрофон.
В противном случае обратитесь к звонкам.
Лично я баланс на аккаунте не делаю. Я сразу покупаю нужный мне номер, и карту не отвязываю.
Также максимально заполняю все данные в профиле КХ (Город, штат и т.п.) и ставлю аватарку в самом скайпе.
Одна СС = один аккаунт! Не вбивайте эту СС больше никуда! Оставьте ее для пополнения этого же аккаунта.
Мой рекорд в плане живучести аккаунта был равер 5 месяцам.
Ладно, продолжим. Берем СС под туннели, что есть, регистрируем почту и начинаем. Если в Skype вбили, то следующая наша цель на практике teespring.com (сейчас вбивается достаточно тяжело и туго, но можете попробовать).
Сайт устроен так, что на нем есть множество кампаний, от разных людей, в ходе которых собираются деньги на печать того или иного рисунка на футболке. Нас интересуют те, где до печати осталось меньше всего времени. На TeeSpring, чем меньше времени, тем быстрее сформируют наш заказ. Регистрироваться не нужно. Если вбив прошел, то на почту вышлют номер заказа. Номер заказа - это не номер трека. После подтверждения ждем трек, как выдадут можно вбивать эту СС в другой магазин.
Какие СС не берем:
1) American Express, Discover - Никакие не берем.
2) Prepaid, Electron, Classic, Standard.
3) Карты крупных банков - Bank of America, JPMorgan Chase & Co, CITIGROUP INC, Wells Fargo & Company, Goldman Sachs Group, Morgan Stanley, Metlife, Taunus Corporation, HSBC North America Holdings, US Bancorp.
4) Желательно без VBV. (Проверка СМС)
Что нужно купить перед работой:
1) Чистый IP = 2$
2) CC = 15$ (Да, дорого. По своему опыту скажу, что почти всегда, если очень дешевая, то она мусорная и бесполезная. Поэтому лучше все-таки раскошелиться. Однако, высокая цена
- это не гарантия того, что на СС будет лежать куча денег, а сама СС будет без какой-либо защиты)
3) СМС для регистрации почты = 0.25$
4) Прозвонить = 10-15$
5) SSN+DOB = 5$ (Об этом дальше будет речь)
6) Сканирование/Отрисовка паспорта = 2$
7) Перенаправление = 40-50$
8) Перехват = Дорого.
9) Флуд почты/телефона = 5$
10) Оплата посредника = Зависит от товара, его количества и так далее.
Как видите, у нас очень затратное ремесло, поэтому очень важно сюда приходить хотя бы с какими-нибудь свободными финансами. Я в свое время просто откладывал с работы. Может, эти цифры и не внушают уверенности, но я скажу так - один успешный вбив покроет все ваши затраты десятикратно. Здесь действует правильно снежного кома. Если получилось один раз, то потом получится второй, а очень скоро третий, а затер сразу четвертный.
Поэтому надо работать и бороться!
Как вбить в действительно хороший магазин? Урок 9.2.
Первым делом подготавливаем систему, я использую - VMware Workstation 11.0.0, с установленной на ней Windows 7 x64 Home Premium. (Обязательно Английской (EN) версии) Под систему выделил 4GB оперативной памяти и 4 ядра процессора. HDD - 80GB.
После установки системы идем в настройки брандмауэра и ставим запрет на ICMP трафик на Основе и Виртуальной машине.
В строке поиска или в Меню->Выполнить введите команду firewall.cpl и нажмите клавишу Enter - и в дополнительных настройках создаём правило на запрет.
Лирическое отступление важное для понимания:
Представьте себе какого-нибудь Стивена из Калифорнии, который хочет оплатить себе Iphone. Заходит он в магазин, потом в другой, читает, смотрит отзывы, видит корзину, регистрирует аккаунт и оплачивает. Стив не отслеживает свой IP, не раскачивает DNS, он заходит и платит. Стивену не нужно завоевывать доверие магазина, читать целые ветки на форумах перед тем как, что-то себе купить. Итак, как же нам казаться Стивеном, а не Владимиром в глазах АФ.
Порты
Представьте, что вы это - AntiFraud. Сидите смотрите заказы и тут у вас хочет купить человек, у которого открыты 80, 443, 3389, 22 порты. Только глядя на эти порты уже ясно, что задумал этот человек. Ведь Стивен не платил бы с DS, SSH-туннелей, SOCKS, прокси.
Решение: используем DS, на котором нет заметных портов или SSH-туннель с нестандартным портом
Двусторонний Ping и принадлежность к хостинг-провайдеру
Двусторонний Ping дает понять, что у нас SSH-туннели, VPN, SOCKS по Ping'у и временной разнице полученной в петле.
Решение: Закрываем ICMP, либо меняем такой туннель/SOCKS, либо добавляем TOR перед SSH-туннелем (Не проверял, но такое решение видел).
Принадлежность к хостинг-провайдеру - тут думаю ясно, не используем SSH-туннели, SOCKS'ы, VPN хостинг-провайдеров, считайте, если IP принадлежит хосту, то он в черных списках есть.
Webrtc и DNS
Очень много информации есть по предотвращению этих утечек, не буду сейчас в 1000 раз их дублировать. Просто помним о том ,что их нужно проверять и фиксить. В своем случае я отрубил WebRTC в настройках Firefox, лучше его подменять - это более верное решение.
Flash
Безусловно мы его включаем, ведь нам нечего боятся и мы зашли оплатить товары со своего аккаунта. В общем, врубай Flash - не вызывай подозрений.
С Flash нужно быть предельно осторожным, скачать flashplayer на свой ПК (Используем Anti- detected или DS) все равно, что сознательно запустить вирус в систему. Не забываем о языке вашей ОС и временном поясе.
Tab history и refer
Используется AntiFraud'ом для того, чтобы видеть список недавно посещенных сайтов. Тут все просто никаких whoerов и прочих вызывающих подозрения сайтов.
Гуляем по Google и Facebook, имитируем поведение Стивена.
Refer - определяет с какого сайта мы пришли, поэтому переходим как и все люди, из Google.
Тab name
Если коротко то, с помощью данного параметра AntiFraud видит все открытые вкладки в вашем браузере в режиме реального времени.
Отпечаток Аудио
audiofingerprint.openwpm.com - тест.
Проверял на основной ОС и на виртуальной машине с LS - отпечатки одинаковые. На DS еще не проверял.
Отпечаток Аудио может очень вам навредить в двух случаях:
1) Деанонимизация. Представим, что вы переходите на сайт ПП и у вас берут отпечаток Аудио. Далее, после успешного дела, вы выключаете виртуальную мащину и идете на Youtube или Google, еще хуже, если в социальные сети, и все эти сайты у вас тоже берут отпечаток Аудио. Деанонимизация примерно будет выглядеть так:
“20:00 отпечаток 2a3b4c5e зашел под IP 192.168.0.1, 20:30 отпечаток 2a3b4c5e зашел на youtube под IP 192.168.1.100 (тот IP с которого вы вышли на Youtube)”
2)ПП или другие сайты по этому отпечатку могут видеть, что вы у них уже были. Решение: Искать, как его подменять.
Uptime и Os fingerprint
Uptime - это то время, которое находится онлайн ваш VPN, SOCKS, SSH-туннель. Согласитесь странно ,что ПК Стивена работает без перезагрузки уже пол года.
Решение: Заходим в консоль SSH-туннеля и пишем reboot.
OS fingerprint - простым языком, у каждой ОС разные пакеты. То есть, когда вы используете SSH-туннель поверх Windows, то получается ,что пакеты у вас от Linux, а User Agent от Windows.
Решение: Anti-detected/Не использовать такой SSH-туннель/Поднять на SSH-туннеле OpenVPN сервер и прописывать в конфигурацию сервера и клиента строчку mssfix 0. (Не проверял, видел такое решение в сети)
В качестве связки я использую: Bitvise-SSH-Client-6.08+Proxifier+FirefoxPortable
А теперь шаг за шагом, как я вбивал:
1. Взял SSH-туннель с нестандартными портами и запросил их ZIP.
2. Параллельно под ZIP, смотрел максимально совпадающий картон по ZIP, и ближайших соседей, сравнивая с BIN, который у нас имелся. В итоге решил рискнуть и взял WF Bank, так как СС и ZIP совпадали на все 100%, и остальные банки под приглянувшийся не внушали доверия, изначально знал, что буду делать смену пароля на VBV.
3. Взяв SSH-туннель, проверил его только по 3 основным параметрам, на наличие в черных листах, IP-Ccore, отсутствие заметности VPN. FraudScore выдал мне 70%, и был замечен прокси.
Соответственно, Score<= 70, VPN не видно, TOR не видит, в черных листах нет, IP-Score 0,16, провайдер AT&T, можно работать. Перезагрузил SSH-туннель! (Он не перезагружался 122 дня!) - Перезагрузить можно через терминальную панель Bitvise. Uptime - смотрим время работы SSH-туннеля (и удивляемся (или нет)) Reboot - перезагружаем его. Отдал 140 рублей за туннель.
4. Как мы знаем, для проверки на валидность СС нам дается от 5 до 15 минут, в моем случае на JOKER'е времени на проверку дается 15 минут. Прежде чем открыть данные карты я подготовил все для вбива E-gift Card в Ebags.com (Проверил платежную систему, посмотрел рейтинг), зарегистрировал почту в aol.com, зарегистрировал номер в textnow.com. Минут 15
вел себя как «покупатель» на сайте, смотрел товары, читал отзывы. Задал пару вопросов support’y. Важный момент, на сайт я переходил через поисковой запрос гугла bags+card intext: “cart”, вбил на 50$ Gift-карту. Все зашло - значит карта Valid. Отдал 12$ за СС.
5. После вбива дал отлежаться карте несколько часов, пошел пробивать моего КХ, но тут возникла первая проблема. В базе данных SSN моего КХ не нашлось. Пробив ничего не дал, поиск по сервисам тоже. Я пошел на mylife.com и по адресу, имени и фамилии нашел моего КХ. Вбив 1$ открыл все адреса, где он проживал, убедился в его социальных сетях, что DOB верен и с этими данными снова пошел к пробивщику, итог - SSN найден. Отдал 400 рублей за услугу.
6. Пошел на сайт: secure2.es.arcot.com/vpas/wellsfargo_vbvisa/enroll/index.jsp?locale=en_US&bankid=932
Теперь зная все данные КХ, без особого труда сменил пароль стоявший на VBV и указал подсказку.
7. Пару часов гулял по Google и заходил в разные магазины с Apple техникой, просматривал товары и на одном из них перешел по рекламной ссылке на NewEgg (Предварительно браузер должен был наесться полезных Cookies) Повторюсь из советов выше: не стоит ходить по магазинам с целью вбива, если ваш браузер съел Cookies whatleaks и whoer или прочих
темно-серых сервисов. Мне попадался SSH-туннель, провайдер которого блокировал эти сайты! Либо чистите Cookies, либо используйте второй браузер для проверки. Так же не стоит рядом во вкладках держать такие же серые сервисы!
8. Закинул все в корзину - BillShip на КХ вбил Iphone XS Max 256GB
9. Получил трек, НО! Дождавшись пока он появится в DHL on Demand выяснил, что отправитель указал не верный номер телефона и сменить адрес без СМС я никак не мог, под PickUp в том районе были только сервисы, с которыми никто из наших не работал.
10. Долго писал в чаты технической поддержки (А тут еще и праздники) раз по 5 писал и в DHL и в NewEgg, но они разводили руками и говорили мне, что только тот, кто отправил полсылку может изменить данные телефона. Отправитель был Vipdomo из Испании (Как я понял в NewEgg есть партнеры, которые размещают свои товары на их площадке). Он так и не ответил. Ну да ладно, последняя надежда была на прозвона F.B.I. Call - который прозвонил DHL и они сменили номер на мой в textnow.com. Зашел в панель он DHL on Demand и сменил адрес и ZIP на подставное лицо (Drop'а). Внимание! Имя КХ на имя подставного лица менять нельзя, выплату за такой трюк вы не получите, так как убьете подставного человека. Имя можно оставить либо КХ, либо любое другое, но не подставного человека! Отдал за услугу 4$ (Чуть накинул ему за хорошую работу).
11. Посылка теперь едет на Drop-сервис Don’t Worry Be Happy (dwbh.us) - в нем нужно заранее зарегистрировать аккаунт через Jabber и заранее добавить подставных людей (Drop'ов) в свою панель.
И да, абсолютно всем советую, кто будет заниматься нашим ремеслом серьезно и со всей совестью - сделать себе таблицы для работы. Можно в Excel - без разницы.
Таблицу по такому формату:
• Дата, когда делали вбив
• Магазин СС, откуда брали карту
• Магазин, куда вбивали
• Страна СС
• Тип карты (Level, Credit/Debit)
• BIN CC
• Банк СС
• Как прогревали магазин (если прогревали вообще)
• С чего делали вбив - с виртуальной машины, с Linken Sphere или с DS. Сюда же - как настраивали систему вообще
• Alexa рейтинг
• Телефон КХ
• Сумма заказа
• Метод доставки
• Первичный результат (что выдало - отмену, сразу отказ или все прошло хорошо)
• Трек номер
• Полное пояснение
Небольшая пометка, чтобы не задавать глупых вопросов и не быть в шоке. Все причины отмен и отказов:
• Refer to card issuer.(Нужно звонить в банк для завершения транзакции)
• Invalid merchant. (Неверный merchant ID)
• Pick-up card. (Карта заблокирована банком в связи с мошенничеством)
• Do not Honour. (Транзакция была отклонена банком без объяснительных причин)
• Error. (Неизвестная ошибка на стороне банка)
• Pick-up card, special condition. (Карта заблокирована банком в связи с мошенничеством)
• Invalid transaction card/issuer/acquirer. (Платежная система не принимает карты этого банка)
• Invalid amount. (Сумма превысила лимит банка на транзакцию)
• Invalid card number. (Неверный номер карты, либо карта заблокирована КХ или банком)
• System Error. (Системная ошибка на стороне платежной системы, нужно повторить транзакцию)
• No Action Taken. (Запрещено банком без каких-либо объяснений)
• Suspected Fraud. (Подозрении в мошенничестве)
• No Credit Account. (Отсутствует кредитный счет карты)
• Lost Card, Pickup. (Карта утеряна)
• Special Pickup. (Карта украдена)
• Hot Card, Pickup. (Карта украдена)
• Not sufficient funds. (Не хватает денег на карте)
• Expired card. (Срок карты истек)
• Incorrect PIN. (Неверный PIN)
• Transaction not permitted on card. (Платежная система не принимает карты этого банка)
• Txn Not Permitted On Term. (Платежная система не принимает этот вид операции)
• Suspected Fraud. (Подозрение в мошенничестве)
• Exceeds amount limit. (Сумма превышает разрешенный суточный максимум)
• Restricted card. (Счет на карте заморожен)
• Security violation. (Счет на карте заморожен)
• Exceeds PIN Retry. (PIN введен максимальное количество раз)
• Function Not Available. (Номер карты не действителен или не существует)
• CVV Validation Error. (Неверный CVV код).
• Issuer not available. (Связь с банком отсутствует)
• Transaction violates law. (Транзакция незаконна)
• Duplicate Transaction. (Двойная транзакция)
• System Error. (Системная ошибка на стороне платежной системы)
3DSECURE. Урок 10.
Этот урок про систему 3D Secure. 3D Secure - это система, обеспечивающая дополнительную верификацию платежам. Она может быть установлена со стороны карты (BIN'а) и со стороны магазина. Представлена 3DS несколькими системами, в зависимости от платежной системы.
VISA - VBV, Verified by Visa.
MasterCard - McSC, Mastercard Secure Code.
American Express - American Express Safekey
Discover - ProtectBuy
Реализовано это может быть тремя путями:
1) В виде кода, который устанавливает КХ.
2) В виде кода динамического, который КХ получает в СМС (как и у нас).
3) В виде кода в приложении, это у некоторых банков есть такая услуга.
Как я уже сказал, работать система может, как на стороне магазина, так и на стороне карты. Что касается карт, то система работает только на картах определенных BIN'ов. То есть, если на одной карте какого-либо BIN'а есть VBV или McSC, то можно быть уверенным на 100%, что она есть на всех картах этого BIN'а. И наоборот, если системы на той или иной карте нет, то на всех картах этого BIN'а ее нет.
Если в магазине есть 3DS, то есть, платежная система магазина обеспечивает верификацию платежа, а если на карте 3DS нет, то (За некоторым исключением) у нас без проблем пройдет платеж и ничего не запросят.
Если в магазине есть 3DS, и на карте тоже есть 3DS, то у нас запросит либо код (Если это США), либо СМС (Если это не США, здесь тоже есть исключения).
Если в магазине нет 3DS, то без разницы, есть на карте или нет, у нас пройдет платеж без каких-либо запросов.
Исключение составляют некоторые европейские магазины, которые перед платежом открытым текстом пишут, что, чтобы оплатить, карта должна поддерживать 3DS систему. Как, собственно, быть со вторым вариантом, когда и в магазине, и на карте есть 3DS.
1) Можно просто сменить BIN, то есть, взять тот, где 3DS нет. Это неплохой вариант, но к примеру, если мы делаем потенциально подозрительный вбив, например, на разные Bill и Ship - лучше этот вариант не рассматривать. Потому что магазины охотнее отправляют в таких случаях, если карта была с 3DS, потому как в этом случае возврат денег КХ ложится не на магазин, а на банк.
2) Сбросить код и сменить на свой. Это хороший вариант, он возможен на абсолютном большинстве BIN'ов в США. Чтобы сбросить, нужно, в зависимости от BIN'а, знать или SSN+DOB, или просто ZIP. Могут быть еще SSN+ZIP, например. Сброс возможен и в других странах, но там очень сложно пробиваемые данные нужны для этого. Номер банковского счета, к примеру, IBAN, да и даже DOB во многих странах очень сложно пробивать.
Также, сбрасывается в UK по DOB + ZIP в основном. Иногда телефон еще требует указать от карты.
Собственно, как такие BIN'ы находить. К гигантскому моему сожалению, основная лавочка прикрылась в этом году, а именно официальный сайт VBV. Поэтому все весьма и весьма сейчас сложно, но выполнимо.
Во-первых, находить такие BIN'ы можно на практике, купив карту и вбив ее (даже мертвую) в любой магазин с VBV. Платеж у вас не пройдет, но вы увидите окошко, которое вам даст понять, что на карте есть VBV. Оно будет выглядеть так, если 3DS на BIN'е есть и сам код установлен:
Или так, если 3DS на BIN'е есть, но код КХ не установил:
Точно так же оно будет выглядеть, когда вы будете сбрасывать уже установленный код.
Во-вторых, находить такие BIN'ы можно заранее, до покупки карт, но увы - не на всех банках. Для этого нужно найти сайт VBV банка. При помощи запроса в Google - NameOfBank + Verified + By + Visa. И после скитания и поисков вы найдете или не найдете сайт банка. К примеру - secure2.es.arcot.com/vpas/wellsfargo_vbvisa/enroll/index.jsp?locale=en_US&bankid=932 - VBV сайт Wells Fargo.
После того, как такой сайт нашли, мы идем в генератор номеров карт по BIN. Например, в такой - bincodes.com/bin-creditcard-generator/ (или же namso-gen.com/).
И в нем генерируем по BIN карту и затем вставляем ее на сайт, который нашли. Эта карта не существует, но так как система стоит на всех картах BIN'а, мы увидим, есть VBV на BIN'е или нет.
К примеру, можете проверить BIN 434257 и BIN 491991. И сравнить результат.
Это два основных способа поиска таких BIN'ов. На тех сайтах банков, что вы находите также сбрасывается код, если он уже на карте установлен. То есть, если во время вбива в магазин с 3DS вы увидели запрос именно кода, а не SSN и прочих данных (то есть, как на первом скриншоте моем, а не втором), значит идете на сайт и там сбрасываете код.
К MasterCard таким образом применимы эти же два варианта. Это все, что касается системы 3DS.
FAQ:
А: Получается, что проверить можно только эмпирическим путем, или же если мы заходим на сайт банка и там проверяем, верно?
Б: Верно, причем не просто на сайт банка, а именно на сайт для регистрации кода для банка, который находим поиском.
А: Что такое такое SSN+DOB, SSN+ZIP, что такое вообще SSN и DOB?
Б: DOB - дата рождения. SSN - это номер социального страхования. Их можно пробивать.
Пробивщики:
infodig.is
robocheck.cc
@XardySSN
@SEARCHSSNDOB
А: Так, то есть, мы потенциально охотимся за BIN без VBV, дабы бить в магазины с VBV? За исключением, когда преследуем цель повысить доверия магазина к нам, тогда берем АвтоVBV/Просто VBV с последующим сбросом (желательно по ZIP'у)?
Б: Все верно. Если бьем в магазины без VBV, то вообще без разницы, но после, как получили трек, можете попутно проверить BIN в любом магазине с VBV.
А: На большинстве карт VBV в США есть, просто он отсутствует в магазинах по причине лидирующего места страны в мире по потреблению на домохозяйство?
Б: Верно. По этой же причине многие КХ его не ставят, поэтому вбивая такую карту в магазин с VBV в большинстве случаев ты просто установишь сразу свой код.
Что касается выбора BIN, мы не берем American Express, потому что по нему очень быстро приходят отмены, он подходит в очень редких случаях, когда к примеру магазин в том же штате, что и Drop\Посредник или же товар цифровой. То есть, когда мы быстро получим трек\товар, не дожидаясь отмены.
Касаемо Debit Classic, Standard - на них очень мало денег, в среднем долларов на 100-150 с них можно вбить. Бывают, конечно, и исключения, но если вы планируете небольшой вбив, их можно брать.
Подставные лица и перехват-сервисы. Урок 11.
У нас тема - Drop, далее - подставные лица. И скупы, собственно, далее - барыги, скупщики. Собственно, подставные люди - это люди, оказывающие для нас ту или иную услугу и по итогу, увы, становящиеся козлами отпущения. В нашем контексте подставные
люди - это принимающие посылки люди. Принимают они их на свой адрес. Напрямую мы с ними не взаимодействуем (если это не личные наши подставные лица), а делаем это через Drop-сервисы. Их довольно много, работают почти по всей США и в общем-то подставной человек под наши нужды есть всегда. Самая распространенная схема работы с Drop- сервисами - скупщики, то есть, Drop-сервис работает с барыгой, обычно это buystuffusa.com, и при помощи подставных людей пересылают переданный нами товар туда, а затем, получив выплату, перечисляют наш процент нам. Обычно на BTC или WMZ. Некоторые Drop-сервисы работают также на пересылке на разных условиях - это либо 50\50, либо фиксированная цена. Если 50\50, то мы должны в одном заказе переслать два товара, один уходит сервису, один пересылается нам. Раньше скупали в основном легко продающийся товар, сейчас также часто скупают различный хлам. Блендеры, бинокли и подобное - список очень большой. Списки товаров похожи, но у каждого Drop-сервиса они свои, как и проценты. Также, легкий товар реализовывают через Drop-сервисы на Amazon, процент здесь повыше и список тяжелого товара гораздо больше, но иногда приходится долго ждать.
У каждого Drop-сервиса есть своя учетная запись, она позволяет выбрать себе подставного человека, забить его и потом добавить идущий на него товар, после того, как получили трек- код. Оплата всегда идет по доставке до барыги, то есть, после того, как отправленный подставным человек на барыгу товар, до него доходит. Некоторые сервисы также предоставляют своих звонков, но лучше все же использовать сторонних. Подставные люди, за исключением PickUp-сервисов, принимают на любое имя, поэтому в заказе можно указывать хоть имя подставного человека, хоть КХ, разницы никакой.
Неплохой список проверенных Drop-проектов (дроп-сервисы под стафф и обнал) здесь:
Скупщики товара (скупы):
При выборе других - смотрите на отзывы, ибо новые могут и кидать, особенно если нет депозита. По подставным лицам все.
FAQ:
А: Подставные люди есть под каждый штат/крупный город?
Б: Не под каждый крупный город, но под все практически штаты, плюс часто появляются новые и заменяются нерабочие.
Что касается перехвата. Вбив под перехват - это вбив, когда мы вбиваем на КХ - на имя КХ, на Billing и на Shipping КХ. И после этого задача перехватить посылку на почте. Посылка сначала попадает на склад службы доставки, прежде, чем приехать на адрес, и наша задача сделать так, чтобы на адрес к КХ она не доехала. Это и есть метод вбива на перехват
Для осуществления всей схемы нужно:
1) Грамотный звонок
2) Перехват-сервис
Перехват-сервис (PickUp) - это сервис с подставными лицами, которые с поддельными документами приходят на почту и забирают посылку. Звонок нужен для того, чтобы была возможность задержать посылку на складе, то есть, сделать так, чтобы она не уехала на адрес. Звонок звонит от имени КХ и просит задержать посылку на складе, аргументируя тем, что сам придет и заберет ее. Также, сейчас звонят от имени менеджеров магазинов, говоря, что клиент попросил не отправлять посылку на адрес, заберет сам. Если посылку задержать удалось, то мы регистрируем ее на перехват-сервисе, он делает подставному человеку
(Drop'у) документы. И затем посылка забирается и пересылается барыге.
Пример перехват-сервиса - @ninjablack63
У каждого перехват-сервиса есть зоны своей работы, то есть, откуда они могут забрать посылку. К примеру:
google.com/maps/d/viewer?mid=1O7ic6CFuOdnN8FdJ7npcxfIypM8&ll=33.66949700076431%2C-116.55532833281251&z=7
Слева - доступные штаты под перехват. Те, которые выделены - отделения в черных списках, на них слать ни в коем случае нельзя. Все ZIP'ы, попадающие в зоны перехвата (Кроме черных листов) подходят для вбива.
По почте основные - UPS, USPS, Fedex. У UPS и FEDEX иногда можно прямо через сайт по треку задержать. При выборе отделения для задержки Fedex, если задерживать через сайт, выбирайте отделения, где будет указано - Fedex Office Print & Ship Center. Такие отделения в списке будут числиться с номером телефона, что позволит в случае чего позвонить на это отделение через звонок. Посылку мы задерживаем после того, как она прибыла на почтовое отделение, то есть отслеживаем это по трек-коду. То есть, алгоритм такой - вбили, ждем трека, после попадания посылки на почту, пишем звонку, он звонит, задерживает, затем передаем данные перехват-сервису.
Касательно выбора СС лучше всего подходят жирные СС, то есть, Classic тут точно мимо.
Потому как перехват-сервисы работают с посылками от 1000$. Тогда как обычные Drop-сервисы от 250$.
Из банков под перехват лучше всего Credit Union:
KINECTA F.C.U.
ROBINS F.C.U.
TOYOTA F.C.U.
NEW MEXICO F.C.U.
MUNICIPAL C.U.
BRANCH BANKING
STATE FARM
FINANCIAL
То есть, с C.U. в конце. Если через одного звонка задержка не прошла, можно позже через другого, есть вероятность попасть на другого оператора.
Немного контактов звонков, но вообще практически любые подойдут, у кого есть услуга задержки:
@Malfey_Prozvon
@fbi_call
@brabus_call
Оценка магазина - webstatsdomain.org
Перенаправление посылки. Rerout. Урок 12.
Данный урок будет о Rerout'e. Reroute - это значит переадресация, перенаправление почтового отправления в нашем случае с одного адреса на другой, тот, который нам нужен. Для чего вообще нужно перенаправление? Бывает, что магазин уже стал грамотным в плане безопасности и уже имеет достаточно адресов разного рода посредников в своих черных списках. Но пытаться бить сразу незнакомый магазин перенаправлением тоже личное дело каждого, многие тестируют магазины вбивая на посредника. Получилось, отлично, не получилось нужно идти искать дальше магазин, который даст в посредника или же пробовать, вбив перенаправлением, то есть, на данные Billing держателя карты.
И так, что нам нужно подготовить, это:
1) Данные КХ, например: Elsie Guzman, 1425 utopia ln, Vineland 08361, 8568994854, [email protected], 4147202111064760, EXP 10/18, CVC 199
2) SSH или SOCKS желательно, как можно ближе к Billing адресу (Он же Shipping), в идеале тот же ZIP. Но такое случается довольно редко, поэтому может быть достаточно и города, ну и в крайнем случае это же штат. Использовать другой штат, это уже идея 50/50, а то и меньше.
3) Адрес подставного лица или посредника, на который мы будем делать перенаправление посылки если все будет удачно и его отправят. Ситуация с данным адресом примерно такая же, как и с SSH и SOCKS, в идеале нужен тот же город, что в Billing адресе. В крайнем случае, смотрите ближний штат по карте.
4) Контакты сервисов, кто сможет сделать перенаправление.
FAQ:
А: Как вообще перенаправление происходит? По сути звонок звонит и договаривается, чтобы посылку перенаправили?
Б: Да, есть пара методов перенаправления через сервисы звонков и через аккаунт почты, все это делают по контактам, которые я дам, или вы сможете сами найти на форумах, а так же вы это сможете сделать сами, если не хотите платить деньги. Звонок звонит в службу доставки, когда посылка отправлена. Но вы можете заказать звонок, чтобы попробовать изменить адрес доставки до того, как отправят посылку, но в большинстве случаев магазин просит перезаказать, а это уже становится не очень идеей.
А: На сколько максимум может быть удален SSH от Billing адреса?
Б: Я, например, стараюсь, чтобы не более 500 миль, но были случаи, что и с соседнего штата проходило. Зависит от того, как AntiFraud магазина настроен.
Теперь конкретно процесс. Нашли сайт, готовим корзину, заполняем графы. И еще немного тонкостей, что касается номеров телефона и Email, их можно ставить свои. Если лютый AntiFraud, то тут несколько вариантов:
1) Ставим почту КХ и флудим его (В случае, когда AVS сверяет почту с Billing информацией).
2) Ставим другую почту, НО НЕ СВЕЖЕЗАРЕГИСТРИРОВАННАЯ. То есть, от другого КХ с отработки и так далее.
3) Покупаем почту с давней регистрацией Made in USA и пользуемся.
Телефон оставляем под нашим контролем, частенько звонят. Имя можно оставить КХ, если перенаправление идет на подставное лицо, если на посредника, то вбивать на имя которое в посреднике (не все посредники на любое принимают).
Все остальное - адрес, город, штат, ZIP, все как в Billing адресе.
Далее, заполняем Shipping или Billing адрес в разных магазинах по-разному идет очередность, ставим галочки Same, то есть, адреса Billing и Shipping одинаковые. Вбиваем. Ждем результат.
Если магазин решил прозвонить на номер КХ, который вы указали в GoogleVoice или TextNow, то там есть голосовые сообщения и многие менеджеры оставляют свои вопросы или просьбы перезвонить и уточнить что-нибудь по заказу. Могут просто прозвонить и не оставить сообщение, значит смотрим, что за номер звонил и ищем его в Google, обычно находим магазин. И теперь понятно, какой магазин звонил, если звонили, значит в 99% что- то им нужно узнать. Заказываем звонок, чтобы вырулить ситуацию. Делаете заказ звонку, и он сообщает вам результат
Дальше. У вас появился трек номер по которому можно определить, какой почтой идет, когда и откуда отправили, когда и куда приедет ваша посылка. Тут важно понимать некоторые моменты. Не все почты на данный момент имеют функцию перенаправления без каких-либо проблем.
Разберем этот вопрос:
USPS - на данный момент нет сервисов (И вариантов пока тоже не найдено).
UPS - перенаправление возможно через звонок или через систему UPS My Choice (через личный кабинет на сайте).
FEDEX - перенаправление возможно через звонок или через Fedex-аккаунт.
DHL - редкая почта, но также возможно сделать перенаправление звонком или же через delivery.dhl.com FAQ:
А: То есть, перенаправление делается после того, как выслали посылку, а не до этого?
Б: Да, именно, после, как произошла отправка.
А: А как служба доставки верит звонку? Он какие-то данные им предоставляет? Или просто затирает что-то?
Б: Есть специальная форма заказа, там вся информация, которая нужна звонку или сервису, вы заполняете информацию по заказу, а они уже будут работать.
А: Если ты сделал посылку на КХ, потом заказал звонок, а там послали, то есть, в этом случае КХ получит подарок.
Б: Да, если сервис не смог, вы ему денег не платите, а КХ получает подарок!
А: Если с сайта почты в личном кабинете перенаправлять. Нужно делать каждый раз новый аккаунт на почте? Как присвоить данную посылку к новому аккаунту?
Б: Регистрируется на имя КХ и на его реальный адрес, потому что почта это все сверяет. Далее, в кабинете видны все посылки, которые идут на этот адрес.
А: А часто такое вообще бывает, что сервис не смог?
Б: Частенько, особенно звонки редко справляются, из-за запрета, который установил магазин. Через аккаунт почты реальнее, но у Fedex есть какой-то запрет, что и через аккаунт не сделать. Все зависит от магазина, то есть, от отправителя. Есть сервисы, кто обходит запреты, но об этом дальше.
Итак, у вас трек, но не стоит сразу нажимать на газ, и обращаться в сервис. Нужно выяснить, когда посылка двинется с отделения и будет в транзите. Отлично, посылка в транзите,
поехала, смотрим, когда у него по графику доставка и за два дня максимум за день до доставки нужно сделать запрос на перенаправление. Некоторые делают сразу, и вообще с Калифорнии в Нью-Йорк, но это печально может закончится, ибо магазин может поставить себе уведомления и следить за треком. Особенно это касается маленьких магазинов. И не забываем о том, что если даже магазин не следит за посылкой, то быстрый возврат денег, может его заставить сделать разворот обратно. Поэтому стараемся работать на коротком плече. И еще тонкость, я не давно попался с тем, что вбил магазин, который находится в Калифорнии и адрес КХ был тоже не далеко. Сервис тупо не успел сделать перенаправление.
Вывод, если перенаправлять, то нужно вычислить склад магазина, в каком он штате, потом обращаемся в сервис или делаем сами. Если перенаправление удачное, то будет виден, что запрос на изменение адреса принят системой и ожидает его исполнения.
