Friend
Professional
- Messages
- 2,653
- Reaction score
- 842
- Points
- 113
Сегодня мы погрузимся в зверя, который называется StockX. Это не было написано как наши типичные руководства по кардингу, потому что в нем слишком много движущихся частей, чтобы держать вас за руку на каждом этапе. Мы имеем дело со сложной системой, а не с каким-то случайным интернет-магазином, в который можно попасть с помощью дерьмового резидентного прокси и подержанного CVV.
Это руководство настолько насыщенное, что мы разделили его на три части. В первой части будет рассмотрен первый метод кардинга StockX — понимание их безопасности, как не попасть под какие-то проверки и как ориентироваться в их платежной системе. Во второй части мы погрузимся в альтернативный подход к кардингу, давая вам другой угол для атаки. В третьей части информация становится интереснее. Мы изучим искусство двойного погружения с помощью замен, превращая один успешный удар в несколько очков. Это продвинутая тема, которую вы можете прочитать только здесь, на лучшем кардинг форуме.
Если вы все еще боретесь с базовыми магазинами карт или думаете, что резидентные прокси — это ответ на все, StockX съест вас заживо. Это продвинутый уровень кардинга, где каждая деталь имеет значение, и одна ошибка может погубить всю вашу операцию.
Так что пристегнитесь. Мы собираемся отправиться в путешествие по одной из самых сложных целей кардинга. К концу этого вы либо будете получать редкие пинки как босс, либо плакать в углу, гадая, что вас ударило. Выбор за вами.
Что за StockX?
Если вы не живете в пещере или все еще думаете, что кардинг — это кража тележек из продуктовых магазинов, вы, вероятно, слышали о StockX. Но для тех из вас, кто не в курсе, давайте разберемся:
StockX — это как eBay для хайпбистов и сникерхедов. Это торговая площадка, где люди покупают и продают кроссовки ограниченного тиража, уличную одежду, часы и другие предметы коллекционирования. StockX выступает в качестве посредника, проверяющего подлинность каждого товара, чтобы убедиться, что вы не покупаете какую-нибудь поддельную ерунду, сделанную в чьем-то подвале.
Вот как это работает:
- Продавцы выставляют свои товары
- Покупатели делают ставки или покупают по запрашиваемой цене
- Когда происходит продажа, продавец отправляет товар на StockX.
- StockX подтверждает свою легитимность
- Если он проходит, StockX отправляет его покупателю.
Звучит просто, не правда ли? Именно этот процесс делает StockX интересным для кардеров.
Почему StockX — эта тема для кардеров
Теперь вы, вероятно, думаете: «Почему мне должен быть интересен какой-то крутой сайт с кроссовками?». Потому что вот тут-то все и становится круто:
- Высокоценные товары: Мы не говорим о кардинге футболок по $20. StockX торгует товарами, которые могут стоить тысячи. Некоторые редкие кроссовки или часы ограниченного выпуска могут стоить так, что у вас заслезятся глаза. Один удачный удар может принести вам больше прибыли, чем месяц кардинга дешевых подарочных карт.
- Простая перепродажа: в отличие от этого дурацкого пылесоса, который вы кардовали и который собирает пыль в вашей гостиной, товары StockX предназначены для перепродажи. Рынок перепродажи этих товаров огромен и активен. Вы можете превратить свои карженные товары в холодные наличные, прежде чем вы это осознаете.
- Разнообразный инвентарь: кроссовки, часы, уличная одежда, электроника — на StockX есть все. Такое разнообразие означает, что вы можете диверсифицировать свой кардинг-портфель, как профессионал Уолл-стрит.
- Встроенная легитимность: вот в чем прелесть — процесс аутентификации StockX на самом деле работает в нашу пользу. Как только товар проходит их проверку, он получает штамп одобрения StockX. Это значительно упрощает перепродажу ваших товаров с картами, поскольку покупатели доверяют платформе.
- Глобальный рынок: StockX работает по всему миру. Это открывает совершенно новый уровень возможностей для адресов сброса и вариантов перепродажи.
- Волатильность цен: некоторые товары на StockX колеблются в цене, как криптовалюта. Выберите правильное время, и вы сможете получить еще больше прибыли сверх вашей первоначальной карты.
Но вот настоящая вишенка на торте — потенциал двойной неудачи. Политика замены StockX — это золотая жила, если вы знаете, как с ней работать. Получите заказ, заявив, что он так и не пришел, и бум — вы удвоили свой счет. Мы подробно рассмотрим это во второй части, но просто знайте, что это как дважды выиграть в лотерею мошенничества.
Теперь не слишком радуйтесь. Весь этот потенциал имеет свою цену. Безопасность StockX надежна. Это не какая-то скромная операция. Вы имеете дело с передовой системой обнаружения мошенничества и командой, посвященной вынюхиванию подозрительных транзакций.
Но для тех, у кого есть навыки и смелость взяться за дело, StockX — это обетованная земля кардинга. Освойте это, и вы будете купаться в раскрученных кроссовках и уличной одежде в кратчайшие сроки.
