Кардинг

Привет! Угадайте о чём эта тема?

Все кто знает что-то об этом слове, можете сюда даже не смотреть.

Остальным: новички, мимопроходимцы, интересующиеся - стоит прочесть.

Если будет полезно, то скажите - выложу ещё часть.​

Вступление

Если вы думаете, что кардинг это сверхприбыльная тема — спешу вас разочаровать. Данная работа требует больших усилий, отдачи и наработок. Уже давно прошли времена, когда товары отсылались в любую точку мира. Сейчас это суровая борьба кардеров, магазинов, банков и держателей карт. Лучше несколько раз подумать, чем начинать заниматься этим делом. Большие заработки получают те, кто постоянно работает и имеет давние наработки в теме. Пользователи преуспевают только благодаря своему опыту, воли и усердности.

Основные понятия​

• Кардинг — мошенничество с банковскими картами. Существует в нескольких разновидностях: вещевой — покупка шмотья с последующей реализацией, онлайн — слив баланса с карты или БА на свои кошельки, офлайн — физическое дублирование банковской карты и снятие денег в банкомате или отоваривание в магазине.
• БА — банковский аккаунт или личный кабинет (ЛК).
• Стафф — скарженный товар.
• ДОБ — дополнительная информация о КХ (дата рождения, номера документов и т.д.)
• Скуп — лицо покупающее карженный товар на перепродажу.
• Дроп — подставной пользователь, который получает скарженный товар. Два вида: Разводные — люди, которых развели на принятие карженого товара, отличаются низким качеством, так как могут кинуть, и никто за них не будет ручаться. Неразводные — люди, которые в курсе, что им придет именно карженный товар, за них, обычно, ручается дроповод.
• Дроповод — человек курирующий дропов, может работать в паре со скупщиком, что очень удобно.
• Кардхолдер (КХ) — настоящий держатель карты (владелец карты всегда банк).
• Чарджбэк — процесс возврата средств, украденных с карты.
• Селлер — продавец.
• Материал — это карта со всеми данными о картхолдере и владельце. Как правило это может быть дата рождения, девичья фамилия матери, номера документов и т.д. Всегда можно уточнить, в каком формате продается материал.
• Рефаунд (реф) — жалоба магазину, что товар не дошел, при которой магазин повторно высылает товар за свой счет или возвращает деньги.

Примерная схема работы​

Итак, находим селлеров и покупаем у них материал. Далее заходим в онлайн-магазин, находим нужный нам товар в виде телефона или кольца на пол руки, заказываем и оплачиваем купленной картой.

Не все так просто, как может показаться и на каждом этапе нас могут ожидать подводные камни. Один из сложных этапов ― антифрод система. Это такая система, которая пытается определить действительно ли это владелец карты проводит операцию или это очередной аферист. Данная система сравнивает IP-адрес, отпечаток системы, часовой пояс, языки и другие параметры. Например, если какой-то Майкл Смит живёт во Флориде и хочет купить часы, а его IP с России, язык российский и часовой пояс по Москве, то понятно, что никто такой заказ не отправит. Далее нужно подумать о дропах. Заказывать на свой адрес очень большая авантюра. Поэтому нужно искать проверенных дропов, которые также возьмут свой процент. Есть очень много центров приема и отправки посылок, но они уже внесены в большинство черных списков всех популярных шопов. Поэтому так заказать не выйдет. Это еще один важный этап, который требует затрат.

Направления, виды работы

Десять направлений в Кардинге.

Первое направление - вещевуха.

Вещевуха это закуп различных физических вещей за чужой счёт с последующей их продажей. Можно как заказывать товар на себя (естественно не сразу, а через посредника, дропа и т.д.) и продавать самому в своей стране, можно заказывать товар на скупа. Скупы это такие чуваки которые принимают скарженный товар и выплачивают кардеру процент от этого. Плюс этой темы что довольно много бабок здесь крутится, минусы в том что есть доставка и с этим этапом есть разные проблемы. То развернут посылку, то дроп кинет или к нему полиция придёт.

Второе популярное направление это авиа/жд билеты и отели.

Даркнет пестрит объявлениеми об отдыхе за полцены или даже дешевле. На самом деле кардеры просто оплачивают этот отдых чужими бабками) Тема интересная, нюансы там в основном чтобы найти дающий сайт продающий билеты (напрямую вбить на сайте авиакомпании почти нереально) и чтобы платеж не отменили как можно дольше. Риски - крупные.

Третье направление - вбив самому себе.

