Friend
Professional
- Messages
- 2,653
- Reaction score
- 842
- Points
- 113
Представьте себе: у вас есть новая карта, хорошая цель, и вы готовы сорвать большой куш. И тут появляется дикая подсказка 3DS и рушит ваши мечты быстрее, чем вышибала, заметивший поддельное удостоверение личности. Знакомо? Добро пожаловать в проклятие современного кардинга .
3D Secure или 3DS, как мы его называем в окопах, был нашим врагом в течение многих лет. Но вот в чем дело - знание - сила, и мы собираемся вооружить вас ею в большом количестве.
В этом руководстве из двух частей мы собираемся разорвать 3DS на части изнутри. Часть 1 будет охватывать базовую историю и общие принципы работы 3DS. Часть 2 еще глубже погрузится в техническую сторону и покажет вам, как тестировать BIN и реальные сценарии.
Теперь давайте проясним одну вещь: если вы здесь в поисках списка BIN, не относящихся к VBV, вы не по адресу. Это уже разбросано по всему Telegram и этому форуму. Мы здесь не для того, чтобы держать вас за руку и давать вам волшебный список. Вместо этого мы собираемся погрузиться в настоящую суть - научить вас, как вылавливать эти золотые BIN самостоятельно.
Так что возьмите свой любимый напиток, скажите своим группам Telegram, что вы уходите в темноту на некоторое время, и давайте перейдем к 3D Secure. Ваши будущие результаты будут вам благодарны.
Что за чертовщина такая 3DS? Урок истории, о котором вы не просили
Итак, дети, соберитесь, пора на урок истории. Пока некоторые собачьи кардеры все еще чешут голову над 3DS в 2024 году, как будто это какая-то новая технология, эта хрень существует с 2001 года. Да, вы не ослышались: она достаточно старая, чтобы пить в Штатах.
3D Secure или 3DS для тех из нас, кто не хочет заморачиваться с дополнительными слогами, означает Three Domain Secure . Это не какая-то замысловатая 3D-графическая чушь, несмотря на свое название — это три домена, которые работают вместе, чтобы усложнить нам жизнь:
Домен эквайера: мерчант и его банк
Домен эмитента: банк держателя карты
Домен взаимодействия: платежная система, которая заставляет все это работать (вспомните Visa, Mastercard)
В дни Дикого Запада мошенничество в электронной коммерции было настолько распространено, что сегодняшняя кардинговая сцена выглядит как пикник. Мы говорим о 50% спорных транзакций в Visa Europe в 1998 году, которые были связаны с электронной коммерцией. Мерчанты получали нагоняй, а эмитенты карт истекали деньгами быстрее, чем тупица, которого режут в ножевой драке.
Поэтому в 2001 году Visa решила испортить вечеринку и выпустила 3DS. Идея была проста: добавить дополнительный уровень безопасности к онлайн-транзакциям. Больше никаких "номеров карт и все готово". Теперь держателям карт приходилось преодолевать дополнительные препятствия — обычно вводить пароль — чтобы доказать, что они не мошенники, живущие в подвале.
Почему мерчанты подписались на эту головную боль? Два слова: перенос ответственности. С 3DS, если транзакция проходит, а затем оказывается мошеннической, это проблема банка-эмитента, а не мерчанта. Внезапно мерчанты потирали руки от радости, что не едят возвратные платежи на завтрак, обед и ужин.
Появляется Cardinal Commerce. Эти умные негодяи увидели возможность в этой неразберихе с 3DS и позиционировали себя как посредники посредников. Они как вышибалы в мире цифровых платежей, нанятые банками для выполнения грязной работы по аутентификации 3DS.
Зачем банкам использовать этих сторонних поставщиков? Все просто. Внедрение и поддержка 3DS — это боль . Это как пытаться научить бабушку пользоваться TikTok — технически возможно, но зачем беспокоиться, если можно заплатить кому-то другому, чтобы он справился с головной болью? Такие компании, как Cardinal Commerce, делают это, предлагая банкам решение их проблем. Вот почему во время 3DS вы чаще всего увидите Cardinal Commerce в журналах HTTP.
3DS 1.0 был таким же удобным для пользователя, как дилдо в виде кактуса. Владельцы карт забывали пароли, бросали корзины и вообще ненавидели жизнь. Коэффициенты конверсии резко упали, и мерчанты оказались между молотом и наковальней — защита от мошенничества или продажи?
Затем в 2016 году мы получили 3DS 2.0. Это обновление должно было сделать процесс более плавным, чем хорошо смазанный... ну, вы поняли. Вместо неуклюжих паролей он использует аутентификацию на основе рисков. Теперь система анализирует более 100 точек данных в фоновом режиме, чтобы решить, нужно ли беспокоить держателя карты для дополнительной проверки.
Сегодня 3DS управляется EMVCo , консорциумом, который звучит как организация суперзлодеев, но на самом деле управляется EuroPay, Mastercard и Visa. Он стал отраслевым стандартом, со всеми крупными сетями карт на борту.
От героя, борющегося с мошенничеством, до злодея, убивающего конвертацию, и обратно. Он блокирует кардеров более 20 лет, и это никуда не денется. Но не волнуйтесь — где есть воля (и куча умных ублюдков вроде нас), всегда найдется способ.
Как это работает?
Когда кто-то платит онлайн, вот что происходит за кулисами:
Ввод данных карты: как только эти цифры попадают на сайт мерчанта, начинается предварительная обработка 3DS.
Проверка сервера каталогов (DS): сервер 3DS мерчанта отправляет запрос DS, по сути, спрашивая: «Является ли эта карта частью клуба 3DS?»
Локатор сервера контроля доступа (ACS): если карта зарегистрирована, DS возвращает URL-адрес ACS карты — можно считать его блокировщиком доступа карты.
Сбор данных: теперь сервер 3DS выполняет функции полноценной службы безопасности, собирая все: от информации об устройстве до знака зодиака клиента.
Запрос аутентификации (AReq): все эти важные данные объединяются и отправляются в ACS.
Оценка риска: ACS пропускает эти данные через свой детектор ерунды.
Ответ аутентификации (ARes): на основе своей оценки ACS решает, следует ли:
а) Дать зеленый свет транзакции (бесперебойный поток)
б) Бросьте вызов (Challenge Flow)
Процесс проверки (если запущен): клиент должен доказать свою законность, возможно, с помощью одноразового пароля или принеся в жертву своего первенца.
Окончательный вердикт: сервер 3DS получает результат аутентификации. Если это большой палец вверх, то платеж проходит.
Триединство 3DS: вызов, беспроблемность и отсутствие явки.
Теперь давайте разберемся:
1. Ход выполнения задания:
• Как это выглядит: всплывающее окно с просьбой о дополнительной проверке.
• Методы: одноразовые пароли, биометрия, контрольные вопросы.
• Для кардеров: Обычно там, где ваша операция идет наперекосяк.
2. Поток без трения:
• Как это выглядит: Ничего. Пользователь даже не знает, что произошло 3DS.
• За кулисами: ACS выдает вам пропуск на основе оценки риска.
• Для кардеров: Это то, к чему вы стремитесь. Карты, которые называются AUTOSKIP, легко это проходят.
3. Нет 3DS:
• Как это выглядит: стандартная проверка без дополнительных шагов.
• За кулисами: транзакция сразу переходит к авторизации.
• Для кардеров: Святой Грааль. Здесь в игру вступают такие термины, как NONVBV.
Триггеры со стороны банка:
Система триггеров банка-эмитента похожа на параноидального вышибалу с очень конкретным списком дерьма:
Сумма транзакции: Неожиданные крупные покупки или суммы, которые не соответствуют обычным расходам держателя карты.