Инфраструктура StockX
Хорошо, давайте поговорим о основе защиты StockX - их чертовой инфраструктуре. Если вы читали мои другие руководства, вы знаете, как мы проводим разведку, так что я избавлю вас от скучных подробностей. Но есть два ключевых игрока, о которых вам нужно знать, если вы хотите добиться успеха на StockX: Braintree и Riskified.
Braintree
Braintree в теории довольно прост. Это компания PayPal, так что если вы использовали карты на PayPal eBay или в других магазинах Braintree, вы, вероятно, уже на их радаре. Они обмениваются данными между платформами. Отклоненный хит на каком-то случайном сайте Braintree может вас обмануть на StockX.
Riskified
Теперь Riskified, вот где кардинг становится действительно сложным. Забудьте о том, чтобы просто использовать email держателя карты и закончить на этом. Этот метод редко работает со StockX, поскольку у них есть свой собственный набор правил, который применяется Riskified, и он довольно чувствителен.
Набор правил StockX
Набор правил StockX является жестким и его трудно обойти, он зависит от того, какой рейтинг Riskified вам выдаст. Если вы не наберете очень низкий рейтинг мошенничества с помощью Riskified, вы попадете в проверку StockX на мошенничество. Порог настолько низок, что даже законопослушные клиенты постоянно получают письма с подтверждением. Что это значит для нас? Все просто: нам нужно либо получить настолько низкий рейтинг мошенничества, чтобы запрос на проверку не попал в нашу область, либо найти способ обойти запрос на проверку вообще.
Вот почему для StockX у нас есть два разных подхода, каждый из которых имеет свои преимущества и недостатки, а также различные требования к ресурсам:
- Использование логов для снижения нашего рейтинга мошенничества
- Использование карт Enroll для обхода запроса на проверку
Если вы не избранный богом кардер, использование простого CVV и получение этих ударов Трэвиса Скотта на самом деле не сработает.
Использование логов для снижения нашего рейтинга мошенничества:
Этот метод заключается в том, чтобы выглядеть максимально законным. Мы говорим о чистых логах, чистых IP-адресах и безупречном цифровом следе. Стоимость этого — только прокси и логи, которые могут быть дорогими в зависимости от того, где вы их получаете. Цель — проскользнуть под радаром Riskified незамеченным. Мы рассмотрим это позже ниже.
Использование карт Enroll для обхода проверки:
Карты Enroll — это Святой Грааль кардинга. Это карты с прямым доступом к данным транзакций в реальном времени. Это как иметь прямую линию к банковскому счету держателя карты. Мы можем использовать это, чтобы пройти проверку. Стоимость этого, конечно, — это карты Enroll, которые в наши дни довольно дороги. Мы рассмотрим это во второй части.
Логи
Если вы новичок в этой игре, логи могут показаться вам бредом хиппи о вырубке деревьев. Но в нашем мире логи — это цифровые архивы ничего не подозревающих жертв, любезно предоставленные похитителями паролей ботнетов. Они заражают компьютеры людей и собирают всю информацию для входа, которая попадает в их грязные руки.
Для наших целей нам нужны были логи с учетными записями StockX, которые связаны с методами оплаты.
Продавцы логов бывают двух видов:
- Продавцы полного архива: они продают вам всю энчиладу - каждый пароль, имя пользователя и цифровой след с зараженной машины. Это дорого, но вы получаете всю цифровую жизнь жертвы, включая ее user-agent, информацию о машине и IP-адрес. Эти логи - золото для обхода проверок на мошенничество, особенно с проверкой 2FA StockX, но это будет стоить вам денег.
- Продавцы только аккаунтов: эти ребята убирают все до необходимых вам учетных данных. Дешевле и выгоднее, так как вы всегда выбираете, есть ли у аккаунта связанный способ оплаты или 2FA.
Выбор зависит от того, насколько глубоки ваши карманы и насколько сильно вы хотите, чтобы это работало. Полные архивы дают вам больше возможностей для работы, но списки только по аккаунтам могут быть экономически эффективным способом проверить воду.
Мошенничество с захватом аккаунта (ATO)
Riskified — это не просто какой-то тупой ИИ, ищущий новые аккаунты. Они в состоянии повышенной готовности к ATO — мошенничеству с захватом аккаунтов. Именно это мы и делаем с этими логами. Так что нам нужно быть умными, иначе нас поймают со спущенными штанами.
Есть два способа не попасться на радаре Riskified ATO:
- Во-первых, если вы работаете с полным логом, вам лучше имитировать настройки жертвы, как будто от этого зависит ваша жизнь. Сопоставьте их браузер и IP-адрес, импортируйте их файлы cookie и все такое.
Теперь, если вы работаете только с учетными данными и без информации о машине, вам придется гадать. Вот совет профессионала: не запускайте эту хрень на Mac или Linux. 99% этих логов поступают с машин Windows, зараженных вредоносным ПО. Придерживайтесь безопасного популярного отпечатка Windows. Покопайтесь в электронной почте жертвы, чтобы выяснить, где они живут, и получите резидентный прокси-сервер из этой области. - Пусть этот аккаунт готовится. Да, вы меня правильно поняли. Как только вы войдете в систему и увидите этот милый связанный способ оплаты, не становитесь сразу же грубым. Дайте ему время — от 24 до 72 часов — это наилучший промежуток. Это дает Riskified время, чтобы освоиться с вашим «новым устройством». Отправляясь на шопинг сразу после входа в систему, вы словно размахиваете красным флагом. Один из лучших способов сделать это успешно — использовать статические резидентные прокси-серверы, это прокси-серверы, которые не меняют IP-адреса в течение пары дней. Это не просто заставляет Riskified доверять вашему устройству, он также доверяет вашему IP-адресу.
После ожидания вы также можете полностью захватить учетную запись, изменив адрес электронной почты на один из своих, мы вернемся к этому через секунду.
Процесс кардинга лога StockX
После того, как вы поняли, что мы здесь изложили, вот что вам понадобится:
- Нетронутый лог США (или соответствующий стране, в которой вы его разместили)
- Резидентные прокси (статичные/прикрепленные на несколько дней, если возможно)
- Надежная настройка антидетекта
- Чистые дропы, которых Riskified не видел раньше
- Спам-бот электронной почты (для заметания следов)
Теперь давайте разберем этот процесс пошагово:
Сначала создайте этот лог в вашем антидетекте. Если у вас есть полный архив, скопируйте user-agent, убедившись, что вы имитируете правильную версию ОС и браузера. Детали имеют значение.
Затем найдите прокси в том же ASN, что и ваш лог. Некоторые провайдеры позволяют вам нацеливаться на определенные ASN - используйте это. Если вы не используете полный лог и понятия не имеете, какой IP у логов, просто изучите электронную почту и, по крайней мере, получите один из того же местоположения и интернет-провайдера.
Если вы работаете с полным архивом, импортируйте эти куки. Нет полного лога? Нет проблем. Просто просмотрите кучу случайных сайтов, чтобы разогреть свой сеанс. Сделайте так, чтобы это выглядело как реальный шаблон просмотра, а не как какой-то бот на задании.
Время входа в систему. Скрестите пальцы и надейтесь на отсутствие 2FA и привязанной карты. Нет привязанной карты? Вы все еще можете использовать его со своими собственными картами, так как это старая учетная запись, но ваши шансы избежать этой проверки сводятся на нет. Но все равно лучше новой учетной записи.
Нет 2FA и привязанной карты? Джекпот. У вас есть варианты:
- Оставьте вариться на 24–72 часа, а затем приступайте.
- Оставьте его готовиться на 24 часа, измените адрес электронной почты на свой, затем дайте ему отдохнуть еще 24–72 часа.
Теперь все прогрето и готово, вы на перепутье:
- Купите сначала немного товара на адрес держателя карты. Это повышает риск сжечь карту, но Riskified будет вам больше доверять.
- Заказывайте на своего дропа. Меньше риска для карты, но Riskified все равно может вас подставить.
Бонусный трюк:
Вы можете попробовать старый трюк "неправильная доставка". Закажите большой заказ на адрес держателя, а затем обратитесь в службу поддержки с какой-нибудь слезливой историей (вас не будет дома, так как ваши отцы-бездельники в реабилитационном центре от зависимости от Молли, или у вас есть воры на крыльце, бродящие вокруг и ворующие посылки и т. д. просто выдумка) о том, почему вам нужно перенаправить его. В последний раз, когда я проверял, это не работало, но эй, мошенники - это постоянно развивающееся искусство, а мы - авангард.
Также:
Закидывайте спамом почту держателей всякий раз, когда думаете, что StockX что-то им отправил. Вы же не хотите, чтобы они пронюхали о вашей маленькой операции, не так ли?
Помните: один промах, и вы возвращаетесь к исходной точке. Но сделайте все правильно, и вы утонете в хайповых шмотках, прежде чем вы это осознаете.
Заключение
Итак, кардеры, это завершение первой части нашей одиссеи по кардингу на StockX. Мы рассмотрели основы их инфраструктуры, как использовать логи для снижения вашего рейтинга мошенничества и искусство захвата аккаунта, не попадаясь со спущенными штанами.
Но не будьте самонадеянны — мы только царапаем поверхность. Во второй части мы погрузимся в мир регистрационных карт для StockX.
А для вас, жадных кардеров, в третьей части мы изучим искусство двойного окучивания, превращая один рейтинг в два с помощью продвинутой фишки с заменами.
Так что изучайте практику и ради всего святого используйте свои мозги. Это руководство — только начало. Вам решать, взять ли эти знания и превратить их в холодные наличные или в шкаф, полный раскрученных кайфов.
Увидимся во второй части, где эта тема действительно становится интересной.
(c) Телеграм: d0ctrine
Last edited by a moderator:
