Friend
Professional
- Messages
- 2,667
- Reaction score
- 877
- Points
- 113
Если есть что-то, что пронизывает всю индустрию кардинга, так это существование бинов NON-VBV. Вы можете увидеть это везде - на форумах, в каналах Telegram, на серверах Discord, на рынках даркнета - это NON-VBV. Но даже при том, что это самая обсуждаемая тема в кругах кардинга, неверная информация все равно распространяется как герпес. Мы проясним путаницу с помощью этой статьи.
3DS 2.0
3D Secure 2.0 — это усовершенствованная форма оригинальной ерунды «Verified by Visa» и «Mastercard SecureCode», которая раньше выдавала эти раздражающие страницы с паролями во время оформления заказа. Предыдущая версия 3DS 1.0 была неуклюжим куском мусора, который полагался на статические пароли или контрольные вопросы.
3DS 2.0 полностью изменила правила игры. Вместо того чтобы просто запрашивать пароль, эта новая система собирает более 100 точек данных о вашей транзакции — отпечатки устройства (фингерпринт), историю покупок геолокации, шаблоны просмотра — и пропускает их через алгоритмы оценки риска, чтобы определить, являетесь ли вы законным или нет.
Жемчужиной этой системы является то, что они называют «беспроблемной аутентификацией». Когда эмитент карты получает запрос на аутентификацию 3DS 2.0, они анализируют все эти точки данных в режиме реального времени. Если все выглядит нормально, они одобрят транзакцию, не беспокоя держателя карты для проверки. Никакого кода SMS, никакого уведомления приложения, ничего — платеж просто проходит.
Вот почему ваши стандартные методы кардинга из 2018 года теперь так же полезны, как леденец со вкусом члена. Игра перешла от обхода паролей к манипулированию системами оценки рисков или поиску карт, которые полностью обходят весь процесс.
NON-VBV БИНЫ
Бины NONVBV — это хлеб с маслом в мире кардинга. Это не какие-то особые карты — это просто обычные кредитные карты от эмитентов, которые либо облажались с реализацией 3DS, либо вообще не используют этот протокол.
Под эту категорию попадают два основных типа:
Карты Auto-VBV
Карты Auto-VBV технически зарегистрированы в 3DS, но у них есть критический недостаток: они автоматически аутентифицируют транзакцию, не требуя ввода данных держателем карты. Банк-эмитент внедрил 3DS, но их система настроена на то, чтобы разрешать транзакции через «беспроблемный» путь почти в 100% случаев.
Когда вы используете их для транзакций, система продавца думает, что карта прошла надлежащую проверку 3DS. На самом деле, сервер контроля доступа банка просто проштамповал это без какой-либо реальной проверки безопасности.
Карты NON-VBV
Настоящие карты NON-VBV поставляются банками, которые вообще не участвуют в 3DS. Эти динозавры не внедрили протокол безопасности, поэтому, когда продавец пытается инициировать проверку 3DS, транзакция просто продолжается с базовыми данными карты (срок действия номера, CVV). Некоторые строгие мерчанты вообще их не поддерживают.
Как использовать бины
Хотя оба типа позволяют обходить проблемы аутентификации, карты Auto-VBV имеют явные преимущества:
Чекеры
Найти бины NON-VBV не так просто, как просмотреть список в Интернете. Банки постоянно обновляют свои протоколы безопасности, и бины, которые работали в прошлом месяце, сегодня могут быть полностью защищены. Вот тут-то и появляются чекеры.
У вас есть два варианта проверки бинов NON-VBV:
Чекеры через API мерчантов.
Продвинутые кардеры создают собственные чекеры с помощью API мерчантов. Эти инструменты генерируют тестовые карты из определенного диапазона бинов и пытаются провести транзакции через платежные шлюзы, реализующие 3DS. Анализируя ответ аутентификации, они могут определить, вызывает ли бин проблемы 3DS или нет.
Настройка собственного чекера требует технических знаний и доступа к API обработки платежей — я расскажу об этом в будущем руководстве. Преимущество в том, что вы получаете надежные данные в режиме реального времени, не полагаясь на третьих лиц.
Чекеры в Telegram.
Для новичков более доступны чекеры в Telegram, такие как SAB и Raven. Эти сервисы позволяют вам ввести бин, и они проведут быстрый тест, чтобы определить, способны ли карты из этого диапазона обойти 3DS.
Вот как обычно работают эти проверяющие:
Но эти сервисы идут с огромной оговоркой: они тестируют один бин карты. Некоторые эмитенты определяют требования 3DS по каждой карте, а не по конкретному бину. То, что один бин карты проходит безупречную аутентификацию, не гарантирует, что все карты с таким же бином будут вести себя одинаково.
Другая проблема заключается в том, что банки часто используют динамическую оценку риска. Карта может пропустить 3DS для небольших покупок, но потребовать проверки для более крупных сумм или подозрительных транзакций. Чекеры обычно проверяют с минимальными транзакциями, поэтому они могут пометить бин как NON-VBV, когда на самом деле он вызовет 3DS для ваших реальных попыток кардинга.
Заключение
Бины NON-VBV быстро вымирают. Банки по всему миру внедряют 3DS 2.0 с интеллектуальным обнаружением рисков, что с каждым днем все сложнее находить обходные пути.
Профессионалы больше не тратят время на охоту за хорошими бинами — они переходят на социальную инженерию, OTP-ботов и другие методы, которые не полагаются на магические номера карт. Нашли работающий NON-VBV бин? Отлично, но не привязывайтесь — эту хрень могут исправить завтра.
Как я всегда говорил, дело вообще не в бинах. Сначала сосредоточьтесь на своем отпечатке устройства. Убедитесь, что ваша настройка антидетекта надежна, ваши прокси чисты, а ваш профиль браузера не утекает. Лучшая бин в мире не спасет вас, если ваш цифровой отпечаток устройства грязный.
Безопасность развивается, и вам лучше развиваться вместе с ней. Продолжайте учиться, оставайтесь гибкими и не попадайтесь на вчерашних схемах.
(c) Свяжитесь с автором здесь: d0ctrine
3DS 2.0
3D Secure 2.0 — это усовершенствованная форма оригинальной ерунды «Verified by Visa» и «Mastercard SecureCode», которая раньше выдавала эти раздражающие страницы с паролями во время оформления заказа. Предыдущая версия 3DS 1.0 была неуклюжим куском мусора, который полагался на статические пароли или контрольные вопросы.
3DS 2.0 полностью изменила правила игры. Вместо того чтобы просто запрашивать пароль, эта новая система собирает более 100 точек данных о вашей транзакции — отпечатки устройства (фингерпринт), историю покупок геолокации, шаблоны просмотра — и пропускает их через алгоритмы оценки риска, чтобы определить, являетесь ли вы законным или нет.
Жемчужиной этой системы является то, что они называют «беспроблемной аутентификацией». Когда эмитент карты получает запрос на аутентификацию 3DS 2.0, они анализируют все эти точки данных в режиме реального времени. Если все выглядит нормально, они одобрят транзакцию, не беспокоя держателя карты для проверки. Никакого кода SMS, никакого уведомления приложения, ничего — платеж просто проходит.
Вот почему ваши стандартные методы кардинга из 2018 года теперь так же полезны, как леденец со вкусом члена. Игра перешла от обхода паролей к манипулированию системами оценки рисков или поиску карт, которые полностью обходят весь процесс.
NON-VBV БИНЫ
Бины NONVBV — это хлеб с маслом в мире кардинга. Это не какие-то особые карты — это просто обычные кредитные карты от эмитентов, которые либо облажались с реализацией 3DS, либо вообще не используют этот протокол.
Под эту категорию попадают два основных типа:
Карты Auto-VBV
Карты Auto-VBV технически зарегистрированы в 3DS, но у них есть критический недостаток: они автоматически аутентифицируют транзакцию, не требуя ввода данных держателем карты. Банк-эмитент внедрил 3DS, но их система настроена на то, чтобы разрешать транзакции через «беспроблемный» путь почти в 100% случаев.
Когда вы используете их для транзакций, система продавца думает, что карта прошла надлежащую проверку 3DS. На самом деле, сервер контроля доступа банка просто проштамповал это без какой-либо реальной проверки безопасности.
Карты NON-VBV
Настоящие карты NON-VBV поставляются банками, которые вообще не участвуют в 3DS. Эти динозавры не внедрили протокол безопасности, поэтому, когда продавец пытается инициировать проверку 3DS, транзакция просто продолжается с базовыми данными карты (срок действия номера, CVV). Некоторые строгие мерчанты вообще их не поддерживают.
Как использовать бины
Хотя оба типа позволяют обходить проблемы аутентификации, карты Auto-VBV имеют явные преимущества:
- Защита ответственности: транзакции, которые завершают аутентификацию 3DS (даже автоматически), перекладывают ответственность за мошенничество с продавца на эмитента карты. Это означает, что мерчанты с большей вероятностью примут эти транзакции.
- Более высокий процент успеха: многие мерчанты требуют 3DS для дорогостоящих покупок. Карты Auto-VBV технически удовлетворяют этому требованию, в то время как чистые карты NON-VBV могут быть отклонены с сообщениями типа «эмитент не участвует».
- Чистый бумажный след: транзакция Auto-VBV выглядит законной в записях мерчанта — она отображается как «аутентификация 3DS выполнена», а не «попытка/неудача 3DS», что вызывает меньше тревожных сигналов.
- Более широкое принятие: некоторые платежные системы автоматически отклоняют карты, которые не поддерживают 3DS в определенных регионах (особенно в Европе в соответствии с SCA/PSD2). Карты Auto-VBV не попадают под этот радар.
Чекеры
Найти бины NON-VBV не так просто, как просмотреть список в Интернете. Банки постоянно обновляют свои протоколы безопасности, и бины, которые работали в прошлом месяце, сегодня могут быть полностью защищены. Вот тут-то и появляются чекеры.
У вас есть два варианта проверки бинов NON-VBV:
Чекеры через API мерчантов.
Продвинутые кардеры создают собственные чекеры с помощью API мерчантов. Эти инструменты генерируют тестовые карты из определенного диапазона бинов и пытаются провести транзакции через платежные шлюзы, реализующие 3DS. Анализируя ответ аутентификации, они могут определить, вызывает ли бин проблемы 3DS или нет.
Настройка собственного чекера требует технических знаний и доступа к API обработки платежей — я расскажу об этом в будущем руководстве. Преимущество в том, что вы получаете надежные данные в режиме реального времени, не полагаясь на третьих лиц.
Чекеры в Telegram.
Для новичков более доступны чекеры в Telegram, такие как SAB и Raven. Эти сервисы позволяют вам ввести бин, и они проведут быстрый тест, чтобы определить, способны ли карты из этого диапазона обойти 3DS.
Вот как обычно работают эти проверяющие:
- Вы отправляете бин
- Сервис генерирует действительный номер карты из этого бина
- Он пытается провести небольшую тестовую транзакцию, используя свой собственный мерчант аккаунт, что обеспечивает бесперебойность
- На основе ответа аутентификации он сообщает вам, является ли бин NON-VBV/Auto-VBV
Но эти сервисы идут с огромной оговоркой: они тестируют один бин карты. Некоторые эмитенты определяют требования 3DS по каждой карте, а не по конкретному бину. То, что один бин карты проходит безупречную аутентификацию, не гарантирует, что все карты с таким же бином будут вести себя одинаково.
Другая проблема заключается в том, что банки часто используют динамическую оценку риска. Карта может пропустить 3DS для небольших покупок, но потребовать проверки для более крупных сумм или подозрительных транзакций. Чекеры обычно проверяют с минимальными транзакциями, поэтому они могут пометить бин как NON-VBV, когда на самом деле он вызовет 3DS для ваших реальных попыток кардинга.
Заключение
Бины NON-VBV быстро вымирают. Банки по всему миру внедряют 3DS 2.0 с интеллектуальным обнаружением рисков, что с каждым днем все сложнее находить обходные пути.
Профессионалы больше не тратят время на охоту за хорошими бинами — они переходят на социальную инженерию, OTP-ботов и другие методы, которые не полагаются на магические номера карт. Нашли работающий NON-VBV бин? Отлично, но не привязывайтесь — эту хрень могут исправить завтра.
Как я всегда говорил, дело вообще не в бинах. Сначала сосредоточьтесь на своем отпечатке устройства. Убедитесь, что ваша настройка антидетекта надежна, ваши прокси чисты, а ваш профиль браузера не утекает. Лучшая бин в мире не спасет вас, если ваш цифровой отпечаток устройства грязный.
Безопасность развивается, и вам лучше развиваться вместе с ней. Продолжайте учиться, оставайтесь гибкими и не попадайтесь на вчерашних схемах.
(c) Свяжитесь с автором здесь: d0ctrine