Геолокация: Транзакции из стран, в которых держатель карты никогда не был.
Категория мерчанта: некоторые категории с высоким уровнем риска всегда запускают 3DS, например, азартные игры онлайн или развлечения для взрослых.
Скорость: быстрые транзакции, создающие впечатление, что карта передается по кругу, как косяк.
Новый мерчант: первые транзакции у мерчанта, услугами которого держатель карты ранее не пользовался.
Триггеры на стороне процессора:
Вот тут-то и вступают в игру те, что написаны в моих системах ИИ-обработки мошенничества, анализируя огромное количество точек данных:
Отпечаток устройства: уникальный цифровой идентификатор вашего устройства и браузера.
Поведенческая биометрия: то, как вы печатаете, двигаете мышкой — по сути, ваш цифровой язык тела.
Исторические закономерности: предыдущие транзакции, связанные с картой, электронной почтой или устройством.
Сетевой анализ: связи между различными транзакциями и счетами, подобные цифровой паутине.
Взаимодействие триггеров:
Дело вот в чем — банк и процессор не всегда сходятся во взглядах. Это создает матрицу возможных результатов:
Чистый проход: Ты проскочил мимо обоих. Хорошая работа, хитрый дьявол.
Банк 3DS: Банк пугается и запускает 3DS, процессор к черту.
Процессор 3DS: ИИ процессора чует неладное и требует 3DS.
Double Whammy: Оба сигнализируют о вас. В этот момент вы могли бы также носить футболку с надписью «Я мошенник».
Продвинутый трах:
Избирательный 3DS: Некоторые мерчанты используют 3DS только выше определенных сумм. Прицельтесь, как снайпер.
Эксплуатация мягкого отклонения: некоторые эмитенты используют «мягкие отклонения» вместо 3DS. Это можно эксплуатировать с помощью правильной стратегии повтора.
Понижение версии 3DS: в редких случаях можно принудительно включить аутентификацию 3DS1 вместо 3DS2, но при этом возникает больше уязвимостей.
NONVBV: Некоторые банки вообще не поддерживают 3DS. В мире кардеров это называется NONVBV. Без 3DS эти транзакции — прогулка в парке.
AUTOSKIP: Некоторые банки реализуют прокси-3DS, который всегда проталкивает вас через беспрепятственный поток — никаких проблем, просто зеленый свет. Кардеры и продавцы знают их как AUTOSKIP. Найдите их, и все готово.
Заключение: 3DS — знай своего врага
Мы глубоко проникли в кроличью нору 3DS, и если у вас не закружилась голова, значит, вы невнимательно слушали.
Итак, давайте подведем итоги:
3DS не новинка — она блокирует кардеров с незапамятных времен.
Это трехстороннее танго между доменами «Покупатель», «Эмитент» и «Взаимодействие» .
Перекладывание ответственности — вот почему мерчанты скупают свои джинсы на 3DS.
Возможны три варианта: Challenge Flow, Frictionless Flow и No 3DS.
И банки, и процессоры могут запускать 3DS, это сложная паутина дерьма.
Мы только начали. Во второй части этого руководства мы еще глубже погрузимся в техническую сторону 3DS. Мы покажем вам:
Что такое SCA (строгая аутентификация клиентов)
Как мерчанты видят эти транзакции
Как проверить BIN на поддержку 3DS
Реальные примеры с настоящими магазинами (потому что теория — это здорово, но практика платит по счетам)
Мы также рассмотрим продвинутые методы, такие как Selective 3DS, Soft Decline Exploitation и Святой Грааль карт NONVBV и AUTOSKIP .
Помните, понимание 3DS заключается не только в том, чтобы обойти его, но и в том, чтобы знать, когда и почему он срабатывает в первую очередь. Это разница между игрой в шашки и 4D-шахматами в мире кардинга.
Так что до следующего раза держите свой ум и свои карты острее. И ради всего святого, не вставляйте случайные BIN в каждый магазин, который видите. Это дерьмо любительского часа, и вы лучше этого.
Класс распущен, вы, милые кардеры. Увидимся во второй части, где мы превратим это в холодные наличные.
3D Secure или 3DS, как мы его называем в окопах, был нашим врагом в течение многих лет. Но вот в чем дело - знание - сила, и мы собираемся вооружить вас ею в большом количестве.
В этом руководстве из двух частей мы собираемся разорвать 3DS на части изнутри. Часть 1 будет охватывать базовую историю и общие принципы работы 3DS. Часть 2 еще глубже погрузится в техническую сторону и покажет вам, как тестировать BIN и реальные сценарии.
Теперь давайте проясним одну вещь: если вы здесь в поисках списка BIN, не относящихся к VBV, вы не по адресу. Это уже разбросано по всему Telegram и этому форуму. Мы здесь не для того, чтобы держать вас за руку и давать вам волшебный список. Вместо этого мы собираемся погрузиться в настоящую суть - научить вас, как вылавливать эти золотые BIN самостоятельно.
Так что возьмите свой любимый напиток, скажите своим группам Telegram, что вы уходите в темноту на некоторое время, и давайте перейдем к 3D Secure. Ваши будущие результаты будут вам благодарны.
Что за чертовщина такая 3DS? Урок истории, о котором вы не просили
Итак, дети, соберитесь, пора на урок истории. Пока некоторые собачьи кардеры все еще чешут голову над 3DS в 2024 году, как будто это какая-то новая технология, эта хрень существует с 2001 года. Да, вы не ослышались: она достаточно старая, чтобы пить в Штатах.
3D Secure или 3DS для тех из нас, кто не хочет заморачиваться с дополнительными слогами, означает Three Domain Secure . Это не какая-то замысловатая 3D-графическая чушь, несмотря на свое название — это три домена, которые работают вместе, чтобы усложнить нам жизнь:
Домен эквайера: мерчант и его банк
Домен эмитента: банк держателя карты
Домен взаимодействия: платежная система, которая заставляет все это работать (вспомните Visa, Mastercard)
В дни Дикого Запада мошенничество в электронной коммерции было настолько распространено, что сегодняшняя кардинговая сцена выглядит как пикник. Мы говорим о 50% спорных транзакций в Visa Europe в 1998 году, которые были связаны с электронной коммерцией. Мерчанты получали нагоняй, а эмитенты карт истекали деньгами быстрее, чем тупица, которого режут в ножевой драке.
Поэтому в 2001 году Visa решила испортить вечеринку и выпустила 3DS. Идея была проста: добавить дополнительный уровень безопасности к онлайн-транзакциям. Больше никаких "номеров карт и все готово". Теперь держателям карт приходилось преодолевать дополнительные препятствия — обычно вводить пароль — чтобы доказать, что они не мошенники, живущие в подвале.
Почему мерчанты подписались на эту головную боль? Два слова: перенос ответственности. С 3DS, если транзакция проходит, а затем оказывается мошеннической, это проблема банка-эмитента, а не мерчанта. Внезапно мерчанты потирали руки от радости, что не едят возвратные платежи на завтрак, обед и ужин.
Появляется Cardinal Commerce. Эти умные негодяи увидели возможность в этой неразберихе с 3DS и позиционировали себя как посредники посредников. Они как вышибалы в мире цифровых платежей, нанятые банками для выполнения грязной работы по аутентификации 3DS.
Зачем банкам использовать этих сторонних поставщиков? Все просто. Внедрение и поддержка 3DS — это боль . Это как пытаться научить бабушку пользоваться TikTok — технически возможно, но зачем беспокоиться, если можно заплатить кому-то другому, чтобы он справился с головной болью? Такие компании, как Cardinal Commerce, делают это, предлагая банкам решение их проблем. Вот почему во время 3DS вы чаще всего увидите Cardinal Commerce в журналах HTTP.