Пример удачного перенаправления выглядит так:
Если перенаправление невозможно, то вам скажут об этом, и денег вы не должны.
Теперь тонкости. Если мы планируем обращаться в сервис, то лучше всего начать со звонка, это дешевле. В районе $10-15. В то время как, сделать перенаправление через аккаунты или для отправлений с запретом стоит от $40-$50. Это мой личный опыт, если звонок не смог, я иду к сервису, который работает с запретами. Далее, уже ждёте посылку у подставного человека или у посредника.
Примерная форма заявки в сервис:
Shop: www.shop.com
ORDER INFORMATION
Shipping Address:
Derek Jame
4757 N Ridge Ave Apt 2, Chicago Illinois 60660
3474279920
Shipping Method - FedEx Home Delivery
453070888888
Перенаправление на этот адрес:
1235 AVENUE B COUNCIL BLUFFS IA, 51501
А: Как выяснить, что посылка в транзите? По трек номеру? То есть, желательно, чтобы склад был не в том же штате, что и КХ? А как вычислить?
Б: Видна надпись Pending, а после нее Transit, тогда посылка и поехала. Все видно в треке! Да, очень желательно, чтобы магазин и КХ жили немного подальше.
А: Как узнать, где у магазина склад?
Б: Иногда пишут на сайте, но можно спокойно написать в техническую поддержку и поинтересоваться.
Контакты:
Я использую часто этого звонка - @fbi_call, он делает UPS и Fedex, но запреты не делает.
Женский голос - Ника (@Nika_Nikola)
Что касается проблемных перенаправлений и обхода запретов:
Fedex - @rasmus_call
UPS and Fedex - @Researcherwwh
Номера телефонов:
textnow.com
evoice.com
gvoice.pw
Работа по Европе и Азии (Особенности). Урок 13.
Все помнят, что такое AVS? Так вот, один из главных плюсов работы по Европе - отсутствие AVS, за исключением UK, где она есть навскидку в 60% магазинов, а также частично в Италии, Германии, там небольшое количество магазинов имеет систему AVS.
Вторая особенность - отсутствие звонков, в Европе очень не любят звонить из магазинов - это тоже большой плюс, но тут есть и минус, просят документы. Звонить не будут в любом случае, но именно документы попросить в случае чего могут, но после предоставления доков с 99% вероятностью вышлют.
Третья особенность - повсеместная система 3DS - есть почти в каждом европейском магазине
- это можно обойти или же вбивом США BIN'ов со сбросом VBV и McSC - это хороший вариант, но не для всех магазинов он подходит, по той причине, что часть европейских магазинов вообще закрывают оплату США-картами. Также, есть UK BIN'ы со сбросом VBV и McSC - этот вариант уже получше. И NoN VBV европейские BIN, их найти довольно тяжело сейчас. И еще один вариант - вбив American Express, но это быстрые возвраты денег, поэтому годится для заказа экспресс доставкой или же для Gift.
И четвертая особенность - ручная проверка, есть в некоторых европейских магазинах, иногда на все заказы, иногда только на подозрительные. К примеру, на ASOS на все заказы ручная проверка. При ней, несмотря на отсутствие AVS, магазин звонит в банк и узнает ваш реальный Billing адрес. Это никак не обойти, только бить Bill!= Ship, и затем отсылать поддельные документы. В таком случае, заказ вышлют.
Еще один вариант - это вбив через РР (ПП), работа с которой будет в следующих уроках. Важный момент при работе по Европе - не брать карту той страны, куда идет доставка, то есть, если посылаем посылку, например, в Германию, то карту берем не Германии. По
возможности лучше, чтобы не совпадала и со страной магазина карта, но это необязательно. Главное, чтобы не совпадала с Shipping адресом, а то убьете подставное лицо. Также, есть в Европе такая проблема, как регион запретов, то есть, запрет на платежи вне конкретной страны, но здесь только тестами это проверять, встречается не повсеместно. И еще большой плюс Европы, это то, что можно слать напрямую в Россию. По Европе все.
Что касается Азии. Во-первых, опять же начнем с плюсов, регион менее используемый, чем США и Европа. Второй плюс это то, что Азия берет любую СС вообще - и США, и Европу, и саму Азию. И, собственно, третий плюс - многие магазины готовы слать в Россию, что касается минусов. Доставка в Россию очень долгая. Причем, с любой азиатской страны, поэтому слать лучше на посредника в США - это быстрее в разы. Также, частенько просят подделку (Отрисовать документы). AVS в Азии нет вообще нигде, но на крупных площадках может быть ручная сверка данных уже после прохода платежа, а на мелких магазинах может быть ручная обработка. То есть, оставляем им данные карты, и они сами проводят платеж. В этой ситуации указываем Billing от карты и ждем запроса на подделку (Документы).
Касательно того, что лезет любая СС - есть нюанс, если бьем в Европу или СНГ, то карту берем Европы, если в США, то США. А если брать СС Азии, то в таком случае вбиваем именно в ту страну, откуда СС - это если бьем на посредника в Азии. Например, что касается VBV - VBV есть, но не везде далеко. Более того, азиаты любят вешать иногда значки VBV or McSC, а на деле никакой сверки нет. Там, где VBV есть, пробивать можно любой СС - USA без VBV, USA с VBV, Европой.
Касательно вбива, еще какой момент - несмотря на отсутствие AVS, особенно дорогие посылки лучше бить на Bill!=Ship, так как могут проверить вручную, до 1000$ можно бить BillShip. По поиску магазинов отдельно скажу по Азии.
Термины:
Магазин - интернет-магазин, шоп.
Платежная система - мерчант (например, Shopify). Здесь стоит сделать уточнение, что в понятие платежной системы входит много значений, сейчас поясню.
Например, VISA и MasterCard - это система расчетов именно по банковским картам (СС).
PayPal, QIWI - это система расчетов именно электронными деньгами в интернете.
А такие штуки, как Shopify и SagePay - это уже платежные системы внутри интернет- магазина. Условно говоря, можно назвать это их движком.
Не бойтесь запутаться, по контексту будет понятно, о чем именно идет речь.
Поиск интернет-магазинов. Урок 14.
Итак, поиск магазинов. Собственно, как ни странно, здесь все просто - искать магазины легко. Главная задача - фильтровать их. Поиск магазинов происходит главным образом через обычные поисковые системы. Сам поиск осуществляем с IP той страны, магазин которой мы ищем, чтобы не было лишних результатов.
Главный инструмент при поиске магазинов - операторы той поисковой системы, которую мы используем: 1ps.ru/blog/dirs/2016/operatoryi-poiskovyix-sistem-google-i-yandeks/
О правильном поиске в интернете: habrahabr.ru/sandbox/46956/
Здесь ключевые операторы Google - они очень удобно уточняют поисковой запрос.
Основные, которые регулярно используются:
site - Можно уточнить домен.
Intext - Можно уточнить, что должно быть в тексте сайта.
inurl - В ссылке сайта.
Также, можно использовать +, чтобы не было исключений по словам, а, также, ключевые слова с соответствующим оператором и оператор related.
Что НЕ НУЖНО использовать:
Слова и словосочетания: buy, pay visa, pay mastercard, shop with. В целом, можно искать также по платежным системам, но об этом немного позже. После того, как мы нашли магазин, нам нужно его проверить. Прежде всего прочего проверяем его на публичность с помощью, опять же, Google. При помощи запроса ДоменМагазина + Сarding. Таким образом, будет идти поиск тех сайтов, где встречаются и домен магазина, и слово Carding, а так как carding прописан в ключевых словах на всех carding-форумах, вы найдете, если где-то этот магазин упоминался, сливался. Если это было раньше 2 лет назад, то лучше оставить эту затею, скорее всего, с таким магазинов вы потеряете или много нервов, или денег, или всего сразу. Если, к примеру, посты относительно новые, то где-то может быть слита информация, как этот магазин лучше бить, то есть, наличие AVS и прочее.
Второе, что обязательно следует проверять, особенно на вашем этапе, это популярность магазина. Универсальный показатель этого - Alexa-рейтинг. Проверяется он здесь, например - alexa.com/siteinfo или на любом аналогичном сайте, чем он выше рейтинг, тем магазин менее популярный, чем ниже, тем более популярный. Чем выше показатель, тем вероятней, что магазин проще для вбива. Также, на whois.net можно, например, смотреть, насколько свежий у сайта домен, но это не сказал бы, что определяющий показатель. По Азии все аналогично, но можно подключить поисковик baidu.com
Что касается платежных систем, чтобы узнать платежную систему сайта, можно, к примеру, использовать сайт builtwith.com - он не всегда определяет, но определяет.
Базовую информация по платежным системам:
USA
1. Shopify - с каждым месяцем закручивает гайки туже и туже. Замечает DS и другие подмены IP. Знает Billing. Не утруждает себя, даже письмами об отмене заказа и письмами о возможном мошенничество с вашей стороны. Выход - либо искать новации по настройкам системы, либо самые свеженькие магазины, которые не пугаются пока флажка - возможный Fraud. Или бить очень чисто
2. WooCommerce - проходимость зависит от интернет-магазина, от того, как система настроена.
3. BigCommerce - в принципе все тоже самое, что и выше.
4. Magento - простой, поэтому магазины могут требовать верификацию.
5. Shoprunner - это же и является платежной системой многих монобрендовых интернет- мазазинов. Достаточно легок для работы.
6. Braintree - вполне легкий.
EU
1. SagePay - всегда VBV, в зависимости от магазина различные типы карт. Важно: Нет SafeKey для AmEx. USA и UK под сброс кушает. Важно - если оплата прошла, магазин на 99% вышлет.
2. CartaSi - всегда VBV, почти не берет не европейские карты. SafeKey почти всегда.
3. BancaSella - один из замечательных движков с VBV. Хорошо идут USA и UK под сброс. Бывает чудо и VBV нет. 100% попадание если транзакция прошла.
4. Adyen - тоже красавчик, лезут все страны, SafeKey нет, но с удачной транзакцией магазин может докопаться.
5. Bucharoo - противнейший голландский мерч. И SafeKey, и только Европа.
6. Wirecard - SafeKey нет, как и AmEx практически, перестал кушать что-то, кроме Европы. Бывает и без VBV.
7. Erstes - тот же Wirecard..
8. SaferPay - SafeKey есть, только Европа. Бывает и без VBV.
9. Nochex, datacash, ingenico e-commerce (Не путать с Ingenico обычным) - всегда VBV.
Non VBV
1. Net-a-porter - все монобренды Европы. Редко бывает VBV. Вобьется туда все.
2. Deletion. Сумма покупки блокируется и окончательно списание происходит в момент доставки посылки. Поэтому крайне важно, чтоб карта дожила до этого момента. Это максимум 2-3 дня.
3. Zerogrey - раньше кушал все, сейчас стал более капризный, в основном Европа. 99% вероятность, что на первый заказ будет нужна отрисовка. Если сделано хорошо (Фото, а не скан), то успех гарантирован. Советую всегда заводить аккаунт в магазине, если карта выживет после первой отправки - выжимать с нее максимум.
В общем, как видите, тут все довольно индивидуально, кому какую систему бить удобнее. К примеру, я люблю бить SagePay - европейская система. Он ест любую СС с VBV (Почти в любом магазине). И если платеж прошел, то магазин в 99% случаев высылает посылку.
Есть сайты такого плана: myip.ms/browse/web_hosting/World_Hosting_Companies_DB_140000.html
Они позволяют искать магазины по платежной системе, который также предоставляет свой движок, как Shopify, например, то есть, если тут указать в хостинг компании Shopify, то увидите магазины с этой платежной системой.
На builtwith.com тоже можно, но ограниченное количество без подписки. Подписку в принципе можно вбить.
FAQ:
А: Что НЕ НУЖНО использовать?
Б: Как выглядит плохой и глупый запрос - buy+iphone+xs+pay+by+card. Как можно
сделать его нормально - iphone+xs+sale intext:"cart". Почему первый плохой? Все просто - в ключевых словах уже давно нет Buy. В начале нулевых было, когда магазины открывались как понятие, сейчас нет. Pay By Card тоже мимо - везде есть оплата картой, а если вы уточните при помощи оператора, например, что в тексте должно быть обязательно слово "Cart" (корзина), то это уже совсем другое.
Проект в Private Keeper для поиска магазинов:
PK - это такая площадка, лицензия к ней стоит 200р в месяц. Работает также на поисковых системах, но многое автоматизирует и упрощает.
pk.woex.in - купить ключ Private Kepeer.
deival909.ru - официальный сайт, где ты можешь почитать об программе.
@holyrain - Делает проекты на PK. Обращайтесь к нему, если хотите получить в свое распоряжение большой список магазинов, куда можно вбить. Также, он еще пишет проекты на Brute аккаунтов в магазинах (дальше поймете, почему это очень полезная вещь)
Парсинг ссылок. Коротко. Урок 14.1.
Для парсинга ссылок нам понадобится SQL Dumper 8.2, SQL Dumper 9.2, Dorks Combine и TextUtils.
Запускаем TextUtils, дальше ПКМ на документе - Text Utils Pack - рандомизировать.
На рабочем столе появится новый файл, filename_randomized. Открываем его и копируем Dork's оттуда.
Открываем SQL Dumper 9.2. Вставляем сюда наши Dork's и идеи в Proxies List.
Жмем Clear (очищаем то, что там есть по умолчанию) и ищем прокси. Можно взять, к примеру, на best-proxies.ru/good-proxies.ru
Загружаем базу для перебора, прокси, начать. Нажимаем папку - откроется папка с результатами сканирования.
Выглядит примерно так:
На этом все.
E-Gift. Урок 15.
Существует два вида Gift'ов - физические и электронные. Физические Gifts - это подарочные карты, их нечасто вбивают, потому как не часто можно встретить их скупщиков, поэтому нас больше интересуют E-Gifts. E - означает электронные. Суть такая их, что если человек хочет сделать подарок кому-то, он может подарить виртуальную Gift-карту. Определенного номинала. Человек получивший Gift может на эту сумму сам выбрать себе товар. E-Gift приходит получателю в виде кода на почту. После чего в магазине, откуда Gift, можно совершить оплату этим кодом. Можно оплатить, как часть покупки, так и целиком, если номинала хватает.
Бывает, когда код с Gift'а вводится не при оплате, а на сам аккаунт в магазине и списание средств идет из аккаунта. Наша задача купить Gift и обналичивать в виде товара самому себе,
или же продать его, если такой скупают. Плюс вбива Gift - Gift бьется BillShip на КХ, и когда Gift прошел, то получатель бьет его Ship=Bill. То есть, на себя целиком и полностью (На подставное лицо). E - это своего рода вариант обхода вбива на разные BillShip, который магазины не особо любят. В магазинах электронный Gift обозначается, как E-Gift / E-Gift Card / Gift Voucher.
К минусам Gift'ов можно отнести то, что он может умереть, иногда магазин может скидывать Gift мгновенно, то есть сразу же, вбили и через минут 2-5 прилетает Gift, но потом, когда такой Gift используем, магазин может взять заказ на обработку. И во время обработки может прилететь возврат денег потому, как это может продлиться 3-5 дней. Другой вариант, когда магазин не высылает Gift мгновенно, а сначала обрабатывает платеж, а потом уже присылает. Как по мне, так гораздо лучше и удобнее. Позволяет в случае чего сделать верификацию поддельными документами или звонком, если какие будут вопросы у магазина. Разделы с Gift'ами могут быть, как на самом сайте отдельно, так и среди товаров, например.
Может быть внизу, где условия доставки и прочее, как здесь, например: modeltrainstuff.com
Бывает, что указано что-то типа «E-mailed within hours of purchase» - это значит, что обработка пойдет сразу после оформления заказа, а потом уже вышлют Gift. Может быть типа «Gift cards will be e-mailed instantly and can be used immediately» - такие прилетят мгновенно, причем вполне вероятно, что и использовать их можно будет действительно сразу же. Что касается оформления Gift'ов.
Здесь есть ключевые поля:
Your Name - Recipient's name
Your Email - Recipient's email
То есть, имя отправителя - имя получателя. Здесь есть несколько советов. Во-первых, подарок от семейной пары, то есть, в отправителе мы пишем, например, John & Sara, можно написать Smiths Family. Также, можно сделать одну и ту же фамилию у получателя и отправителя. То есть, в отправителе написать фамилию подставного лица, например, получится, как будто они члены семьи и в дальнейшем развить это в поздравлении, которое идет всегда с Gift-картой. Здесь не стоит оставлять пустым поле, а стоит написать или пожелания
или какой-нибудь найденное в интернете пожелание.
Что касается почтовых ящиков. Лучше всего брать разные домены, то есть, отправитель Yahoo, например, а получатель Gmail. Что касается вбива, здесь все стандартно, но бьем BillShip. IP лучше максимально под CC и вбивать лучше понедельник, вторник и среда. Когда Gift пришел на почту, что можно сделать - отовариваем самому, то бишь покупаем товар за Gift и вписываем свой адрес доставки в США, либо создаем тему на Carding форуме с предложением продать Gift за процент или попросту ищем барыгу. Лучше дать перед этим чутка ему отлежаться.
FAQ:
А: Сколько максимум можно выслать Gift'ов на одну почту, без подозрений?
Б: Один.
А: Как долго лучше дать отлежаться, на какие суммы идут Gift'ы?
Б: Можно часа три. На суммы любые, какие позволяет магазин.
Термины:
Enroll - енролл, ролить (по факту, это просто регистрация и создание личного кабинета в онлайн-банкинге).
Reroll - реролл (это такая же регистрация, только мы просто сбрасываем все данные и регистрируемся заново).
Проверочные платежи - миники, MiniDeposit (это штука будет встречаться вам часто дальше в уроках).
«Открыть» карту, взломать карту - означает то, что вы смогли получить доступ в личный кабинет онлайн-банкинга, теперь видите баланс СС и так далее.
Enroll. Онлайн-банкинг. Урок 16.
Первый урок по БА (Именно этот урок не про сами БА, а про Enroll'ы, держите это в голове за все время этого урока). БА - это онлайн-банкинг. В России - это типа Сбербанк-онлайн, ВТБ-онлайн, то есть личный кабинет карты. В США у такого онлайн-кабинета больше возможностей. Кто помнит, как мы можем определить банк, имея на руках карту? Верно - по BIN.
Разберемся в терминах немного. Бывает Reroll и Enroll. Enroll - это когда КХ до этого карту не Roll'ил, то есть, не создавал к ней личный кабинет, не регистрировался, и мы делаем это в первый раз для карты - это Enroll. Reroll - это когда КХ карту уже Roll'ил.
И мы при помощи тех же данных, что нужны при Enroll'е, сбрасываем его данные и как бы заново регистрируемся. Какие собственно дает возможности БА. Разные - это зависит от банка. Во-первых, проверочные платежи, то есть, MiniDeposit - это такая небольшая сумма, которая списывается с карты для подтверждения того, что она ваша, так делают некоторые магазины после оплаты, а также некоторые сервисы могут запрашивать MiniDeposit для привязки туда СС. Выглядит это как два небольших платежа - одного доллара обычно. Они списываются и затем с вас спрашивают точные суммы списания, а затем они возвращаются на карту. Этой функции может и не быть. В таком случае, если проверочный платеж списали один, то можно посмотреть по статистике изменения баланса и высчитать его.
Следующая функция БА, она есть абсолютно во всех БА - это то, то мы можем узнать баланс карты. Это полезно, когда делаем большие вбивы. Третья функция - добавление или смена Billing адреса - это есть не во всех банках. Посредника не стоит добавлять\менять, ибо они в черных списках у банков. После смены или добавления адреса лучше отлежать 3-5 рабочих дней. Гипотетически меняться адрес в базе может и дольше, но это такой базовый срок, за который ЧАЩЕ всего меняется. Если адрес сменился в личном кабинете, то это не значит, что он сменился в базе, поэтому и важно отлежать. Также, не во всех банках добавленный (Именно добавленный) адрес может считаться за Billing. Roll'им карту так же, как и бьем
то есть также LS-SSH-туннель. SOCKS лучше не брать, ибо живут недолго.
Порядок Enroll'а таков. Допустим, мы не знаем, какие банки можно ломать. И BIN's тоже не знаем. Чтобы узнать это - идем на сайт банка и ищем там - enroll\register\join\sign up. Введя
номер карты уже узнаем, что надо для Enroll, чаще всего это комбинации из DOB, SSN and MMN. Чаще DOB+SSN.
Что касается IP, берем ближе под подставного человека (Drop'а). Подставного человека лучше брать в одном штате, не рисковать. Если же делаем Reroll, то лучше IP брать под КХ, чтобы снизить риск дополнительных проверок и оповещений, которые КХ установил.
Рекомендую флудить почту КХ, так как мыло, указанное в комплекте с картой, с большой вероятностью оставлял КХ в банке и при Enroll и Reroll, тем более ему туда капнут оповещения об этом - это не всегда далеко так происходит, но такое может быть.
Собственно, если все хорошо, но карта не открылась (Не смогли зайти в ЛК - личный кабинет), то причин масса, среди основных это - No Valid карта, неверные данные, неподходящий BIN (Дебет какой-нибудь или просто неподходящая кредитная карта), а также, что в общем-то нередко, карта, которую вы пытаетесь открыть может быть второй картой КХ, привязанной к интернет-банкингу основной карты, в таком случае вы не сделаете ни Reroll, ни Enroll.
FAQ:
А: Многие банки просят Member Number, когда пытаешься сломать карту, это я, так понимаю никак не обойти?
Б: Редко встречается, встречал от силы пару раз.
А: Ещё, просят выбрать тип аккаунта, из вариантов: Cheking, Saving, Certificate Of Deposit, Commercial Loan, Line Or Credit. В общем, что это такое?
Б: Типы счета. Расчетный, сберегательный, кредитная линия, взятая в кредит сумма в виде Loan.
Собственно, после того, как мы сломали карту, мы попадаем в личный кабинет и там у нас есть несколько строк с суммами денег. Так вот, обычно это Credit Limit, Available Credit, Current Balance. Могут быть и другие, с припиской Cash.
Current Balance - это НИКОГДА не баланс личного кабинета - это та сумма, которую из кредитного лимита КХ уже потратил. Наш баланс - это Available Credit. После того, как попали в личный кабинет, сверяем последние цифры карты, в личном кабинете и вашей карте они должны совпадать, это всегда делаем первым делом. Если они не совпадают, то либо карта перевыпущена была, либо (Если это Reroll), то в личном кабинете добавлена еще одна карта. К ней мы доступ никак не получим, как и в случае с перевыпуском. Если все совпадает, то все хорошо. Также, как уже говорил, не забываем дать карте отдохнуть после смены Billing. НИКОГДА не стоит менять почтовый ящик. Все остальное менять можно, включая телефон. В личном кабинете еще есть оповещения.
После первого захода в личный кабинет ненавязчиво заглядываем в настройки и проверяем, что там за оповещения включены. Все отключать не стоит, только те, что точно будут мешать. То есть, например, о транзакциях свыше определенной суммы или о транзакциях как таковых.
Также, в настройках можно иногда отключать блокировку определенных регионов, если он стоит. Сделать это лучше до всех смен адреса и прочего, то есть, открыли карту и пока спам идет, все отключаем, не спеша. Парочку оповещений лучше оставить, которые никак на нашу работу не повлияют. Что касается вбива через личный кабинет, можно вбивать как обычно - на BillShip, на подставное лицо. А можно через звонка - это максимально обезопасит личный кабинет от смерти, потому что такие платежи проходят особым образом и отображаются, как Offline покупки. Не все магазины это поддерживают, поэтому можно либо уточнить в технической поддержки, либо это будет и так написано. Звонку кидаем все данные, по заказу, по СС, и он вбивает по телефону.
Термины:
Brute - брут. (Способ взлома аккаунта через простой перебор. Не работает, если пароль слишком сложный)
Логи. Brute-аккаунты. Урок 17.
Урок о работе с взломанными-аккаунтами и логами. И начнем со взломанных-аккаунтов, то есть, перебора слитых данных с одного сайта на другом сайте.
Выглядят они, как Mail
assword или Loginassword. Также, вместе с Brute часто используют Checker'ы, поэтому по итогу в продаже аккаунты вида:asswordНаличие
СС\Баланс
То есть, те данные, которые могут быть из аккаунта важны. Немного проясню, взломанные- аккаунты могут быть нескольких видов (Если классифицировать их по принадлежности):
1. Аккаунты магазинов
А) С картой.
Б) С балансом.
В) С заказами, пустые.
Аккаунты магазинов с привязанной картой могут быть тоже трех видов:
1) CVV привязан и никогда не слетает.
2) CVV привязан и может слететь из-за AntiFraud или\и смены адреса Shipping.
3) Без CVV.
С первым типом все понятно - меняем Shipping - шлем. Со вторым все чуть сложнее. Здесь лучше всего бить на перехват\перенаправление и спамить почту, чтобы КХ не пришло письмо о заказе, попутно наблюдать за треком в магазине. И третий по сути то же самое, что аккаунты с заказами, пустые. Они нужны только по той причине, что там есть история покупок, то есть, аккаунт не свежий, а уже более-менее проверенный и доверия к нему больше.
Что касается аккаунтов магазинов с балансом, здесь все просто, это как правило Gift баланс, так что слать можно куда угодно.
2. Аккаунты контор:
А) С балансом.
Б) С разными плюсами.
Такие редко продаются, особенно если на них все легко, с них можно либо вывести, либо что-либо оплатить (Мили, например). Сюда относятся разные покер-румы. казино, букмекерские конторы, кошельки и так далее.
3. Платежные аккаунты. Это Brute PP (Которая своя отжила) и БА, которые можно прикручивать к перерегистрированной ПП или использовать отдельно (Об этих двух видах работы будет отдельный урок).
Собственно, это что касается взломанных аккаунтов. Соответственно при покупке мы получаем те данные, которые характерны для конкретного магазина, будь то баланс или наличие привязанной карты, бить такие аккаунты лучше всего с IP Shipping. Если мы не знаем, откуда у нас КХ, а собираемся слать на перехват, то лучше зайти в аккаунт, посмотреть его адрес и потом отлежать его 4-7 дней. И потом подобрав уже под КХ - бить. Можно, если есть приложение у магазина, использовать их с настроенного андроида. Если приложения нет, то можно с Linken Sphere, или с DS, как удобно.
Что касается логов, логи получаются со Stiller'а в основном, иногда с KeyLogger, и вместе с ними помимо данных от аккаунта, мы получаем Cookies. Их можно загрузить в браузер при помощи расширения Cookie Manager и будете, по сути, как КХ. В остальном все то же самое, что и с аккаунтами. Логи продают или по конторам или целой пачкой, в которой могут быть разные аккаунты. По конторам обычно продают ПП с логов.
FAQ:
А: Что такое Stealer (Stiller, стиллер, стилак), KeyLogger (кейлоггер)?
Б: Вредоносные программы. Stealer'ы крадут сохраненные данные из браузеров, что позволяет отдельно настроить файлы, а KeyLogger'ы перехватывают всю вводимую информацию.
А: Ebay + PP, Ebay + CC аккаунты стоит ли пытаться использовать?
Б: С Android можно, но гаечки закрутили.
Продажа аккаунтов:
blackpass.info
blackpass.name
blackpass.cc
blackpass.bz
Продажа аккаунтов социальных сетей (если кому интересно):
deer.ee/search/?q=instagram
akitut.ru
Небольшое дополнение к прошлым урокам. Что видит магазин? Урок 18.
Здесь у нас на повестке три темы:
1) Как узнать, что палит магазин?
2) Что сделать с виртуальной машиной?
3) Как настроить андроид?
Собственно, AntiFraud. AntiFraud работает, пропуская данные через включенные фильтры. Помимо него, эти данные также есть у магазина, на основе чего служба безопасности или же менеджеры принимают решение, выслать заказ или нет. Из основных фильтров можно назвать:
1) Верифицирующий - проверяет правильность номера карты, есть везде.
2) Стоп-фильтры - есть в крупных магазинах, обеспечивают взаимодействие между банками по подозрительным транзакциям и жалобам.
3) Локационные - фильтры по местонахождению. Весь СНГ + много очков к Fraud.
4) Технические фильтры - проверяют совпадение технических параметров.
Нас больше интересуют не столько фильтры, а сколько то, что же все-таки магазин с нас считывает при заходе на него. Чтобы определить, что замечает магазин, нам нужно две вещи. Mozilla v. 42 и плагин FP Block.
Он предназначен для блокировки отслеживания, в нашем случае он нужен, чтобы показать, что отслеживается. Работает он просто, устанавливается, затем при заходе на любую страницу отображает, что она считывает.
Выглядит оно вот так :
Здесь есть понятные идентификаторы, есть не очень. Полный их перечень:
1) DOM Session Storage - данные текущей сессии (К ним открытые вкладки, просмотренные в этом окне страницы), при открытии нового окна браузера начинается новая сессия.
2) Color Depth - битность цветопередачи, в принципе особо значения не имеет, потому что тут вариативность небольшая, можно забить. Создано, чтобы заметить, когда вы на DS (Dedicated Server) включили минимальную битность, чтобы он быстрее работал, и у вас там все изображение сине-зелено-малиновое.
3) Screen Width and Height - разрешение экрана.
4) Cookies
5) Plugins - видит плагины, так что все плагины для подмены в помойку, но именно плагины, а не расширения.
6) Mime Types - видит, какие расширения может открывать браузер, можно было бы забить, но при подмене браузера будьте осторожны, потому что, например, какой-нибудь ЯндексБраузер у вас откроет и аудио, и видео, и еще что-то, а Mozilla 42 ничего не откроет, поэтому при подмене это учитывайте, иначе при вбиве спалитесь и тогда все.
7) App Name - имя браузера.
8) Timezone - часовой пояс.
9) User Agent
10) Pixel-Depth - то же, что и глубина цвета, но видит по-другому, опять же если у вас не DS, то можно забить.
11) DOM Local Storage - данные за все сессии. (Осторожно, это жесть)
12) WebGL - видит WebGL.
13) IndexedDB - по своей задаче то же самое, что DOM хранилища, но хранят в себе много данных за больший промежуток времени.
14) IE userData - почти то же, что и DOM хранилища.
15) Java - видит все через JavaScript.
16) Language - язык.
17) Geolocation - геолокация.
18) Audio Ctx or Fingerprinting - аудио отпечаток.
19) App Code Name - сравнивает запросы и заголовки браузера.
20) App Version - версия браузера.
21) Platform.
22) Canvas - установленные шрифты. Шрифты, которые применяются для отображения страниц, заголовков и так далее. Все это складывает в FingerPrint.
Что делать с DOM хранилищами?
Переходим сюда: macromedia.com/support/documentation/en/flashplayer/help/settings_manager03.html
Такие параметры считываются магазином и при обработке заказа находятся у них перед глазами на странице оплаты, соответственно (Ибо оттуда идут от платежной системы запросы), также отображаются идентификаторы, они могут быть другими, это уже то, что считывается при оплате.
Что касается виртуальной машины. Здесь есть два готовых решения. Anti-detect от VektorT13, ставится с файла .exe, быстро настраивается, последние сборки не тестировал, Vektor'а не очень люблю, но судя по отзывам пойдет. Второй вариант это Script, он ставится после того, как создана виртуальная машина в VirtualBox
github.com/hfiref0x/VBoxHardenedLoader - сам Script.
Мануаль по его установке: github.com/hfiref0x/VBoxHardenedLoader/blob/master/Binary/install.md
И есть один нюанс. В файле hidevm_ahci надо заменить
%vboxman% setextradata "%1" "VBoxInternal/Devices/acpi/0/Config/DsdtFilePath" "%vmscfgdir%ACPI-DSDT.bin"
%vboxman% setextradata "%1" "VBoxInternal/Devices/acpi/0/Config/SsdtFilePath" "%vmscfgdir%ACPI-SSDT1.bin"
- НА -
%vboxman% setextradata "%1" rem "VBoxInternal/Devices/acpi/0/Config/DsdtFilePath" "%vmscfgdir%ACPI-DSDT.bin"
%vboxman% setextradata "%1" rem "VBoxInternal/Devices/acpi/0/Config/SsdtFilePath" "%vmscfgdir%ACPI-SSDT1.bin"
На Windows 10 иногда может выбивать синий экран смерти. Подменяет солидное количество параметров, главным образом те, что палят виртуальную машину, как виртуальную машину, включая видео-драйвер. Если все правильно установить, после запуска виртуальной машины появится девочка из Anime. Это критерий того, что все нормально поставилось.
FAQ:
А: А как определить все же, что за платежная система в магазине, даже на примере того, что ты скинул, представим что нет информации на сайте.
Б: Ну, давай представим, но это будет абсолютно ненаглядно. Алгоритм такой - заходим через браузер на базе Chrome в магазин, оформляем заказ, генерируем номер карты, все вводим, номер, адрес левый и прочее, просто заполняем корректно все формы, затем открываем Sniffer - это делается нажатием клавиши F12 - там вкладка Network, галочку на Preserve log, так независимо от перенаправлений будут сохраняться запросы. После этого "Оплачиваем" и смотрим, куда уходит запрос.
Мануал по настройке Android на примере Nox. Урок 18.1.
Шаг 1. Скачиваем все необходимое. Nox App Player с официального сайта.
Xposed Installer с форума 4PDA или любого другого источника, которому доверяете. Device ID Changer Pro Xposed - один из модулей для Xposed, можно скачать с любого доверенного источника, например, apkhere.com
Шаг 2. Запускаем Nox, выставляем английский язык в самой системе, а также в самом SOCKS'е, в настройках помимо прочего включает Root-права.
Шаг 3. Устанавливаем Xposed Installer. После его установки открываем его, переходим в Framework и устанавливаем там еще и его. Устанавливаем Device ID Changer Pro.
Шаг 4. Устанавливаем в разделе загрузок модули: Xprivacy, Root Cloak (любой версии). После установки заходим в меню модулей, включаем их.
Шаг 5. Переходим во вкладку Framework. Делаем быструю перезагрузку (Reboot).
Что надо подменить для вбива?
1. Данные о SIM-карте.
2. Данные о геопозиции.
3. IP и DNS.
4. Данные о железе.
1. Чтобы подменить данные о SIM-карте, нам потребуются реальные данные и Xprivacy. Реальные данные: Берем номер КХ. Далее, идем на whitepages.com и в Reverse Phone его вписываем.
После этого мы получаем данные по телефону, и, главным образом, название провайдера. Выписываем его. После этого идем на Википедию: https://en.wikipedia.org/wiki/Mobile_country_code
Здесь ищем нашего оператора и выписываем любую подходящую для него комбинацию MCC (Mobile Country Code) и MNC. Далее, составляем ID подписки - это 15 цифр. Среди которых первые - это MCC и MNC. То есть, допустим - 310410xxxxxxxxx - здесь у меня MCC и MNC от AT&T и еще остальные цифры. В сумме с 15 цифрами ID подписки - это 19 цифр, где первые всегд 8901, а дальше 15 любых цифр.
P.S. Для самых крупных магазинов проверяйте ID подписки и ICC ID по алгоритму Луна. В настройках Xprivacy вносим все данные. Код страны 01. Сама страна US.
2. Данные о геопозиции подменить любым инструментом наподобие FakeGPS, а также средствами NOX. А еще можно просто их выключить, так делает немало КХ.
3. IP и DNS:
• Proxy Droid на самом Android.
• Double SSH Manager на основе.
• Любая удобная вам связка на основе.
DNS - от основы или же через DNS Forwarder.
4. Железо подменяется одной лишь кнопкой Randomize в Device ID Changer Pro.
После этого можно ставить любое приложение и бить с него. Это в плане AntiFraud'а очень и очень хорошо. Данная настройка подходит для реального устройства в том числе.
Настройка WebRTC. Или что с ним делать? Урок 18.2.
Собственно, зачем подменять нам WebRTC?
SSH-туннель взял первый попавшийся и настройку делал на русском DS (Кстати, хочу всем напомнить, что если вдруг вы «Случайным» образом оказались на русском DS, то чистите за
собой логи, иначе окажетесь на бутылке), чтобы усложнить себе задачу, так что не обращаем внимание на время и черные списки. Проблема, собственно, в WebRTC.
Зачем мне его подменять? Могу просто отключить, для этого иду в about:config, пишу там peerconnection. Отключаю выделенный пункт:
Возвращаюсь в Whoer, все нормально, WebRTC отключен. В целом, этого достаточно для 90% магазинов, однако если вы пользуетесь ПП, банками, Amazon, Walmart, AT&T, Ebay, чем-нибудь солидным иначе говоря, вас сразу пошлют и ваш заказ тоже.
Что же делать? Все просто. Качаем расширение (WebRTCFake). Расширения не замечаются магазинами, они замечают только плагины, запомните это.
Как его установить? Идете во вкладку расширений, там жмете на Настройки - Добавить из файла. Готово.
Ну, теперь все хорошо, кроме маленького штриха - не виден локальный адрес, а это плохо. Идем в настройки плагина, там пишем локальный адрес любой, например 192.168.110. (Любое число). И теперь-то уже точно все отлично.
Идем на Browserleaks.com, там нажимаем на Content Filters. Проверяем, замечается ли что- то? Нет. Все, можно заказывать, что хотите на посредника.
На самых новых версиях Mozilla работает через раз, так что:
Создаем файл config.js
Откройте текстовый редактор и пишите:
Code:
// try {
Components.utils.import(“resource://gre/modules/addons/XPIProvider.jsm”,{})
.eval(“SIGNED_TYPES.clear()”);
}
catch(ex) {}Убедившись, что у вас получился именно JavaScript-файл, а не config.js.txt. Далее, скопируйте его в директорию установки браузера.
По умолчанию это папка: С:\Program Files\Mozilla Firefox или C:\Program Files (x86)\Mozilla Firefox
Дальше создаем файл config-prefs.js
Аналогичным образом, но config-prefs.js и перенесите файл в директорию с текущим активным профилем, по умолчанию это папка:
C:\Program Files\Mozilla Firefox\defaults\pref или C:\Program Files (x86)\Mozilla Firefox\defaults\pref
В нем должны быть такие строки:
pref(“general.config.obscure_value”, 0);
pref(“general.config.filename”, “config.js”);
Для Google можно неплохо настроить WebRTC Leak Prevent, но лучше используйте Mozilla. В дополнение посоветую пару расширений для подмены Finger'а:
HTTP UserAgent Cleaner
Canvas Defender 1.0.7 (именно седьмой версии)
Термины:
ПП, РР - палка, PayPal. Тех, кто бьет работает по ПП обычно называют палочниками. Лимит - бан. Система ПП может кинуть тебе временный, либо вечный бан, если заподозрит тебя в мошенничестве.
Саморег - аккаунт, который сделали вы сами под какого-то реального человека. С помощью Full Info.
Full Info (фулка, фулинфо, фуллз) - информация о человеке, которой достаточно, чтобы, например, сделать себе аккаунт в ПП. И не только в ПП, кстати.
Вязать, привязывать - линковать. Это и значит привязывать (добавить) аккаунт к чему-либо или, например, карту или банковский счёт в аккаунт платежной системы.
Что такое ПП? И как с этим работать? Урок 19.
PayPal, ПП - платежная система во всем мире, используется почти во всех американских магазинах для оплаты, еще служит для отправки денег между пользователями системы. На первый взгляд очень удобная платежная система, но работать особенно новичкам с ней бывает сложно, так как очень часто она непредсказуема и постоянно меняет алгоритм своей работы, но если хотя бы частично понять принцип работы ПП в определенный промежуток работы с ней, то можно хорошенько себя обеспечить.
Есть два типа аккаунтов ПП - это Personal и Bussines. Первый для личного пользования, второй соответственно для бизнеса. Они отличаются только лимитами на ввод и вывод, дизайном и видами лимита (бана) аккаунта. Плюс с бизнес-аккаунтов легче вести продажи, если таким занимаетесь, так как там есть много фишек, что облегчат работу. Кто-то говорит, что ПП к бизнес-аккаунтам относится более приемлимо, но я по-своему опыту разницы не замечал, каждый аккаунт дает по-своему, не смотря на то, какой он, персональный или бизнес-аккаунт.
Что такое лимит (бан) аккаунта? Это ограничение, которое ставит AntiFraud ПП на аккаунт, и вы не можете его полноценно использовать, лимиты бывают разные. Есть такие, что снимаются просто сменой пароля и принятием СМС на номер, что в аккаунте, а есть такие, что снять можно только звонком или же отрисовкой документов.
Так вот, персональный аккаунт легче разлимитить в случае лимита, так как при его лимите просят меньше (обычно) документов для разлимичивания, а если отрисовывать, то выходит более затратно. Если же вы все-таки хотите работать с бизнес-аккаунтами, то сначала регистрируйте персональный, а потом в настройках уже его можно изменить до бизнес- аккаунта.
Также, у ПП есть SM - Security Measures (меры защиты). При оплате или же при входе в аккаунт ПП может попросить принять СМС, звонок на тот номер, что в аккаунте. Реже ввести полный номер карты или банковский счет, что привязан к аккаунту. Бывает это тогда, когда вы заходите с другого устройства, с нового IP, без прежних Cookie, из-за других параметров (ПП бывает не понять и SM может появиться просто так), которые не нравятся ПП, при оплате на большую сумму, или же уже до этого набрали очков AntiFraud при подозрительных действиях и AntiFraud ПП хочет проверить КХ ли использует аккаунт в данный момент.
Очень часто такое можно встретить в Brute-аккаунтах, но и на саморегах бывают. Обойти такое можно только приняв СМС на тот номер, что в аккаунте, или же ввести те данные, которые просит ПП. Если при входе в аккаунт еще можно попытаться обойти такую проблему, то при оплате только приняв СМС или звонок - обычно эти два варианта предлагает ПП именно, если SM при оплате.
Важна и активность аккаунта, если аккаунт активный, регулярно принимает, отправляет деньги и нет никаких возвратов, то и ПП будет больше доверять таким аккаунтам и давать соответственно оплачивать и отправлять суммы побольше. Старайтесь заходить и работать с аккаунтом ПП с одной и той же системы, ПП привыкает именно к системе, с которой работают. Если работаете на DS, то используйте портативный браузер и сохраняйте папку себе (Или же просто экспортируйте Cookie), потому как, если DS умрет, то можно будет спокойно перенести на новый DS. Если же работаете с виртуальной машины, то используйте, какой вам удобно браузер. После переноса аккаунта ПП на новый DS или новую систему, что сильно отличается от старой, рекомендую отлежать аккаунт на новом DS пару дней, если сразу не дает оплачивать, делать то, что давало делать с аккаунтом на старом DS.
Но все эти SM при саморегах нам не страшны, если использовать Google Voice или любой номер США, куда можем принять СМС/звонок, и если добавляли этот номер при регистрации аккаунта, потому как, если нет досутпа к телефону, что в аккаунте ПП, то и зайти не выйдет и оплатить, что более огорчает. А добавить новый телефон в аккаунт, чтобы его можно было выбирать при SM, можно только через звонок в техническую поддержку или же просто добавить в аккаунте и ждать несколько месяцев, пока его начнет видеть при SM.
Будет видно новый номер, если добавили его на протяжении около двух недель после регистрации, тогда он может появляться при SM сразу же или через несколько дней. Если и менять DS, туннель, то старайтесь найти под тот же город, штат, что был до этого во избежание SM, если нет номера с доступом или Google Voice по какой-то причине умер.
Лично я пользуюсь TextNow и вообще не заморачиваюсь с IP, беру просто под тот же штат или страну. При этот работаю с отдельного ноутбука и Cookie от аккаунтов всегда есть, да еще и на русской Windows.
FAQ:
А: ПП с Linken Sphere дружит?
Б: Я несколько отзывов слышал, что ребята ловили баны, используя LS.
А: Если на виртуальной машине в одном браузере есть Cookie сразу от 20 аккаунтов, то SM это видит? Или без разницы?
Б: Видит, лучше такое не делать.
А: Как я понял, Brute-аккаунты можно уже не брать, а надо искать тех, кто торгует логами?
Б: Логи приятнее Brute, так как они с Cookie идут, а если у тебя аккаунт без Cookie, то процентов 99, что ты словишь SM.
А: Немного не понял по поводу браузера. Допустим, я сделал виртуальную машину, поставил туда браузер и у меня есть сто саморегов, я чищу браузер, потом загружаю туда Cookie, если хочу зайти на другой аккаунт, то опять чищу и загружаю уже Cookie от саморега, в который хочу зайти?
Б: Верно, либо отдельные потративные браузеры под каждый аккаунт ПП, как у меня.
Переходим к саморегам. Саморег - самолично созданный аккаунта ПП при помощи полной информации (Full Info). Full Info - полная информация о человеке, содержащая ФИО, адрес, телефон, электронную почту, DOB - дата рождения, SSN - номер социального страхования, реже MMN - девичья фамилия матери.
Пример: WILLIAM CHAMP/11000 GULE BLVD/TREASURE ISLAND/FL/33706/407-44- 9880/09.20.1936
Где: WILLIAM CHAMP - Имя и фамилия.
11000 GULE BLVD - Адрес.
TREASURE ISLAND - Город.
FL/33706 - Штат/Индекс.
407-44-9880 - SSN.
09.20.1936 - DOB. В США дата рождения идет в формате Месяц/Число/Год. Здесь это хорошо видно.
Этих данных вполне достаточно для создания саморега ПП. Прошу заметить, что SSN имеет девять цифр, а номер телефона десять, так как часто формат информации бывает не такой, и многие не могут понять, где что.
BA, БА - банковский аккаунт (WellsFargo, SunTrust, TDBank, Chase, Bank of America). Это самые распространенные банки под ПП.
Пример лога БА: ss582202:loveyou1
Last Sign On: November 30, 2020
Email Address: [email protected]
Mailing Address: 123 NICHOLAS LN ASPEN, CO, 81611-3231
User-Agent: Mozilla/5.0 (Windows NT 6.4; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2225.0 Safari/537.36
--- Cash Accounts ---
CUSTOM MANAGEMENT (RM) XXXXXX7478 $1,401.54
Cash Accounts Total: $1,432.35
--- Credit Accounts ---
--- Loan Accounts ---
Где:
ss582202:loveyou1 - логин и пароль.
Last Sign On: November 30, 2020 - дата последнего входа в аккаунт.
Email Address: [email protected] - электронная почта КХ БА.
Mailing Address: 123 NICHOLAS LN ASPEN, CO, 81611-3231 - адрес КХ.
User-Agent: Mozilla/5.0 (Windows NT 6.4; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2225.0 Safari/537.36 - User-Agent (Не всегда есть. Зависит от того, какой Checker у продавца)
--- Cash Accounts ---
CUSTOM MANAGEMENT (RM) XXXXXX7478 $1,401.54
Cash Accounts Total: $1,432.35
--- Credit Accounts ---
--- Loan Accounts --- - информация о отдельных счетах и сумме всех счетов в аккаунте.
Нам интересны только Cash Accounts, так как только они вяжутся к нашему саморегу.
Все остальные - Credit Accounts и Loan Accounts нам не нужны. Это самый полный лог, который я встречал для БА с Brute. Чаще всего - это лишь Логин/Пароль и информация о состоянии счета. На сами БА лучше не заходить, а сразу вязать их к нащим саморегам или лучше уточняйте у продавцов, можно ли заходить на их БА через официальный сайт.
Проверять информацию по балансам и счетам БА можно через сторонние конторы, например, personalcapital.com и подобные.
FAQ:
А: Сколько стоят примерно БА с Cash Account?
Б: От двух долларов, в зависимости от баланса.
А: Что насчет ПП кредита? На саморег вроде до 100 долларов дает, если пошаманить немного?
Б: Сейчас очень туго с кредитами, чтобы слить его нужно очень сильно попотеть.
А: Где продают такие аккаунты БА?
Б: Здесь - gamarjoba.info
Так, дальше. Сейчас буду регистрировать аккаунт ПП и описывать каждое действие с фотографиями, чтобы было более понятно. Итак, для регистрации аккаунта ПП нам нужно: Full Info, БА, электронная почта, номер телефона. Если почту сделать не проблема (лучше не регистрировать аккаунт ПП США на почту mail, yandex и так далее), то телефон можно купить в GoogleVoice или сделать самому на TextNow.
Идем на textnow.com и заполняем данные. Можете регистрировать аккаунт на ту же почте, какой будете пользоваться в ПП.
После регистрации в этом окне вводим первые три цифры желаемого номера, можете смотреть, какой номер указан в Full Info и брать эти цифры оттуда.
Успех, получили номер.
Теперь идем на paypal.com/US/welcome/signup и заполняем данные.
Имя и фамилия с Full Info, почта и пароль свои подготовленные, галочку по желанию.
В следующем окне вводим адрес с Full Info, а номер телефона GoogleVoice или тот, что сделали на TextNow. Галочку уже обязательно.
Если такое окно, то все данные верные и все сделали правильно.
Далее, можем связать БА. Советую это делать со старого дизайна.
Идем по ссылке paypal.com/cgi-bin/webscr?cmd=_profile-ach
Со списка БА выбираем нужный нам, если вашего банка нет в списке, жмем “I have a different bank”. Там предложит ввести направление (роутинг) и аккаунт номера от БА (Об этих номерах будет подробнее далее), а также выбрать тип счета. Бывают Checking и Saving счета. Checking для трат, Saving, как сберегательный в основном идет, но бывает, что американцы и его активно используют. Для сбережений и депозита у них есть отдельные счета, но они не связываются к ПП и снять с них также невозможно раньше срока возврата депозита.
Но у меня Chase, он есть в списке, поэтому выбираю его и ввожу логин и пароль от банка:
Жму Continue. После этого предложит выбрать нужные счета для привязки, если логин и пароль правильные. Выбираем нужные и жмем Finish.
Если такая картина, то все окей, БА привязался.
Бывает еще, что БА не привязывается.
Причин может быть несколько: он уже привязан к максимальному количеству аккаунтов ПП, проблемы на стороне ПП, проблемы на стороне банка. Если счетов несколько в БА, то может привязаться только один, а остальные могут быть уже привязаны в ПП, или наоборот, привяжутся все, кроме одного. После привязки БА (Или до) можем еще подтвердить почту. Идем на нашу почту и видим письмо от ПП:
Жмем Confirm My Email, вводим еще раз пароль от аккаунта ПП и все - почта подтверждена.
После подтверждения почты может сразу предложить подтверждение телефона, делаете по желанию, даже на неподтвержденный телефон можно принять СМС/Звонок в случае запроса их при оплате, входе на аккаунт. Еще можем проверить Full Info на Valid. Жмем на главной странице ПП (когда зашли в аккаунт) кнопку Add Money:
Тут вводим DOB и четыре последние цифры SSN с Full Info, только не напутайте с датой рождения, потому что тут просит в формате День/Месяц/Год, а в Full Info в основном Месяц/День/Год.
Жмем два раза на Confirm и если попадаем на такую страницу:
Значит Full Info хорошая и скидывать сможем на такой аккаунт, если, конечно, ПП позволит. Можем и сейчас это проверить, в поле Amount вводим желаемую сумму перевода. Жмем два раза кнопку Add и если такое окно:
Значит перевод не дает ПП. Нужно отлеживать/Раскачивать аккаунт. Можем еще пройтись по вкладкам для общего понимания. что там.
Здесь можем отправлять и запрашивать деньги у других людей, что используют ПП:
Wallet - управление привязанными картами и БА (Можем добавлять и удалять новые карты и БА, указывать приоритетные счета для оплаты). Offers - скидки и предложения от ПП во многих магазинах. Help - связь с поддержкой ПП.
В настройках можем также управлять почтой, номером телефона, паролем и адресами.
FAQ:
А: Плохо, когда не вяжется мгновенно, а просит минимальный (проверочный) платеж? Что по поводу AntiFraud, система любит, когда все проверено и верифицировано, когда секретные вопросы ставишь. Почему нельзя просто набрать в поддержку ПП и сказать: «Я зарегистрировался, не могу сделать перевод со своего БА, хочу что-нибудь купить через вашу платформу...» Что они скажут? Раскачивайте аккаунт? Что по поводу перевода на пустые почты и привязки их к аккаунтам для слива, сейчас работает такое? Раньше СС Италии вязались к ПП и заливались на пустые почты, даже обналичивать не успевали.
Б: 1. Нет, не плохо. 2. Верифицировать почту главное, телефон я сам редко, когда подтверждаю. 3. Можешь позвонить, но оператор скажет, чтобы ты попробовал позже, что он не может тебе тут помочь. 4. Перевода на пустую почту не бывает (Ты, наверное, имел ввиду отправление), раньше работало хорошо (Один момент), но уже исправлено. 5. По поводу СС Италии также ничего не скажу, но я пробовал вязать БА других стран, и БА США к Канаде работает.
А: Какой берем IP для ПП?
Б: Чистый.
А: Всякие виртуальные и электронные товары можно покупать, тем самым раскачивать аккаунт на ПП, либо же подойдет больше реальный какой-нибудь товар?
Б: Лучше КХ носки отправь, виртуальные покупки очень тяжело даются.
А: Ищем ли под КХ БА?
Б: Ты не можешь знать БА КХ, как и ПП.
А: Можно с ПП бить на посредника?
Б: Да.
А: Есть ли у ПП подобие системы AVS?
Б: Только в США, у других стран нет.
А: ПП все равно, что ты к ней прикручиваешь?
Б: Именно.
А: Не имеет значения, чей БА ты прикручиваешь к ПП?
Б: Да.
Термины:
Сделать депозит, депозит - депнуть. Чаще всего - просто перевести/внести деньги на аккаунт.
Отправлять, делать отправление - сендить. Обычно в используется в контексте того, чтобы отправить средства, например, на почту.
Депозит и способы оплаты с помощью ПП. Урок 20.
Рассмотрим депозит и оплату с помощью ПП. Депозит - перевод денег с баланса БА на баланс аккаунта ПП, чтобы сделать это, нам нужно подтвердить личность в аккаунте ПП. Это делается путем ввода SSN и DOB при первом нажатии кнопки Add Money. В прошлом уроке я показывал, как это сделать. Если же при этом выскочит ошибка, что мы не можем подтвердить вашу личность, то значит, что Full Info кривая (невалидная) и делать депозит на такой аккаунт нельзя, но можно будет оплачивать или отправлять.
Если же вы по ошибке ввели неправильные данные и выскочило, что вашу личность ПП не может подтвердить, то можете использовать такой аккаунт для оплат, отправлений или же закрыть аккаунт (Close Account) в настройках, то есть, удалить, и потом создать новый на эту же Full Info, только данные ввести правильно. Но если все-таки Full Info кривая, то нормальные продавцы дают замену за такие Full Info. Если не собираетесь делать депозит, то можно регистрировать на случайные данные. Взять можно тут: fakenamegenerator.com
Или выдумать самому, или же еще лучше регистрировать на данные с СС, но я все же делаю аккаунты на Full Info.
Если вдруг ПП позволит сделать депозит, то и тут аккаунты пригодятся и не нужно будет регистрировать новые на Full Info, регистрировать на поддельные данные не советую, так как все-таки по базе проверяется как-то в ПП, есть ли такой человек или нет, и могут такие аккаунты улетать в лимит. (Раньше было такое, что улетали в лимит аккаунты, сейчас не знаю, можете попробовать). Аккаунты на поддельные данные, разве что для тренировки можете делать или же если делаете аккаунты ПП других стран, например, Австралии, где нет проверки по базам, или же там на это в ПП все равно. Сам же депозит идет 3-5 рабочих дня, поэтому рекомендую делать депозит в начале недели, в понедельник, или даже в воскресенье, тогда деньги упадут на баланс ПП уже в среду или, в крайнем случае, в пятницу.
Сейчас депозит с БА по США бывает дает сразу после регистрации, бывает после отлежки, бывает после расскачки саморега оплатами и отправлениями, а бывает, что депозит вообще не дает. Можно еще попробовать выводить на привязанный БА, а потом уже делать депозит с него. Можно еще так расшевелить свой аккаунт: Отправляйте с русскоо аккаунта ПП на аккаунт саморега США или же с США саморега на другой США саморег, или меняете на BTC на ПП у обменников на localbitcoins. Только говорите им, чтобы слали деньги, как друзьям/родственникам, а не за услуги. Потому как, если отправят, как за услуги, то деньги на вашем самореге могут быть в задержке и с ними вы ничего не сделаете, когда деньги на балансе вашего саморега, то выводите пару долларов на привязаный банк или покупаете с баланса, ждете потом пару дней и пробуете депозит с БА или что-то оплатить, тогда может появится оплата с БА уже, если не появлялась до этого.
Точный сроки сейчас вряд ли кто-то может сказать, когда даст сделать депозит, всегда по- разному дает. Здесь для каждого аккаунта индивидуально. После того, как депозит пришел, не бегите делать депозит сразу второй раз. Сделаете его через пару дней или неделю, а пока займетесь сливом этого депозита, что пришел. Можно загонять деньги на баланс после покупок, просить магазин/продавца сделать возврат (Про возвраты будет еще дальше), но и возвратами тоже не стоит сильно злоупотреблять.
Это либо спалит КХ или на БА не будет такой суммы. В таком случае, если нет лимита, вяжем новый БА или делаем депозит на сумму меньше, но лучше первое. Старый БА не
советую сразу удалять с аккаунта. Можно и вовсе его не удалять, если же удалять, то лучше через пару дней. ПП к таким резким движениям саккаунтом не очень хорошо относится, как показала практика.
FAQ:
А: Депозит делается только с БА или с СС тоже можно?
Б: Только с БА.
А: Что, если нет кнопки депозита?
Б: Попробуй это - paypal.com/myaccount/money/claim-funds/learn-more?context=generic
А: Отправлять можно сразу с БА или с СС счетов на другой саморег и получать чистый баланс?
Б: Да, можно сразу, если даст, конечно, с СС, скорее всего, сразу даст.
Оплата с помощью ПП идет 4 основными способами: с баланса аккаунта, с СС, с БА и с BML - кредит, который дает ПП. Бывает еще комбинированный способ, когда покупаете и есть баланс на ПП, но сумма покупки больше, тогда может предложить снять весь баланс и остальное оплатить с БА или с СС.
BML можно получить с помощью данных Full Info аккаунта здесь - billmelater.com, при регистрации самого аккаунта ПП, либо же при покупке Ebay или в магазине, который принимает оплату BML, но BML нужно уметь сливать, это тоже нужно искать свои приаватные магазины, схемы и так далее. Лично я с ним не работаю.
Сейчас очень сложно купить что-то с кредита на адрес отличающийся от того, на который он был получен, а получить кредит можно только указав адрес с Full Info. На адреса подставных людей или же посредников кредит не дадут.
Самый легкий вариант оплаты с ПП - это с баланса. С баланса можно оплатить почти все, что угодно на том же Ebay или в других магазинах. Платить с СС через ПП я советую только с ЛК (Личного кабинета) или с СС, которым есть доступ. Дело в том, что большая часть США карт уже светились в ПП или привязана к другим аккаунтам ПП и просто так оплатить не даст. Если же вязать СС к аккаунту, то запросит в большинстве случаев подтвердить ее кодом с транзакции, а с ЛК мы это сделать сможем. Есть, конечно, BIN'ы, что крепятся к ПП без нужды подтверждения кодом, но ими вряд ли кто-то поделится. Но если же СС никогда не светилась в платежной системе ПП и она Valid, то дать оплатить, скорее всего, должно, так как все на нашей стороне и ПП не к чему придраться (но тут уже больше зависит от настроения AntiFraud ПП в момент вбива).
Была еще тема с CreditOne и подобными. ПП долгое время позволяла крепить карты данного банка с выдуманными EXP и CVV кодом, а потом оплачивалось все с них. Сейчас можно по такой же схеме пробовать связывать карты других банков, если есть только номер СС и сможете потом глянуть код в транзакции для ее подтверждения в аккаунте ПП.
Оплата с БА проходит двумя способами: Instant Transfer и E-Check.
Instant Transfer - это когда платеж завершается сразу же после оплаты и только через 3-5 дней ПП получает деньги от банка. То есть, сама ПП платит магазину и только через пару дней получает деньги от банка.
E-Check - это когда платеж завершается через 3-5 рабочих дней, когда эти деньги уйдут с БА и придут на ПП (что-то похожее на депозит, только деньги сразу уходят к продавцу, а не на баланс вашего аккаунта ПП). Вот, если у вас платеж прошел через E-Check, и вы хотите сделать возврат на баланс, то не пишите магазину сразу после заказа, иначе деньги уйдут обратно на БА. Нужно подождать, пока E-Check очистится (или же деньги уйдут с БА, обычно это происходит на следующий рабочий день) и только потом писать в магазин по поводу возврата. В таком случае, деньги падают на баланс аккаунта ПП, но бывает, что магазин говорит, что уже отправили и дает трэк-номер.
Тут можно отстоять свое и сказать, чтобы развернули посылку и вернули деньги или же ждать посылку, так что лучше писать в магазины/продавцам сразу, как E-Check очистится. Можете писать за день до того, как E-Check должен очистится, пока магазин еще не получил деньги.
При оплате с СС возврат идет на СС, на баланс никогда не идет, так что вернуть на баланс можно только при оплате с БА. По поводу оплат, то не всегда аккаунт дает платить с БА, да и даже с СС не всегда дает оплатить. В таком случае, помогает снова отлежка или звонок/чат. Но скажу сразу, что звонок в ПП без пробитого БГ (Background Report) плохая затея. Часто при звонке могут спрашивать, какая машина у вас была в таком-то году, или где вы проживали тогда-то и куча подобных вопросов. Плюс до этого могут быть вопросы по аккаунту ПП: Откуда был последний вход в аккаунт, с какой ОС, города; где был зарегистрирован аккаунт и когда и так далее. Еще часто звонки просто не напрягаясь звонят в ПП и при первых же вопросах сливаются, тогда вашему аккаунту может стать еще хуже. Если же звонок толковый и может нормально наорать на техническую поддержку в ПП не давая ему и слова сказать, то тогда можно обойтись и без БГ даже.
А теперь совет для тех, кто не дорожит своими аккаунтами ПП и ему все равно на лимиты. Берем БА нулевой или с минимальным балансом, чтобы подешевле было. Создаем саморег, связываем наш БА, СС с доступом, чтобы подтвердить ее (СС можно и связывать, так как при оплате потом может только ее видеть, а не БА). Потом отлеживаем хорошенько, или нет (смотря, как вам дает оплачивать). После этого покупаем с БА через IT (Instant Transfer) сколько дает, используем аккаунт до тех пор, пока не надоест, или же прилетит лимит. Продавцы/магазины получают деньги сразу же и отправляют нам товар. Через 3-5 рабочих дней ПП пытается снять деньги с БА, но их там нет. Пишет на почту, чтобы мы пополнили счет БА, и она снова попытается снять деньги через 3-5 дней.
За это время, если нет лимита, покупаем еще, если дает. Когда ПП не удается снять деньги со счета БА во второй раз, то она либо дает аккаунту лимит (бан) или же загоняет его в минус. Сам минус, если нет лимита, мы можем покрыть с банка. Связываем новый крупный банк, отлеживаем немного аккаунт и делаем депозит несколько раз. Можно даже изменить сумму депозита в таких случаях. Если, к примеру, на аккаунте - 100$, то при закрытии минуса делаем депозит 300$, так может дать несколько раз.
Или же покрыть минус можно еще при покупке. Если у вас на аккаунте ПП минус и нет лимита, то при покупке предложит к сумме покупки добавить сумму минуса на аккаунте. Бывает депозит не дает покрыть минус, а при покупке дает. В итоге при минимальных вложениях мы имеем неплохую выгоду в виде товара и еще баланс на нашем аккаунте, если повезет. Раньше работало очень хорошо, но сейчас в большинстве случаев первые оплаты с банка ПП предлагает делать именно E-Check, а не IT c банка, или через IT, но на малые суммы. Но если найти магазин, куда залетает IT на более-менее нормальные суммы, то можно использовать эту тему, даже немного ее изменить, крепить сразу БА с большим
балансом и выжимать магазин, долго и много с одного аккаунта.
FAQ:
А: Что насчет AntiFraud при работе с ПП? Проще по чистоте IP/Настройке системы или сложнее, чем с СС?
Б: У ПП стоит свой ИИ, который часто ставит палки в колеса, но систему я вообще не настраиваю, а работаю просто с Firefox Portable Eng Version, и вообще этого хватает.
А: Вопрос про нулевой БА. Ты пишешь, что надо привязать СС и тут же в скобках, что привязывать ее не надо, потому что она станет основной...
Б: Это заморочка ПП, она просит привязать СС, но лучше не делать этого, либо использовать Roll'ки.
А: А оплата в магазинах? Или если оплата через ПП, то магазинам все равно на все?
Б: Если ты имеешь ввиду адрес, то да. Магазин видит только электронную почту.
А: А если оплачивать все в магазинах, то нужно это делать все с той же Portable Mozilla, с того же IP, который использую с этим аккаунтом ПП?
Б: Да.
А: По своему опыту скажи, какие должны быть сроки отлежки? И сама отлежка, когда идет, на сайт ПП лучше не заходить?
Б: Именно, по сроках от трех дней.
А: Настолько должен быть чистый SSH-туннель, DS или SOCKS при работе с ПП?
Б: По черным спискам я не заморачиваюсь, у ПП свои черные списки, некоторые даже с публичных VPN'ов работают, типо NordVPN, поэтому ИИ ПП не понять.
А: Нет, я имею ввиду, если мы закупаемся и оплачиваем через ПП, AntiFraud магазина не обращает внимания на нащу систему и чистоту SSH-туннеля, или все же нет?
Б: Ну, по сути, не обращает внимания, если, конечно, у тебя прямо не светится DNS или IP, что ты с России. Или браузер русский... Поэтому заморачиваться надо, но без фанатизма.
А: Получается, что закупаться ПП можно, даже на плохих SSH-туннелях?
Б: Можно, но я не советую.
А: И что это выходит? ПП, куда проще СС, если работать на количество?
Б: Если на количество, то да.
А: А что насчет 22-ых портов?
Б: А, на это вообще не смотрю, я работаю через SOCKS, там тоже порты светят и ничего.
А: Я не понял, как делать аккаунты других стран, Точно также, как и США, только брать Full Info другой страны и естественно IP под нее и все?
Б: Да.
А: А как ты работаешь через SOCKS с ПП, если они внезапно могут отвалиться?
Б: Нормально работаю, живут сутки у меня.
А: В магазине, что ты дал, как я понял логи БА распределяются по балансу? Там в скобочках указан диапазон, я не знаю, что это может быть, кроме как баланса. Только там почти никаких позиций нет, они вообще бывают?
Б: По логам ничего не скажу, ибо не работал особо с ними.
А: Стоп, суток хватает, чтобы зарегистрировать ПП, связать БА и успеть закупиться?
Б: Да, если нет, то берешь следующий SOCKS и все.
А: А как ты работаешь?
Б: RU Windows + Portable Mozilla Eng + SOCKS
А: По поводу отправлений, могу ли я здесь в России делать саморег и привязать левую СС и отправлять с ПП США со счета СС?
Б: Лучше такого не делать, если будет ушерб для России, то за тобой приедут быстро.
А: Ну, вот, ты подключил SOCKS, зарегистрировал аккаунт по Full Info, связал БА, а дальше?
Б: Дальше пытаюсь что-то купить/отправить/сделать депозит.
А: А как ты БА связываешь?
Б: IT или через проверочные платежи, смотря какой банк.
А: А какой ущерб России? Я же перегоняю деньги сюда оттуда, а не наоборот.
Б: Если ты хочешь сделать принимающий русский аккаунт, то данные ПП и банка должны совпадать с русским. Можешь так делать, но очень быстро отойдешь от этого способа, так как лимит прилетит и все. Опять придется покупать данные и карту русскую.
А: Объясни, пожалуйста. Вот, ты нам дал сайт с логами, в теории мы должны сделать саморег и привязать с помощью этих логов БА к ПП, но ты сказал, что ты не работаешь с логами, а тогда где ты берешь БА?
Б: Логи - это сворованные Cookie и пароли браузера, в котором может быть все - от ПП до PornHub. БА - это банковский аккаунт, продается обычно то и то. Я имед ввиду, что не работаю с логами, а с БА я все-таки уже работаю.
А: Ты ищешь магазины или в Ebay идешь? Или по-разному?
Б: По-разному.
А: А можно ли с ПП сразу в криптовалюту деньги выводить с того же БА или СС?
Б: Да, но это очень трудно.
А: Я не понял насчет доставки, при оплате ПП, там доставка на какой адрес идет?
Б: На тот, который укажешь.
А: То есть, вариант посылать на скупщика/барыгу, хороший?
Б: Нет.Посылай на себя через посредника, это лучше всего.
До этого я показывал, как зарегистрировать аккаунт ПП одним способом. Показывать не буду, но расскажу, как это можно сделать по-другому. Может, вы уже знаете, а может, кто не знает, что можно также регистрировать аккаунт ПП через покупку (На Ebay, или в любом магазине, где есть оплата ПП).
Если у вас есть VCC или СС, то можно зарегистрировать аккаунт ПП через покупку. То есть, вы берете СС или VCC с балансом или без, и идете в магазин, что принимает ПП. Выбираете товар, жмете на оплату с помощью ПП, так как аккаунта у вас нет, то ПП предложит его зарегистрировать. Вбиваете данные СС, электронную почту, которую зарегистрировали под аккаунт ПП, Bill и Ship адреса, имя и фамилию с Full Info или с СС (смотря, на какие данные регистрируете аккаунт) и жмете оплатить.
Тут два варианта, если ваша карта живая, с балансом и не светилась в ПП, то оплата пройдет и аккаунт зарегистрируется. Или же оплата может не пройти, но аккаунт все равно зарегистрируется, вам предложат придумать пароль для аккаунта.
Для еще одного способа регистрации аккаунта ПП вам нужно знать такое понятие, как отправление на пустую почту. Отправление на пустую почту - отправка денег с аккаунта ПП на такую почту, что еще не зарегистрированно в системе ПП. То есть, с одного саморега или с русского аккаунта ПП, или через менял тех же отправляете пару долларов на почту, которую только что зарегистрировали и еще не использовали его в ПП, когда отправление на него пройдет, то на почту упадет письмо от ПП, что деньги поступили и их можно забрать, если зарегистрируете аккаунт. Жмете «Получить деньги» в письме и регистриурете аккаунта на Full Info. Все, аккаунт готов, подтвердили почту и деньги на балансе, дальше выводим их на банк или что-то покупаем, там самым раскачивая аккаунт ПП.
Сложилось мнение, что ПП к аккаунтам, зарегистрированные таким способом, относится более приемлимо и дает лучше оплаты, депозиты в дальнейшем, но я регистрирую по старинке, не спеша раскачиваю, дает и без этого, мне хватает.
FAQ:
А: Все-таки не понял, если ты раскачиваешь ПП и пользуешься SOCKS, то, например, SOCKS умер, ты взял новый, а ПП на это плевать?
Б: Да, это ведь саморег у тебя, а значит ты можешь принять СМС.
А: А номера каждый раз при регистрации новые делаем?
Б: Естественно. И еще, у TextNow есть такая фишка, нужно отправлять СМС с него каждые 5 дней, иначе номер умрет.
А: Просто странно, судя по всему все очень просто и гладко, но чувствую, что так не бывает.
Б: Нет, конечно. Будет, но позже, если, конечно в ПП останешься.
А: Забегая вперед, расскажи о сложностях работы с ПП.
Б: Лимиты (баны) и злостный AntiFraud. Работайте и все будет. Мне проще с лимитами, потому что у меня есть свой звонок, и я сам себе рисую документы.
А: А для каждого саморега нужно отдельный IP, или можно с одного несколько сделать?
Б: Лучше под каждый аккаунт - отдельный IP.
А: А про снятие бана будет руководство?
Б: А какое вам руководство дать? Смотря, какой бан. Рисуете, звоните и все.
А: WebRTC надо отключать/включать? Или тебе все равно?
Б: Я всегда отключаю WebRTC.
А: А что-нибудь еще стоит знать? Под каждый саморег отдельная Portable Mozilla?
Б: Под каждый аккаунт свой браузер, не дрочить аккаунты, менять алгоритмы работы всегда, остальное по ходу будете решать.
Как сливать деньги с ПП? Урок 21.
Рассмотрим способы слива ПП. Я уже говорил на прошлой лекции, что баланс сливается легче всего. Баланс можно сливать почти, куда угодно, если у вас аккаунт с историей или с отлежкой. Бывает, конечно, что есть аккаунты с балансом, но не дают слить его. Но отлежка помогает решить эту проблему, даже если и столкнулись с таким, то лучше не паниковать и не убивать аккаунт окончательно.
Можно еще сливать постепенно, небольшими суммами, если весь баланс не дает сразу слить. Теперь более детально об обналичивании. Первое - это отправление обнальшикам, но хорошего обнальщика найти не просто, да и обналичивают все обычно под 50-65%. Сейчас можно найти обнальщиков на форумах, но найти хорошего, постоянного и ответственного - сложно. Еще у каждого свои условия могут быть к аккаунту, с которого заливаете, к тому же некоторые могут обналичить с задержкой в пару дней. Принимают обнальщики на свои прокаченные аккаунты через кнопку пожертвования, через оплат или же просто отправление прямое на их аккаунт. Некоторые дают свои БА для привязывания к вашему саморегу и для вывода на них.
Еще можно заливать на пустую почту. То есть, на ту почту, которой нет еще в системе ПП. При этом, ПП шлет на указанную почту письмо о том, что на него поступили деньги и их можно забрать, зарегистрировав аккаунт ПП на эту почту (Выше было об этом). Но если отправлять, как за услуги, то может удержание при таком отправлении ПП ставить, если это первые такие транзакции на принимающем аккаунте. Вроде на 21 день удержание. Сам, если отправляю, то только, как семье/родственникам, что и вам советую.
Почты балансом тоже покупают обнальщики или же обналичивают за процент с баланса, а также и с БА можно закупаться. Покупать на Ebay мне проще всего, продавцы легко шлют на адрес посредника, когда у магазинов адреса многих посредников могут быть в черном списке. Или же можно также слать прямо в Россию, если продавец шлет. Плюс там есть огромный выбор товара от разных магазинов/продавцов в одном месте. Свои аккаунты после регистрации я сразу пускаю в магазины или в Ebay за покупками. Бью перебором, так как не каждый товар дает купить, но если не дает купить, даже какой-то купон за один доллар, то просто оставляю этот аккаунт на пару дней, потом пробую заново. На Ebay покупаю с зарегистрированного аккаунта, раньше с гостя. Дает по-разному, раньше давало лучше с гостя, сейчас с зарегистрированного аккаунта Ebay. Но можно найти магазины, куда ПП лезет намного лучше, чем в Ebay, только нужно поискать хорошенько. Это нужно запомнить - если в Ebay ПП хорошо заходит, то в магазины она заходит еще лучше в этот момент, кроме отдельных случаев, когда AntiFraud может пустить только на Ebay.
Морально такова. Не бейте только Ebay, если он вам не дает, поищите немного магазинов с оплатой ПП. Хорошо заходят в китайские магазины. Еще при вбивах с ПП нет такого понятия, как Bill отличный от Ship. Магазин видит только имя аккаунта ПП (На кого зарегистрирован аккаунт), почту, Ship адрес. Вill адрес не видит, даже если бьете с карты приязанной к ПП, поэтому при оплате с ПП магазины легче отправляют на посредников, тогда, как при вбиве с СС могут не выслать.
Еще ПП можно сливать в цифровые товары, различные E-Gift, ключи и так далее. Магазины с этим всем искать не очень сложно, сложнее вбить и получить товар. Я раньше сливал ПП в Gift'ы SSH-туннелей.
Вот, магазины:
itunescarddelivery.com
gamecarddelivery.com
thecardcloset.com
Раньше, когда туда вбивали, то на почту приходило письмо с просьбой прозвонить, отослать документы или же Selfie с номером заказа. Сейчас же они поменяли систему подтверждения заказов и просят Selfie с номером заказа, еще и Selfie с паспортом. Если есть желание обходить такие подтверждения, то можете пользоваться. Также, можете искать свои магазины и пробовать их, но много магазинов еще запрашивают различные подтверждения. Потом сливаем Gift'ы скупщикам или продаем сами. Скупщиков можно найти на форумах, полно их.
Еще один способ вывода ПП - это в BTC/Криптовалюту. Есть продавцы на Ebay, которые шлют BTC на указанный адрес, но сейчас почти все просят документы или же какие-то другие хитрые верификации. Еще есть virwox.com, но с ней много проблем тоже. Данная контора любит чистый не использованный ранее IP и принимает с баланса ПП только, к тому же может в любой момент забанить аккаунт и долго не возвращать деньги на ПП (Новичкам лучше обойти стороной эту конторку). Магазины с BTC также можно искать и пробовать, но множество магазинов сейчас просит верификацию, так что будьте к этому готовы. Без верификации могут быть магазины, которые только что открылись и еще не убитые хакерами (Нами). Так что, если нашли такое магазин или конторку, то доите ее максимально быстро и много. Еще, конечно же, можно и самостоятельно сливать ПП и обналичивать.
Есть страны с выводом на карты:
paypal.com/us/cgi-bin/webscr?cmd=_display-country-functionality-outside&dispatch=5885d80a13c0db1f8e263663d3faee8d0b9dcb01a9b6dc564e45f62871326a5e
По этой ссылке можем выбрать страну и покажет, куда можно выводить. Правда, информация немного может быть по некоторым странам устаревая, так как ПП не обновляет эту страницу почему-то. Можете еще делать самореги БА, если умеете и сливать туда или же выводить на карты, но не на все карты можно вывести (Там вроде только дебетовые и PrePaid, и то не всех банков подходят, но могу и ошибаться).
Еще по выводу, можно отправлять на пустые почты (Что это такое было в прошлом уроке), а потом регистрировать на эту почту аккаунт нужной вам страны и выводить или же принимать на выводные аккаунты. Для этого нужен раскаченный принимающий аккаунт с историей, к тому же лучше еще перемешивать с белыми транзакциями на выводном. Если есть какой-то легальный интернет-магазин с оплатой ПП, то можно туда заливать время от времени. Еще можно сливать через разные конторы, что принимает ПП и где есть вывод на другие платежи, но такими вряд ли кто-то поделится, если они действительно работают без заморочек.
Конечно, бан всегда можно ожидать, главное не опускать руки и продолжать работать и успех обязательно будет.
FAQ:
А: Самый главный вопрос, как лично ты обналичиваешь? То есть, я правильно понимаю, что когда ты оплачиваешь ПП, то AntiFraud магазина плевать на грязный IP и на русский Windows? Где брать карты под вывод? И что, собственно, делать после слива баланса на карту?
Б: Я сам себя обналичиваю через сторонние конторы. Нет, все должно быть под американца, но Windows у меня русский - это да. Искать продавцов на форумах, после слива на карту если, тебе нужен человек в США, который обналит её (поэтому пока за вывод на СС забудьте).
А: «Конечно, бан всегда можно ожидать, главное не опускать руки и продолжать работать и успех обязательно будет» Получается, что остается просто регистрировать аккаунты, раскачивать/отлеживать и надеяться/ждать?
Б: Да, я так и делаю.
А: Какой процент аккаунтов, если не выстреливает, то хотя бы получается рабочим при твоем опыте?
Б: Всегда по-разному, бывало я сливал 13 из 15, бывало 5 из 15.
А: Если есть возможность взять БА с большим балансом, например, несколько тысяс долларов, то, наверное, не стоит брать, шансы слить такие большие суммы очень низкие?
Б: Прямо все с БА ты вряд ли сможешь вывести, берите БА в среднем на 2000-5000$. А так, чем больше денег на БА, тем лучше.
А: «Нет, все должно быть под американца» Извини, здесь не понял. Ты сам говорил, что за качество вообще не волнуешься, или ты имеешь ввиду геолокацию под американца?
Б: Да, чистоту я не смотрю у IP (Опять-таки это лично я)
А: Ты, получается, примерно, после регистрации и привязки, на половину аккаунтов пробуешь делать депозит, с половину закупаешься?
Б: Просто от балды, могу на двух сделать депозит, на одном сделать отправление, с пяти закупиться. Всегда по-разному.
А: А если не получилось действие - в отлежку?
Б: Да.
А: Есть смысла покупать самореги уже с отлежкой?
Б: Сами лучше делайте самореги.
А: Отлежка сколько? 2-3 дня или есть нюансы?
Б: Все верно, 2-3 дня, не заходите туда и все.
А: Бывает такое, что и после отлежки ничего сделать не дает? Что тогда? Еще отлежка?
Б: Бывает, с других саморегов кидаешь туда 5-10 долларов, выводишь на БА 5$, покупаешь какие-нибудь носки или трусы, потом чуть отлежки и должно дать.
А: Часто умирают обнальщики?
Б: Часто задерживают выплаты и пропадают.
А: А как получить доступ к приватным продавцам, конторам и так далее? Как это вообще происходит в этой сфере? Как ты туда попал?
Б: Сам ищу, либо покупаю, либо делятся люди, которых хорошо знаю.
А: В Mozilla ты только WebRTC отключаешь и все?
Б: Да, только его (Ссылку на Mozilla я давал) и используете лучше последнюю версию.
А: Можно в России на пустую почту отправлять?
Б: С России тяжелее работать и 180 дней поймать легко. Начинайте с США.
Термины:
BA (БА) - банковский аккаунт. Внимание! Это не аккаунт в онлайн-банкинге в ЛК! Это именно банковский аккаунт, то есть счет (или счета) в банке.
ANRN (Accounting Number, Routing Number) - аккаунтинг-номер и Routing-номер. Важные реквизиты БА (ниже будут рассмотрены более подробно).
Alerts (алерты) - предупреждения, оповещения.
Branch (бранч) - отделение банка, куда вы, например, карту придете делать. Если у банка нет отделений, то это для нас только плюс.
БА. Банковские аккаунты. Начало. Урок 22.
Этот урок будет посвящен основам работы с БА. Поговорим о работе с банковскими аккаунтами США. По России не работаем, учтите это. Однако, я могу дать совет, как и на что принять деньги из США, чтобы вас тут за жопу не взяли всякие люди, потому что нашим органам власти лишь тряпку покажи - каждый захочет оттяпать кусочек. Это в основном налоговая.
Первая тема. Что такое БА, в чем отличие БА и счета, какие реквизиты есть у БА и как их смотреть? БА - это банковский аккаунт - один или несколько счетов, которые имеют общие реквизиты. Короче - несколько счетов, которые оформлены на одного владельца. И у каждого счета есть свое предназначение. Поэтому, счета делятся на профильные и непрофильные. Делится так - либо счет подходит для нашей работы с ним, либо нет (то есть, сливается или нет).
Основные профильные счета у каждого БА:
• Checking
• Savings
Давайте разберем, что за Checking и Saving.
Checking - если сравнивать с Россией (Нам же так привычнее) - это расчетный счет. На него, к примеру, поступает зарплата КХ, с которого он делает платежи, ну, коммуналку, бензин, еда, телефон. Поэтому, движение по данному типу счета - частое, но объем транзакций, как правило, очень небольшой.
Второй тип счета - Savings. То есть, сберегательный. Там КХ хранит деньги, которые он не часто тратит, типа заначка. Ну, знаете, раньше в Сбербанке хранили деньги. На сберкнижке. Вот это - что-то типа такого.
На Checking - мелкие суммы в графе расходов, чаще проверяет КХ, зато для банка транзакции на таком счете - обычное дело. Saving - суммы крупнее (Из моей практики - намного) - КХ редко проверяет, зато банк относится к транзакциям с такого счета намного более подозрительно. Поэтому нам нужно решать самим, с каким счетом работать, а с каким нет. На наш выбор влияет множество факторов, типа активности КХ, тип банка и другое. За Saving'ом так же нужно более тщательно следить. Дело в том, что в США есть федеральный закон, по которому по Saving-счетам не может быть больше 6 транзакций в месяц (Включая входящие и исходящие). И проверочные платежи (Миники) тоже считаются (2 плюсовых и один минусовой = уже 3 транзакции. Про проверочные платежи (Они же MiniDeposit) я рассказал еще в уроках про ПП, но мы к этому еще придем позже.
Сам закон: https://en.wikipedia.org/wiki/Regulation_D_(FRB)
Можете почитать на досуге.
Сразу скажу, что будет, если случится 7 транзакций на Saving-счету. Зависит от банка. Кто-то возьмет большую комиссию, либо банк закроет счет. Поэтому, первое правило работы по БА
- всегда читайте FAQ и/или документы у банков. Terms and conditions, так называемые. В США больше 6000 банков, у всех - разные правила. По Checking ограничения на количество транзакций нет.
FAQ:
А: Перевод между своими счетами тоже лимитирован у них?
Б: Да, если с Saving'а сливаем на Checking внутри банка - все равно идет транзакция на списание. И она учитывается. Если переводим с карты на счет - есть лимиты.
А: На Checking есть ограничения по сумме? До которой суммы можно вызвать меньше подозрений, или нужно анализировать поведение КХ?
Б: Нужно анализировать поведение КХ и читать документы отдельно взятого банка. Есть банки с потолком средств на отдельных счетах.
А: То есть, если транзакции в пределах 100$, транзакция в 1000$ заблокируется?
Б: Не заблокируется. Она может вызвать подозрение у банка. У банка есть свой AntiFraud. Вот как в магазинах, в которые СС вбивают, так же и у банка. К примеру, если КХ тратит по 100 долларов, а тут транзакция на 1000 долларов. Ему могут позвонить и попросить подтверждение. К тому же зависит от метода слива средств. Есть более заметные методы, которые довольно быстро пресекаются, а есть менее. О них тоже поговорим.
Хорошо. Теперь перейдем к непрофильным счетам. Непрофильные счета. Их есть в большинстве случаев 4 (которые стоит выделить): Mortgage, Deposit, Loan, Invest (Brokerage).
Mortgage - это ипотека. Там показана нормальная сумма, с плюсом, но снять деньги нельзя, так как сумма показывает погашенную задолженность.
Выглядит так:
Deposit - если есть депозит, то логично, что там лежат деньги. Но для их перевода или снять - нужно, чтобы наступило событие Х. Типа - смерть, дефолт, рождение. Либо он лежит по времени (депозит до 2022 года, к примеру). Нужно узнавать условия отзыва депозита. Все равно проблематичный счет, хоть и лежит там, как правило, большая сумма.
Пример:
Loan - кредитный счет, типа на учебу. Обычно - целевой счет - машина, дом. Слить с него можно, но проблематично.
Ну, и остался Invest. Это - брокерский счет, с него КХ может покупать акции, в США биржевые брокеры распространены больше, чем у нас. Его можно отнести к профильным, но в нем присутствует множество нюансов.
Забавно, но вот на последнем скриншоте я по итогу слил самый последний (Saving) счет (не полностью, конечно же). До Invest'а, так и не успел дойти, КХ запалил после ухода некоторой суммы. Некоторые инвест-конторы позволяют привязывать к себе непрофильные счета, таким образом, вы переливаете деньги с банка (к примеру - нельзя слить такой счет, вы привязываете к конторе, где есть возможность трансфера средств на другие, внешние (External) счета).
FAQ:
А: Непрофильные счета мы вообще не трогаем?
Б: Не совсем так. Эти счета тоже можно слить. Приведу стандартный пример из моей практики. Есть такая штука, называется логи - загружается стиллак КХ в ПК и оттуда все логины-пароли-cookie попадают к вам. И есть люди, которые отрабатывают эти логи.
Допустим, они умеют сливать ПП (что там уметь - зашел по Cookie, нажал Send и получил выгоду). Заходит, значит, такой "сливатор" в ПП и видит там 100-200 долларов. И сливает. Тем самым убивая лог (КХ замечает и меняет пароли). А там еще БА в логе был, на 100 тысяч долларов.
Что я этим хочу сказать. Если не трогать и избегать сложностей - получается меньше прибыли. Так что рассматривать стоит прямо ВСЁ, это 100%, тем более, первые 4-5 месяцев. Про методы тоже поговорим еще. Для старта, конечно же, самые простые счета - Checking и Saving.
Счетов у КХ может быть много. От одного и до 100, к примеру. На каждый счет КХ может назначить псевдоним или дать ему название. Кроме счетов из другого банка, обычно к БА прикреплены карточные счета - там так и написано около них.
Для примера сгодится QIWI. У QIWI есть счет, а к нему вы можете прикрепить карту, QIWI - это БА с прикрепленными картами. И есть еще обратная ситуация, когда имеется интернет- доступ к карточке, где можно смотреть транзакции, но ничего с ней сделать нельзя. Это не БА, это - карточный счет, никому не нужный. До Enroll'а не дотягивает, так как нет полных данных о нем (реквизиты), CVV и Exp. Date нет, важно понимать это отличие. Enroll вы разбирали выше, думаю, понимаете, о чем речь.
Хорошо, давайте немного отвлечемся и посмотрим вместе, что тут у нас по счетам на этом БА.
Money Market - это счет кассового аппарата, т.е корпоративный счет, он принадлежит компании. Если обратили внимание, то тут есть кредитная карта - бизнеса. Говорит о том, что счет - корпоративный. Это - счета в рамках одного БА. Разных людей. Сотрудников компании, да. Money Market, по логике вещей - счет с постоянным потоком средств.
Соответственно, слить с него тоже не будет чем-то зазорным, это регулярно делают сами КХ, иногда даже не заметят. Я - владелец бизнеса. Могу перечислить деньги Джеймсу, Мерси, Луизе и еще куче КХ, а могу перечислить на "AeroSleep", это мы покупаем какую-нибудь продукцию с этого счета (это пример, по факту я не владелец счета). Хорошо, к профильным Money Market отнести можно, но при работе у него тоже есть своя специфика. Не бойтесь трогать Money Market счет, мой вам совет.
Хорошо, перейдем к реквизитам.
Реквизиты - это информация, по которой можно перечислить деньги на счет т.е данные счета для пополнения, если вкратце, либо для снятия, можно и выставить счет на уплату, в общем, это информация о счете, которая позволяет совершать с ним операции. Самый главный реквизит у БА - его хозяин. Поэтому, нам нужно знать имя и фамилию хозяина. И вот если говорить про Россию - да, к реквизитам можно отнести и корр. счет, бик и т.д.
А в США основных реквизитов 7.
1. Имя КХ.
2. Адрес от реальной почты (не электронная почта).
3. Телефон.
4. Электронная почта.
5. Номер карты (Если есть).
6. Routing Number.
7. Accounting number.
С п. 1 - п. 5 понятно, думаю. 6 и 7 рассмотрим. Routing - уникальный номер банковского отделения, выдается на отделение банка. Ну, знаете, офисы Сбербанка, допустим повсюду, вот у каждого из них есть свой уникальный код. Так же и в США. Но есть отличие от России - в США каждое отделение получает свою лицензию на каждый вид операции. Для прямых депозитов может быть один Routing-номер, для электронных - другой. Что это значит - вы, может, слышали про чеки в США, и чеки отправляются по одному адресу, на один Routing Number, а когда вы хотите подвязать ваш БА куда-то или к чему-то - Routing уже другой бывает.
Аккаунтинг - это номер счета, как можно догадаться. Под каждый счет выдается отдельный аккаунтинг номер. Состоит, как правило, из 9-12 цифр. Аккаунтинг номер присваивается банком при открытии счета. Как в банке оно происходит, давайте наглядно смотреть, а то сухое повествование без образов не сулит усвоения знаний.
Это мы входим в БА:
Смотрим и замечаем такое:
Видите два Routing-номера? Один для прямых и один для электронных. Каждая лицензия (каждый Routing) в CША стоит 120к - 170к. И открывать лицензию на Wire трансферы в далеком городе с населением в 1000 человек - нет смысла. И присваивать отдельный Routing для этого, тратить деньги. Они попросту используют лицензию соседнего крупного населенного пункта. И комиссия за данную услугу пойдет в прибыль соседнего города.
Хорошо, идем дальше. Ну, вы знаете, есть короче нынче целая профессия кибержуликов, зовут их вроде кардерами. Слышал я о них что-то, говорят совсем оборзели. И банки с ними борятся вроде как. И банки думают, что, поменяв внешний вид и код страницы авторизации в БА - обезопасят своих клиентов, сделают банк круче. По факту они как бы и правы, потому что есть Brute'ры, а Brute пишется во многом исходя из кода страницы. Ну и мы не можем посмотреть реквизиты БА, если не зайдем туда. Это я за Brute говорю, не за логи. Мы не всегда сможем зайти в БА. Для этого нам нужна выписка. Называется она Statement. Она отправляется КХ ежемесячно на почту, а еще доступна из личного кабинета онлайн в любое время. Где ее искать и смотреть - практически во всех БА можно найти специальную вкладку, пример:
Открываем эту вкладку и скачиваем Statement. Я обычно скачиваю. Вам тоже советую так делать, пригождается в работе (дальнейшей), пример - у вас потребуют отрисовку, ее можно будет сделать самим в пару кликов. Об отрисовке отдельно распишу. Сами сможете ее делать, не прибегая к помощи рисовал.
КХ обычно на почту Statement не приходят, а ежемесячно от банка приходит напоминание со ссылкой на эти выписки. И некоторые КХ кладут болт, представьте, вам приходят постоянно спам от банка, это не круто, и вы становитесь равнодушны через какое-то время. Мой совет - смотрите дату последнего Statement'а, и строите свою работу исходя из нее. Гораздо лучше подождать день, когда у КХ на почте будет выписка с отсутствием ваших мошеннических транзакций. Это увеличивает шансы на успех. Еще КХ получают выписки в бумажном виде, по почте (USPS). Там выписка идет несколько дней и есть пространство для маневра. Можно отключить выписки? Нет. Можно выбрать между онлайн-выписками или бумажными.
FAQ:
А: Сколько по времени занимает работа с БА обычно?
Б: Есть методы, которые позволяют вам получить средства на руки за 30 минут. Есть методы, которые занимают 7-10 рабочих дней. Уровень прибыли и необходимых навыков разный.
Еще кроме выписок в БА есть еще так называемые предупреждения (Alerts). Страшная вещь, на самом деле. Это - оповещения, которые отправляют на почту или по СМС КХ в случае наступления определенных событий. Пример - списание больше 1k$. Зачисление средств. Вход в аккаунт. Теперь сами подумайте, люди, которые занимаются ПП - умные люди? Которые покупают Brute-аккаунты, крепят в БА, жмут депозит. Особенно публичных банков, типа Chase, где уже почти к каждому счету подключены предупреждения по несколько штук. Это вот вам к вопросу, почему ПП умирает. Нет, не потому что не дает.
Хорошо, в нашей работе предупреждения (Alerts) тоже являются не очень приятным явлением, но мы можем на них влиять по крайней мере. Есть специальная вкладка в банке с этими предупреждениями, и напротив каждой строки есть 3 CheckBox'a с выбором, куда отправлять предупреждение. СМС, почта или никуда.
Хорошо, смотрите. Если выбираем никуда - может приходить оповещение о выключении предупреждений. К тому же банк что-то начинает подозревать. Залетел какой-то парень с
нового IP-адреса, с новой машины и выключил предупреждения. КХ так себя не ведет.
Можно поставить на почту, чтобы не провоцировать слишком сильно AntiFraud и начать ее спамить. В идеале - меняешь почту и спамишь старую почту. Но смена почты - это тот еще Fraud для банка. Самое не заметное действие - поставить предупреждения на СМС. При смене номера телефона никуда не уходит оповещение, если все сделать правильно. Совет. Не удаляйте номер телефона КХ, парни. Это тоже очень сильно заметно для AntiFraud. Во многих банках можно добавить второй (Secondary) номер. То есть, ВАШ. И туда перенаправить оповещения. Можно использовать Google Voice, TextNow. Не все банки жрут VOIP. И подкручивают их уже довольно сильно последнее время, не кушают банки. Поэтому есть сервисы по приему СМС от банка и за 2 доллара вас оближут.
После того, как вы ставите второй номер, отлежите аккаунт сутки. Не надо сразу делать его основным. Отлежали сутки - ставим наш номер как основной (Primary). КХ номер можно удалить теперь. Если есть доступ к почте - бежим на почту, смотрим там, что как. Может, банк пришлет письмо на почту. О том, что номер сменен. Либо в некоторых банках есть внутренняя система сообщений.И в ней написано о смене номера. Нужно все эти моменты учесть, прочитать и удалить. Иначе КХ заметит. Даже не так. Шансы на неудачу повышаются.
После смены номера рекомендую еще подождать какое-то время. 1-2 рабочих дня. Зачем ждать? Дело в том, что у вас отображается, что номер сменен. А по факту, на сервере банка не так. Там нужно время для закрепления информации. Немного отступая от темы - адрес КХ меняется 5-7 РАБОЧИХ дней банком. А вы видите новый адрес после его смены СРАЗУ. И не подозреваете о том, что он еще не изменен. Когда я говорю адрес в данном контексте - имеется ввиду адрес проживания. Выходные и праздники в США за банковские дни не считаются. Поэтому их обходим стороной при работе. В эти дни вы можете делать что угодно - искать конторы, регистрировать себе счета, разбираться с висяками. Но не работать со счетами КХ.
Теперь о способе вывода, мы будем рассматривать основные методы дальше. Но сейчас стоит упомянуть вот о чем - исходя из истории транзакций, нам нужно смотреть суммы, которыми оперирует КХ, куда он эти деньги тратит, каким образом, нам нужно максимально подстраиваться под поведение КХ, чтобы шансы на успех повысились. Вы сами подумайте, как банк реагирует, если человек залетает с новой системы, с новым IP, снимает все оповещения, крепит свой счет и сливает весь баланс. Золотое правило работы с БА: Никогда первая транзакция не может быть больше 30% от баланса счета. Так же стоит помнить - после входа в БА, в любом случае, при наступлении новых рабочих суток, выскочит уведомление, что выполнен вход с такого IP и такого компьютера вчера. Надо это оповещение обязательно ловить. На почту оно иногда приходит, иногда нет. Зависит от банка.
Банки работают по UTC -5(Зимой -6). Зачисление транзакций: 4-30 утра, обновление - 12-00 дня, доначисление - 16-00. Новый рабочий день - 00-00. Еще от банка зависит, но я вам дал примерные данные, которые едины для большинства. Есть банк, который любит в 8 утра начислять. Так что тут индивидуально смотреть тоже можно и нужно. И да, все же, закрывая тему оповещений. Сами понимаете, что нам Fraud-очков нужно минимум ловить. Поэтому, любые смены номера/почты/адресов - нежелательны. В идеале - когда у КХ выключены оповещения по умолчанию.
А: Что по поводу IP-адреса для БА? Какие критерии обязательны при выборе по опыту?
(Открытые порты, черные списки, FraudScore). Что по настройке системы, можно ли пользоваться Linken Sphere?
Б: IP - работаю с vip72.org, либо 911.gg. 911 чище, но раньше были лучше. vip72.org = самое плохое качество на рынке. Тем не менее, мне хватает. Критерии - проверяю на черные списки. FraudScore не проверяю. Порты - тоже нет. 100% по Whoer и отсутствие в черных списках - и вперед. По настройке системы - использую Portable FF копии для каждого банка. У меня отдельная рабочая американская машина с английской Windows и пробросом DoubleOpenVPN. По LS (Linken Sphere) - для работы с логами использую бесплатную LS. Платную не беру. Если хотите лучшую проходимость - берете DS от Google и туда SOCKS цепляете под штат от 911. И Portable FF заменяете на Portable Chrome. SOCKS обычно в vip72.org подбираю под город.
Да, на vip72.org мои SOCKS живут на удивление долго, все жалуются, а мне комфортно. Есть SOCKS, который живет 8 месяцев уже. Я создал БА саморег себе в августе. И с тех пор с одного SOCKS'а с vip72.org туда захожу. Да, он падает иногда. Нет в сети SOCKS'а, тогда я беру другой. Таким образом, у меня есть список из SOCKS'ов, с которых я захожу в БА. Речь про самореги.
Если говорим про вход в Brute-аккаунтs или логи - тут под ZIP. Все включено, WebRTC цепляется от Proxy. Если что, то руками WebRTC я не прописываю, у меня просто есть параметр в FF: about:config. В поиске по config'у FF вбиваем Proxy и смотрим все параметры. Например, ice.proxy_only. Вообще, любая работа начинается с настройки. Я бы рекомендовал начать с поиска описания переменных в настройке этого config'а. Никакая Linken Sphere вам будет не нужна, если грамотно все настроить. Да, сложно, долго, нудно. Поэтому никто и не настраивает, а если и настраивает - то не говорит. Мне этого параметра с головой хватает. Выключать WebRTC тоже, как красная тряпка работает иногда.
Зависит от банка еще. Но если мы говорим о регистрации аккаунта в банках, то тут лучше не провоцировать лишний раз и не играть в удачу, и так много времени на пробивы уходит.
Лучше всего узнайте, что меняет, как влияет каждый параметр, а затем выберите для себя оптимальный. Лучше всего систему настраивают те, кто вбивает СС. Но нам хватает и этого. Скажу вам сразу. Механика работы со вбивами карт и с БА отличается. Настройки системы тоже. Прибыльнее БА темы в С нет. Но и сдаются на ней очень многие, так как сложно.
Проще ведь для многих кнопочку тыкать одну и всегда будет все хорошо. А тут думать нужно, искать.
Еще хочу сказать, что стоит работать больше по логам, но если денег нет, то берете Brute и работаете с ним. Стартовый капитал Brute поможет набить, равно как и шишки. Логи стоят от 10$/штука. Либо за % договариваешься с людьми, но такого мало сейчас.
А: Ты сказал что, брать ПП, привязывать БА и делать депозит - не очень умная идея, а что тогда делать?
Б: Конкретно с ПП не считаю работу высокоинтеллектуальной. Она построена на обычных, повторяющихся простых закономерностях. Ну, сами подумайте, если есть БА с оповещениями, человек покупает пачку БА, и он на эти оповещения повлиять не может.
Привязывает БА, делает депозит. Из 10 аккаунтов ПП один выживает. Лучше всего работать с БА. Искать новые методы, конторы. ПП обычно подходит для тех, кто начинает путь в С. Но в БА потенциально можно делать в разы больше. ПП - это ОДНА из сотен контор в США. Контор, которые позволяют работать с БА.
А: То, что в БА потенциально можно делать намного больше - тоже понятно, но тут другой вопрос, как потом обелить эти средства в России, чтобы не присесть по итогу.
Б: Активно занимаюсь его изучением. Обычно помогают карты на чужие сканы. Talkbank найдите, хорош тем, что нет Branch'а (отделения) и карты по почте России отправляют. Туда можно средства загнать на сканы. Можно загонять деньги в BTC - QIWI и Яндекс - это то, что не контролируется ФНС. Есть еще офшоры, позволяют деньги держать без особого внимания. На карту можно вывести до 600 т. рублей, но можете забыть о Сбербанке. Talkbank на подставное лицо, либо Тинькофф Банк на себя.
А: Где брать материал - логи, VNC, Brute-аккаунты и так далее?
Б: Для работы основные - refaund.biz и wwh. Почти всех продавцов любых товаров и услуг можно на них найти.
Способы заливов в БА. Урок 23.
Важная тема - способы заливов - это то, на чем строится работа по БА направлению. Всего существует стандартно 6 способов:
1) Bill Pay
2) ACH
3) Wire Transfer
4) International Wire
5) Внутренняя платежная система банка
6) Внешние платежные системы Bill Pay (1).
Bill - в переводе с английского - счет. Pay - платить. Плати счет. Bill Pay - это система электронных счетов (чеков). Не во всех БА присутствует такая функция. Выглядит это все примерно как-то так:
На скриншоте мы видим, как я попытался исследовать это направление, открыв Bill Pay с ручным вводом всех данных. BillPay обычно нужен для оплаты каких-либо счетов для различных поставщиков услуг. За свет, воду, интернет и так далее. Для нашей деятельности можно использовать данную фишку следующим образом - добавить своего поставщика услуг (Это может быть, как компания, так и физическое лицо). Например, я хочу сделать приятное некому господину Джеймсу, и вношу его в список поставщиков. И провожу оплату. По срокам он получит деньги от одного часа до трех рабочих дней. В принципе, данный способ довольно удобный, но есть свои нюансы, о них рассказываю.
Дело в том, что при формировании чека выплаты, банк отправляет также бумажный чек на адрес КХ (где он живет). Обычно такие письма идут 2-3 дня. И КХ может заметить, что что- то не так. Из своего опыта скажу, что Bill Pay - это очень перспективное направление. В нем не надо ждать проверочных платежей (MiniDeposit), к нему лояльно относится AntiFraud полностью лояльно, но помните о правиле 30%. И не во все организации можно оплатить через Bill Pay.
Как-то так выглядит поиск поставщика услуг, которому Bill Pay идет в электронном виде. Это когда мы его не вводим вручную. Как правило, при вводе данных вручную - идет бумажный чек. А если поставщик находится у банка в специальном списке, то есть возможность получить деньги уже в этот же день. Поставщиком услуг также может выступать банк в теории. Только с данными не налажайте, если будете это делать, так как отмена чека - это еще 3 дня. Обжегся один раз уже. Лучше прозвонить поставщика услуг и узнать.
Хорошо, а теперь совсем приватную информацию скажу для некоторых. Может быть видели на форумах объявления, якобы заливаю кредитки по США. При этом, человек не заливает дебетовые. Суть в том, что многие кредитные карты в США оплачиваются, как счет. И оплата эта происходит именно, как поставщику услуг. Если очень грубо говоря, эти люди работают так - берут лог, вешают объявление о заливе на форум, заливают кредитки, потом КХ просыпается (в любом случае, всегда), максимальное количество времени для процесса отмены - четыре рабочих дня. Как бы вам уже понятна суть такого объявления, подходите с умом к подобного рода предложениям.
Следующий способ - ACH (2).
ACH - система автоматических зачислений резервного банка США, созданная для ускорения и упрощения автоматических платежей на основе предварительного соглашения или предварительной записи. По времени ACH идет от 1 до 4 рабочих дней. Как вы помните из уроков по ПП, к ней подвязывается какой-либо счет и совершается депозит/покупка. Так вот,
совершается она с помощью ACH. На месте ПП может выступать любая контора, куда есть привязка БА. Будь это Venmo, любые инвест-конторы. Можно также подвязать счет одного банка к другому, с помощью ACH отправить средства.
Как это выглядит на практике:
Добавляется счет, как правило, по аккаунт и Routing номерам (AN/RN). Здесь есть свои нюансы. К примеру, вы же не напишете из воздуха аккаунт и Routing номера, и у вас счет тут же не привяжется к БА. Для этого придумана проверка счета. Отправляются 2 мини-депозита (MiniDeposit) на зачисление на привязываемый счет. Идут они 1-3 рабочих дня. Вы их «ловите» (Смотрите) на привязываемом счете, вводите в специальные окна для ввода мини-депозитов на основном счете и у вас есть связанный аккаунт. Так, на скриншоте, кнопочка “Verify”.
Таким способом можно вязать банки на разных КХ. Допустим, у вас счет на Васю Пупкина, вы связываете счет другого человека по проверочным платежам и можете совершать между ними транзакции, при этом банк не будет ругаться. По факту, это запрещено. То есть, все счета должны принадлежать вам, как КХ. Подвязка счета на другого человека запрещена.
Второй момент - по ACH есть подвязка мгновенно. Мгновенно - это когда вы вводите логин-пароль и отвечаете на секретный вопрос. И счет прикрепляется моментально. Этот вариант хороший, но требует совпадения ФИО КХ. Так как идет интерграция через сторонние сервисы (по API). То есть, Вася уже не прикрепит счет Пети. Когда мы прикрепили счет любым из способов (проверочными платежами или мгновенно), вы можете совершать операции с ним. Можете отослать деньги НА него, можете отослать деньги С него. И когда вы шлете деньги С него, это называется обратный ACH. Когда шлете НА него - это прямой ACH.
Вопрос на засыпку. Вы прикрепили Brute БА к ПП и нажали Add Money. Это будет прямой ACH или обратный ACH?
Верно, это обратный. Обратный ACH - это когда мы не находимся в БА, но запрашиваем средства, находящиеся на нем. Соответственно, теперь вопрос. А зачем вам, уважаемые, мучаться с ПП и ее проблемами, когда вы можете просто создать БА, прикрепить таким же способом любой БА и сделать депозит? Не иначе, как мазохизм. Ну, ладно, не мне судить. Сейчас лишь задумайтесь о том многообразии контор лишь для метода слива по АСН, а в обычном БА этих методов минимум 3.
Хорошо, по срокам давайте определимся. Проверочные платежи идут 1-3 дня, на практике 1- 2 дня. Средства идут стандартно 3 дня. Бывает, что задержку продлевают на день. Итого: 4-5 банковских дней на перевод средств. Не забывайте про золотые правила - не более 30% на первой транзакции (В идеале - 10-25%). И не сливайте со счета все. Иначе транзакцию могут заблокировать и пригласить КХ в банк. Есть банки которым все равно. Метод проб и
ошибок помогает их выявить.
Хорошо, третий способ. Wire Transfer (3).
Wire - обычный перевод денег. Сейчас с ним много проблем, он есть далеко не во всех банках. Если хотите слить Brute/логи - обязательно смотрите, были ли транзакции подобного рода типа ранее. Сейчас стандартный Wire без звонка не обходится. В худшем случае - попросят придти в банк. Я бы не рекомендовал работать с ним, потому что нужен опыт. Нужно делать все идеально (И номер поменять, и время подгадать, и сумму). Также, транзакция должна быть на счет с той же фамилией, как у КХ. То есть, нужно открывать на него счет в другом банке. Однако, данный тип переводов очень быстрый. Там бывает за 10 минут они прилетают. Для справочки - многие криптобиржи в США используют только Wire.
Хотите залить себе на карту Сбербанку пару десятков тысяч? Это возможно благодаря еще одному типу перевода - International Wire Transfer (4). Такой же Wire, только международный, с некоторыми отличиями. Фамилия КХ не должна совпадать с фамилией получателя, к тому же идет Wire очень долго. Долго он идет по причине того, что проходит кучу корр. Счетов. У кого есть Тинькофф Банк - видели, что там можно принимать деньги в USD и банк-корреспондент - Тинькофф Банка - Chase.
Так вот, International Wire идет из США на Тинькофф Банк 10 рабочих дней. Это в среднем, зависит от банка еще. По плюсам данного способа и про бутылку. Длинная транзакция - то есть больше одного корреспондентского счета всегда - КХ не всегда может ее отозвать, вы представляете, если процесс отмены начнется, сколько времени идет платеж, сколько он корреспондентских счетов преодолевает, он пока дойдет - вы уже с подругами затусите где- нибудь. Поэтому под International Wire частенько берут материал на подставные лица. Быстро залили, обналичили и выкинули. Ну, как быстро, насколько это позволяют банки- корреспонденты.
Канаду тоже затронем. Так вот, в ней в банках данный вид перевода более распространен. Парни берут логи и тупо льют себе карточку Сбербанка. Плюс в том, что из Канады идет быстрее, чем с США. Если мы говорим про СНГ-заливы, то нужно узнавать у банка, можем ли принимать платежи из-за границы.
Так, идем дальше. Внутренние платежные системы банков (5).
Банков в США много, у некоторых из них они имеются.
Везде зовется по-разному: SurePay, P2P, PopMoney, Zelle, Send Money (Movo). В Канаде это - Interac. Как вы не называйте эти платежные системы, суть у них у всех одна - передавать деньги. Как все происходит - начинаете перевод денег, указываете данные получателя (Ничего сложного - в некоторых случаях достаточно электронной почты или номера телефона). В случае с Movo - деньги по электронной почте передаются и попадают моментально на счет, который привязан к почте, на которую переводили. В остальных платженых системах механизм схожий, они созданы для быстрого и беспроблемного отправления средств, максимум, что я видел - это запрос на звонок. Поэтому многие, так
отчаянно ищут Zelle-приемщиков. Головной боли минимум и прибыль быстрая. Так, по внутренним платежным системам это все.
И, наконец, внешние платежные системы (6).
О них уже было чуть выше (в повествовании про ACH). Работа с ними происходит довольно просто. Берем Full Info, регистрируем на нее аккаунт (во внешней платежной системе), привязываем счет КХ (по проверочным платежам или по логину-паролю/мгновенно).
Привязали счет, пополнили платежную систему. И отправили. Существует два варианта этих внешних платежных систем. Первое - когда к одному аккаунту платежной системы можно привязать несколько БА. К примеру - счет КХ (Который в сливаете) и ваш счет (Или счет подставного лица) - на который вы льете. Ничего сложного. Пополнили аккаунт платежной системы с Brute и залили себе (подставному человеку).
Второй вариант - когда к одной платежной системе нельзя привязать несколько БА. Тогда обычно делают второй аккаунт в платежной системе и делается отправление на него, затем сливаем со второго аккаунта на свой БА. Готово.
Примеры внешних платежных систем: PayPal, Venmo, Western Union, TransferWise, TransFast. Их действительно много. У каждой из них - свои нюансы. Но помните - они все созданы для людей. Им нет смысла черезмерно отпугивать клиентов. ПП является довольно «доброй» платежной системой, там можно левую Full Info вставить (От одного КХ), БА - от другого. В большинстве платежных систем не так, там надо сторого делать пробив Full Info под КХ БА. Аккаунт платежной системы на КХ Brute БА. И сливной аккаунт (Куда потом зальем средства) - тоже на КХ Brute БА.
FAQ:
А: Какой способ самый простой?
Б: ACH.
А: Сливной аккаунт на КХ, имеется ввиду аккаунт в этой платежной системе? А в системе могут быть два аккаунта на одного КХ? И второе. Чем можно оправдать выбор ПП, а не БА для подвязки по ACH? Неужели мы просто делаем саморег БА и туда делаем депозит с другого БА?
Б: Нет, не в системе. На одного человека можно открывать счета в разных банках, об этом речь. Допустим, в одной инвест-конторе можно прикрепить лишь один счет к одному аккаунту. Мы вносим средства со счета КХ, затем открываем на него счет в другом банке, пишем в техническую поддержку инвест-конторы и просим поменять нам аккаунт для вывода. Они меняют, выводим деньги, готово.
Выбор обусловлен тем, что она активно продвигается. Как и Iphone. Этим летом на ПП народ набежал, и она умирала уже пару раз.
А: Первое - почему на самом первом скриншоте, когда мы говорили о BillPay, там стоит замок на вкладке Wire Transfer. Второе - почему задержки могут продлить на день в случае с ACH? Третье - на International Wire какой порядок цифр? Тоже не больше 30%?
Б: Первое - это особенность банка, не открыт данный вид переводов на конкретно этом аккаунте. Второе - задержки там какие-нибудь, к примеру. Третье - верно.
А: А у инвест-конторы не появляется лишних вопросов к таким действиям?
Б: Появляется. Поэтому приходится методом проб и ошибок их находить, тестировать, отбирать свои, находить закономерности.
А: А какие правила поведения с саморегами БА? Или они такие же? Делаем депозит, не дало, отлеживаем три дня, пробудем сделать депозит.
Б: Саморег БА не может не дать, там нет такого. Он дает всегда. Но могут заблокировать, если вы выбрали плохой банк или взяли большую сумму.
А: То есть, особо смысла работать с ПП нет, если можно делать тоже самое только с БА?
Б: Смысл есть, если хотите быстро деньги сделать и без головной боли с поиском банков.
А: А такого понятия мгновенной оплаты, как в платежных системах, у самих БА нет, верно? То есть, только можно сделать депозит со счета на счет.
Б: Верно, с БА оплата мгновенно не происходит. Можно только по внутренней платежной системе мгновенно перекинуть с БА на БА. Или по Zelle межбанковский перевод за 30 минут возможен в некоторых случаях. Смотря, для чего взять. В вашем случае, имеет смысл изучать многообразие, выявлять закономерности, исследовать. И из этих закономерностей отбирать подходящие для работы банки.
А: На счет поиска банков. То есть, банк X дает сделать депозит в банк Y без проблем и банов. А вот банк B в банк С дает депозит с баном и жесткой карой от службы поддержки и с головными болями? То есть, это пары банков, которые работают.
Б: Если вы хотите счета создавать и ищете банк - это одно. Если для Brute'а - другое. Все банки X, Y, B, C в данном примере дают и без головной боли, но AntiFraud у всех настроен по-разному. Даст из них каждый, а по приходу средств может быть блокировка/отрисовка/звонок, зависит еще от объема и разных параметров.
И да, скажу прямо, рассматривать имеет смысл любой банк. Не дающих банков нет. Это же банки.
А: Хорошо, тогда еще на что может залупаться AntiFraud банка?
Б: Входит все. Масса параметров. От IP, Full Info, ответов на секретные вопросы при регистрации, выборе настроек счета. И до ваших действий в личном кабинете банка.
А: Бывает ли неснимаемая звонком, отрисовкой и жалобами технической поддержке блокировка? Что остается только лично к ним идти.
Б: Да, бывает. И есть еще некоторые банки, которые всегда в свои отделения отправляют. Пример - PNC.
Хорошо, дальше. Что такое чек для американца? Не чек из магазина, а в понимании банков. Смотрите, чек нельзя напрямую «поменять на деньги». Сначала деньги падают на счет БА. То есть, это бумага, подкрепленная цифрами. Не просто бумага с надписью. Помните фильм, где Ди Каприо играл? Он там чеки подделывал. Фильм называется - «Поймай меня, если сможешь». Так вот, в том фильме чек (Бумажка) менялась на деньги. В России зарплата приходит на карту, верно? В США приходит бумажный чек с суммой ЗП, дальше КХ топает в банк и обналичивает чек. КХ ставит свою подпись в банке на чеке, дальше работник банка проверяет подлинность и производит сверку данных. Чтобы банк не обманули, как в фильме. Чек сначала зачисляется на счет банка, затем банк выдает деньги. Тот, кто выписал чек, вам деньги напрямую не выдает. Понимаете? То есть, деньги проходят через компьютеры, через счета, через банки. А не бумага на деньги.
Для нас в чем суть? Есть такая штука, называется eCheck. Это - электроный чек. Очень крутая штука, которая позволяет деньги получить на своем БА за сутки, а то и меньше.
Echeck есть не во всех банках. Отправка по eCheck происходит легко. Пишите аккаунт и Routing-номера (ANRN), куда надо зачислить средства. Проходят сутки, деньги уже на
балансе. Готово. Хороший полноценный банк с eCheck'ом найти сложно и стоить он будет дорого. Именно в плане поисков. У Movo есть eCheck, но это и не банк, а приложение. То есть полноценным банком Movo не является. У нее нет многих функций обычного банка, которые нам нужны и важны. Например - туда нельзя прикрепить БА по ACH для депозита. Или, например, на Movo нельзя принять деньги, если ФИО КХ отличается.
Хорошо, теперь у вас возникает вопрос. Куда выводить и как себе получить деньги в России? Есть два способа. Первый - вы умеете переводить средства из США в Россию или из США в BTC. Здесь все предельно понятно, думаю. Для США-Россия переводов есть разные конторы, например, Western Union. В BTC позволяют переводить криптобиржи.
Второй - вы находите человека, как я, который за определенный процент предоставляет вам подставных лиц, либо свои счета, куда можно залить деньги и получить эквивалент в BTC/QIWI/RUB. Для старта рекомендую второй метод. По мере вкатывания в теме придете к первому. Процент разный у разных обнальщиков, смотрите wwh. И условия разные. Так, например, обналичивание ПП с логов можно найти за 50%. А чистые деньги на Movo нынче забирают некоторые товарищи за 75%. Если вы умеете делать счета в США, для вас не будет проблемой самим залить на Movo и получить самый вкусный процент. Да, чуть дольше, но и потерь меньше.
Совет. Не совершайте моей ошибки и не идите сразу в поиск способов перегонки денег в Россию самостоятельно. На первых этапов всегда выбирайте чужое обналичивание.
Остальное придет с опытом.
А: Movo - внутренняя платежная система?
Б: Да, но не совсем так. У Movo можно сделать платеж по кнопке Send Money. С Movo на Movo. А на саму Movo залить можно по аккаунт и Routing-номерам. Извне. С любого БА. Или с ПП. С Venmo. С чего угодно, что позволяет вязать ее. Но нельзя прикрепить БА. То есть, заливы будут с проверочными платежами (MiniDeposit).
А: AntiFraud обоих сторон нас интересует? И банка-донора и банка-принимающего? То есть, виноваты могут быть и службы отправляющего БА в блокировке денег на нашем самореге другого банка?
Б: Конечно. С другой стороны, если мы работает с Brute, то на AntiFraud повлиять мало можем. Все верно.
А: Почему? Зайти без логов опасно?
Б: Секретный вопрос выходит обычно. Без Cookie довольно опасно.
А: Видел в магазине продаются данные БА и к ним еще секретный вопрос, их можно брать? Б: Брать можно все. Лишнего материала не бывает. Другой вопрос, что к почте там доступа нет, это является проблемой.
А: Почему брать Brute, а не логи? Дешевле - это ясно, но с логами можно поиграться с оповещениями, да и требования к чистоте одинаковые, то есть логи тупо лучше дадут в среднем, чем Brute.
Б: Логи брать в том случае, если деньги есть, так как они дороже. Но и выгода больше. Brute, на мой взгляд, подходит новичкам, либо тем, кто с БА не работает напрямую - тем же, кто работает по ПП. Для БА-работников комфортнее логи.
Здесь немного про чеки, так выглядит типичный чек в США:
Мой личный чек на 2000$, недавно зачислили на БА. По поводу обналичивания и вашего задания. Тоже пару слов скажу. И так, может быть в ходе мыслительной деятельности, некоторые из вас пришли вот к чему. А почему бы не открыть счет на КХ США, отправить карту в Россию и тут не снимать деньги в банкомате? Обычно для снятия денег в России с американских карт - нужен, так называемый Travel Notice. Это когда вы банку говорите, что будете в другом месте, в другой стране какое-то время. Таким способом, некоторые обналичивают свои средства. Минус способа втом, что на карте обычно стоит лимит на снятие. Например, 400-500$ в день. Можно расширить, у каждого банка и карты по-разному. Но есть некоторые специальные карты в офшорных зонах. Они позволяют вам принимать деньги на себя и выводить их на ваши личные счета в СНГ или на QIWI/ЮMoney. Может быть слышали что-то про payoneer.com
Преимущество данной карты конкретно для вас заключается в наличии у нее прямых счетов в разных банках мира. То есть, вам деньги зачисляют по аккаунт и Routing-номерам (ANRN), а вы в этот же день снимаете их в рублях. Не иначе, как фантастика. Никаких вам Wire, сроков ожидания, ничего этого нет. Тупо залили и сняли. Но есть подвох, куда без него. Для больших операций не подходит. Могут заморозить средства. Предел на сайте нужно искать, от 1500$, 700$ держит за раз спокойно. Поэтому, настоятельно рекомендую вам, как начинающим С-работникам, обзавестись данной картой на скан (либо на подставное лицо).
А: А для БА саморегов мы Full Info используем или там там сканы могут понадобиться? Чтобы не рисовать потом
Б: Зависит от банка. Есть банки, где не нужны фотографии/сканы.
Ваше задание - зарегистрировать payoneer.com на скан паспорта (не свой). Карту отправляют почтой России, если в РФ живете, можно указать почтовый ящик соседа и забрать ее оттуда.
Второе задание - взять Full Info, зарегистрировать на Walmart Money Card в США. Walmart Money Card - это предоплаченная перезаряжаемая карта в США. Она отлично подходит для заливов. Живет две недели. При регистрации сохраняйте все данные, особенно номер карты, Exp. Date и CVV. По сути, вы создаете свою первую карту в США. Да,
старожилы сейчас скажут, что это достаточно публичная информация, поэтому ерунда. Ну, Walmart, пусть и публичен, но для заливов по-прежнему годится. Payonner - маленькие суммы пропускает отлично. Можно сделать, как лучше. Payoneer США вам влетит в копеечку, так как прием подставным лицом 50$ где-то и пересылка еще столько же. Payonner русский - только скан паспорта. К Payoneer из США отношение более лояльное.
Payoneer вам пригодится, чтобы выйти из трудного финансового положения, если есть мозги. А Walmart - практика, к тому же Walmart вы можете залить сами. И потом сдать обнальщикам. Тоже, как опыт. И выгоду получите. Некоторые дают до 70% за него. Payoneer нельзя залить с банков, в этом его минус, только с контор. К ПП русский Payoneer не привязывался раньше. Как сейчас дело обстоит - не в курсе.
Walmart с банков бьется достаточно тяжеловато, но все кущают его Routing-номер. Payoneer же вы можете пролить с любой инвест-конторы, которая поддерживает привязку по аккаунт и Routing-номерам. По сути, имея Payoneer, найденную инвест-контору и мешок Brute БА в запасе - нищими не останетесь. Либо должно не повезти сильно.
Пример инвест-конторы: robinhood.com Это ваще третье задание - рассмотреть данную контору. Прочитать ее правила, документы, FAQ, все подводные камни.
Четвертое задание - рассмотреть сайт Zelle, банки-партнеры этой внутренней платежной системы.
И так, обобщим. Payoneer вам нужен для обналичивания инвест-контор по типу robinhood.com. WalmartMoneyCard заливается с банков, в том числе - с банков-партнеров Zelle. Еще у Payoneer много разных фишек есть. По-всякому можно использовать, допустим прикрепить к Amazon, принимать на него платежи. Работа по БА заключается в исследованиях. Если вы работаете по БА, действительно работаете, то это 100% принесет свои плоды, я вам гарантирую.
И да, желательно не переходить на следующий урок, пока вы не сделаете все задания, иначе дальше вы будете теряться и не понимать большую часть материала.
Самореги БА. Урок 24.
Для всех еще раз обозначу сокращения:
RN = Routing-номер
AN = Аккаунт номер
Хорошо, раннее мы уже немного затронули с вами тему того, как вывести деньги. Вы создали сами Movo и Walmart. Это - простые карты для заливов, не банковские аккаунты. В них ограниченный или отсутствующий функционал. В Walmart вы не можете ничего сделать со средствами, пока не получите и не активируете физическую карту. В Movo вы можете сделать отправление по ANRN или на другую Movo внутрибанковским платежем. Но это все равно не совсем полный функционал. То есть, Movo - это даже не банк. Если кто искал RN Movo, то она принадлежит к банку Метрополитан. Также, как и вWalmart. Поэтому, рассмотрим
полноценные БА-самореги, их создание и нюансы. Саморег БА - это созданный в банке на Full Info банковский аккаунт.
Как его сделать? Сначала находим банк, в котором хотим делать наши дальнейшие действия. Находится он в Google или с помощью различных блогов по банкам. Также, есть списки и рейтинги банков. Пример: hustlermoneyblog.com
Допустим, мы нашли банк, в котором хотим создать счет. Ищем в нем возможность открытия счета онлайн (Apply now). Если на сайте банка нет такой кнопки или раздела, то открыть счет можно только в отделении (Нам не подходит). Не путайте открытие счета в банке с Enroll, разные вещи. Enroll - вы вскрываете (Открываете) карту на сайте банка, уже выпущенную СС. А Apply Now - открытие счета. Нам нужно для открытия счета подготовить Full Info (Она должна включать в себя DOB+SSN+ Основные данные). При нажатии в банке на Apply Now, у нас выходит форма с заполнением данных. Вводим данные с Full Info, вроде все неплохо. Переходим дальше, от нас требуют какую-то дичь.
Идем пробивать БГ.
БГ = BG = Background report.
BG включает в себя полную информацию о КХ, историю адресов, работу, имена соседей, любовников, знаки зодиака и другое. Информация по машинам тоже там есть. Возвращаемся обратно в банк, вводим информацию. Переходим дальше. Нас спрашивают - как звали вашу первую жену? Делаем глаза по 5 рублей, потому что в BG этого нет. Пьем кофе и бежим в Facebook КХ. Находим жену, вводим, все получилось. Следующий вопрос - какая у вас машина была в 2005 году - цвет и марка? Бежим пробивать машину. Пробили. А за время, пока мы пробивали тачку, у нас истекло время ответа на вопрос. Поэтому мы заполняем все формы по новой.
Хорошо, ответили на все вопросы по BG вроде бы как. Переходим дальше. На следующей странице, видим такой вопрос - вы брали кредит в банке PNC в 2008 году, какой был ежемесячный платеж? Вы в ярости. Убили столько сил на пробив машины и поиск жены. И тут такая засада, сука, да что за банки такие гребанные. Так вот, вопросы финансового характера относятся к категории КИ и находятся в КР.
КИ = Кредитная история. КР = Credit Report (CR).
То есть, вся информация по поводу КХ в финансовом плане, все банки, в которых есть или были счета, все карты, Loan'ы. Бросаем уже в который раз все наши формы в банке и бежим пробивать CR. Идем заполнять вновь заявку. Хорошо, заполнили. Следующая страница открывается. А там написано. Уважаемый сударь, а вы знали, что у вас уже открыт счет в нашем банке? Хорошо, кофе тут не поможет уже, сами понимаете. Накатим водочки. Изучаем внимательно CR. Все открытые счета во всех банках США у конкретно данного КХ. Выбираем другой банк, которого нет в KR. Заполняем, отвечаем, теперь нас уже поздравляют с открытием счета.
Открывается следующая страница. Нас просят внести небольшой депозит для открытия счета. Откуда его взять? С Brute что ли? Ну, счет же заблокируют тут же. Для этого и нужен микрозалив от кого-нибудь, чтобы вы привязали PrePaid-карту и оттуда залили денег на свой первый счет. Либо покупаете PrePaid-карту в магазинах СС, привязываете по AN/RN и льете оттуда. Суммы первого депозита у всех банков разные. Бывает 1$, бывает 10, есть и 100 и 1000, от типа счета тоже зависит. Есть всякие Premier checking, в которых суммы
старта выше, но и лимиты больше. Есть банк, где стартовый деп 50к$.
Ладно, вернемся к теме. Выбрали PrePaid-карту для первого залива, ввели ее аккаунт и Routing-номера. Нажимаем пополнить. И тут табличка на весь экран - "Не принимаем платежи с PrePaid-карт". На этом все. Идем на завод, парни.
Хорошо, идем на завод. По пути на завод мы думаем, а вдруг мне нужно купить БА и пополнить по АСН по AN/RN этот саморег? А вдруг получится? Купили, пополнили. Выползает радостное "Деньги поступят через 3 дня". Завод отменяется?
Приходим на следующий день, так как АСН идет не сразу и все такое. Но списание по АСН обычно на следующий день происходит. Так вот. Видим такую картинку - средства списаны с БА, который вы прикрепили, но нам тут позвонил человек и нажаловался, поэтому вот вам блокировка и не приходите больше. Можно и на завод, но мы плюем в монитор и закупаем новый БА, уже подороже и покачественнее, если раньше брали какой-нибудь Chase с балансом в 1000$, то теперь берем SunTrust с балансом в 5000$.
Делаем новый саморег БА. Заполняем, вновь пробиваем BG (новый КХ же), CR, ищем машину с женой. Отвечаем на все вопросы. Выбираем, пополняем. Ждем 2 дня, на третий приходят деньги с письмом на почте. Открываем письмо. Написано там следующее - "Уважаемый сударь. Мы звонили, а вы не сняли трубку, поэтому аккаунт в блокироке временно, звоните в ближайшие 3 дня сами".
Хорошо, ищем звонка. Он прозванивает, вроде отлегло, нам разморозили БА. Через несколько дней нам зачисляют наш стартовый депозит на БА (он же небольшой, самый минимальный, от доллара до сотни). Входим в ЛК нашего БА. Только вдумайтесь - мы создали БА. Он НАШ. Походили вы внутри своего аккаунта, пощелкали разные фишки, посмотрели функционал. Нам же бабло надо, точно! Вспоминаем, сколько времени и сил потратили на всю эту штуку. Ну, а что тут мелочиться? Зальем-ка мы сразу 2к!
Ура, деньги списались с Brute, через 3 дня придут. Через 3 дня пытаемся войти в ЛК. Ой, что-то не входит. Блин, звонку надо отдать. Отдали звонку, нервно курим. Вердикт звонка - блокировка по причине мошеничества. Так как сумма слишком большая, новый аккаунт, а вы делаете депозит на 2000$. Поэтому БА мы вам закрыли, деньги вернули обратно, удачи. Начинаем по новой, берем уже третью Full Info. BG, CR, жена, машина, вопросы, банки. Прозваниваем, пополняем. Теперь мы стали умнее. Делаем депозит не на 2000$, а 600-800$. Нам же надоело кушать лапшу быстрого приготовления. Давайте зальем поменьше, зато хоть что-нибудь заработаем.
Хорошо, проходит 3 дня. Входим в БА. Видим на балансе 600$. Супер. Можете гордиться собой. Это очень короткая история о том, как происходит работа с саморегами БА.
FAQ:
А: Почему нам нужно при регистрации БА заполнять достоверную информацию? Чем это вообще обоснованно?
Б: Проверкой банком данных о КХ. Банк не откроет счет, если информация не будет совпадать с той, что есть у них.
А: N26, MisterTango подойдут для саморегов, или они не считаются полноценными банками?
Б: Не считаются полноценными банками.
А: Почему Chase нам не подошел, а SunTrust все дал? Разница была в примере только в балансе, или SunTrust как-либо еще выгодно отличается?
Б: Chase раньше был хорош, но они начали усиливать AntiFraud, когда его совсем сильно начали убивать.
А: Что такое привязка по AN/RN? И где пробивается CR?
Б: Привязка по AN/RN = Аккаунт и Routing-номерам, счета привязываются либо мгновенно, либо вводом этих 2 переменных, о них говорили выше уже.
А: Значит не все банки принимают с PrePaid карт? То есть, надо искать тот самый, или как?
Б: Не все банки принимают с PrePaid карт, верно. Искать банки можно и нужно разные, есть даже банки без первоначального депозита.
А: И как происходит работа с тем же Walmart, Movo и БА саморегом, Brute?
Б: С Walmart на Movo нельзя залить. Скорее, на Movo, а затем на Walmart. Но Movo берут под больший %, поэтому выгоднее лить на нее. С другой стороны, у Movo есть свои нюансы, вы с нее счет в банке не пополните, а с Walmart - запросто. Можно использовать Walmart для депозита, но не все банки кушают такой RN.
На Movo с Brute залить нельзя. Brute крепим к саморегу БА, с саморега на Movo - обналичиваем.
А: Что за правило 12 часов?
Б: Отправления, которые отправлены по АСН до 12 часов (-5, зимой -6) - идут в тот же день. Отправления, отправленные по АСН после 12 часов дня - начинают свой путь только на следующий.
