Разбор вбива
@BigBroCarding
Часть 1
Сегодня мы будем разбирать, что же такое сам "Вбив в шоп". Рассмотрим детали, обсудим возможности и подведём итоги.
Если рассматривать вбив по пунктам, то он выглядит примерно так:
Первое: находим шоп.
Второе: подбираем материалы под вбив (credit card, socks/ssh/dedicated server, адрес дропа/посреда).
Третье: Сам вбив.
Всё очень просто, не так ли? Но большинство, вместо надписи "Order success" видит "Оrder cancelled/decline". И вот тогда, это большинство начинает понимать, что в этом деле не всё так просто. Что на самом-то деле, здесь присутствует огромное количество нюансов, которые вы не учли.
Возможно, вы пока об этом не задумывались, но это только "пока". Потому что именно это и могло/может быть причиной ваших "declinе".
Но как-то много унылости в начале статьи, давайте искать пути решения, ведь именно за этим мы здесь и собрались. Мы рассмотрим пункты в которых будут ещё и подпункты, поэтому приготовьтесь основательно вникать в тему.
Пора вернуться к нашей старой знакомой - Credit card:
Bin - это первые 6 цифр карты, определяет банк-эмитент, страну выпуска, уровень карты, наличие/отсутствие VBV)
На том или ином бине может стоять ограничение на платежи, лимиты расхода средств/лимиты на оплату в интернете, или он просто может быть без денег, различные типы VBV/MCSC и его сброса (сброс вариативен в зависимости от бина).
Auto Vbv Bins – это когда VBV на карте есть, но он не требует ввода пароля и processing проводится автоматически.
Если вас интересует более подробная информация по VBV, то в Сети есть множество статей на эту тему.
Мой вам совет, по мере работы с бинами - записывайте их в отдельный документ, какой и на сколько даёт/куда лезет и т.д.
Уровень карты, тип карты:
Все мы помним уровни карт: Classic/Platinum/Premier/Gold и т.д, а также Debit/Credit. Исходя из уровня карты, может делать предположения о наличии баланса на ней. Логично, что на Platinum будет больше денег, чем на Debit Classiс – это чистая статистика, поверьте.
Валидность карты:
Ничто не имеет значения: ни качество вашего ip, ни настройка системы, если карта мёртвая. "А как можно это узнать?" - либо прозвоном в банк, либо же при наличии Enroll к карте (теперь мы знаем, что это такое). Так-же карту можно чекнуть методом авторизации или преавторизации через например привязку к google аккаунту, донат на маленькую сумму в GoFundme или использовать платные неубивающие чекеры по типу Best/Gold Check, Try2 и тд...
Billing info/address – адрес кредитной карты (Billing address, напомню, что это адрес проживания кардхолдера), к сожалению, периодически на картах проскакивают кривые billing addressa и в случае вбива "кривой" карты в мерч, который проверяет AVS (а это почти все шопы Usa) - такая карта не войдёт.
Причины способствующие этому – это метод добычи карт, почти всегда информация о карте к нам попадает та, которую кардхолдер ввёл где-то своими руками. Он может заказать что-то на работу, в дом тёщи и так далее.
Методы борьбы с этим есть различные, расскажу о нескольких из них:
Первый: пробив billing address кардхолдера до вбива карты.
Второй: поиск информации о кардхолдере в общедоступных источниках, например, путём поиска в Google имя + zip (Andrew Klain 37146) и проверки соответствия адреса и имени на различных сайтах и социальных сетях.
Третий: вбив определенных бинов и типов карт. К типам карт можно отнести Business Cards (карты для бизнеса). Это рабочие карты, которые часто зарегистрированы на компанию/организацию (по этому не удивляйтесь, если вдруг вместо имени на такой карте увидите что-то наподобие "Andrew Klain New-York Food Restoration".
Плюс вбива таких карт в том, что billing address у них правильный в 99% случаев, чем не могут похвастаться иные типы карт, по причине того, что компания заказывает товары или оплачивает услуги к своему рабочему адресу, то есть, billing addressу.
Из минусов – дают только некоторые бины.
Следующий пункт - чек карт
Часть 2
Чек карт. Есть несколько типов чеков карт:
Первый тип: авторизация и списание.
На карте авторизуется случайная сумма денег (от 0,01$ до бесконечности, но обычно не более 1$), по такому принципу происходит чек вбивом куда-либо при списании суммы.
Второй тип: пре-авторизация и/или отмена авторизации. При пре-авторизации сумма не списывается из-за быстрой отмены, а при отмене авторизации происходит уже после непосредственной авторизации суммы.
Третий тип: прозвон в банк.
Каждый банк и бин по-разному относится к разным рода чекам карт, но в основном влияние это негативное (особенно при работе с Usa) и бывает убивает карты (даже пре-авторизация).
Можно сказать, что первую часть мы рассмотрели, давайте перейдём ко второй.
Можно назвать её "Маскировкой".
Вы же все знаете, что такое "человеческий фактор"? (Давно я не отправлял гулять вас по просторам Google). В данный момент многие банки автоматически анализируют сумму месячных трат и тип транзакций кардхолдера из-за абсурдного поведения (например, когда 88-летний пенсионер покупает себе сноуборд), в таких случаях возможны отказы транзакций со стороны банка.
Этот пункт не критичен, но не упомянуть его нельзя. Шоп передает информацию о транзакции банку, поэтому вам надо набирать минимальный фрауд-скор для обхода антифрод-системы – ориентируйтесь на это.
К этому пункту есть подпункт "образ поведения". Под этим я подразумеваю мотивацию и цель человека, покупающего что-либо в данный конкретный момент в конкретном онлайн-магазине.
Что я имею ввиду - создайте себе образ, станьте кардхолдером. Вы вбиваете свою карту, а не чужую, вы сидите у себя в квартире в Бруклине. Вы 88-летний пенсионер, который решил попробовать что-то новое из-за неизлечимой болезни? - поговорите об этом с поддержкой shop и спросите совета, почитайте описание товара, ошибитесь при вводе текста, ваши глаза уже давно не такие зоркие, как были в молодости. "Вот помню историю, как-то раз я по молодости..."
Следующая часть - это ваш ip-адрес.
Чистота ip по black-list: открытые порты - не являются ни хорошим, ни плохим показателем при вбиве. С этим пунктом можно не заморачиваться.
Геолокация ip-адреса по базе maxmind или другой (я давал список актуальных сайтов в одной из статей по безопасности).
У whoer.net и ряда других сайтов подключена устаревшая max-mind geo-база, поэтому расход информации о геолокации от вбиваемого сайта в сравнении с whoer и некоторыми подобными сайтами может кардинально и критический отличаться, даже вплоть до другого штата.
У определенных сайтов стоят собственные geo-базы, часто на этих сайтах вам предлагают автоматическое заполение zip-code, города и штата, поэтому при вбиве в такие шопы лучше ориентироваться на информацию предоставляемую ими и исходя из неё подбирать материал.
Proxy, Risk score, провайдер, хост-нейм, DNS, принадлежность ip хостинг-провайдеру:
Интернет-провайдер ip, хост-нейм может рассказать о принадлежности ip к облачному хостеру.
Дальность Zip-Code ip от Zip-Сode СС.
Например: мы владеем картой с zip-code в billing address 31243, значит zip ip должен быть максимально близким к zip-cod billingа, то есть 31243 / 3123* / 313** и т.д. – однако это напрямую зависит от вашей темы и места куда вы вбиваете, для e-gift надо подбирать максимально близко, для вещевухи в зависимости от ситуации, то есть под дропа/посреда или кардхолдера.
Dedicated server, виртуальные и физические машины:
ОС: версия Windows/Linux и т.д.
Браузер: (версия, WebRTC настройки, coockies)
Серьёзные мерчи могут запрашивать у браузера информацию об установленных плагинах (могут проверять только путём запроса id конкретного плагина/ов)? проверять сайты по списку, на которых вы авторизованы (напомню, что проверить можно здесь - https://browserleaks.com/social). Например, при авторизованном, например, Facebook – это плюс, но не очень важный.
Набиваем coockies: сёрфинг по различным сайтам - имитация реального пользователя ДО вбива.
Согласитесь, что будет странно, если человек с "голым и пустым" браузером идёт покупать e-gift на 2000$, не так ли? Поэтому нам нужно создать образ рядового пользователя ПК, погуляв по сайтам всяких локальных поликлиник/ресторанов, Amazon/Ebay/Facebook и т.д.
Часть 3
Всевозможные отпечатки (шрифты, fingerprint, audio fingerprint и т.д).
Совокупность отпечатков генерирует ваш уникальный слепок пользователя, остающийся в системе, решается это путем смены системы (смены dedicated server/socks/ssh), подмены ряда точечных отпечатков (шрифты, разрешение экрана, частота видеокарты и т.д).
По моему мнению, сам процесс вбива состоит из нескольких вещей, которые могут идти в разном порядке:
Способ попадания в шоп (например: Google/Facebook/Twitter)
Да, это тоже важно. И да, шопы это тоже видят. В той или иной степени это тоже имеет значение. Есть несколько типов перехода, расскажу о них начиная от менее трастовых переходя к более трастовым соответственно:
Первый: прямо по ссылке с домашней страницы браузера: browser >> amazon.com.
Второй: с поисковиков: google.com >> amazon.com.
Третий: социальные сети, партнерки, различные купонные/кэшбековые сервисы.
Шоп отслеживает откуда вы пришли, наименее заезженные методы - наиболее трастовые.
Ручной ввод текста или "копировать-вставить" – антифрод это палит, вы при покупках со своей карты копируете своё имя из буфера обмена? - Вряд ли.
Прогрев шопа: сёрфинг по магазину, осознанный выбор товара, чтение отзывов, методов доставки. Удаление и добавление товаров в корзину и из неё, регистрация аккаунта в shop (не будет лишним дать отлёжку, ведь была отдельная статья про это, помните?), предварительный прозвон или общение с саппортом.
Вбив прозвоном:
Часть магазинов располагает возможностью "order by phone" – ордер по телефону. Случается, что у кардхолдера не грузит/глючит сайт и тогда на помощь приходит оператор поддержки, который собственноручно вводит данные вашей карты и т.д. Плюс в том, что антифрод не видит вашу систему и ip-адресс, соответственно не оценивает риски на основании этих факторов (и об этом вы уже должны знать).
Billing address = Shipping address (или не равен):
Соответствие вводимого billing address shipping addressу, случается, что ордера отменяют из-за различия. Бороться можно следующими способами: проходить антифрод-систему по всем остальным показателям/прогрев шопа (например, в live-chat пообщаться и сказать, что хотите купить подарок другу и т.д)/поиск позволяющих такое делать шопов/вбив billing=shipping=дроп/посредник (при проверке AVS системой не пройдёт в большинстве случаев), вбив неликвида, на который не "затянут антифрод".
Shipping:
Ряд адресов широко известных посредников может быть в чёрном списке у многих точечных шопов и мерчей, так же мониторятся дубли (покупали ли на этот адрес ранее в одном и том же магазине).
E-mail под кардхолдера и под получателя (в случае с e-gift):
Почта тоже имеет определенный risk-score. Наиболее трастовые – корпоративные почты по типу name@mysite.com. Наиболее фродовые – все, у которых упрощен процесс регистрации (например: mail.com, проще говоря - это те сервисы, у которых не надо принимать Смс).
Кроме этого, некоторые мерчи обращают внимание на имя в адресе почты (name@mysite.com) – могут проверять наличие имени/фамилии кардхолдера – также не критично, но также и важный плюсик (две стороны одной монеты).
Как вы видите, у простого Вбива очень много пунктов и ещё больше подпунктов. Поэтому, если вы всё чаще видите "отмена ордера", то стоит провести полный анализ вашей работы. Аналогию создания этого списка можно провести в любой работе: палка, покер, банки и т.д.
Существует много различных вариантов последствий вашего вбива, мы с вами рассмотрим основные:
Decline: шоп даже не позволил вам повесить ордер, часто это означает, что у вас проблемы с картой, поэтому в первую очередь стоит обратить внимание именно на неё и связанные с ней подпункты (смотрите первую статью по "Вбивам"). В остальных случаях у сайта или технические проблемы и закручены гайки (такое бывает, но очень редко), или вы не проходите антифрод (шопа или банка) и где-то палитесь, в таком случаем вспоминайте, что мы писали в пункте про "ip-адреса".
Cancel: ордер повесился, но через время (или сразу) на e-mail пришла отмена ордера. Причины: не прошли антифрод/шоп прозвонил холдера/что-то не так с картой и шоп не смог списать деньги.
Не прошли антифрод и ему что-то не понравилось – в этом случае два варианта развития дальнейших событий:
Первый – отмена непосредственно от антифрод-системы шопа (или банк не позволили провести транзакцию).
Второй – по сумме набранных очков антифрод индикаторов, ордер попал в ручную обработу (когда менеджер вручную одобряет/отменяет ордеры) и его отменил менеджер, или прозвонил холдера.
Если с первым случаем всё ясно, то остальные стоит разобрать несколько более подробно:
Шоп прозвонил холдера – да, есть такие шопы, которые звонят всегда, также есть шопы которые могут звонить только на определённые ордера (например, на e-gift) и/или от конкретной указанной суммы заказа (например: все ордера 1000$+)
Методы борьбы с этим следующие: указание своего (или прозвон-сервиса) телефонного номера с целью в случае необходимости принять на него звонок/указание левого номера (например: какого-то соседнего кафе с кардхолдером) или несуществующего номера.
Однако из-за AVS системы в ряде стран, такие ордера также могут страдать...
Третий – это cancel из-за проблем с картой. Означает, что кардхолдер либо успел спалить, либо ваш шоп процессит ордера не сразу, а уже после того, как ордер оставил покупатель, и тогда он может приянть даже мёртвую карту и дать вам ордер, но денег с неё, понятное дело, не спишет.
Запрос shop дополнительной верификации в виде фотографии идентифицирующего документа (паспорта/водительских прав) или фото карты. Означает, что вы где-то недотянули антифрод или ваш ордер показался подозрительным. Возникает также в случаях, когда шоп уже порядком "замылен" и запрашивает верификации при малейшем подозрении.
Запрос дополнительной верификации путём прозвона. Просят вас позвонить, чтобы "уточнить" некоторые детали. Обычно спрашивают по backgraund, но всё зависит от шопа, также может означать, что у карты кривой billing address.
"Как с этим бороться?" - Пробивать, звонить, отрисовывать. Если ордер и тесты стоят того - заносим результаты в записи и делаем выводы.
Checklist:
Представляет из себя список пунктов, рассказывающих как: можно пробить конкретный шоп на основании тестов вбива этого шопа, различные полезные заметки, выведенные на основании опять же опыта (например, как быстро приходят ордера/отмены) – это ваш настольный шаблон на который нужно ориентироваться, при условии, что вы его правильно составили.
Пример такого сhecklist:
- Должны быть правильные billing address.
- Вбив должен происходить с одной попытки на 1 ip-адресе.
- Только ручной ввод.
- Неплохо идёт вариант вбивов с ssh.
- Если не прошёл антифрод-систему, но карта правильная, отмена придёт на почту в течении 25 минут.
- Когда ордер не пропускает антифрод-система, мерч даёт отмену текстом: "Unable to process credit card at this time, processor reported (Authorization Failed)".
- Если у карты недостатончо баланса или неправильный billing address, мерч даёт отмену текстом: "Please double-check your billing address and credit card information".
- Заходили такие-то бины на такие-то суммы.
И всё в таком духе.