3DS 1.0 был таким же удобным для пользователя, как дилдо в виде кактуса. Владельцы карт забывали пароли, бросали корзины и вообще ненавидели жизнь. Коэффициенты конверсии резко упали, и мерчанты оказались между молотом и наковальней — защита от мошенничества или продажи?
Затем в 2016 году мы получили 3DS 2.0. Это обновление должно было сделать процесс более плавным, чем хорошо смазанный... ну, вы поняли. Вместо неуклюжих паролей он использует аутентификацию на основе рисков. Теперь система анализирует более 100 точек данных в фоновом режиме, чтобы решить, нужно ли беспокоить держателя карты для дополнительной проверки.
Сегодня 3DS управляется EMVCo , консорциумом, который звучит как организация суперзлодеев, но на самом деле управляется EuroPay, Mastercard и Visa. Он стал отраслевым стандартом, со всеми крупными сетями карт на борту.
От героя, борющегося с мошенничеством, до злодея, убивающего конвертацию, и обратно. Он блокирует кардеров более 20 лет, и это никуда не денется. Но не волнуйтесь — где есть воля (и куча умных ублюдков вроде нас), всегда найдется способ.
Как это работает?
Когда кто-то платит онлайн, вот что происходит за кулисами:
Ввод данных карты: как только эти цифры попадают на сайт мерчанта, начинается предварительная обработка 3DS.
Проверка сервера каталогов (DS): сервер 3DS мерчанта отправляет запрос DS, по сути, спрашивая: «Является ли эта карта частью клуба 3DS?»
Локатор сервера контроля доступа (ACS): если карта зарегистрирована, DS возвращает URL-адрес ACS карты — можно считать его блокировщиком доступа карты.
Сбор данных: теперь сервер 3DS выполняет функции полноценной службы безопасности, собирая все: от информации об устройстве до знака зодиака клиента.
Запрос аутентификации (AReq): все эти важные данные объединяются и отправляются в ACS.
Оценка риска: ACS пропускает эти данные через свой детектор ерунды.
Ответ аутентификации (ARes): на основе своей оценки ACS решает, следует ли:
а) Дать зеленый свет транзакции (бесперебойный поток)
б) Бросьте вызов (Challenge Flow)
Процесс проверки (если запущен): клиент должен доказать свою законность, возможно, с помощью одноразового пароля или принеся в жертву своего первенца.
Окончательный вердикт: сервер 3DS получает результат аутентификации. Если это большой палец вверх, то платеж проходит.
Триединство 3DS: вызов, беспроблемность и отсутствие явки.
Теперь давайте разберемся:
1. Ход выполнения задания:
• Как это выглядит: всплывающее окно с просьбой о дополнительной проверке.
• Методы: одноразовые пароли, биометрия, контрольные вопросы.
• Для кардеров: Обычно там, где ваша операция идет наперекосяк.
2. Поток без трения:
• Как это выглядит: Ничего. Пользователь даже не знает, что произошло 3DS.
• За кулисами: ACS выдает вам пропуск на основе оценки риска.
• Для кардеров: Это то, к чему вы стремитесь. Карты, которые называются AUTOSKIP, легко это проходят.
3. Нет 3DS:
• Как это выглядит: стандартная проверка без дополнительных шагов.
• За кулисами: транзакция сразу переходит к авторизации.
• Для кардеров: Святой Грааль. Здесь в игру вступают такие термины, как NONVBV.
Триггеры со стороны банка:
Система триггеров банка-эмитента похожа на параноидального вышибалу с очень конкретным списком дерьма:
Сумма транзакции: Неожиданные крупные покупки или суммы, которые не соответствуют обычным расходам держателя карты.
Геолокация: Транзакции из стран, в которых держатель карты никогда не был.
Категория мерчанта: некоторые категории с высоким уровнем риска всегда запускают 3DS, например, азартные игры онлайн или развлечения для взрослых.