Суть в том, что ты создаешь какой-то магазин и продаешь там товар и вбиваешь этот же товар и пиздишь деньги пока не пришел чарджбек. Способ интересен cool доходом, около 90 процентов, но велик и риск потратить бабки, т.е. чарджбэк пришел, а деньги снять не успел. И еще это сложная штука в плане реализации, надо грамотно все этапы соединить, иначе ничего не получится.

Четвертое направление – вбив в казино.

Пользователи вбивают баланс в казино и проигрывают в покер самому себе под другим аккаунтом. Это лишь один из примеров, а так вариантов работы с казино много. Плюс в том что тоже cool доход, но и fuckup можно и оставить все бабки в казино. Надо очень хорошо знать как настроить систему для работы, чтобы успешно заниматься подобным.

Пятое направление – вбив е-гифтов.

Плюсы этой темы в высокой доходности и быстроте, не надо fuck с доставкой и дропами, скупают гифты от 50 до 80 процентов. Минус в том, что тема замастурбирована и сами суммы небольшие, а так тема cool!

Шестое - вбив в букмекерские конторы.

Тема очень похожа на казино, только ставим не на карточные комбинации, а на спорт. Но есть много нюансов. Например, в большинстве БК можно вывести деньги только туда, откуда ты пополнял, но есть обходные пути. Сначала с одной карты пополнить, поиграть, со второй карты пополнить и уже туда вывести.

Седьмая тема – вбив в онлайн-игры.

Это покупка за чужой счёт какой-то игровой валюты с дальнейшей её перепродажей на сторонних сайтах, либо ключи какой-то игры, либо игровые предметы. Способов много, тема интересная и высокодоходная.

Восьмая тема – вбив в платежные системы.

В ебей вбивать это тупо, тем более акки от нее легко найти с балансом, но есть незабитые системы в которые можно вбивать с карты и уже оттуда тратить или переводить средства. Сюда же можно отнести вбив мобильных операторов, откуда деньги в дальнейшем выводятся на другие платежные системы.

Девятое направление – банковские заливы.

Это глобальная тема, где крутятся большие финансы. Этим как правило занимаются те кто имеют свои ботнеты, т.е. сеть зараженных чужих устройств в своём подчинении. Они просто угоняют банковские аккаунты и выводят оттуда средства на левые счета, после чего отмывают и забирают себе. Плюс в том что денег там много, а минус в том, что надо серьезно вложиться, чтобы войти.

Ну и последняя, десятая тема - кардинг в реале.

Успешные игроки с колодой в 52, берут данные о карточках и делают их копии, а дальше снимают средства в банкомате или закупаются в магазинах. Плюсы в высокой доходности, т.к. при таких условиях можно взять деньги с карты под ноль. Минусы в том, что нужны затраты на оборудование и знание как работать с ним, чтобы получалось делать нормальные копии. А еще, конечно, глобальный минус в том, что высокий риск быть пойманным.

(Направлений в кардинге просто дохера, каждый может найти что-то своё, что я вам и желаю, друзья, если хотите заниматься этой темой)

Настройка системы под вбив

Идеальным вариантом считаю отдельно выделенный ноут с windows 7(eng) + оплаченная сфера и 911 носки.

Разберем 3 варианта.

1. Впн на основе + 911 на основе + виртуалка (WMware/VirtualBox)

Плюсы:

+ Все собрано в одном месте, не потеряешь не запутаешься

+ Перестаешь боятся "левых глаз". В любой момент копию вирты можно удалить.

+ Доп траты не нужны, потребуется лишь вирта+торрент анг винды

Минусы:

-Некоторые шопы, типа амазона могут палить вирту, что накинет доп фрод очков

-Привыкай к лагам и тормозам, их будет достаточно

-Вопрос удобства, но тут уже лично свой минус

2.Впн+911+Основа + portable browser(firefox/chrome)

Плюсы:

+ Работаешь с основы, никаких лагов никаких просадов и вылетов

+ Очень быстро понимаешь что и где. Врубил носок, вставил куки и вперед.

Минусы:

-В частности тебе придется вырубать WebRTC, т.к. сама суть портабл браузеров - не пускать сайт дальше самого браузера. Сказывается на фроде.

3.Впн на основе+911+основа+сфера

Плюсы:

+ Полная подстройка системы под кх.

Если лог не из стран третьего мира и есть обширный выбор хороших носков, то % вбива при такой машине подлетает до 90

+Удобство. Все собрано в одном месте, только тут это уже один браузер.

Минусы:

-Как это не грустно,но если ты хочешь работать по вещевухе, то привыкай что какие-то шопы могут палить твою сферу.

-Ценник для новичка будет кусающимся + платишь ты в месяц ,а не разово.

Мерчанты и платёжное поведение

Каждый день мы сталкиваемся с гейтами и мерчантами. Разнообразие и модификации будоражат голову.

Может случиться такое, что в двух разных шопах будет один и тот же мерч, но, на разных лицензиях/расширениях или по разному настроен.

Как вы угадываете, какой мерч стоит в шопе? Смотрите исходный код? А может быть добавляете в корзину и смотрите ее интерфейс? builtwith.com?

Да, по сути своей builtwith может помочь, в случае есть шоп не использует корзину, скоринг и мерч от разных девелоперов. В противном, он покажет в заветном окне E-Commerce разработчика корзины. Что ближе, то и будет светиться. По факту, там может стоять шопифай или пп, а корзина бигкоммерса, что он и покажет.

Shopify​

Данный мерчант по истине самый продвинутый и жесткий по отношению к фроду.

Из коробки имеет кучу систем визуализированных в админке, оргомную базу шаблонов для разработки интерфейса, несколько вариантов бесплатных шоппинг карт + платные, чуеву долину подключаемых скоринг и АФ плагинов именных+от сторонных разработчиков и третьих мерчантов.

Менеджер шопа или департамент верификации в режиме онлайн получает уведомления в админке о том, сколько юзеров на данный момент серфят, что каждый из них смотрит, какие действия производит и все данные юзера.

Начиная от стандартных типа айпи, версия ОС, местолопожение, сервисы и тд, заканчивая кликами, просматриваемым товаром, временем затраченным на каждое действие и пр.

В общем, абсолютно ВСЁ, что вы делаете.

В режиме ОНЛАЙН вериф может провести аналитику ваших данных уже на этапе заполнения.

Например, проверить, были ли ордеры с данного айпи адреса и данных типа аудио и фингер принтов, расшаренного вебртц и проч, что подменяет Linken Sphere.

В режиме онлайн средства скоринга и АФ рассчитывают ваш рейтинг, давая графические показатели менеджеру о том, кто находится по ту сторону монитора. Как правило, не ошибается.

Если учесть, что Shopify это не только абсолютно готовое решение для размещения шопа, котрое работает из коробки не требуя доролнительных вмешатьльств, так еще и самый защищенный поставщик, давайте по пунктам его методы детекта:

1. Проверка е-маил адреса по собственной базе и базе партнерских мерчей на количество ордеров с рассчетом вероятности фродовой транзакции на основе прошлых данных. Если ордеров с данной электронной почты нет ни в одном мерче - это уже минус по скорингу.

2. Проверка расстояния между шиппинг и биллинг адресом.

3. Проверка точного совпадения AVS (Address Verification System) по биллингу и проверка по блэклистам

4. Скоринг на основе анализа данных, передаваемых браузером на совпадение или несоответствие.

5. Принадлежность айпи провайдеру стационарного интернета либо мобильного

6. Проверка поведенческой активности в шопе и сопоставление данных с массивным обьемом информации предоставляемой партнерскими скоринг системами

7. Дистанция между геолокацией айпи, шиппинг и биллинг адресом + геолокацией из браузера

8. Анализ перехода, глубины и кол-ва кликов.

Как можно представить, это далеко не все возможности и заслуги мерчанта.

Кстати, не совсем верное утвеждение, что шопифи - мерчант.

В более чем 70% это всего лишь поставщик АФ и скоринг решения со своей формой и шоппинг картой, передающая данные чекаута на гейтвей Authorize.net, который мы рассмотрим дальше.

Authorize.net​

Самый легкий в плане вбива мерчант - гейтвей.

Почти не имеет подключаемых решений сторонних разработчиков.

Все, что использует для отсеивания фродовых транзакций:

1. Проверка совпадения АВС
2. Проверка расстояние между айпи и холдером
3. Блеки на айпи и чек прошлых ордеров если такие были с этого айпи
4. Чек холдера на прошлые чарджи, платежное поведение и транзы по данным карты
5. Чек номера телефона по паблик рекордс в автоматическом режиме
6. Чек принадлежности бина к стране, где делается покупка.

Остальное, что использует мерчант - нам никак не мешает!

Самое главное и интересное - авторайз моментально списывает бабки с карты после аппрува, что нам на руку.

Не нужно беспокоиться, есть ли на карте деньги, стоят ли лимити. Если ордер прошел, значит кэш списан в строну магазина.

Но, расслабляться не стоит. Авторайз может стоять как платежное решение, но корзина и скоринг могут стоять от шопифи. Так что, не радуйтесь сразу видя такую бляшку.

Big Commerce & Woo-Commerce​

Данные мерчанты по своей сути почти одинаковы.

Используют одни и те же решения, отличаются лишь в интерфейсе.

Собственные средства абсолютно не эффективны и на момент декабря 2018 года еще можно встретить маленькие шопы с шаблонным интерфейсом, которые не используют абсолютно никакого скоринга и сторонних решений АФ.

Все, что они могут сделать, так это:

1. Проверка АВС
2. Расстояние между айпи и холдером
3. Скоринг по параметрам хуманизации

Чек введенной информации в паблик рекордс.

На первый взгляд - ничего сложного.

Но, шопов доверяющих данным поставщикам е-коммерции пересчитать по пальцам одной руки.

Встроенная поддержка плагинов сторонних разработчиков дает огромный плюс в работе с данными систмами.

Возвращаясь к шопифи, мы можем применить все параметры детекта к Биг и Ву - коммерсу.

Зайдя по линку ЛИНКУ вы можете посмотреть все доступные решения для противостояния фроду.

Эти же плагины без проблем прикручиваются к первому мерчу из нашего топа - Shopify.

Не буду дублировать методы детекта, так как они идентичны первому варианту.

Собственно, рассмотренных 4 мерчанта самые распостраненные при вбиве в США.

Из всего вышеописанного, хочу подвести небольшой итог.

Не смотря на то, какой мерчант или платежный шлюз используется в шопе, никогда не пренебрегайте правилами успешного вбива. Вы никогда не знаете наверняка, скоринг система какого разработчика следит за вами на данный момент.

Если у вас не прошел платеж, но карта 100% валидна - это значит лишь то, что вы набрали слишком много фродбаллов. За исключением мелкого количества ситуацией, когда банк просто на просто отклонил транзу или залимитил карту.

НЕВОЗМОЖНО убить карту правильным вбивом так же, как не возможно залимитить ее (относится к случаю, когда платежное поведение соответствует и на карте достаточный баланс).

Если после чекаута карта заблокировалась или улетела во фрауд депт, это значит, что платежный шлюз передал банку информацию о том, что транзакция фродовая.

В случае, если ордер прошел но позже прилетел кенсл это значит лишь то, что в данном магазине все заказы верифицируются вручную!

Платежное поведение​

Это будет коротко, но по делу​

Друзья, а вы знаете, что "пользоваться телефоном" в нашей работе синоним слову "повысить шансы на успех"?

Покупая подписку на сервис с подменой номера звонящего - вы экономите деньги на карты и увеличиваете свой профит.

Ходит такое поверие, что можно купить карту самого высокого класса и успешно вбить часы ролекс за 100.000 долларов.

Пусть даже там будет баланс в 1.000.000 долларов, банк может заблокировать карту.

Было ли у вас такое, что вбивая на сумму в 1000 долларов - получали отказ на премиальном уровне карты.

Но, вбив в другое место гифт на 100 долларов - все проходило гладко как по маслу.

Спрашивается, почему? Там же баланс 10.000

Изначально заострю внимание, что банку и шопу плевать на вас. Им не важно, сколько вам лет, что вы заказываете иксбокс или вертолет на радиоуправлении в свои 90 с хвостиком. Не играет абсолютно никакой роли для шопа, какая сумма заказа. Главное, чтобы были деньги на карте и успешно пройдена авто-ручная верификация + скоринг и АФ.

Что же важно и почему не проходят ордера на высокие суммы? Что делать? Ведь я купил карту уровня инфинити:

Вместе в картой любого уровня, ты просто ОБЯЗАН пополнить себе аккаунт в сервисе подмены номера и пробить ссн-доб холдера.

Зачем?

Звонить в банк перед КАЖДЫМ крупным вбивом.

В подавляющем большинстве крупных и не очень банков, для того, чтобы узнать баланс и историю последних операций нужно лишь позвонить с биллинг номера и в тональном режиме набрать номер карты и зип.

В отдельных случаях понадобится ССН и-или ДОБ.

В очень редких случаях понадобится разговор с оператором лично либо предоставление ответа на секретный вопро или ввод пин-кода.

Звоним по номеру банка, который заблаговременно находим в интернете по запросу

"%bankname% balance check phone number"

Попадаем на автоматизированную систему и следуем инструкциям. Вводим номер карты и допустим ЗИП код.

Айвиар говорит нам актуальный баланс собственных средств и кредитного лимита(если есть).

Нажимаем в тональном режиме циферку, к которой привязана история транзакций(слушаем айвиар).

Тут то мы понимаем, когда нам перечисляют историю трат, что холдер не имеет транзакций на большие суммы.

Максимально слышим списания в 200-300 долларов за одну транзакцию.

Хоть у нас и не имеется полного понимания картины, так как автоматически выдается только 5-10-20 последних транз(зависит от банка) но мы все равно можем предположить, сколько в среднем тратит за месяц холдер.

А это значит, что банк будет автоматически блокировать транзакцию на единовременную покупку по сумме выше чем

СРЕДНЯЯ месячная трата.

Примерно так.

Естественно, что при сумме списаний в 1000 долларов за месяц небольшими транзакциями по карте холдера - банк просто на просто не даст вам сделать единовременную покупку на сумму в несколько раз превышающую.

Это не типичное платежное поведение, подозрение на фрод. Среднестатистический холдер позвонит в банк и предупредит о такой большой оплате.

В лучшем случае, банк просто откажет вам в оплате и шлюз даст деклайн.

В худшем карта улетит во фрод (можно вытащить) либо заблокируется с принудительным перевыпуском.

Самые популярные способы воровства с кредитных карт

Способ первый

Зачастую мошенники используют устройства, которые, будучи установлены на банкомате, помогают им получить сведения о карточке. Это могут быть установленные на клавиатуры специальные "насадки", которые внешне повторяют оригинальные кнопки. В таком случае владелец карты снимает деньги со счета без всяких проблем, но при этом поддельная клавиатура запоминает все нажатые клавиши - естественно, в том числе и пин-код.

Совет: внимательно изучите клавиатуру незнакомого банкомата, прежде чем снять деньги со счета.

Способ второй

Другое устройство - то, что англичане еще называют lebanese loops.

Это пластиковые конверты, размер которых немного больше размера карточки, - их закладывают в щель банкомата. Хозяин кредитки пытается снять деньги, но банкомат не может прочитать данные с магнитной полосы. К тому же из-за конструкции конверта вернуть карту не получается. В это время подходит злоумышленник и говорит, что буквально день назад с ним "случилось то же самое". Чтобы вернуть карту, надо просто ввести пин-код и нажать два раза на Cancel.

Владелец карточки пробует, и, конечно же, ничего не получается. Он решает, что карточка осталась в банкомате, и уходит, чтобы связаться с банком. Мошенник же спокойно достает кредитку вместе с конвертом при помощи нехитрых подручных средств. Пин-код он уже знает - владелец (теперь уже бывший) "пластика" сам его ввел в присутствии афериста. Вору остается только снять деньги со счета.

Способ третий

Технически сложно, но можно перехватить данные, которые банкомат отправляет в банк, дабы удостовериться в наличии запрашиваемой суммы денег на счету. Для этого мошенникам надо подключиться к соответствующему кабелю и считать необходимые данные.

Учитывая, что в Интернете соответствующие инструкции легко обнаружить в свободном доступе, а технический прогресс не стоит на месте, можно утверждать: такой вариант будет встречаться все чаще.

Способ четвертый

Для того чтобы узнать пин-код, некоторые аферисты оставляют неподалеку миниатюрную видеокамеру.

Сами же они в это время находятся в ближайшем автомобиле с ноутбуком, на экране которого видны вводимые владельцем карты цифры. Вводя пин-код, прикрывайте клавиатуру свободной рукой.

Способ пятый

Дорогостоящий, но верный на все сто способ.

Бывают случаи, когда мошенники ставят в людном месте свой собственный "банкомат". Он, правда, почему-то не работает и, естественно, никаких денег не выдает. Зато успешно считывает с карточки все необходимые данные.

А потом выясняется, что вы вчера уже сняли все деньги со счета и почему-то не хотите этого вспомнить!

Способ шестой

В свое время мошенники из ОАЭ устанавливали в отверстия для кредиток специальные устройства, которые запоминали все данные о вставленной в банкомат карте. Злоумышленникам оставалось только подсмотреть пин-код либо вышеописанными способами первым и четвертым, либо банально подглядывая из-за плеча. Ну, понравилось местному аборигену ваше кольцо, или ваши часы, или что-то там еще...

Способ седьмой

Бороться с ним нельзя. Можно лишь смириться. Здесь уже ничто не зависит от вашей внимательности, осторожности или предусмотрительности. Бывает, что в сговор с мошенниками вступают те люди, которым добраться до ваших кредиток и так очень просто: служащие банков, например. Это случается очень редко, но от таких случаев не застрахован никто.