Советую делать банки, которые позволяют совершить первый депозит при открытии счета. Депозит можно сделать не только с БА (По AN и RN), но и с СС в некоторых случаях. С СС думаю тут понятно, а вот первое пополнение банка с БА идет в подавляющем большинстве случаев с помощью АСН. Как мы помним из прошлой лекции, нам нужно поймать проверочные платежи (1-2 дня) и зачисление идет еще 3-4 дня. Итого - неделя. Вопрос - в какой день недели нам лучше всего работать? Верно, в понедельник. В пятницу уже однозначно получаете ответ, либо вас банк опрокидывает, либо да. А в понедельник, если повезет - в четверг даже, и вы успеваете при этом слить деньги куда-то еще (В пятницу).
Мы с вами рассматривали привязку по проверочным платежам. Сейчас многие банки пользуются конторами по API, эти конторы позволяют обойти верификацию проверочными платежами, так как это долго, эти конторы вяжут БА для депозита по логину и паролю.
Пример API - Plaid, Yodlee. По сути, такая же технология, как когда вы привязываете БА к ПП мгновенно. Однако, ПП - это ПП, а тут у нас БА. И есть свои моменты. По закону в США вы можете пополнять свой БА только со своего уже отрытого счета, который оформлен на вас, где ваши ФИО. Что это значит - регистрируете саморег БА на пробитые Full Info данные Brute-БА, привязываете по логину и паролю Brute-БА, сразу вас спрашивают сумму депозита, ждете 3 дня и приходят деньги, это быстрее. ФИО должны обязательно совпадать при привязке мгновенно. Иначе словите блокировку. Запомните. Это к вашему случаю с Payoneer вчера.
Нет минусов при привязке, пробив только (сама стоимость), SSN+DOB у пробивщиков 4-6$. Совет - ФИО должно совпадать, но человек может быть другой. В некоторых банках есть сверка и по адресу, нужно щупать индивидуально.
А: Как сливать большие суммы, если мы сливаем по 600$, а следом прилетает отмена и счет блокируют?
Б: Раскачкой БА, либо открытием БА с повышенными лимитами (говорил об этом выше). Либо банк специальный искать под большие заливы.
А: То есть, Full Info может быть на человека с таким же именем, как у Brute-БА, но не обязательно его?
Б: Верно, но это не со всеми банками работает. Я перечислил API в США (Plaid, Yodlee и другие), под каждую из них вам нужно читать документацию, что они сверяют и как.
Например, я нашел одно API (Quovo), которое сверяет ФИО и адрес при привязке по AN/RN, хотя это бред полный.
Еще одна фишка - когда банк, даже при привязке по ANRN, отправляет вам платеж на ваш саморег, то он так же и отправляет ФИО получателя платежа. В некоторых банках- получателях платежа при несовпадении ФИО КХ и ФИО получателя платежа - отклоняют платеж. Этот момент тоже учитывайте. Movo является в данный момент тоже такой же финансовой организацией, которая отклоняет платеж, который идет не на имя КХ.
Работа с заливом своих саморегов описывается так, если кто не въехал:
Берете свою Full Info, пробиваете на нее BG и CR, берете левый Brute-БА с пробитыми AN/RN, регистрируете саморег БА, отвечаем на вопросы, вводим, на последенй странице просят ввести ANRN номера внешнего Brute-БА и сумму, вписываем, ждем 3 дня, входим в саморег БА, вводим 2 проверочных платежа, идем в конторы по пробиву проверочных платежей (PersonalCapital, Wave и другие), смотрите проверочные платежи, вводим в самореге БА. Все, Brute-БА верифицирован, деньги на счету через некоторое время.
Лог БА обрабатывается иначе, чем Brute-БА, не путаем эти вещи.
Хорошо, у нас деньги лежат на нашем БА самореге. Дальше эти деньги вы заливаете допустим на Movo или куда угодно. Вяжется она так же по ANRN, либо на Walmart, либо в инвест-конторы заливаете, с инвест-контор в Movo или куда угодно. Главное их успеть снять с вашего саморега БА. Если вы делали саморег БА в банке, который поддерживает Zelle, то ищете человека, который принимает Zelle. И он вам в BTC выплатит в тот же день за залив.
А: Почему на саморег может прилететь отмена, а на Movo/Walmart нет?
Б: На Movo тоже может, но Movo в данной цепочке - 3 лицо. В США есть правило - 3 лицо без отмен. Так называемое "Правило трех рук".
Brute-БА (Средства КХ) - Саморег(Средства отмены) - Что-угодно (Без отмены).
И все это законодательно. Логично, что деньги списывают с того человека, который их получает. Но если он при этом платит мне за что-то, то почему я должен страдать из-за него? В США же отмена означает отправку обратно средств на источник зачисления.
Brute-БА - Cаморег БА (1) - Саморег БА (2). На третьем банке (Саморег БА (2)) в цепи уже деньги без отмены. Получается, что саморег БА (1) - это прокладка. Надеюсь, теперь понятно, зачем вам Movo и Walmart. Подставляете их на место саморега БА (2). И заливаете. И средства без отмены уже.
VCC (Virtual Credit Card) эти - по сути ваши карты, вы ими можете расплачиваться в своем магазине, заказать еды из США, оплатить в России с помощью Apple или Google Play очередную баночку пива. Если вы знаете, куда девать без отмены VCC, то сможете с легкостью себе перегонять деньги. К VCC еще вернемся, они будут частью вашего задания.
Могут ли заблокировать без отмены счет? Mогут. Например, заблокировать по вопросу происхождения средств или верификации, или Full Info кривая. Списать ваши деньги права не имеют с счета, где нет отмены, но заблокировать с вопросами - легко.
Далее, давайте обобщим.
Пополнение БА саморега:
1) Пополняем с БА
а) По API, Full Info, Brute-БА = Full Info саморег БА.
б) Через проверочные платежи.
2) Пополняем первый депозит с СС.
3) Брать кредиты на саморег БА
Рассмотрим второй вариант - «Пополняем первый депозит с СС». Как оно происходит.
Выбираем этот пункт, вписываем данные, деньги приходят мгновенно, иногда есть задержки 2-3 дня. В некоторых банках все еще есть возможность пополнить без совпадения Billing'а. И даже с КХ с другим именем. Есть банк, который позволяет пополнить с СС другой страны. Зависит от банка. Но обычно с СС пополняется все же со сверкой данных, то есть, приходится пробивать Full Info под CC+ SSN+DOB. И делаем саморег БА на Full Info от СС. И пополняем. Но мы ж не знаем баланса на СС как быть? Сейчас расскажу.
В CR у нас написаны данные об открытых аккаунтах и картах на КХ. Прикидываем баланс и бьем. CR же не один раз в жизни обновляется, там написаны суммы актуальные (раз в месяц обновление). Например, использование кредита и так далее. И по карте тоже узнать можно информацию в CR. В CR также можно узнать, продали ли вам Valid CC или нет. Там будет написано Closed, если она не Valid.
По сайтам.
Пробив BG:
truthfinder.com
instantcheckmate.com
beenverfied.com
whitepages.com
developer.yodlee.com
Поиск по Nickname:
pipl.com
peekyou.com
Пробив CR:
freecreditreport.com
annualcreditreport.com
Пробив машин КХ:
allstate.com
geico.com
Пробив работы КХ:
guidestar.org
Пробив дома, вплоть до цены и цвета крыши:
zillow.com
Водительские права (DL)
highprogrammer.com
Создаем водительские права, галочку ставить обязательно:
elfqrin.com/usssndriverlicenseidgen.php
Проверяем, какой и где банк по RN (Routing-номеру):
bank-code.net
По BG, как видите, нужен вбив на аккаунт. Остальное бьется бесплатно. Включая CR. Про пробив CR целая статья:
По поводу водительских прав и MMN. Данные по идее про них можно вводить любые, так как у банков нет единой базы. Есть только сверка, чтобы вы не написали в штате Кентукки, а права от Канзаса. То есть, они там различаются. В одном штате номер прав содержит только цифры, а в другом - еще и буквы. Значит, создаем водительские права под штат и под КХ (см. сайт выше, там нужно галочку ставить и водительские права (DL) выбирать, чтобы прямо было идеально). В некоторых штатах права исходя из DOB генерируются. И банк может прикрутить сверку прав некоторых штатов к DOB, которое вы указали.
Все данные созданных прав сохраняете. И не только прав. К каждому КХ создаете папку.
Туда BG грузите, CR. Скриншоты все, данные, логины.
По поводу CR - annualcreditreport пробивает по трём бюро - TransUnion, Experian и EquiFax. freecreditreport.com пробивает только по одному бюро - по Experian. C ним у нас
и идет основная работа, именно с freecreditreport.com. Но зависит от банка, в части ссылки вы иногда можете понять, по какому бюро идет сверка и пробить по нему, либо открыть код страницы и там будет название бюро или провайдера, который производит сверку данных КХ. Исходя из этого уже пробить, но мне хватает Experian для почти всех ситуаций, редко Trans Union бью.
Да, и еще. Когда вы пробиваете CR, то вам тоже вылезают секретные вопросы. Зачастую вас так же спрашивают про финансовые вопросы. Пример - зашли на freecreditreport.com.
Вбили данные КХ. Вышли вопросы и таймер тикает (5 минут).
Вопрос 1 - ваш знак зодиака? Бежим в BG, находим, отвечаем.
Вопрос 2 - на какой вы жили улице? Бежим в BG, отвечаем.
Вопрос 3 - у вас есть карта в банке, который называется как? Отвечаем - (Non of the above). Готово. Получаем доступ к CR, качаем, получаем данные.
FAQ:
А: Самореги БА требовательны к настройке системы?
Б: Portable FF (Поднастроить), Whoer 100, IP без черных листов.
А: 1) Movo должна быть на ту же Full Info, что и саморег? Чтобы при отправление на Movo, она не отказала при отправке ФИО? Верна догадка? 2) Почему ты дал так же вариант еще саморег - инвест-контора - Movo? Зачем прокладка из инвест-конторы?
Б: 1) Да. 2) Не все банки дают сделать отправление на Movo, RN пишет не верный, убирают эту возможность.
А: IP под штат искать? Порты имеют значения?
Б: Под город желательно. Порты значения не имеют.
А: Обязательно FF или можно Chrome?
Б: Можно Chrome.
А: AoL почта не подходит? По настройке - WebRTC включен, Flash выключен? Это все?
Б: Подходит. По настройке - да. DNS SOCKS еще. Отпечаток (Finger) с SOCKS'а тоже пусть цепляет, копайтесь в FF Portable, там есть параметры.
А: Как gmail регистрировать не подскажешь? Даже TextNow номера не принимает для регистрации.
Б: С чистых SOCKS дает без номера. Используйте регистрацию в Outlook'е, если у вас ограниченный бюджет, либо другие сервисы без приема СМС.
А: По Walmart карт не совсем понял, если пока их не получат и не активируют, туда баланс можно заливать/перезаливать или под подставное лицо делается и льется?
Б: По Walmart - вы их заливаете до тех пор, пока их не получат и не активируют, либо до тех пор, пока не получат и не позвонят и не нажалуются (и ее заблокируют).
Задание:
1. Придумать способ обналичивания своих VCC.
2. Сделать самореги в следующих банках:
Charles Swaab
Marcus Savings
Suntrust (для смелых)
Любой банк найти и сделать там саморег себе.
При регистрации банков получать свой опыт. Либо обсуждать эти моменты в чате. САМОСТОЯТЕЛЬНАЯ работа. Когда (если) будете работать, то постоянно я вам все подсказывать не смогу, учитесь решать проблемы и чувствовать AntiFraud.
Почты по степени заметности, на какую больше обращают внимания, а на какую меньше (от самой проверенной, к наиболее рискованной, на которую AntiFraud злится):
Своя почта, корпоративный домен, Gmail, Outlook (Hot), Yahoo, другие крупные провайдеры США, mail.com, protonmail/tutanota, Yandex, mail.ru
По заданию - самореги перечисленных мною банков не пригодны для заливов (блокируют), но дают понимание о работе.
У банков читайте у всех правила и все такое, глаз набьете себе через 10-20 регистраций и будете уже находить ту информацию, которая нужна - почти моментально. У всех FAQ и документаций есть общий шаблон, в нем и ищутся ключевые слова, по ним определяется годность или ее отсутствие определенной конторы или банка. Не помогло - значит технической поддержки на почту/в чат и узнаем подробности. Будьте дотошными. Вы - клиент. Вам надо все узнать о банке/конторе. Вы же не понесете в МММ свои деньги, которая потом закроется.
У меня множество таблиц, графиков и записей. Все четко по папкам раскидано. И в голове множество информации по каждому КХ, знаю их дни рождения, адреса. Пользуюсь Excel и блокнотом. Скриншоты тоже делаю часто. На рабочего КХ у меня по итогу получается комплект со всеми данными, к ним отрисовки водительских прав, иногда даже Selfie делаем. В хозяйстве пригождается. Подставному человеку даешь водительске права и говоришь - сделай фотографию. Уделяю времени на работу - 12-16 часов. Иногда сна нет, парни. 24-36 часов бывает. Заряд есть и работаем. В данном случае азарт включается.
Документы и их подделка. Урок 25.
И так, сейчас мы разберем документы и их подделку. Затем перейдем к оставшимся темам. Открывать документ с помощью Adobe Acrobat PRO, либо PDFEdit. Вообще сгодится практически любая программа, чтобы редактировать PDF-файл.
Это выписка (Statement) из БА.
В общем, рассказываю. Есть конторы, банки, да даже та же ПП. Иногда случается так, что вам падает письмо на почту о том, что нужно пройти верификацию. Аккаунт при этом может после этого попасть в блокировку или не попасть. Зависит от требований отдельно взятой организации, с которой вы работаете. К примеру, вы сделали депозит на банк с Brute-БА. И вас попросили Statement скинуть на почту, типа подтвердите, что это ваш БА. А до тех пор мы вам доступ не закрываем, а лишь подморозим транзакции исходящие. Тут нам стоит понимать, что от нас требуют. Если это PDF-документ - тут все строго. Никаких следов редактирования, все четко должно быть, шрифты - совпадать. За данные я молчу, так как это - основа, и не важно, будет PDF или фото.
Хорошо, а если вас просят фото сделать, то здесь уже интереснее. Как вы знаете, фото содержит в себе exif-данные. Это такие мета-данные, которые выдают сведения о фотографии. Где сделана, кем, какое устройство, вспышка включена или нет, освещение. Время фото. В банке на это обращают внимание. В ПП может и нет, может там это делает система. Зависит от контор. Так вот, если вы делаете PDF, то у вас должны строго быть одинаковые шрифты с теми, что есть в Statement. Все должно быть четко. Вы либо редактируете уже имеющиеся шрифты под свой, либо свой подгоняете под такой, который в Statement. Так как зачастую везде шрифты разные. Если вас просят фото Statement, то тут не критично. Предварительно, соответственно, вы подгоняете все данные в Statement (перед его распечаткой).
Я вам скинул пример. Я делал эту выписку, но это вроде оригинал. То есть, взял выписку с другого аккаунта и подредактировал под свой. Зачастую конторам нужно, чтобы там были видны проверочные платежи. Или какие-то расходные/приходные транзакции. Amazon, к примеру (Если кто заказывал), просит банк выписку со своими транзакциями. Все остальные транзакции не особо важны, но у вас должны сходиться все суммы. Не должно быть так, чтобы оборот за декабрь всех транзакций на 3000$, а в Total (Внизу) - 11000$. Подделка документов - это очень кропотливая работа, нужна усидчивость.
По поводу QR. Не все их сверяют, от конторы зависит, на моей практике эта штука не сверяется, даже в банках. Но каждый случай индивидуален. В основном от вас требуется изменить адрес, дату, AN (Аккаунт-номер), транзакции, дату каждой транзакции и Total. Тот Statement, что вам скинул я - для редактирования сложен. Так как в нем много
данных. Когда я его подделывал, то там часто съезжали все эти строки с транзакциями. И приходилось как-то выкручиваться. В этой выписке конкретно 81 транзакция была в оригинале. Здесь они срезаны. Его отправили в Google в таком виде. И его одобрили.
Хорошо, это Google, и там свои правила (щадящие). В банках и конторах иначе и такое не вкатит. Так, это по PDF-документам.
По тем, где нужно присылать фото выписки.
Выписка должна быть всегда согнута пополам. То есть, КХ его по идее получает по почте. По реальной почте. И в силу специфики письма (Конверт), А4 лист туда вмещаться полностью не может, если его только не сложить. Поэтому вы делаете выписку в PDF. Печатаете на принтере. На ХОРОШЕЙ бумаге. Складываете его и проминаете, чтобы были видны изгибы. Меняете время на телефоне/планшете под актуальное по США (Это важно), отключаете GEO по фото, если было включено. Делаете фотографию, аккуратно загружаете с помощью переноса файлов, чтобы не убить данные вашего телефона (Они проверются на достоверность), говорил об exif-данных выше. Можете поискать. И тогда вам с большой долей вероятности все одобрят успешно.
Выписки просят свежие, до 3 месяцев. К ним же относятся и Utility Bill, счета за свет, воду, газ, телефон, интернет, которые содержат ФИО КХ и полный адрес. У нас были уже косяки, что фотографировали по времени из будущего, после этого аккаунты замораживали, только потом догадались о причине. Вообще зависит от конторы, они сами в требованиях обычно пишут дату. Где-то - 3 месяца, где-то видел 6.
Теперь пару слов о выписках из инвест-контор. Обычно их не принимают к верификациям. Но в некоторых конторах они все равно есть. Stockpile, Robinhood.
Это выписка с Robinhood.
В некоторые организации прокатывает отправка выписки из инвест-контор. Почему эту тему затронул? Потому что выписку от инвест-контор сделать легче и она универсальная. По выпискам и подделке документов это все.
FAQ:
А: Выписки мы скачиваем из ЛК БА своего и редактируем?
Б: Верно. Либо можете попросить у народа. Может быть есть у кого нужные, но делятся неохотно. Ибо хлеб рисовал. Свою базу выписок нарабатывайте.
Да, есть еще одна фишка. Хотел бы рассказать вам про скрытые блокировки и Fraud. Заключается она в том, что вы может и видите, мол, можете сделать депозит 100к$. Но по факту вы этого сделать не можете. И ваш аккаунт скорее всего уйдет в блокировку. Там попросят документы/звонки. Или явку в отделение. Делать нужно все с умом. Если вы сделаете депозит сразу и вам нужны деньги с большей долей вероятности - возьмите за правило первый депозит делать в районе 600-800$. БА на 10000$ (Brute) - сделали депозит 600$. Слили от 600 три сотни. Все ваши действия фиксируются в банке.
Как работает схема для новичков. Берутся Brute-БА. Brute-БА = балансы 5000-10000$, больше нам нет нужды брать для старта. Делаете депозит 600$-800$. Допустим, сделали депозит на 700$. Сумму делите на 2. 350 = выводите дальше. 350 оставляете на счете. Далее, делаете депозит на еще 1200, к примеру, с Brute-БА. На тот же аккаунт. Там уже лежит 350. Приходит сумма. Делим на 2. 775 сливаем. 775 оставляем. Хорошо, допустим, мы не хотим больше работать с подвязанным Brute-БА. Нам кажется, что он сдохнет вот-вот. Выводим от 775 еще 50%. Остается 387. Которые мы затем одним отправлением шлем на вывод. Готово.
Вы можете залить 800 и тут же их слить. За вывод такой суммы разово (используя банк, как транзит) вам ничего банк ОБЫЧНО не делает (зависит от банка). Но при повторном заливе в 80% случаев - блокировка. Не по причине там Fraud'а на Brute-БА. А по причине набора Fraud-очков в вашем принимающем банке.
Далее, скрытые блокировки. Есть скрытые блокировки и лимиты. Один из таких примеров - US банк, когда вы перегоняете с одного счета (Кредитного, к примеру) на другой (Checking). У вас не написан лимит нигде. Вы его сами щупаете. Сами находите. Вы можете разом сделать депозит на 10000$ и вам выдаст сообщение - сударь, ваш лимит 6000$. При этом, в банке на вашем аккаунте сработает предупреждение. И в следующий день вы можете вообще словить блокировку на эти перегоны средств.
Мораль такова - делайте депозиты по немногу и регулярно, если есть такая возможность. Скрытые блокировки - это когда вы можете что-то сделать формально, но этого не происходит, выходят какие-то левые ошибки и др. Опять в пример привожу US банк. И такую систему, как Zelle. В US банке есть Zelle. Вы можете по логике вещей отправить по ней 2000$. Но при попытке нажать Continue - вам выдаст окошко, мол, у нас технические проблемы. С ПП та же штука, вы с этим по-любому сталкивались уже. Когда делаете депозит вроде бы на свой саморег ПП. А вам пишет, мол, мы не можем. У нас проблема. И не пишут, какая проблема. Это и есть скрытая блокировка. Конкретно в ПП он снимается задабриванием Fraud'а и выполнением определенных действий. В банке так НЕ работает. В банке вы либо звоните, либо ждете следующего отчетного периода.
Так, об отчетных периодах тоже тему давайте затронем. Отчетный период - это промежуток времени (Месяц), за который КХ приходят выписки по всем его операциям. Он всегда разный и двигается на день каждый месяц. В той выписке, который я вам скинул - он тоже есть. В банках США обычно отчетный период позволяет обнулить скрытые блокировки. Блокировки обнуляются спустя 3-4 дня от окончания предыдущего периода.
Хорошо, по поводу выписок. Выписки бывают 2 видов. Электронные и бумажные. Они либо приходят КХ на почту, либо по реальной почте. Вам нужно самим выбирать, какой тип доставки выписок оптимален. Вы же понимаете, что если КХ не получит выписку за очередной месяц по почте, то он будет паниковать? Всю жизнь вам банк отправлял их. А тут он не пришел. И вы звоните в банк. И узнаете, что вы выбрали выписки на электронную почту, а не обычной почтой. Вы в шоке (как КХ), у вас ведь нет электронной почты. И начинается разбирательство. Вам оно надо? Нет. Думать надо головой, вот что.
Совет. Суть в том, что вы можете специально подождать, когда КХ придет выписка. На почту или на Email. И после этого начать делать свои расходные дела по его счету. Чтобы КХ думал, что все хорошо. С оповещениями и выписками у нас все, еще две темы остается.
Да, и еще, я все рассказываю исключительно из своей практики, то, как было у меня, все эти моменты на себе проверил. Можете тоже опыт купить за свое время или деньги, но на чужих ошибках менее болезненно получается учиться.
А: Как узнать, когда приходят выписки Brute-БА? Заходить в аккаунт? (что не очень идея)
Б: Никак.
А: После таких скрытых блокировок в отлежку, как и с ПП?
Б: Отлежка до чистой (новой) выписки (дата прихода +3-4 дня).
Хорошо, следующая тема. Коснемся безопасности. Как вы знаете, я принимаю на свою карту, не буду говорить как и чем. Для лучшего усвоения материала, предлагаю вам рассмотреть ироническую зарисовку:
Что тут изображено и что нам нужно видеть: FBI, Интерпол и местная полиция, суммы и последствия. Я лишь предположу, что если вы будете гнать по 10000$+, то у Интерпола будет экономическая целесообразность взяться за вас. 10000$ с одного аккаунта. Как происходит расследование в США, если с БА увели деньги?
Вообще, в БА расследуют всё. Только по-своему. Суммы до 2000$ входят в юрисдикцию полиции города или штата. Полицию города или штата любая контора может послать, даже в пределах США. И поиском преступников занимается в данном случае страховая. Но она постольку поскольку - ибо им проще выплатить страховку, если только суммарная величина убытка не перевалит за какую-то сумму - то они начинают трясти банк. И искать врагов. В лице нас. Дальше полиция обычно упирается в необходимость отправить первую бумажку и дальше дело закрывается. И сами банки, то есть СБ и отдел, который занимается расследованием виртуальных краж, так называемое виртуальное СБ. Суммы выше 2000$, но меньше 5000$ занимается уже полиция страны, ФБР. То есть, там расследование уже будет идти несколько дольше, потому как послать их не всегда получается.
А кто их посылает? Давайте представим ситуацию. Написали заявление, что в банке (допустим, SunTrust) пропало примерно 4000$. Что делает обычный полицейский? Да, он запрашивает логи соединения с этим БА потерпевшего. Далее, он видит, что IP разнится от IP КХ. Дальше по своим источникам/справочникам полицейский проверяет, кому принадлежит данный IP. И замечает - данный IP находится у провайдера VPN. К примеру - Digital Ocean. Полицейский пишет письмо на имя провайдера. С просьбой дать логи соединения. У провайдера два варианта. Либо послать, либо логов нет. Как вы знаете, у многих компаний фишка. Что мы логов не ведем, вы у нас такие ценные и анонимные. Ваши данные это наш приоритет, их никто не получит и так далее. Ну, по факту, вранье. Так вот, первый VPN посылает полицию - логов не ведем. В таком случае, полицейский напоминает им о патриотическом указе больше известном, как 9/11. И провайдер уже и сливает логи.
А по второму варианту все интереснее. Так вот, VPN провайдер работает, как правило на оборудовании некоего оператора интернета. К примеру - Ростелеком в России. Таким образом, полицейский просто пишет письмо в такой-то Ростелеком, у которого по-любому есть логи. И маска вашего VPN'а сорвана, а послать ФБР несколько сложнее - потому, как это сильная контора. И срок за пособничество террористам от 25 лет. Таким образом, как правило все VPN ведут логи.
А что происходит, если VPN находится в другой стране? А тогда просто имеет статус международного, а отказать международный запрос сложнее. И практически все страны идут на сотрудничество. В России до санкций - ФБР или полицейские писали письмо полиции
российской - отдел К. И они тут же шли помогать, хотя ничего не обговорено и выгода небольшая. Это в догонку к тому, что в запросе будет и MAC, и ID номер Windows.
Теперь рассмотрим, что будет в случае суммы выше 5000$, а в таком случае просто возьмется секретная служба, которая в США еще имеет и полномочия защищать полномочия банковской сферы. Что это значит? Это значит, что автоматом запросы идут от Интерпола и запросы от секретной службы идут с грифом дипломатическая почта. И автоматом сдадут все и вся. И звучит забавно, казалось бы, кто поедет за вами куда-то там, поэтому просто возьмут и выпишут ордер на ваш арест и в случае вашего выезда за границу просто возьмут вас там. Местные не будут прессовать без возбуждения дела.
Подведем итоги. Лучше пользоваться своим VPN, в котором можно самим следить за логами. И еще одна позитивная вещь. Так вот, инициация расследования обходится в сумму немного меньше, чем 3000$. И каждый запрос увеличивает стоимость расследования, поэтому вероятность, что будут искать из-за суммы ниже 3000$-4000$ - маленькая, но все же есть.
Так же, не забывайте, что у экономических преступлений в США есть срок давности.
После санкций поменялось отношение. Не на все кидаются. C не просто так, ведь вырос за последние годы. Регулярно, если смотрите сводку новостей, при встречах Путина и Байдена, последний не забывает упомянуть о данной проблеме, но пока она спускается на тормозах. Вместо реальной помощи в России, американцы довольствуются арестами в Таиланде, Бали и так далее.
justice.gov/opa/press-release/file/1032021/download
gazeta.ru/social/2016/10/24/10267649.shtml
Можете посмотреть ради интереса, наверняка найдете некоторые знакомые вам никнеймы.
Если захотят - найдут за любой цепочкой сокрытия IP. Обычно люди сами дают повод себя найти, например, оставляют свои данные. Реквизиты, ники, связи. По ту сторону закона умные головы сидят.
Так, по безопасности это все. Коротко о биржах. Слышали про Coinbase? Берете саморег БА, со всеми данными, сканами. Регистрируете под него биржу, там БА вяжется мгновенно или по AN/RN, зависит от банка. И делаете депозит без отмены на свой саморег БА и выводите туда в BTC. Между этим выводом нужна прокладка. Может быть платежная система какая- нибудь или другой БА саморег. Там в принципе не очень сложный алгоритм, сама суть в прохождении верификации, иногда даже видеоверификацию требуют.
Ладно, поехали дальше. Последняя тема. Поговорим про подставных людей (они же Drop'ы) и вербовку в США. Что такое подставное лицо? Подставное лицо - это человек, что сознательно или не очень сознательно готов принять наш залив. Исходя из этого видно, что подставные лица делятся на разводных и не разводных. Разводные те, кто не осознают, что вы льете грязь. Их еще можно назвать виртуальными, потому что ищутся обычно они в онлайне. Неразводные, соответственно, осознают, что делают. Они в курсе, что эти деньги могут быть не очент законными. Их ищут в реальной жизни. Разберем подробнее про каждый вид подставных людей.
Неразводные:
1) Можно сразу рассказать все как есть, ничего не скрывая.
2) Полный контроль над ними - их знаете и контролируете.
3) Могут кинуть - полиции вы не пожалуетесь на них, ибо ваша деятельность черная.
4) Безопасность - вы лично их знаете, они вас, и если их принимают, то зачастую и вас, потому что очень немногие умеют держать язык за зубами.
Как их найти - ну, может показаться, что это сложно, но поработав полгода или чуть больше с БА, то вполне можно себе позволить командировку в США. Именно командировку!!! Это важно. Не отдых. Не Лас-Вегас, проституток и наркотики. Расскажу по опыту тех, кто ведет конторы подставных лиц и общения с ними. Летим в США, дальше в городе, где вы поселились, ищете район, где много всякого сброда, либо молодежи, студентов, авантюристов. Ищем клуб. Не пафосный, не статусный, среднего класса. Нет лимузинов и дорогих машин перед входом или на парковке, идем туда. Идем не для потусить. Идем работать. Поэтому берем пиво или что-то легкое. И стоим, наблюдаем. Наблюдаем за людьми. Нужно отобрать визуально человек 10-15. Те, кто не может позволить себе что-то, но очень хотят. Таких сразу видно. Выбрали - заводим разговор, можно угостить выпивкой, но не много. В процессе разговора - предлагаем заработок, но не очень легальный. Сразу скажите, что не проститутки или наркотики. Но не спешите, не раскрывайте сразу всю суть. Обычный предварительный разговор. Назначаете встречу на следующий день - это ключевое.
То есть, поверхностно человека ознакомили, не вдаваясь в подробности. И скажите - остальное завтра, встретимся где-то в хорошем, уютном месте. В кафе или баре, чтобы проверить на серьёзность человека. На встречу идем не в одиночку, а берем большого и страшного человека (Если вы сами не такой упитанный кабан). Он должен психологически давить. Некая группа поддержки. И еще не забывайте о дресс-коде, нужно одеться так, чтобы было видно, мол - дорого. Но не броско. На встрече предлагаете принимать платежи и переводить вам. За определенный %. Обычно большинство людей соглашаются. Наверное, подумали, а не окажется ли ваш собеседник техасским рейнджером? Без разницы. Для того, чтобы вас приняли - нужны неопровержимые доказательства вашей деятельности, которых никто не сможет предоставить, ведь вы просто сотрудник одного кадрового агенства из России. Печатаете себе визитки, когда за подставным человеком соберетесь. Можно и поизощреннее делать, на вашу фантазию.
Далее. Разводные подставные лица.
Это виртуальные подставные лица. Обычно, если надумаете с ними работать, то суммы можно любые для наработки заливать. Процент тут обычно другой: 70 % вам, а 30% ему. И сами смотрите. Понимаете, что в полиции на него не подадите в случае того, если он вас кинет. И вообще очень важно, первый залив, неважно какому подставному человеку - минимальныый. Так как тестовый подставной человек. Наверняка по вещевому С, если изучали тему подставных лиц и приема товара, то там есть тестовые подставные лица и нормальные.
Так, по виртуальным тут расскажу два основных пути поиска - их есть больше, но тем не менее.
1) Скам.
Скам - это развод американцев на сайтах знакомств. Находим девочку студентку. Договариваемся с ней о покупке у нее за некие небольшие деньги около 10 фото и за отдельную плату поднять телефонную трубку и поговорить, если получится. Так вот, на ее фото размещаете анкету на сайте знакомств и начинаете ставить «Мне Нравится» мужчинам в стране залива. Обычно на 100 «Мне Нравится» прилетает 10-15 предложений познакомиться. Знакомимся с ними. Дальше общаетесь, а потом через некоторое время рассказываете пожалостливее историю. Что вы якобы работали на своего работодателя долго и упорно, заработали кучу бабла, а теперь не можем их получить в России, и многие соглашаются. А там он уже вам может и в BTC перегнать, если договоритесь. И теперь у вас готовый подставной человек. Тут важно владеть хорошим СИ.
2) Мы - представитель европейской компании, открыли бизнес в США. Ну, как открыли. Не открыли, а пробуем открыть филиал. Например, продажи уже ведем, но юридически не можем работать, так как для открытия филиала и получения визы такого типа в США нужно вложить в уставной фонд не менее 250000$. Мы пока не уверены в емкости рынка и поэтому изучаем спрос. Для этого нам нужны люди, которые готовы за 3-5% принимать деньги себе на счет и переводить в Европу. Это легенда наша. Как развивать - делаем целевую страницу на реальную европейскую контору, но адрес с ошибкой. Телефон указываем, допустим Google Voice или любой другой VOIP (Zadarma и другие сервисы). Размещаемся в социальных сетях, досках объявления (Например, Avito, но для американцев), даем адрес, ждем. Через 3 дня примерно у вас будет 150-200 подставных лиц, каждый должен прислать скан ID или DL и реквизиты БА. Ну, и естественно бланк красивый надо еще нарисовать для работы. И готовый по сути Drop-проект. Обычно можно вложиться в 30-50$. А можно купить Drop-проект. В США готовый стоит 500-2000$ примерно.
Минусы:
a) Как только подставной человек понял, что его развели - может кинуть вас на залив.
б) Нет полного контроля за такими подставными людьми. В любой момент может забухать или что-то подобное.
в) Внешние факторы: Соседка сказала, что злые люди, так деньги отмывают.
г) Массовость - попробуй проконтролировать 100 человек и одновременно с ними общаться и их словами и вопросами.
Плюсы:
а) Дешево.
б) Массово (Много подставных лиц по сути за пару дней работы). в) Работа в онлайне - низкая себестоимость.
г) Анонимность вытекает из онлайна.
д) Безопастность - то есть, вы просто интернет персонаж
е) Можно документы собирать, просить Selfie делать с документами, и вы уже имеете комплекты под те же биржи. Либо брать кредиты.
Бронирование отелей. Авиабилеты. Урок 26.
В этом уроке поговорим о таком направлении работы, как бронирование и аренда, а если более конкретнее - отели, автомобили, экскурсии.
Существует несколько способов сделать бронирование в отели за чужой счет:
• Оплата по форме авторизации.
• Оплата СС через агента.
• Оплата через Booking.
• Оплата ревардами.
Разберем каждый из этих вариантов.
1) Вариант по форме авторизации. Что это вообще такое? Форма авторизации - это анкета, в которой указываются все данные плательщика, срок проживания и данные карты, данной формой КХ подтверждает свое согласие на списание средств. Далее, работник отеля, вводит данные карты в ПОС-терминал и совершает оплату.
Теперь все по порядку. Идем на booking.com. Выбираем отель, делаем бронирование на того, кого будем заселять, можно обойтись и без booking.com, а сразу звонить в отель. Звоним в отель и представляясь агентом, запрашиваем форму авторизации для оплаты бронирования.
Диалог выглядит примерно как-то так:
- Привет, я из туристического агентства «ХХХХХ», мы хотим забронировать номер для нашего клиента. Возможно ли оплатить через форму авторизации?
- Да, конечно.
- Очень хорошо, отправьте форму на [email protected].
Форма авторизации:
Заполняем форму авторизации. Credit Card Holder's Name вписываем КХ или вымышленное имя. Hotel Guest Name вписываем того, кого будем заселять. Телефоны указываем, например, Skype с автоответчиком. Делаем отрисовку, тут важный нюанс, лучше делать отрисовку не в виде сканов, а в виде фотографий в руке. Отправляем все это на электронную почту, указанное в форме, часто просят отправить по факсу, тут нужно звонить и просить дать адрес Email.
Получаем Slip-Check, чек подтверждения проведенной транзы. Без этого чека никогда никого не заселяйте! Необходимо соблюдать максимальные лимиты на одну транзакцию. Не делать более 2000-3000$, так как очень часто на большие суммы стоит ограничение на совершение платежей.
Что делать, если стоимость бронирования 4000$ на 10 дней? Разбиваем на два бронирования - первая на 2000$ - 5 дней и вторая на 2000$ - 5 дней.
Схема выглядит так. Заходим на booking.com и делаем бронирование на того, кто будет проживать (можно делать, хоть за месяц до заселения). За 2-3 дня до заселения звоним в отель, получаем форму авторизации - оплачиваем. Заселились. За 1-2 дня до начала второго бронирования, звоним с того же номера в отель, получаем форму авторизации - оплачиваем.
Самые лучшие карты для внесения оплаты - это Малазия, Сингапур, ЮАР, Германия. Здесь нам важем максимальный срок на то, когда может прилететь отмена. К звонкам и отрисовкам надо подойти максимально серьезно! Качество должно быть высокое, сомнений у работников отеля быть не должно!
2) Вариант вбива в агента. Существует огромное множество агентов посредников между отелем и человеком, кому этот отель нужен. Главное отличие тут в том, что агент имеет свою платежную систему для приема оплаты за отель.
Разберем на примере Expedia.com. Бьём с DS или SSH-туннеля, подбор SSH-туннелей и DS'ов штука очень серьёзная. У агентов очень жесткий AntiFraud, поэтому всё делаем максимально четко. Материал подбираем тоже внимательно, ZIP SSH-туннеля/DS'а должен совпадать с ZIP СC.
Если нет материала под ZIP, значит не берем этот SSH-туннель/DS, так как даже если оплата и пройдет, то бронирование не даст, а если и даст, то потом будет отмена, проверено многократно. Еще есть один нюанс, который повышает шансы - можно вписать в проживающих КХ. Далее, он может просто не приехать, а еще лучше прозвонить отель от имени агента, через которого делали бронирование и попросить поменять Имя и Фамилию КХ на нужную нам.
Надо понимать, что Expedia.com очень популярный, и дает он очень неохотно, но агентов очень много и надо просто искать. Скажу сразу, что поиск агента дело дорогое и долгое, тут нужно подойти системно - пробовать разный материал, разные схемы и так далее.
Обязательно, опять же, записывайте все свои действия во время тестов, чтобы потом точно понимать, как вбивать. Соответственно, на эти эксперименты нужно иметь свободные средства.
Основной минус такого вбива - это жуткий AntiFraud, часто нужен звонок и отрисовки, но все это окупается плюсом - редко бывают отмены бронирования во время проживания. Это связано с тем, что затраты на AntiFraud платежная система берет на себя.
На что стоит обращать внимание, так это на то, что очень часто платежные системы сверяют телефон из данных СС, ну и частенько звонят - при малейшем подозрении, тут мы можем сами изначально проверить, активный ли номер у КХ, и если он включен и КХ берет трубку, то надо заспамить его насмерть, чтобы телефон он выключил. Ну, или купить СС, где номер не активен. И, соответственно, когда из платежной системы (банка-эквайера) они дозвониться не смогут, то они напишут на электронную почту, и надо будет прозвонить самим.
Еще обращайте внимание на сам отель, который выбираете, если он новый или не популярный, то могут сказать, что вы мошенник по подозрению на залив.
3) Следующее - вбив в booking.com. Booking.com - одна из крупнейших компаний на рынке онлайн путешествий. У них всё очень просто - отели выставляют свои обьекты, пользователи выбирают подходящие и платят отелям, которые раз в месяц выплачивают Booking комиссию. То есть, Booking не отменяет вообще ничего и своей платежной системы не имеет.
Когда вы вводите на сайте данные СС, Booking по защищенному каналу пересылает ваши данные отелю, а отель списывает с вас деньги в какой-то момент времени по своему усмотрению. Может списать сразу, может через месяц, а может вообще не списывать и попросить вас об оплате на месте. Списание оплаты абсолютно непредсказуемая вещь, и определяется оно исключительно владельцем отеля, но никак не Booking.com.
И тут надо быть готовым ко многим вопросам, как, например, покажите карту, оплатите наличными и так далее. Надо понимать, что когда вы или ваши клиенты заселяетесь, то все эти вопросы могут возникнуть, и говорить с вами будут не по-русски.
Вбили, дальше очень желательно проконтролировать списание средств, звонком в банк на робота или, если били с Enroll CC, то необходимо посмотреть транзакции онлайн. Если бьете EU CC, то по обстоятельствам, но, чаще всего, там ничего не узнаешь. Но при ситуации, когда отель не смог списать средства с карты, они могут написать на почту и тогда можно сунуть другую СС. Но очень часто они этого не делают!
Дальше, ждём некоторое время и звоним в отель и говорим:
«Привет, я Вася Пупкин, только что оплатил номер через Booking. Проверьте, пожалуйста, все ли оплачено и не нужно ли дополнительных затрат от меня».
Ну, желательно ещё просто поговорить немного - поспрашивать про погоду, про цены в баре, спросить сколько такси стоит в городе. Вы должны быть похожи на настоящего туриста.
Если все в порядке, то можно селиться. У Booking и сервисов типа него, Agoda.com например, очень серьезный минус в том, что частенько прилетает отмена платежа во время проживания. В такой ситуации приходиться платить самому наличными. А в том случае, если КХ поднимает скандал, то можно пообщаться с местной полицией. Соответственно, никогда нельзя бить СС той страны, куда едет турист.
Важный аспект. Как вообще отличить агента от псевдо-агента? То есть, при поиске агента мы должны понимать принципы его работы и уже исходя из этого решать для себя, подходит он вам или нет. Первоначально читаем Google, отзывы о сервисе, так называемый How it work. Соответственно, бьем мы в сервисы иностранные и читаем тоже не на русскиъ сайтах.
Далее, вбиваем тест с карты Enroll и смотрим в транзакциях, кто списывает деньги. Если списывает сам отель, то это не агент, а сервис типа Booking, если списывает сама платежная система сайта куда били, значит это и есть агент.
Прошу обратить внимание на то, что даже вбив в агента нет гарантий, что бронирование не слетит во время проживания.
4) Brute-аккаунты ревардов. Получить заветное бронирование можно, используя различные программы лояльности.
Они есть двух типов:
Программы лояльности банков эмитентов СС (я думаю, что все об этом знают) КХ при том, когда расплачивается картой за каждый потраченный доллар получает мили, очки какие- нибудь, реварды на виртуальный счет. И их можно потратить на отели, авиабилеты или еще на что-то.
И второй тип - это программы лояльности сетей отелей, крупных туристических агентств, больших магазинов и так далее. Работать с ними, конечно, не так просто, и на эксперименты нужно довольно много денег, к этому нужно быть готовым.
Первоначально собирается информация о существующих программах лояльности, потом надо написать софт для Brut'а, найти аккаунты и попробовать сделать бронирование. Там нюансов много и у каждой такой программы свои фишки, разобраться в них можно только попробовав.
Основная заморочка - даст ли делать бронирование не на аккаунт КХ, а на левого Васю? Не очень трудно догадаться, что чаще всего не даст. Тут можно поступить так. Пробовать звонком менять данные гостей, но тут нужно быть готовым к тому, что будут пробовать набрать КХ и встает вопрос активности номера. Можно позвонить в отель и сказать -
«Привет, вместо меня приедет Вася с женой». Еще вариант по скану (отрисовке). При заселении показывается бронирование, а в случае если возникает вопрос: "Где человек, на которого забронирован номер", отвечаем: "Его пока нет, будет позже". И показываем ксерокопию его паспорта, которую предварительно отрисовали и распечатали.
Сами аккаунты мы Brut'им сами, также можно покупать у логоводов, а еще иногда продавцы на форумах продают что-то. Но чаще всего ничего стоящего не продадут. Еще есть варианты
совмещать, например, взять аккаунт и привязать к нему новую карту и ей оплатить.
Аренда автомобилей
Есть два варианта бронирования автомобилей: Оплата полностью через агента (наш вариант).
Оплата части с карты (Обычно 30-50%) и остальное через кассу непосредственно (нам это не подходит).
Вбив стандартный описывать не имеет смысла, вы это уже умеете, если прочитали уроки выше. Итак, вбив прошел удачно, и вы идете получать тачку, дальше вам придется внести депозит за автомобиль со своей карты, на которой есть ваше имя.
Правила:
Карту используют для блокировки некоторой суммы в качестве страховки и после сдачи автомобиля, сумма размораживается через 3-5 дней. Обязательно читайте правила пользования сервисом, убедитесь, что вы оплачиваете 100% за аренду, и никаких доплат не потребуется. Обязательно смотрите на минимальный возраст водителя, часто на это не обращают внимание и просто не выдают автомобиль. И, что самое важное, всегда имеем с собой деньги на оплату при слете.
Карта, которую вы оставляете должна быть вам не важна, то есть, если вы пользуетесь такой услугой, то под нее надо сделать карту, чтобы после аренды заблокировать ее, так как деньги могут снять и через несколько месяцев.
Экскурсии. Один из них - viator.com. Вбивы тут стандартные, расписывать смысла нет, остановлюсь на некоторых нюансах. AntiFraud, чаще всего, тоже очень серьезный. Также, как с Booking попадаются сервисы, которые не делают отмену платежа сами. Правда, редко, но такие встречаются, так что при тестах необходимо обратить внимание. При заполнении данных мы указываем данные для трансфера, то есть, отель, откуда забрать и телефон. Отель можно указать соседний, и просто подойти туда, но не нужно опаздывать, чтобы водитель не стал названивать в отель вам в номер.
Если вы оставляете номер телефона, то тоже смотрите, на кого он оформлен. Также, не стоит бить СС той страны, где идет экскурсия, это очевидно, я думаю.
Дальше хочу рассказать вам обязательные правила при пользовании Carding-отелями. До заселения всегда прозванивать в отель и подтверждать, что с бронированием все в порядке. Всегда иметь деньги наличными, чтобы при слете вы могли бы все оплатить. Не тратить денег больше, чем есть.
При оплате формой всегда дожидайтесь получения «Slip-check», так как даже при звонке вам могут сказать, что все в порядке, а после заселения окажется, что нет, и придется платить свои.
Никогда не давать свою карту, её могут просить для депозита или еще для чего-то, если просят - оставляйте наличные.
Срок проживания не должен быть больше 14 дней, вы должны сами понимать - чем меньше, тем лучше.
Никогда и никому не говорить откуда бронирование, никто не должен знать про С (Carding). Не рекомендую селится в русские отели по Carding'у. В России при заселении у вас попросят паспорт, там есть все данные, найти вас труда не составит.
Авиабилеты
Сначала я расскажу о разных вариантах добычи билетов, а потом поговорим о безопасности всего этого мероприятия.
Итак, какие есть варианты:
• Агенты.
• Форма.
• Реварды.
• Вбив в аккаунт.
Так, первый вариант - агенты. Агент - это посредник, например, bravofly.com, между огромным количеством авиакомпаний и пассажиром, оплата при этом поступает агенту. Этот вариант безопасен для того, кто летит, так как при слёте все вопросы к тому посреднику, кто билет выписал.
Чаще всего агенты - это сайты с платежными системами, где оплата через VBV. То есть, у нас тут три варианта:
1) СС+VBV - бронирование держится лучше всего, но материал (СС) очень дорогой и найти его весьма затруднительно. В европейские магазины материал США+VBV раньше лез нормально - сейчас лезет уже не особо.
2) СС+NoVBV BIN - тут уже слет возможет в любой момент, очень зависит от страны СС, от самого магазина и от много чего еще.
3) СС American Express - сами CC Amex не имеют VBV как такового и какое-то время назад были платежные системы, которые Amex кушали, и если бить Amex'ом Австралии или Новой Зеландии то давали. Сейчас этот способ менее эфективен, так как все прочухали и затянули AntiFraud.
Также, до сих пор находятся магазины без VBV, но их очень мало и они очень жёсткие. Я довольно долго занимаюсь билетами, и дам несколько советов. Если вы решили попробовать себя на этом поприще - убедитесь в том, что вы вообще умеете вбивать, без опыта с товаром, вещами и E-Gift не нужно вообще начинать, так как здесь понадобится опыт и в понимании того, как работает AntiFraud, и в настройке машины под вбив, и в отрисовках, и в звонках.
Не начинайте поиск магазинов авиабилетов без хорошего капитала, который вы можете спокойно слить. Научитесь работать системно. То есть, когда вы нашли некий магазин, который по вашему мнению должен давать, вы должны разработать систему для его тестирования. Нужно попробовать разный материал. Нужно тестировать разные направления. Разные сроки бронирования. Разные суммы купленных билетов.
Прежде, чем лететь самому или отправлять клиентов, вы должны быть убеждены на 100%, что ваш метод надежен! На сегодняшний день тема авиабилетов сильно побита, даже карты с VBV не дает никаких гарантий успеха. В зависимости от авиакомпании и направления, от пассажиров могут на стойке запросить отрисовку СС, например, поэтому все нюансы вы должны знать заранее.
Очень часто оплата проходит нормально, билеты дают, но происходит слет, чаще всего это дополнительная проверка платежа или еще что-то. Тут надо прозванивать и разбираться в причинах слета, чтобы далее продуктивнее работать.
При работе с материалом VBV стоит рассмотреть сам вбив поподробнее. Настраиваем виртуальную машину, все должно быть идеально, после вбива производим чистку, если пользуемся LS (Linken Sphere), то чистим и её. Покупаем SOCKS или SSH-туннель. Важно, чтобы он был быстрый и чистый, подбираем максимально близко под IP КХ, а данные по IP КХ и UserAgent'у КХ получаем от продавца СС+VBV. Заходим на сайт агента, если мы бьём VBV, то надо на 100% знать, что там он есть. Затем, выбираем билет, оплачиваем.
На примере СС+VBV Германии опишу более подробно.
CC DE FULL INFO CLASSIC (это BIN Classic), цена на такие CC от 25 до 50 евро (лимит- гарантия в среднем - 500 евро), продавцы материала обычно говорят, что бьется в среднем на
1500 евро.
CC DE FULL INFO HIGH (это BIN от Premium до корпоративных), цена таких СС до 75 евро. СС HIGH бывают с лимит-гарантией до 750 евро.
CC DE FULL INFO BUISNESS (это BIN Business), цена на такие CC до 90 евро, лимит- гарантия до 1300-1500 евро.
Понятно, что цифры вестьма средние и лимит-гарантия и цена могут отличаться в разы. Также, на сегодняшний момент есть продавцы, которые вообще не дают лимит гарантии. Они пользуються тем, что такой материал редкий и пользуется огромным спросом. Не покупаем никогда Full Info - SPARKASSEN (название банка). Во-первых мелочные, а во- вторых мощная AntiFraud система. А еще в третьих - по ним нет замен.
Лимит-гарантия - это, например, мы купили CC DE FULL INFO HIGH и там написано - LimitGarantee - 750 EURO, мы делаем, вбив на 600-700 евро и СС не проходит, то они ее меняют, даже если она Valid. Естественно, если карта не Valid, тоже делается замена. Замену СС все продавцы делают строго при предоставлении видео того, как вы вбиваете. Поэтому стоит скачать и установить программу Bandicam. Видео должно начинаться с момента открытия CC от продавца в Privnote, потом показать, что SOCKS/SSH-туннель у вас чистый (Check2ip.com) и закончиться либо удачным вбивом, либо проблемами на сбросе VBV.
Скачать можно тут: rutracker.org/forum/viewtopic.php?t=5022971
Формат выдаваемых СС обычный, но плюс к этому в Full Info DE (Германии) идет:
DOB
Kontonummer (номер счета от 7-10 цифр)
Servicenummer (не на все СС)
Bankleitzahl (номер банка для других банков, обычно не просит его, так как он един в банке) SC, соотвестенно, SecurityCode, для нас он известен как VBV, но очень большое но, что он в 70% случаях не нужен, так как в немецких банках SC сбрасывается автоматом каждые 30 дней. Получается, мы активируем SC каждый раз используя Kontonummer (номер счета), DOB, Exp. Date и CVV2 (трехзначный код).
Запоминаем основные почтовики, необходимые для работы с Германией:
web.de
gmx.net
t-online.de
Это бесплатные. Или можно Gmail использовать, или корпоративные почты. Делаем на них почту под КХ. Вбиваем данные пассажира, вбиваем данные карты, меняем VBV и если все получается, то радуемся. Если карта не Valid, не хватает средств до обговоренного лимита, не дает изменить VBV, ставим Bandicam на стоп, заливаем на Sendspace, отправляем продавцу СС и ждем замены.
По продавцам VBV скажу сразу - эта информация приватная, и вместе с опытом вы и ее найдете. Напомню, что это сервисы, которые не имеют собственной платежной системы и просто передают ваши данные в авиакомпанию и уже авиакомпания их обрабатывает. При
этом, вы можете сами не видеть этого. То есть, когда вы делаете бронирование через агрегатор, например, какой-нибудь Skyscanner, то вы увидете, что перешли при оплате на другой сайт. А при бронировании на Vayama вы никуда не переходите, но деньги снимает та авиакомпания, чей рейс вы делаете. По факту, это прямой вбив со всеми вытекающими последствиями.
Как тут разобраться? Метода тут два - вбивать тесты с Enroll CC и смотреть, кто именно списал деньги. Можно еще позвонить в авиакомпанию и под видом внесения неких изменений все разузнать, но этот метод не 100%, так как часто бывает так, что в авиакомпании говорят - «Обращайтесь к агенту, который выписал билет». Хотя, само списание денег произвела авиакомпания. Если вы сделали билет через такой магазин, то желательно сделать клиенту поддельные документы на билет и обязательно предупредить о возможных проблемах.
При таком вбиве никогда не бейте материалом той страны, куда летите! Бывали случаи, когда снимают на пересадке и начинают очень сильно терзать.
Следующий способ - это вбив в агента формой оплаты. Тут все также, как с отелями. Только звоним агенту, придумываем историю, почему мы не можем оплатить через интернет, запрашиваем форму, делаем отрисовку, делаем звонок и делаем уже сам билет. Скажу сразу, очень немного агентов сейчас принимают оплату по форме. И делать билеты на небольшие суммы тут, конечно, не очень интересно, так как себестоимость высокая получается.
Следующая тема - это реварды. Тут тоже самое, что и по отелям, я уже выше писал, где было про отели. Отмечу важную вещь - чаще всего программы лояльности как раз позволяют делать отели, авиабилеты, аренду автомобилей. То есть, все для туриста. Остается совсем немного - найти.
Мили от авиакомпаний тоже весьма рабочая тема. Хотя, у крупных авиакомпаний уже все убито, и тут я хочу отметить важный нюанс. Когда мы оплачиваем билет милями - часто требуется доплата налогов и сборов деньгами, тут вбиваем СС, но также требуется найти СС, чтобы отмена платежа летела максимально долго. Сумма налогов и доплат обычно не большая 20-100$ на пассажира. Порой, можно оплатить налоги с виртуальной карты, например, QIWI или ЯндексДеньги, но почти везде это уже не работает.
Самые побитые авиакомпании - это British Airways, Delta Air, Lufthansa. Они ведут себя очень странно, могут и высадить с рейса на пересадке. Бывает, что регистрируешься на рейс, а в самолет уже не пускают. Это я все пишу к тому, что прежде чем кого-то отправлять - очень важно все проверить. Активность телефона очень важна, я об этом говорил уже выше по отелям.
Также, есть мили не какой-то конкретно авиакомпании, а обьединения, например, SkyTeam и в некоторых возможен вбив по Code-Share. То есть, у вас есть мили авиакомпании одной, а вы используете их для рейса компании уже другой. Тут совет такой - не используйте мили русских авиакомпаний и не используйте мили западных авиакомпаний для рейсов русских авиакомпаний.
Аккаунты можем добывать следующими способами:
• Используем Brute сами. (То есть, сами ломаем аккаунты)
• Покупаем с логов.
• Покупаем в магазинах аккаунтов.
А следующий способ я использовать не рекомендую. Прямой вбив в авиакомпанию. Чаще всего вбить в авиакомпанию никаких проблем не бывает, там и VBV нет, да и AntiFraud не такой жесткий, все это потому, что авиакомпания может всегда с вас денгьги взять через суд. Вбив напрямую дело криминальное и очень опасное, случаев, когда авиакомпании отсуживают все деньги - очень много, так что делать это крайне не советую.
Безопасность по авиабилетам. Итак, если вы хотите воспользоваться такой услугой, выбирайте продавцов с хорошими отзывами, используйте гаранта при сделках. Всегда имейте деньги на оплату билета наличными! Никогда и никому не говорите о происхождении билетов. Никогжа не имейте с собой электронных следов на ноутбуках и телефоне, все всегда шифруйте! Не нужно прыгать выше головы. То есть, если у вас нет наличных на всякий случай, то не нужно покупать билеты на бизнес-класс.
Если вы открываете сервис. Убедитесь на 100%, что ваша схема работает. Не работайте без оплаты. Не берите заказов, которые не можете исполнить. Всегда осторожно относитесь к заказам, где куча народа с детьми. Никогда не бейте напрямую в авиакомпанию и в русские магазины авиабилетов. Всегда и обо всем договаривайтесь на берегу.
FAQ:
А: Насколько безопасно передавать свои паспортные данные при пользовании такого вида услугами на форумах и так далее?
Б: Если все делается через агента, то относительно безопасно.
А: Можно ли таким образом брать с собой своих родных и близких?
Б: Да, многие летают.
А: Какие рынки сбыта? Где искать клиентов?
Б: Теневые форумы, куча их.
А: Проходит ли оплата с ПП?
Б: Не знаю, не работал и не пробовал.
А: С Linken Sphere лучше заходят вбивы?
Б: Да, лучше. Всем советую.
А: Какие страны или регионы, которые плохо подходят для наших целей, например, отели?
Б: Таиланд, Турция, Египет, Бали.
А: Оптимальный срок нахождения в отеле?
Б: Дней 10.
Небольшое дополнение к руководству:
Схема по Refund. Урок 27.
(Если переводить на русский, то означает - возвращение денег. Держите это все время в голове)
Начало всех начал лежит в выборе магазина для Refund. Магазин должен иметь доставку в твою страну, службу поддержки, с которой мы будем неумолимо вести спор, а также должен быть НЕ из СНГ. Я думаю, что все понятно, почему мы не берем магазины из СНГ. По этим критериям выбираем любой иностранный магазин. Просто вводим в поисковик название нужного предмета одежды, электроники и так далее.
Это был первый пункт, теперь переходим ко второму.
Здесь мы уже начинаем прощупывать варианты. Заходим в чат (Если есть, если нет - пишем на почту) и начинаем разводить пустозвоние, притворяясь обычным покупателем. Дело всё в том, что в последствие это сыграет нам на руку, так как мы будем выглядеть как примерный покупатель, который уже давно тут находится, очень уважаем и вообще (Верните мне мои деньги). Обязательно спросите, есть ли у них возможность возврата денег. Короче, притворяемся обычным хомяком, который боится за сохранность посылки. СИ в деле, поэтому обязательно общайтесь до Refund'а со службой поддержки, делая тем самым для себя идеальное прикрытие.
Если вы подтверждаете для себя, что сможете вернуть деньги, если вдруг магическим образом товар пропадет или будет негодным (О, Господи!), то смело добавляйте его в список тех, откуда можно возвращать деньги.
С подбором, вроде как, закончили, теперь можно переходить к прогреву магазина.
Итак, после того, как ты выбрал магазин, настало время сделать прогретый аккаунт, чтобы тебя не опрокинули на деньги. IP должен не иметь плохой истории в данном магазине, то есть с него не должно быть Refund'ов.
По поводу аккаунтов есть 2 варианта:
Ты можешь купить аккаунт, поменять данные человека на свои и отложить аккаунт на несколько недель, чтобы он отлежался. Но в таком способе есть риск, что тебе дадут аккаунт без почты, а потом восстановят пароль. Недалёк тот момент, когда такой аккаунт своруют обратно вместе со всем, что ты назаказывал, а главное - с возможностью возврата денег и твоими потенциальными деньгами.
Но это был первый вариант, которым я лично не пользуюсь, ведь есть ещё один вариант - это самому с нуля создать хороший прогретый аккаунт. Для прогрева нужно создать себе историю заказов и показать, что ты постоянный покупатель и приносишь магазину прибыль. Чем больше ты потратил денег в магазине перед Refund'ом - тем лояльнее поддержка к тебе будет относиться и проще будет возвращать деньги (делать Refund).
С чего вообще начинать и как двигаться? Тут всё сугубо на твоё усмотрение, но я всегда советую выиграть пару споров на каком-нибудь китайском барахольном рынке. Суть в том, что именно здесь ты ощутишь всю прелесть спора, поймёшь, что, куда и как, а главное - сможешь понять, как правильно обводить жадных до дешёвого риса китайцев, формируя из
себя новую личность, под новым IP и с новым хорошо проработанным аккаунтом.
Дальше уже больше, но вперёд не забегай, особенно, если ты новичок. Дело в том, что споры в других магазинах - это варианты уже посложнее, к которым свои нервы и умения надо подготовить. Ты же не хочешь упасть в грязь пару раз, забить на всё и потерять свои деньги? Вот и я о том же, поэтому начинать надо оттуда, где зарождался русский Refund, а именно - на DHgate и так далее. Будь умницей и не спеши вперёд. Мы уже поняли, как профессионально выбрать магазин, как лучше всего создать и прогреть аккаунт.
Сейчас будет ещё интереснее, ведь мы начинаем оформлять заветную посылочку, которую так ждут наши загребущие руки. При оформлении посылочки мы используем либо свои данные, либо данные подставного человека, которые можно получить по доверенности. Можно и без доверенности на друзей, но друзья не бесконечны, а особенно - друзья, которые умеют молчать. О подставных лицах и доверенности подробно поговорим дальше.
Имя немного меняем. Если это был Maksim Petrov, то мы прописываем Maxim Pitrov или Maxsim Pitrow. По поводу данных не боимся, используем любые, которые придут в голову. Здесь главное - это совпадение индекса.
«До востребования» - это наилучший вариант получения посылки, ведь приходит она только на почтовое отделение и забирается по треку или паспорту. Если же есть только варианты курьерской доставки или чего-то подобного, то нужно просить самовывоз, чтобы лишний раз не палить место своего проживания.
Во многих шопах можно выбрать способ доставки самостоятельно. Прописываем «DO VOSTREBOVANIYA» и радуемся жизни. Ребята абсолютно спокойно прописывают это на посылке, а вот многоуважаемым трудягам из твоего любимого почтового отделения гораздо проще понять, чего от них хотят. Читают, понимают, оставляют и ждут, пока ты туда придёшь.
Лучше всего, ещё перед оформлением самой первой посылки, завести себе EXСEL-таблицу для ведения отчётности и сбора информации по магазинам и твоим Refund'ам. Зачем оно нам надо? Оно нам надо, чтобы улучшить качество Refund'а, отслеживать изменения в своих успехах и, что главное, понимать, из каких магазинов лучше делают Refund, а из каких - нет. Ну и естественно, чтобы не запутаться в том, что мы вообще сделали. Это довольно просто сделать, особенно когда количество Refund'ов перевалит просто за пять штук. Вся информация должна быть структурирована и прописана, чтобы твой мозг не умер от нагрузки в виде паролей, логинов, тупой информации, а-ля «Эти носки с пингвинами я возвращад отсюда» и так далее.
Сначала я тоже относился к этой идее скептически, но потом изменил своё мнение. Так что заведи таблицу, а форму я тебе сейчас пропишу.
Первый лист - Рабочий.
Здесь должны быть следующие колонки:
• Адрес сайта.
• Логин.
• Пароль.
• Личная информация, указанная в профиле.
• Адрес почты поддержки.
• Адрес почты, с которой ты писал.
• Время ответа технической поддержки.
• Наличие Live-чата.
• Оценка поведения технической поддержки. Второй лист - Лист оценки собственных действий.
• Адрес сайта
• Что возвращал?
• Успех/Неуспех Refund'а.
• Когда совершен заказ.
• Какие аргументы приводил во время спора?
• Какие методы СИ использовал во время спора?
• Как вела себя поддержка во время спора?
• Дата начала спора.
• Дата конца спора.
• Стоит ли повторять Refund с этого сайта?
Первый лист помогает не держать в голове общие данные, второй помогает оценить то, как ты работаешь и что работает, а что стоит уже бы изменить в своих действиях. Всё просто и понятно, но ты удивишься, насколько работа с этими листами - действенная штука. Мы подготовили уже всё, что можно. Всё отлично, посылка уже в наших руках, мы готовы делать Refund.
Но посылка закрыта. «Помогите, пожалуйста!» - кричишь ты, не зная, что ему делать с тем китайским барахлом, что ему принесли.
Да, настало время поработать руками! Сейчас мы с тобой повскрываем посылочки.
Что нам с тобой для этого понадобится?
1) Фен обычный с регулировкой мощности, либо паяльная лампа (Вариант для самых смелых).
2) Толстые резиновые перчатки за 50 рублей. Не медицинские, а для уборки, те самые, жёлтенькие.
3) Весы с тонкой грамовкой, стоят в пределах 2000 рублей, но свои я брал за 699 рублей.
4) Материалы для практики и деньги на них, примерно 400 рублей.
Собрал всё и уже готов? Отлично. Поговорим о том, как это всё будет работать.
1) Открываем посылку с феном.
2) Забираем оттуда товар полностью или достаём на время, чтобы сделать его нерабочим.
3) Закатываем товар обратно в посылку (если делаем Refund из-за дефекта) или запихиваем туда всякого барахла (если делаем Refund по причине пустой посылки).
4) Снимаем видео, показывая, что товара нет или он нерабочий.
5) Кидаем спор, отсуживаем деньги.
Вот и я говорю, что всё очень интересно.
Теперь, поговорив о теории, начнём уже делать реальные вещи.
Покупаем скотч разных видов. Берём журнал, тетрадку, бумагу А4 для принтера и какой- нибудь кусок картона. Наклеиваем куски на разные поверхности, берём фен и нагреваем. Ровно так, как мы прогревали аккаунты и мозги технической поддержки, мы прогреваем и скотч.
Задача, как ты уже понял, научиться бесследно отклеивать его с любых поверхностей, которые, возможно, будут у тебя на руках. Мы прогреваем скотч, отклеиваем его, переклеивая на другую поверхность. Затем проворачиваем всё обратно. Тебе нужно научиться отклеивать и приклеивать клейкую ленту БЕЗ разводов, скомканных кусков клея и так далее, короче говоря, нужно сделать всё так, как будто посылка только один раз упаковывалась и ещё не вскрывалась нами. Когда ты научился делать это так, как нужно, приступай к более приближенному к реальности варианту. А именно - отклейке с почтовой упаковки. Для этого иди на почту, молодой, и покупай там мелкие почтовые коробки.
Приходишь домой, клеишь на них несколько видов скотча и отклеиваешь. Всё просто и понятно, но на деле не так легко, как кажется, поэтому сначала вложись и потренируйся, а потом уже будешь свою Apple-технику Refund'ить.
Тебе нужна грамотная честная работа. Несколько часов в день, разные виды скотча. Купи малярный и цветной тоже, помимо обычного тонкого, и попробуй поработать с ними. Это важно, так как зачастую упаковки очень сильно отличаются друг от друга. Короче, да.
«Больше разнообразной тренировки» переводится как «Меньше боли потом». Поэтому делай всё заранее и сразу красиво и профессионально, потрать на это время.
Поговорим о тонкостях:
1) Будет очень горячо, поэтому привыкай работать в перчатках, на то они тебе и даны.
2) Ничего не получится с первого раза, как бы ты ни старался, поэтому если хочешь свои огромные деньги, то терпи и делай дело, а не ной.
3) Помни, что твоя задача легко нагреть скотч, чтобы он идеально отделился, а не расплавить его и пакет к хуям, чтобы всё превратилось в кашу. Тренировки как раз и помогают поймать момент, поэтому сделай всё, как нужно.
Небольшие советы для распаковок:
1) Если хочешь быть готовым вообще ко всему, то перед Refund'ом, например, из магазина
«ShopName» вбивай на Youtube «ShopName, распаковка». Там ты и увидишь заранее, с какой упаковкой будешь иметь дело, а главное - с каким скотчем.
2) На том же Youtube можно посмотреть обучение на тему «Как отклеить скотч с бумаги без следов», очень наглядно.
Стандартные глянцевые пакеты могут сворачиваться во время прогрева, если переборщить с температурой. Другое дело, что некоторые из таких паков легко вскрываются и без первоначального нагрева, простым усилием рук в определённой области.
Короче говоря, не спеши с распаковкой. Спокойно осмотри и попытайся найти оптимальный вариант открытия. Я быстро научился справляться с такими посылками, а значит - сможешь справиться и ты.
Что делать, если скотч не приклеивается обратно?
Трагедия века, правда? Нет. Если такая штука происходит, берем прозрачный клей, типа обувного, клея момента или ещё какой хуйни, проклеиваем место стыка и всё.
Единственно - клей надо подобрать заранее. Переклей одну ленту раза 4-5, чтобы она отклеивалась, а затем попробуй обработать выбранным клеем.
Теперь поговорим о том, что делать, если посылку удалось вскрыть. Что дальше? Два варианта.
1) Достаём предмет, делаем дефект/выводим из строя и запихиваем обратно.
2) Убираем предмет из посылки, набиваем её барахлом и закрываем, показывая на распаковке, что пусто, верните деньги.
Чем набивать, если набиваешь?
Камни, газеты, куски дерьма. Главное - ни слова по-русски, а именно - никаких газет с русскими заголовками и никаких упоминаний о России. Лучше всего - это песок, камни и белая бумага. Взвешиваем посылку. Набиваем ее ровно по весу, перед запаковкой еще раз проверяем на весах, чтобы все было как в документах на посылку. Запаковываем, а дальше
всё дело в споре, о чем вы еще поговорим.
А сейчас приступаем к очень необычной и вкусной теме, которая крайне важна в Refund'е. Начинаем мы эту тему с очень прикладной и важной подтемы, а именно - общение с поддержкой разных магазинов. Короче говоря, споры, манипуляции и грамотный разговор.
Итак, основа любого общения - это баланс контроля над ситуацией. Само слово «диалог» подразумевает наличие двух сторон, то есть полярностей, которые имеют определённую власть друг над другом. Общение же людей - это не физика с химией, здесь силы не стремятся уравновесить друг друга, и потому одна из них в любом случае будет в доминирующей позиции. Наша первая задача во время спора с поддержкой - дать им ощущения контроля над ситуацией, дать им почувствовать то, как они помогают жертве обстоятельств, пробудить их внутреннего героя.
Суть в том, что человек сам, в силу своей альтруистичности, пытается помочь пострадавшему. Вы удивитесь, насколько охотнее вам вернут деньги за ваш товар, если вы пустите такую пыль в глаза поддержки.
Что для этого нужно?
1) Вежливость.
2) Грамотность.
3) Верный отыгрыш персонажа-жертвы.
4) Чувство баланса доминантности.
5) Чётко поставленная цель - одурманить поддержку и заставить чувствовать себя героем.
6) Верный набор фраз, составленных так, чтобы они передавали горечь, панику и растерянность в связи с проблемой.
7) Чётко поставленная перед самой поддержкой цель. Нужно вселить в него уверенность, что вернув тебе бабки, он станет героем этого дня, а ты будешь спасён.
Именно благодаря такому подходу поддержка не будет видеть огрехи в твоей смелой истории и закроет глаза на косяки. Здесь каких-то ещё советов я лично дать не могу, потому как успех данной темы зависит больше от того, насколько хорошо у тебя подвешен язык, насколько ты заинтересован в вопросе и насколько готов к обходу скриптов самой технической поддержки.
Кстати говоря, о них.
Да, поддержка целиком и полностью состоит из скриптов. Уже не знаю, каким рисом этих китайцев пичкают, но по факту у большинства из них даже мозг устроен одинаково.
Короче говоря, без шуток, есть список фраз и заготовленных реплик. И он действительно одинаковый у большинства. Поэтому по факту приспособиться можно к любому повороту, а вообще по факту, со временем ты просто научишься просчитывать реплики на десять ступеней вперёд, ибо там и правда одно и то же. В этом деле просто нужен опыт.
Итак, основной скрипт начала разговора выглядит так:
- Здравствуйте, у меня огромная проблема! В моей посылке испорченный товар! Я даже не знаю, что мне делать, деньги-то я уже отправил... Я столько денег на неё потратил…
- Успокойтесь. Опишите проблему подробно.
- Во время распаковки я подумал, что лучше записать её на видео, потому что очень боюсь заказывать что-то в интернете и заказываю не часто - боюсь, что обманут… Вот видео распаковки. Меня обманули прямо на почте или виновата почта вашей страны, я совершенно не знаю, что мне делать!
- Успокойтесь. Мы вышлем вам деньги обратно.
- ВЫ - МОЙ ГЕРОЙ!
- Спасибо. До свидания.
Да, может быть и такое, но это происходит не слишком часто.
В остальных же вариантах магазин начнёт плотно приседать тебе на лицо. Не расслабляйся, ведь могут быть огромные проблемы в споре, решать которые мы научимся прямо сейчас.
Проблема номер раз: «Вам, государь, отказано в возврате»
Да, и такое бывает, даже не хотят мило побеседовать. Вроде всё чётко, а говорить не хотят и посылают. Решение кроется в СИ. Здесь стоит понимать, что продать и надавить можно на кого угодно, важно лишь знать правильные точки.
Итак, как правило они не посылают сразу, а выставляют странные условия. Например - «Принесите документы с почты»
Как решить?
1 вариант - Сослаться на то, что по закону документы надо брать сразу, а ты не ждал подставы, потому что вес совпал полностью (Для подтверждения этого надо записать два видео, одно с распаковкой и одно со взвешиванием полностью идентичной, запакованной посылкой, но уже набитой нашим хламом). Таким образом, ты не виноват и всё делалось по закону, ещё и видео есть!
2 вариант - Подделать документы. Разумно, но это карается законом. Делайте на свой страх и риск, хотя я настоятельно не советую.
3 вариант - Реально сходить за документами на почту, но тоже не советую, потому что можно присесть за вскрытие и обеспечение ложной доказательной базы, то бишь мошенничество.
4 вариант - Вывезти на разговоре. А именно, использовать следующий вариант: «Понимаете, я шокирован не меньше вашего. Я честно заказал товар на сайте «ShopName» и уже ждал свой товар. Мой аккаунт очень хорош и я уже нормально заказывал у вас товар, а с этим меня просто обманули. Я чувствую горечь и утрату, я чувствую себя обманутым и опущенным… Слышишь, Китай, давай решим всё без полиции, чего ты морозишься? (Или «Давайте не привлекать третью сторону»).
По моему опыту скажу, что это действительно нормально работает. Обычно после этого сразу же оформляется Refund, потому что магазин видит, что ты действительно ни в чём не виноват. Если так, то можно праздновать свою победу и уже начинать открывать вкуснейшее светлое нефильтрованное, но что делать, если совсем не так?
Что делать, если всё пошло не так?
На самом деле, такое бывает в очень редких и очень определённых случаях. Короче говоря, ещё надо уметь. Для такого надо ошибиться где-то в споре с поддержкой, нужно упустить всю аргументацию и, естественно, лажануть с фактической доказательной базой. По сути из данной ситуации выход только один - продолжать давить дальше, угрожать обращением в суд с иском за развод на них, и грозить тем, что их в итоге закроют.
Но можете быть спокойны. Исчезновение или негодность товара - это гарантия того, что вам вернут деньги. Угроза подать в суд действует, как транквилизатор для коня. Туша этого магазина просто падает с такого грамотного, и мы побеждаем, получая Refund.
Здесь всему голова - это практика, которой нужно много и она должна быть постоянна. Данная ментальная база психотипов, заготовленных фраз и всего прочего образуется у вас только лишь с опытом. Как же ещё можно попрактиковаться и подготовиться к предстоящему спору? Что нужно знать, чтобы обмануть магазин? Правильно. Нужно знать правила.
Правила магазинов обычно очень похожи и нацелены больше на покупателя, потому что по факту эти правила формирует не сам магазин, а прописанные законы о купле-продаже. Ведь
не зря говорят, что клиент всегда прав.
Что можно вынести из данного утверждения?
Правила магазина могут быть ямой для самого магазина.
Итак, открываем наш магазин, находим правила на родном языке магазина и читаем. Да, на это уйдёт много времени, но из этих правил можно выстроить дорогу к хорошему Refund'у с этой площадки. Короче говоря, играть на их же поле, по их же правилам, только обыгрывать под чистую.
Берём самое наглядное - AliExpress. Торговля подделками, упоминание производителя без его согласия, маркировки брендов - это три пункта, прописанные в их же правилах, которые являются поводами для Refund'а. Это - лишь мелкий пример, но факт есть факт - игра по их же правилам сбивает их с ног, ведь они сами написали это на своём сайте. Вы берёте правила, выписываете на отдельный листок жирные пункты, по которым можно выбить Refund.
Затем подбираете по каждому пункту претензии, то есть на основании чего ты, как покупатель хочешь вернуть свои деньги. Эти претензии пишешь на второй лист. Затем представляешь себя продавцом и пишешь на третьем листе ответы на эти претензии, как бы прорабатывая то, какие ответы могут последовать на твои предъявы. Затем на четвёртом пишешь опровержения к ответам с третьего листа. Уверяю, как минимум половина из этого сойдётся, ведь скрипт пишут такие же люди, но ты, если действительно проработаешь это заранее, будешь готов ко всему, сможешь написать грамотный ответ быстро и чётко.
Вот тебе практика, предвиденье и максимальная подготовка к спору в полном объёме. Итак, запоминаем. Основа для любого социального инженера - это знания. Без СИ делать здесь нечего, а в СИ без знаний, соответственно, тоже.
Поэтому сейчас немного практики в области чтения, а именно - список литературы необходимой к прочтению каждому просто хорошему человеку из Refund-культуры СНГ.
Что тебе надо прочитать, чтобы научится спорить?
1) «Искусство обмана» - Кевин Митник.
2) «Искусство вторжения» - Кевин Митник.
3) «Призрак в сети». Мемуары величайшего хакера» - Кевин Митник.
4) «Разоблачение магии или настольная книга шарлатана» - Тимур Гагарин, Светлана Бородина.
5) «Механизмы манипуляции» - Роберт Левин.
6) «Кремлёвская школа переговоров» - Игорь Рызов.
7) Роберт Чалдини «Психология влияния» - это для того, чтобы понять, как правильно занимать лидирующие положения.
8) Филип Зимбардо «Эффект люцифера» - это для понимания того, на что давить и кем надо притворятся, чтобы заставить продавца выходить за рамки этикета и нарушать правила.
9) Стэнли Милгрем «Подчинение авторитету» - это для того, чтобы понять, как себя вести, когда вы уже заняли доминирующее положение, о том, как сохранить власть и довести дело до конца.
Читайте книги. Я серьезно. Без саморазвития просто никуда, особенно в Refund'е, где каждый раз надо думать по-новому. Именно благодаря прочтению этого списка вы сможете нереально повысить свои умения, так что не упускайте из виду, если во время практики споров у вас возникнут проблемы. Большинство ответов есть в этих книгах. Учитесь обманывать у лучших, как говорится.
Теперь затронем очень сладенькую тему ликвидности. Поясню. Сейчас мы будем разбирать, какой товар надо возвращать, чтобы жить красиво.
Всё просто - включи мозг и подумай. Если ты не живешь в бункере, то знаешь, что сейчас популярно. Как всегда спросом пользуются Iphone, дешевые и хорошие телефоны, шмотки известных брендов и прочее.
Такой товар однозначно выкупят, а значит мы будем иметь прибыль всегда. Здесь ещё стоит учитывать, для кого ты делаешь Refund.
Разумеется, опытные бизнесмены будут разговаривать о том, что нужно держать в уме несколько параметров, всё со спросом очень сложно, но это в оптовой торговле.
У нас же всё просто. Клиенты - это те, кто гонится за понтами, совсем бедные ребята и люди с большими кошельками.
Выбираем один из этих участков поля, составляем примерный список того, что каждому из них может быть интересно, делаем Refund на самый спросовый товар из списка и сбываем его им.
Сразу скажу, что для начала нужно целиться в сегмент «Бедные ребята» Им тупо проще сбыть, чем тем, кому важны понты или кошелькам.
Когда будешь начинать, твой доход, мой дорогой хулиган, будет на 90% состоять из сбывания всякой мелочи, Refund который сделал по-приколу, именно им. Они - это хлеб и соль нашего дела, ведь именно они будут скупать по заниженной цене всякий хлам.
Далее, когда подрастёшь, отыгрываться будешь на кошельках, толкая им оригинал разных фирм. Но даже в этом сегменте не забывай о том, как дорог нам сегмент нищих ребят!
Короче говоря, работай постепенно и всё будет отлично.
А сейчас мы затронем несколько тем, но главная из них - как не спалиться перед магазином, но также нам надо обойти таможенный лимит, если хотим принимать больше 1000 евро в месяц.
Суть состоит в том, что мы здесь хотим делать Refund в особенно крупных, соответственно, таможенный лимит в 1000 евро - это очень тупое и ненужное ограничение, которое нам предстоит обойти.
В этом деле нам поможет почтовая доверенность!
Для тех, кто не в курсе, чётко и быстро поясняю. Доверенность - это документ, позволяющий нам получать посылки на имя другого лица. Это удобно тем, что мы в любом случае остаёмся полностью в тени, наше имя нигде не светится, мы создаём анонимность приёма. Ещё один жирный плюс - это обход лимита таможни, если, конечно, ты не хочешь по закону платить налог с каждой посылки.
Как и на кого сделать доверенность?
Самый простой и непринуждённый путь - это сделать доверенность на своих друзей. Как оформить - ищите в Google сами, там всё очень быстро и по форме. Не рекомендую использовать для крупного масштабирования. Только в целях Refund'а для себя или минимальной перепродажи. Для начинающего - самое оно, но, исходя из конкретной цели -
«Крупное масштабирование», мы с вами пойдём по другому пути.
Мы будем подписывать на доверенность незнакомых людей. Наркоманы, алкоголики, студенты и прочие странные ребята. Именно эта компания поляжет в основу нашего чёрного бизнеса.
Мы с вами подходим на улице к таким отбросам и держим структуру разговора следующего образца:
- Здравствуйте, уважаемые. Заработать за полчаса тысячу не хотите?
- Хотим… А как?
- Я плачу вам тысячу за то, что оформляю на вас почтовую доверенность. Я бизнесмен, мне часто приходят посылки из Китая, и чтобы не платить 30% государству, я лучше заплачу по тысяче вам.
- Ну окей.
Готово. С приходом одного такого человека, мы получаем лимит ещё на 1000 евро.
Второй вариант - обрисовываешь ситуацию своему другу-студенту, который подписывает на это дело своих одногруппников. Вариант более простой, сам так делаю.
Если будет возможность - проси фото СНИЛС и паспорта. Это уже нужно для открытия PayPal на их имя, через который можно будет вернуть деньги, если магазин отказал вам в возврате. Кстати, важная информация по поводу использования платёжных систем. Не используй кошелек, а сделай в нем виртуальную карту.
Зачем? Затем, что это моментально повысит уровень доверия магазина к тебе, позволит быть в их глазах честным покупателем. При оплате всегда используй виртуальную карту. Их можно сделать в QIWI или ЮMoney. Покупай кошельки через deer.io, либо регистрируй их сам через сервисы SMS-активации и верифицируй на покупные данные. Только если регистрируешь через онлайн-SMS, то не забывай сразу же отключать SMS-подтверждения в настройках, пока у тебя есть доступ к номеру, иначе потом ничего не сможешь сделать с деньгами на кошельке.
Теперь поговорим о настройке твоего ПК.
Для того, чтобы создать видимость нового покупателя для магазина, тебе нужно изменить свой IP адрес и параметры железа. Сразу стоит оговориться, что нам не нужна безопасность, потому что искать нас никто особо не будет. Нам нужно только лишь создать новую личность, чтобы не получить от магазина проблем.
Не будем заморачиваться с виртуальными машинами, DS и прочей сложной технической штукой, потому что умные ребята давно всё сделали за нас и придумали более простое решение.
Скачиваем TheForks отсюда - theforks.ru после регистрации. Пользоваться функционалом для анонимности можно бесплатно. Чтобы сгенерировать новую личность, жмем на шестеренку, выбираем вкладку "Основные", затем жмем "Удалить историю и сбросить браузер". После этого ваше железо случайным образом изменится.
Теперь меняем IP.
Покупаем HTTPS прокси где-нибудь, я беру на proxy6.net. В TheForks слева внизу жмем "VPN", далее "Свои настройки", тип прокси "http". Туда вписываете данные своего прокси.
1) Используй и эмулируй IP той страны, куда заказываешь товар. Так к тебе не будет претензий и странных вопросов, а главное - молчаливых отказов и подозрительных утверждений о том, что ты пытаешься всех обмануть.
2) Постоянно пробивай себя на анонимность перед входом в магазин. Тот же 2ip.ru поможет тебе понять, что у тебя все нормально.
Да, кстати, во время того, как грабишь очередной магазин через TheForks, запускай на своей машине VPN. Подойдет вообще любой, ибо, повторюсь, искать нас никто не будет и VPN нам нужен просто для маскировки, а не для безопасности.
Но зачем нам VPN, если уже есть прокси? Быть может всякое, утечка IP или еще какая проблема, поэтому VPN лишним точно не будет. Просто поставь и все.
Небольшая памятка на случай, если тебя все-таки поймали.
1. Что делать?
Если попал и не уверен, что делать - молчи, не зависимо от того, что говорит “бесплатный” адвокат.
2. Язык твой - враг твой.
Если до адвоката дело еще не дошло - все равно молчи и говори, что ничего не знаешь, ничего не видел, ничего не делал.
3. Не бойся.
Будут делать больно (есть разные нехорошие методы) - все равно говори, что ничего не знаешь. Калечить не станут - те, кто этим занимается - профессионалы. Будет больно - потерпишь, а синяки и даже вывихи, что тоже бывает - пройдут.
4. Сразу начнут запугивать.
Будут пугать сроком и суровой статьёй (это всегда первый приём любого “сотрудника”) - морозься. Говори, что ни в чем не виноват.
5. Не гони понты.
Не оскорбляй “сотрудников”, не строй из себя крутого, не показывай, что уверен в себе. Не говори, что тебе ничего не будет, не говори, что не смогут ничего доказать. Не говори, что тебя все равно отмажут, даже если так и будет. Если даже знаешь, что завтра выйдешь (Папа там у тебя, предположим, крутой, или друг есть серьезный, который вытащить может) - никогда не говори “Я все равно завтра выйду”. Попал - веди себя, как нормальный адекватный пассажир в переполненном вагоне метро - не гони понтов и молча жди, когда сможешь выйти. Начнешь говорить - ничем хорошим 100% не кончится - по-любому докопаются.
6. Ни в чём не признавайся.
Если даже кажется, что всё совсем плохо и уже поймал дикую панику - всё равно помни житейскую мудрость - Чистосердечное признание облегчает следствие и является прямой дорогой в тюрьму. И это не шутка, это реальность.
7. ИДИ В ОТКАЗ.
Знай, сначала тебя, скорее всего, заставят писать объяснительную (если, конечно, нет прямых неоспоримых улик твоей вины). Ничего не пиши. Скажи, что ничего не знаешь и отказываешься давать показания. Знай - заставить тебя силой что-либо объяснить или писать они не могут.
8. РУЧКА.
НЕ БЕРИ В РУКИ РУЧКУ. Вообще не трогай её! Хоть раз дотронешься, и ты попал. Значит, сдался. Значит, раскатают.
9. Легенда.
Ничего не объясняй на словах. Вообще ничего! Придумал грамотную легенду, которая объясняет, что ты не виноват? Молодец. Все равно молчи - не рассказывай этой легенды никому, пока что тебе все равно лучше молчать.
10. Будет больно.
Дальше тебе будут долго, возможно, в пределах часов пяти. А могут и делать больно, хоть всю ночь - все равно терпи - главное - не дразнись и молчи. И даже не заикайся о том, какие они плохие. Поверь, они и без твоих оскорблений отлично знают, что ты о них думаешь.
11. Угрозы и запугивания - немного про птиц.
Тебе могут грозить (Начиная с того момента, как начнешь открещиваться от всего и морозиться), например, кинуть на ночь к петухам. Есть у этих товарищей такой прикол. Но это - именно прикол. Знай - во-первых в РОВД как таковых “Камер” вообще нет, есть только пара холодных бетонных ящиков, где держат людей по ночам (Хорошо еще, если там есть что-нибудь деревянное - помни, в таком ящике можно легко отморозить себе что-нибудь и поймать не очень хорошую болезнь половых органов. И тебе кто потом будет оплачивать лечение? За решёткой твоё здоровье - только в твоих руках. Старайся его беречь насколько это возможно).
Так вот, вернемся к нашим баранам, точнее петухам. Знай, что хотя пугать неопытных правонарушителей вроде тебя - чем-то надо, но петухов на всех не найдется. Кроме того, петухи - это те кого, а не те кто.
Короче, усвой тот факт, что пока ты не попадешь, как минимум в СИЗО (а это произойдет только после того, как суд примет решение о взятии тебя под стражу, тебе официально предъявят обвинение и по твоему делу начнется следствие). Так вот, до этого момента никто тебя, даже если ты косишь под Шерон Стоун и разговариваешь фальцетом. В общем, ты понял - ничего не будет.
А уже начиная с СИЗО - там - если уж ты совсем бесхарактерное эмо, то так тому и быть, а если ты хотя бы крепок духом - пусть даже не телом (А крепких только телом опускают так же, как и слабаков - там реально важна только сила духа). Так вот, там - не зависимо от воли тех, кто тебя туда отправил - все станет на свои места, и ты займешь то положение, которое заслуживаешь.
В общем, этот приём, как и любые другие аналогичные запугивания - совершенно стандартен, и ни на эту, ни на какую другую подобную страшилку - реагировать совершенно никак не стоит. Просто сохраняй хладнокровие, будь спокоен и молчи. Не мешай человеку работать.
12. Как со всем этим справиться?
Думай об облаках. О том, какие они красивые, как там летают птицы, как светит солнышко и как там хорошо. Будут угрожать и пугать - думай об облаках. Дадут по морде со всей дури за то, что молчишь с отстранённым видом - так, как будто думаешь об облаках - все равно думай об облаках. Зубы тебе выбивать не станут, кости не поломают. А синяки максимум за неделю заживут. Спросят о чем думаешь - можешь сказать “Ни о чём” (Смотри не проболтайся, что думаешь об облаках). Спросят о чём угодно еще - повторяй что “Ничего не знаешь” и “Тебе нечего сказать”.
13. Психологическая уловка.
Тебе обязательно скажут о том, что раз ты молчишь - значит ты 100% виноват - потому что
если бы не не был виноват - не молчал бы. Это - тоже стандартная уловка - не ведись. Им надо всеми способами заставить тебя “говорить” хоть что-либо. Тогда по закону ты потеряешь право не давать показаний в дальнейшем. Не попадись на это - просто молчи!
14. Берут на испуг.
Знай, сразу же, как только тебя начнут допрашивать - если на тебя есть хоть какие-то жалкие серьёзные подозрения - тебе скажут, что на тебя уже есть неопровержимые улики, назовут тебе длинный список статей, по которым ты идешь, назовут сроки заключения (Максимально возможные) по каждой из этих статей, в результате чего выяснится, что за то, что ты (По их мнению) сделал, что тебе грозит минимум 7 (Если что -то серьёзное, скажут, что грозит 15, если очень серьёзное - скажут что ты уже идешь на пожизненное) лет. Это - так же стандартный прием, призванный тебя напугать и сломить твою волю. По сути же, это - галимый развод. Не ведись. И думай про облака.
15. ТЕБЯ БУДУТ ЖЕСТОКО ОБМАНЫВАТЬ.
Сегодня тебе обещают впаять 7 лет и пугают неоспоримыми уликами, а завтра тебе выписывают административное правонарушение на 500 рублей и отпускают, потому что улик на самом деле нет. Для следователя это - как игра в покер для опытного игрока. Если у него действительно есть *Хорошая карта* - он лишь спокойно скажет ,”Играю”… Если же у него нет ничего - будет делать вид, что он уже выиграл. Так и тут.
Поэтому уже на данном этапе усвой урок - если ты попал - никому не верь. Особенно тому, что говорит следователь. Он тебя будет стараться не просто обмануть. Он тебя будет обманывать в квадрате, если не в кубе! Потому что для него ты - работа. Ему все равно, что ты о нем подумаешь, если он тебя удачно (Или же не очень удачно) обманет. Ему плевать, насколько ты начнешь его презирать, будучи подло и удачно обманут. Для него главное - результат. Расколоть тебя. И всё, что он будет тебе когда-либо вобще говорить будет иметь одну цель - расколоть тебя.
А, поскольку, я думаю, ты не разделяешь его желаний - по большому счёту - можешь вообще его не слушать. Представь, что его голос - своеобразная мелодия. Слушай её, но не вдумывайся. Слушай и представляй облака. Отстранись от всего. Не принимай ничего близко к сердцу. Твоя единственная настоящая задача - как минимум до предъявления тебе официального обвинения - не давать никаких показаний, а также - насколько это возможно - сохранять психологическое равновесие. Так что отринь всё плохое. Смотри на всё со стороны. В общем, думай об облаках.
15. Что можно и нужно говорить?
Единственные фразы, которые тебе можно произносить при сотрудниках: “Я ничего не знаю”, “Я не виноват”, “Я отказываюсь что-либо писать”, “Я отказываюсь что-либо объяснять”, ”Мне всё равно”(С последней фразой по-аккуратнее, после неё тебя либо сильно куда-нибудь ударят, либо сначала отправят на нарко-экспертизу, а потом уже ударят. Не важно
- терпи, так надо). И главное - после каждой такой фразы говори - “Я отказываюсь давать показания” (С этим будет психологически трудно, но держись, можно только так).
16. Тебя будут разводить.
Тебе обязательно объяснят, что молчание это уже само по себе признание вины. Скажут, что если будешь молчать - все эти 7 лет/15 лет/пожизненно ты и получишь. А если расскажешь всё как было - (Расскажешь свою “легенду” о том, что ты совершенно невиновен, ты ведь её уже придумал? - Продолжай держать её в секрете! Если расскажешь, какой ты невинный, хороший и пушистый - считай, что рассказал всё, как было на самом деле. С опытом поймёшь почему это так, но это так.)
Тебя будут убеждать, что “Если ты расскажешь, как всё было, и раскроешь тем самым им
глаза на то, какой ты хороший, пушистый и ни в чем не виноватый - тогда можешь и вообще через час выйти на улицу свободным. Мы же не станем держать в заключении невиновного человека!
Знай - это очередная уловка. Даже твоя легенда о том, что ты не виновен - это уже показания, а начав давать показания, ты автоматически теряешь своё конституционное право в дальнейшем не давать показания. Из чего следует, что рассказав любую сказку или легенду, пусть ты по ней хоть 10 раз ни в чём не виноват - ты, как минимум, попадаешь под статью о даче ложных показаний (Для этого им достаточно будет доказать то, что хотя бы один из пунктиков твоей сказки не соответствует действительности), а это уже срок. Хочешь срок?
Если нет, тогда молчи. И держи свою легенду в тайне.
17. Подбирай слова.
Знай, если ты попал - тебя будут прессовать. Возможно, жёстко прессовать, как морально, так и физически. Помни, что ни в коем случае не говори сотрудничкам “Не хочу”. Это автоматически вызовет удар в какую-либо точку твоего тела. Причем, ударивший тебя не будет ни в чем виноват - просто у них такие рефлексы. (”Не буду” можно, но гораздо лучше и правильнее говорить “Отказываюсь”). Знай, у тебя есть право не давать показания, которые могут быть использованы против тебя (на этом основании ты можешь, и должен не давать вообще никаких показаний.) А о том, что у тебя есть это право там знают не хуже тебя, и именно это право у тебя будут всеми средствами пытаться отнять. Самым первым - заставив тебя рассказать байку о том, что ты не виновен.
18. Если ты пока пока еще свидетель.
Если тебя вызвали как свидетеля и заставляют давать показания, то по закону ты не имеешь права отказаться давать показания, кроме как против себя и своих близких родственников. Это легко могут попытаться использовать для того, чтобы получив от тебя свидетельские показания - использовать их против тебя. Это уловка.
Если ты никого не убил и не сделал ничего действительно плохого, а всего лишь совершил какое-нибудь мошенничество или, скажем, любое компьютерное преступление - тебя наверняка, в первый раз, вызовут как свидетеля и, грозя уголовным наказанием за отказ от дачи свидетельских показаний - будут пытаться вытянуть из тебя столько информации, сколько возможно. После этого, скорее всего, сразу же после того, как выпытают из тебя всё, что можно в качестве свидетельских показаний - тебе скажут, что вынуждены тебя временно задержать. (Имеют полное право, даже без малейших оснований - до трёх суток для выяснения обстоятельств).
19. Всем хочется кушать, или развод на деньги.
Дальше - дальше тебя будут держать трое суток и ждать, пока “За тебя” кто-нибудь придет “Разговаривать”, расскажут, что на тебя есть весьма серьёзные улики (90% которых - твои же собственные, только что данные показания), а затем - будут надеяться на то, что с ними попробуют “Договориться”. И будь уверен, твой папа\родственник\верный друг - таки отдаст за тебя следаку N десятков тысяч деревянных. Но, по сути, просто за то, чтобы бумаги с твоими же показаниями “Отдали” обратно, а тебя отпустили.
Всем ведь кушать хочется. А на одну зарплату прожить не всегда просто.
20. Мини-итоги.
В общем, теперь ты уже знаешь, почему, хотя на тебя и есть весомые логи у провайдера, и ты все-таки засветил свой IP (Или если ты не кибер-преступник, а преступник самый обычный, но не совершивший ничего излишне-социально-опасного). Именно поэтому тебя вызвали именно как свидетеля.
21. Так что же все-таки делать?
Что делать? - Говорить что: “Ничего не знаешь”, ”Ничего не видел”, ”Не помнишь” (Кстати, если тебя вызвали как свидетеля, то в этом есть и плюс - бить тебя не будут, могут только очень сильно давить морально\угрожать\запугивать. В общем, использовать для этого все доступные великой наукой психологией методы. А этих методов у опытного следователя много, так что держись) - и главное - не забывай, что ты на самом деле “Ничего не знаешь”, ”Ничего не видел” и “Не помнишь”. Даже более того, постарайся самому себе внушить, что ты “Ничего не знаешь”,”Ничего не видел” и “Не помнишь”.
Если тебе мало лет и ты выглядишь хлюпиком, можешь хоть прослезиться с этими фразами не устах. Бить не будут. Но мгновенно поймут, что многого от тебя не добьешься и немного умерят пыл допроса.
Заметь, прикидываться таким идиотом на допросе - не стоит. Там, если ты будешь гнать откровенную чушь, прослезившись, тебя могут жестоко побить. Как вести себя на допросе я уже описал - будь спокоен, как вода в озере в тихий безветренный день и думай об облаках. Не показывай силы, не показывай слабости. И при этом - ничего не говори, кроме описанных выше “Я отказываюсь давать показания” (статья 51 Конституции РФ). И попроси это зафиксировать. Не подписывай даже этого!
Потом будет дополнительная карта у адвоката, если будете нанимать. Если нет - хуже от того, что не подпишешь не будет, а лучше не будет точно). Желательно тут, даже не говорить “Я не знаю” и “Я не видел”. И, конечно же, не забывай не брать в руки ручку!
22. Попытаются использовать твою неопытность.
Что еще тебе нужно знать? Предлагая тебе дать показания (они же “Сказка про белого бычка”, они же “Легенда”), обязательно будет что-то подобное: "Почему не будешь рассказывать? Говори, не бойся! Ты всегда можешь любые свои показания, если захочешь, сменить! Обьясни мне на словах хотя бы, как все было, а я напишу - просто для себя. Не бойся - можешь даже это не подписывать. Это - просто формальность”.
Будь уверен, хотя слова могут отличаться, суть останется та же. От тебя будут требовать обьяснений хотя бы на словах. Даже “Без подписи”. Если ты внимательно читал правила, описанные выше, то у тебя сразу в голове должны возникнуть команды:
1. Не говори ничего кроме - “Я попросил записать, что отказываюсь давать показания”. (”Я не знаю”, “Я не видел”, “Я не помню”, “Я не виноват” по своей сути уже показания. Будь с этим крайне осторожен.
2. Вспоминаем ручку. В памяти всплывает “НЕ ПРИКАСАТЬСЯ К РУЧКЕ”.
Послесловие
Ну, вот мы и подошли к концу руководства. Пожалуй, я рассказал все, что знал, даже больше. Надеюсь, эта информация поможет вам добиться ваших целей, какие бы они не были. А если по какой-то теме у вас все-таки остались вопросы, то прошу, пожалуйста, не стесняйтесь и задавайте любые вопросы в комментариях, мы с удовольствем ответим и поможем. Всегда дадим полезные советы и рекомендации.
Дальше, хотелось бы сказать, что я намерен развиваться в этом направлении.
Во-первых, есть еще очень много и много информации, которая касается темы Carding'а. Например, добыча материала, расходников, взлом аккаунтов и так далее. То есть, есть еще довольно много интересных тем.
Во-вторых, информация имеет свойство устаревать.
Конец. Всем удачи в работе и в жизни!