Скорость: быстрые транзакции, создающие впечатление, что карта передается по кругу, как косяк.
Новый мерчант: первые транзакции у мерчанта, услугами которого держатель карты ранее не пользовался.
Триггеры на стороне процессора:
Вот тут-то и вступают в игру те, что написаны в моих системах ИИ-обработки мошенничества, анализируя огромное количество точек данных:
Отпечаток устройства: уникальный цифровой идентификатор вашего устройства и браузера.
Поведенческая биометрия: то, как вы печатаете, двигаете мышкой — по сути, ваш цифровой язык тела.
Исторические закономерности: предыдущие транзакции, связанные с картой, электронной почтой или устройством.
Сетевой анализ: связи между различными транзакциями и счетами, подобные цифровой паутине.
Взаимодействие триггеров:
Дело вот в чем — банк и процессор не всегда сходятся во взглядах. Это создает матрицу возможных результатов:
Чистый проход: Ты проскочил мимо обоих. Хорошая работа, хитрый дьявол.
Банк 3DS: Банк пугается и запускает 3DS, процессор к черту.
Процессор 3DS: ИИ процессора чует неладное и требует 3DS.
Double Whammy: Оба сигнализируют о вас. В этот момент вы могли бы также носить футболку с надписью «Я мошенник».
Продвинутый трах:
Избирательный 3DS: Некоторые мерчанты используют 3DS только выше определенных сумм. Прицельтесь, как снайпер.
Эксплуатация мягкого отклонения: некоторые эмитенты используют «мягкие отклонения» вместо 3DS. Это можно эксплуатировать с помощью правильной стратегии повтора.
Понижение версии 3DS: в редких случаях можно принудительно включить аутентификацию 3DS1 вместо 3DS2, но при этом возникает больше уязвимостей.
NONVBV: Некоторые банки вообще не поддерживают 3DS. В мире кардеров это называется NONVBV. Без 3DS эти транзакции — прогулка в парке.
AUTOSKIP: Некоторые банки реализуют прокси-3DS, который всегда проталкивает вас через беспрепятственный поток — никаких проблем, просто зеленый свет. Кардеры и продавцы знают их как AUTOSKIP. Найдите их, и все готово.
Заключение: 3DS — знай своего врага
Мы глубоко проникли в кроличью нору 3DS, и если у вас не закружилась голова, значит, вы невнимательно слушали.
Итак, давайте подведем итоги:
3DS не новинка — она блокирует кардеров с незапамятных времен.
Это трехстороннее танго между доменами «Покупатель», «Эмитент» и «Взаимодействие» .
Перекладывание ответственности — вот почему мерчанты скупают свои джинсы на 3DS.
Возможны три варианта: Challenge Flow, Frictionless Flow и No 3DS.
И банки, и процессоры могут запускать 3DS, это сложная паутина дерьма.
Мы только начали. Во второй части этого руководства мы еще глубже погрузимся в техническую сторону 3DS. Мы покажем вам:
Что такое SCA (строгая аутентификация клиентов)
Как мерчанты видят эти транзакции
Как проверить BIN на поддержку 3DS
Реальные примеры с настоящими магазинами (потому что теория — это здорово, но практика платит по счетам)
Мы также рассмотрим продвинутые методы, такие как Selective 3DS, Soft Decline Exploitation и Святой Грааль карт NONVBV и AUTOSKIP .
Помните, понимание 3DS заключается не только в том, чтобы обойти его, но и в том, чтобы знать, когда и почему он срабатывает в первую очередь. Это разница между игрой в шашки и 4D-шахматами в мире кардинга.
Так что до следующего раза держите свой ум и свои карты острее. И ради всего святого, не вставляйте случайные BIN в каждый магазин, который видите. Это дерьмо любительского часа, и вы лучше этого.
Класс распущен, вы, милые кардеры. Увидимся во второй части, где мы превратим это в холодные наличные.
Last edited:
