MisterSmith 4 Опубликовано 8 ноября, 2019 Кардинг что это такое? Кардинг это термин, который буквально означает мошенничество с кредитными или дебетовыми банковскими картами, однако, с развитием информационных технологий, понятие кардинга несколько расширилось и включило в себя также: Торговлю данными (кредитки, паспорта, взломанные банковские аккаунты, платежные системы и еще много всего) Скам в отношении, так называемых, хомячков (в основном “умное” мошенничество, т.е. с применением социальной инженерии) Обналичивание чужих денежных средств Кардинг существует как бы в противовес банковской защите, и в то же время тестирует ее на уязвимости. Именно поэтому кардинг, как и банковская защита, никогда не стоит на месте. Кредитные карты Итак, в терминологии кардинга кредитная карта называется - картон, пластик или цц (от англ cc - credit card). Думаю, что у каждого из вас есть кредитка, поэтому и содержание кредитки вам знакомо. Самая обычная cc содержит такую информацию, как: Name, surname (имя, фамилия) Card number (номер карты) Expiry date (срок годности) CVV-code (защитный код) Владея этими данными, кардер может использовать чужую кредитную карту для совершения платежей в сети интернет - онлайн-магазины, сервисы, предоставляющие услуги, системы, предназначенные для хранения и переводов электронных денег и тому подобное. Двухфакторная аутентификация, vbv, mcsc Чтобы обезопасить своих клиентов, банки придумали систему уникальных смс-оповещений, которые работают по принципу: “хочешь что-то оплатить, введи в окошко полученный в смс-сообщении код”. Этот код банк высылает на ранее зарегистрированный номер клиента, и называется этот метод защиты двухфакторная аутентификация. Возможно ли обойти эту систему защиты? Конечно, да. Тут могут использоваться различные способы, начиная от централизованных вирусов (ботнетов) и заканчивая банальной подменой cookies. Однако, несмотря на то, что двухфакторная аутентификация довольно популярна в СНГ, на Западе предпочитают использовать другой вид защиты, который называется vbv или mcsc. Это та же двухфакторная аутентификация, но с установленным паролем для совершения платежей в сети вместо смс-оповещения приходящего на телефон. Если по простому, то это “дополнительный” пароль, который пользователь сам устанавливает на свою кредитку, чтобы совершать покупки в сети. И вот эта система гораздо более уязвима нежели, чем смс-уведомление с двухфакторной аутентификацией. Потому что вирус ботнета собирает эту информацию на ура, но кроме того, некоторые онлайн-магазины, зачастую хранят такую информацию в своих базах данных, и этим могут воспользоваться взломщики. Кроме того, важно понять, что далеко не все картхолдеры (с англ. card holder - держатель карты) устанавливают систему смс-оповещений. Например, пенсионеры, люди далекие от интернета, которые не совершают покупок в сети, и вовсе не задумываются о дополнительной защите. А потому, установить эту защиту может сам кардер, чтобы беспрепятственно пользоваться денежными средствами хранящимися на пластике. В таком случае кардер может не только совершать платежи в интернет, но и наблюдать динамику средств, хранящихся на счету. А это чуть ли не самый важный момент, потому что все хотят знать баланс картона, чтобы не напороться лишний раз на антифрод систему банка. Фулка (Fullz) Под фулкой принято понимать полную информацию о клиенте банка. Сюда входит его ФИО, адрес проживания, номер телефона, операционная система, браузер, почта, логин и пароль от его банковского счета (в дальнейшем БА), девичья фамилия матери, а также информация с кредитной карты - номер, защитный код и срок ее жизни. Считается самым привилегированным и дорогим товаром на площадках, где продается материал. Потому что фулка, у которой есть доступ к БА, дает возможность контролировать расходы, а также прикреплять кредитку к тем или иным сервисам с помощью микротранзакций. Это тот случай, когда со счета снимают небольшую сумму денег, чтобы указав ее вы подтвердили то, что действительно являетесь владельцем счета. К примеру, такой способ синхронизации счетов широко используется в платежной системе PayPal. О методах “слива” денег с кредиток Способов скардить денежные средства с картонки великое множество. Самый популярный это вещевуха, но от этого практическое применение способа становится в разы сложнее. Сюда так и прутся хомячки, в надежде скардить свой первый макбук или эплфон, но вы должны понимать, что это практически неосуществимо в рамках познаний новичков. Вещевой кардинг Вещевой кардинг это, когда вы покупаете реальный “шмот”, отправляете его на адрес дропа, а тот либо оставляет его себе, либо пересылает скупщику. Дроп - это подставной человек. Дропы бывают двух типов - разводные и неразводные. Разводные дропы это, как правило, наивные дурачки, которых находят в сети и просят принять посылку, а потом переслать ее на соответствующий адрес. Разводят таких дропов всегда по-разному - кому рассказывают плаксивые истории, а к кому то просто втираются в доверие и просят “по братски” принять посылку. Короче говоря, кто во что горазд. Другое дело, это неразводные дропы, которые осознанно идут на сделку с кардером. Такие обычно не пересылают никаких посылок, пока не получат оплату от дроповода. А вот дроповод это целая профессия. Это человек который вербует дропов и сотрудничает с кардером. Кроме того, в цепочке есть скупщик, который и выплачивает деньги за товар кардеру. Сколько денег получит кардер это вопрос договоренности, однако, самые высокие проценты по выплатам (30-40%) кардер получает именно за технику (электротовары, золото, оптика) Обсудим самый простой способ реализации вещевухи для новичков - онлайн-аукционы. Это интернет-магазины, в которых один товар окупается в 10-20 раз, а потому посылки они не разворачивают и шлют хоть куда. Кардеры хоть и создают проблемы для онлайн-аукционов, но они настолько незначительны в масштабах генерируемой аукционами прибыли, что они особенно не заморачиваются и готовы выплачивать неустойки клиентам банков. Обычно система защиты онлайн-аукционов довольно низкая потому, что владельцам онлайн-аукционов, как и владельцам казино, выгодно, чтобы в момент оплаты у клиента не возникало никаких сложностей. Чем быстрее он заплатит, тем выше вероятность того, что он в последний момент не передумает. А потому пополняя различные казино или аукционы, вы можете заметить, что от вас не требуют особо много информации, но вот на вывод средств вас обязательно попросят удостоверить свою личность. Кстати, давайте обсудим очень важный момент, который педалируется повсюду на кардинг-форумах, и связан он с доставкой товаров. Видите ли, в большинстве современных магазинов, принято пересылать товары только на адрес регистрации пользователя, который называется билл (billing address). Однако, существуют и такие магазины, которые шлют на шип (shipping address), а это уже может быть любой адрес, например, адрес вашего дропа. Так вот, найти такой магазин, который бы слал на адрес дропа, а не адрес регистрации плательщика довольно трудно, однако, если кардеру это удается, то он можно сказать в шоколаде :) После совершения платежа, который в среде киберпреступности называется по простому “вбив”, на почту приходит уведомление. Его содержание может быть совершенно разным, начиная от отказа в покупке без объяснения причин до одобрения и дальнейших инструкций по получению трекинг-кода, который позволяет отслеживать товары в пути. Платежные системы В работе с платежными системами широко используются два типа каржа. Один основан на взломанных аккаунтах реальных пользователей, а другой на, так называемых, саморегах. Более распространенный и дешевый способ это конечно саморег. Его суть заключается в том, что кардер создает аккаунт в той или иной платежной системе согласно данным взятым из фулки (на подставного человека), а затем сливает деньги этого же человека на аккаунт в платежной системе, от которого у него есть полный доступ. Теперь кардер может беспрепятственно расплачиваться саморегом за товары, услуги, криптовалюты и еще много всего. Кроме того, с появлением криптовалюты, кардеры набросились на нее, как голодный пес на кость. Заливы на сим карты Не побоюсь этого слова, но работа по обналичке сим-карт это самое легкое направление в кардинге, и на это есть довольно объективные причины. Первая заключается в том, что сервисы международного пополнения сим-карт не относятся к платежным системам, а это дает нам относительно низкую антифрод систему. Вторая причина по которой следовало бы начинать свой путь в кардинге с обналички сим-карт кроется в скорости самого процесса. С момента вбива и до получения денег может пройти от 30 минут до нескольких часов, что очень сильно облегчает работу. Здесь не приходится, как в вещевухе, по нескольку недель сидеть на иголках в ожидании того, что посылку развернут или дроп кинет. В обналичке сим-карт все происходит молниеносно. Вбил - прошло - получил деньги и никаких лишних поводов для беспокойства. Что же касается самих сим-карт, то приобрести их нетрудно, особенно если вы знакомы с avito, где можно купить десятки или даже сотни сим-карт по 20-50 рублей за штуку. Деньги на сим-карты льют через сервисы международных пополнений. Существуют такие сервисы исключительно для буржуев, которые живут за бугром, часто путешествуют и любят пополнять сим-карты различных стран при помощи кредитных карт. Кардер, под видом туриста, настраивает виртуальную машину, как при обычном вбиве, затем заходит через поисковую машину google на нужный сайт, и вбивает картон, указывая в качестве объекта пополнения одну из купленных на авито сим-карт. При успешном вбиве, деньги с сим-карты тут же переводят на созданный под этот номер qiwi-кошелек. А уже оттуда через менял деньги растворяются в небытие кардерского кармана :) Подарочные сертификаты Другими словами гифты (с англ. gift certificates - подарочные сертификаты) это то, что кардят в первую очередь те, кто занимается вещевухой. Думаю, что нет смысла объяснять - что такое подарочные сертификаты. Однако, стоит сказать, что бывают они двух типов - электронные и обычные. Мы с вами поговорим об электронных гифтах, так как именно они и ценятся кардерами. Вообще, электронный гифт это не более, чем набор цифр и букв, которые можно ввести в интернет-магазине при покупке того или иного товара. Ребята, которые давно в кардинге и занимаются вещевухой серьезно, используют для покупок именно гифты, потому что это сокращает шансы того, что посылку развернут где-то в пути. Когда кардер покупает БА с определенной историей, то высока вероятность обнаружить на счету бонусы за покупки, которые начисляются картхолдеру за то, что он расплачивается кредиткой в магазинах. Потратить бонусы можно по своему усмотрению, а среди того, что может приобрести владелец счета за свои накопленные баллы очень часто можно встретить подарочные сертификаты в магазины амазон, эпл, гирбест и т.д. Стоимость гифтов на форумах оценивается в 15-30% от их номинальной суммы, т.е. если у вас имеются гифты амазона общей суммой в 1000$, то можете продать их вещевикам за 150-300$. Суммы могут варьироваться по нескольким причинам, одна из которых ваша порядочность и репутация на форуме. Отели, авиабилеты По таким темам работают исключительно профи. Обычно на форуме есть два-три человека, которые предоставляют такие услуги, как оформление номеров отелей или перелетов за 20-30% от номинальной стоимости. Кардят отели и авиаперелеты при помощи все тех же баллов, которые можно найти на банковских счетах. Однако получать такие банковские аккаунты в изобилии может позволить лишь только наличие своего ботнета, т.е. сети зараженных вирусом компьютеров. Например, распространяя вирус по сети кардер получает 10-20 новых аккаунтов различных банков, после чего ему необходимо отсеять те, на которых ничего нет от тех, на которых лежат те самые желанные бонусы. Одного-двух аккаунтов с бонусами достаточно для того, чтобы приобрести на них билет в один конец на самолет или же арендовать номер в отеле на несколько суток. Как вы сами понимаете, редко кто следит за этими бонусами, а потому вероятность того, что карж вскроется стремится к нулю. Да и потом, плевать всем по сути на эти бонусы, главное, что деньги на месте. Как искать шопы? За всю историю существования кардинга однозначного ответа на этот вопрос так никто и не дал. Поиск шопов это абсолютно уникальный процесс для каждого отдельно взятого кардера. Важная роль в поиске “дырявых” интернет-магазинов отводится навыкам использования поисковой системы google. Обычно, перед тем как вписать поисковую фразу в строку, используют такие команды, как: “inurl:” и “intext:”. Это помогает облегчить поиск, но уж точно не дает никаких гарантий. Бывает, что находишь шоп в самом неожиданном месте, например, изучая партнеров тех или иных интернет-магазинов. Определить, что вы нашли нужный магазин поможет “тестовый” вбив. Для этих целей можно использовать картон, который выкладывают в разделах с названием “халява” на кардинг форумах. Здесь важен не результат вбива, а изучение всевозможных этапов и систем защиты, установленных в магазине. Точно так же ищут не только уязвимые интернет-магазины, но и сервисы, подобные тому, что пополняют сим-карты или те, что занимаются арендой доменных имен или вовсе сайты хостинг-провайдеров. Все, что продается и покупается в интернете - может быть скаржено. Напоследок я хотел бы выразить вам признательность за то, что вы осилили прочтение данного материала, и надеюсь, что хоть я и не предоставил более детальных указаний, а также примеров работы кардера, информация оказалась для вас, как минимум, интересной. УДАЧИ!!! 2 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты