Смежные с кардингом темы

Смежные с кардингом темы


Примером отличной темы, смежной с кардингом может быть установка сниферов на магазины. Делается это достаточно просто - ломаем сайт, ставим скрипт на форму оплаты и получаем в панель отстук с данными из платежной формы.

Сам процесс взлома это отдельный разговор. А вот что делать после взлома? Ответ на этот вопрос обязан быть уже готов.

Вариант 1. Имеется шелл

Когда у тебя есть доступ к шеллу, то тебе нужно на сервере найти скрипт принимающий данные с формы и настроить отправку запроса на свой сервер.

Вариант 2. Имеется только админка

К примеру, мы имеем доступ к админке. Если админка дает возможность редактировать код страниц, то тебе нужно найти часть контента которая отображается на странице оплаты и вставить там код JS, который будет отправлять данные с формы, опять же, тебе на сервер. Тут может возникнуть сложность, когда админка не дает доступа к редактированию содержимого страниц или может быть и фильтр экранирующий теги <script></script>. Тогда одним из вариантов станет возможность создания и восстановления бекапа таблиц БД. Да, иногда в БД хранится HTML код шаблонов.

К примеру

В данном случае, таблица category_description содержит описание категорий. Бекапим ее.

Теперь надо поправить дамп, добавив в него скрипт снифера. Тут есть момент с ограничением длины строки в базе. Например название категории было ограничено до 255 символов, что не дает возможности пихнуть код скрипта. Тогда нужно использовать конструкцию импортирования скрипта с сервера. Да, палева будет чуть больше, вот только ничего не поделаешь. Внедряем JS.

Текст Special Offers — это название категории которое отображается на всём сайте. А вот сам код скрипта (снифера), отвечающего за сбор и отправку данных со страницы

Сохраняем дамп, и восстанавливаем его через админку. Теперь если открыть страницу на сайте, то мы увидим, что все было успешно интегрировано.

Скрипт, после подгрузки, сразу отправляет запрос на мой промежуточный сервер, чтобы получить первоначальную идентификацию.

Данные для инициализации отправляются следующие.

Это позволяет мне организовать трекинг данных с платежной формы, когда оплата проходит в несколько этапов. И обрабатывается все это на промежуточном сервере.

Конечно же, тут есть сложность, когда сайт использует мерчант*.

Пока что, единственным вариантом остается создание фейка под мерч.

Математика.

Что получается в итоге? Данный сайт имеет около 500 посещений в сутки и дает около 3-4 карты в день. Что приносит около $30 в сутки. Для тех, кто не умеет считать — это почти тысяча в месяц. А для тех, кто не видит дальше носа — 10 сайтов могут легко приносить 10к в месяц.

Да что там говорить, просто покажу тебе скрин

Внимание! Спасибо за внимание!

* Мерчант (мерч, процессинг) — сервис для обработки платежей на сайте. Он принимает платежные реквизиты и получает средства, реквизиты не доступны магазину.