Вбив шопов (1 часть)
МНОГО ТЕКСТА, НО ОНО ТОГО СТОИТ, ПОВЕРЬТЕ!
1. Для начала попытаемся на простом языке объяснить, как Вас могут теоретически взломать. Обойдемся без сложных терминов, для обычных пользователей.
Считаю, что пользователю любой операционной системы, а тем более тем, кто связан с этим по работе, необходимо понимать, что профессиональные вирусы — это не исполняемый файл, который переименовали в документ и просят вас запустить (стиллер или ратник). И не всегда блокировка макросов не даст злоумышленнику выполнить код на вашей системе.
Безопасность — это так называемый феномен слабого звена. Она настолько сильна, насколько сильно самое слабое звено в цепочке. Надежное шифрование зачастую — это сильное звено.
Мы, человеческие создания, как правило являемся слабым звеном. Как говориться язык мой — враг мой.
Вообще есть две вещи, которые бесконечны, вселенная и дураки. С вселенной все понятно, но как быть с последними? Вот как объяснить различным пользователям Windows, что нельзя работать без антивирусной защиты? А как объяснить создателям МЕГА систем защиты информации (антивирусов в простонародье), что нельзя защититься от взлома матрицей доступа (это когда блокируют чтение или запись некоторых файлов, то есть разграничение доступа) и что взлом — это не всегда: «Обнаружена угроза: Процесс autorun.exe, пытается выполнить запись в системную ветку реестра».
Вообще, чтобы не писать кучу ерунды просто старайтесь не серфить какие-то ресурсы на своем ПК, не открывайте подозрительные ссылки и не скачивайте какое-то ненужное программное обеспечение, да и еще непонятно откуда, внимательно подходите к вопросам своей безопасности по поводу JS и включать его на доверительных ресурсах и многое другое.
Не будем Вас кошмарить. Обычно такие уязвимости стоят не малых денег, и факт того, что именно вас взломают уменьшается, при том что заинтересуются именно вами, вероятность крайне мала.
Но есть важный момент: если вы прочтете лицензионное соглашение от Microsoft котрое идет с каждой операционной системой семейства Windows вы увидите, что они отдадут ваш ключ шифрования от BitLocker по первому звоночку из правоохранительных органов, а это в свою очередь натыкает на мысль, какого хрена Windows?! Зачем ты хранишь мои пароли от шифрования у себя на серверах, что за херня.
Дело в том, что «ставя галочку» в лицензионном соглашении с Microsoft, пользователи дарят корпорации право распоряжаться своими данными. «Мы можем получать доступ, раскрывать и сохранять для себя ваши персональные данные, включая любой контент, любые файлы на ваших устройствах, в ваших письмах и в других видах личных коммуникаций, если у нас будут основания считать это необходимым для защиты наших клиентов или для соблюдения условий, регулирующих использование наших услуг» – гласит лицензионное соглашение.
Другими словами, все, что вы скажете в Интернете, напишете, сохраните, создадите или скачаете у себя на компьютере или любом другом устройства с Windows 10, все это может быть дистанционно удалено или скопировано у вас, если некто в Microsoft решит, что это им нужно. То есть, по условиям EULA Microsoft для вмешательства в личную жизнь клиентов и контроля над ней не требуется даже санкций властей.
Достаточно лишь разрешения при установке OC от пользователей, слишком ленивых, чтобы прочитать полностью лицензионное соглашение.
Как с этим бороться? Храните все на съёмных носителях (флэшки, жесткие диски) и криптуйте это, как криптовать файлы можно найти в гугле. Тут писать нет смысла.
Криптование - процесс зашифровки, кодирования, засекречивания с целью сделать их доступными только нужному адресату.
САМОЕ ВАЖНОЕ.
Пресекать распространение любой персональной информации. Местоположение и состав семьи, реквизиты, электронные почты, социальные сети, специфические никнеймы, совпадающие с аккаунтом в инстаграме, сведения о рабочей деятельности и абонентские номера не должны покидать границы чистой операционной системы и разума.
Вне зависимости от интересующегося, приятель или коллега — любой может оказаться не тем, кем хочет чтобы его видели, я не исключение. Важно осознавать чем намерены заниматься и помнить: «Личное должно оставаться личным, рабочее — рабочим». Относится не только к людям, но и к интернет-ресурсам, из чего следует заключение далее.
Не прибегать к применению личных телефонных номеров, электронных почт и социальных сетей для регистрации аккаунтов на «серых» сайтах или магазинах. Поставщики услуг мобильной связи и интернета, равно как и компании электронных почт в большинстве случаев попросту выдадут информацию по запросу компетентных служб.
Регистрация почты, требующей принятия смс-кода для активации, проводится с помощью виртуальных онлайн-активаторов, например: https://sms-activate.ru/. Аналогичных сервисов десятки, найти их не составит труда. На форуме есть сервисы в том числе для приёма сообщений на реальные номера англоговорящих.
Бескомпромиссный отказ от деятельности по всем странам пост-советского пространства. Отследить резидента, находящегося в прямой физической и административной досягаемости гораздо проще, что лишний раз подтверждается статистикой и наблюдениями.
По этой же причине получение посылок осуществляется через посредников и подставных лиц. Вовлекать личные идентификационные данные в характерный процесс оборота товара и финансов в любом виде настоятельно не рекомендуется.
Средства коммуникации и соответствующие им истории переписок не должны находиться в открытом виде на основной операционной системе. Внутри виртуальной машины ? Допустимо. Мессенджеры Skype, WhatsApp, Viber лучше не использовать, в силу послужного списка утечек и обнаруженных уязвимостей, походящих на бэкдоры.
Методы хранения образов виртуальных машин и информации должны иметь свои уровни защиты. В первую очередь физический носитель: жёсткий диск, SSD (как внешний, так и внутренний) или обыкновенная флэшка. Съемный накопитель удобен и тем, что в критической ситуации его можно быстро физически устранить или сделать непригодным.
Существенную роль при выборе устройства играют две характеристики: объем и скорость. Памяти мало не бывает, поэтому выбор исключительно на собственное усмотрение, удобный минимум? 32GB.
Скорость — следствие типа запоминающего устройства и характеристик компьютера. SSD определённо быстрее жёстких дисков, но и стоимость явно выше. Для съемных накопителей значителен и метод подключения USB: версии 3.0 и 3.1 выигрывают сравнительно с v2.0, — для простого определения версии можно посмотреть цвет портов, при 3.0+ он синий.
Затрагивая настройки накопителя, главным образом это шифрование. При выборе специализированной программы можно остановиться на Veracrypt; BitLocker и подобные решения использовать не рекомендуется. Veracrypt является форком Truecrypt ввиду закрытия последнего и возникшей на этой почве сомнений.
Создаётся контейнер или шифруется весь накопитель, затем внутрь помещается конфиденциальная информация, в дальнейшем для просмотра которой нужно произвести расшифровку (размонтирование) паролем. Для предотвращения риска захвата пароля из оперативной памяти отключается гибернация, — инструкции согласно операционной системе в интернете.
Вдобавок у программы есть возможность создания скрытой операционной системы. В случае крайней необходимости можно будет выдать пароль от основной, существующей параллельно, пока скрытая будет продолжать хранить файлы. Примерно так же работают контейнеры с двойным дном.
Менеджером паролей может служить «KeePass» или аналог. Разумеется, излишне говорить, что «qwerty54321» — вовсе не надёжный пароль.
Впрочем, об удобной функции двухфакторной аутентификации сообщить уместно. 2FA — дополнительная степень защиты, реализуемая путём генерации код-паролей каждые 30 секунд, которую не будет лишним использовать там, где это возможно. Подойдут, например, приложения Authy или OTP.
В качестве превентивных мер к заражению вирусом создаётся отдельная виртуальная машина. Чтобы над устройством не установили контроль или не перехватили пароли непосредственно из системы — установка сомнительных и непроверенных программ совершается в заранее подготовленной виртуальной системе.
Рекомендуется периодически делать резервные копии наиболее важных данных, содержать которые необходимо в зашифрованном виде отдельно от рабочей системы.
Резюмировать общий вывод по первой части можно так: пренебрежение и полумеры в вопросах безопасности несут с собой отрицательные последствия. Соблюдать элементарные правила гигиены не так хлопотно, как попасться из-за наивности или терять деньги из-за похищения аккаунтов.
2. Поговорим немного о банковских картах, принципах их работы и нюансах их покупки для работы и затронем такие вопросы, как чек карт, 3DS/VBV и почему мы даже на “хороших” картах получаем деклайны.
Каждый из вас так или иначе сталкивался в своей жизни с банковскими картами, но мало, кто задумывался, как работает процесс оплаты картой и какую информацию несет в себе сам пластик и информация, напечатанная на нём.
Первое, что начинающий кардер должен изучить, – базовую информацию о банковских картах в контексте нашей теневой деятельности.
В нашем контексте CC (Credit Card, кредитная карта , картон и так далее) – заботливо угнанные данные реально существующей (либо виртуальной) карты холдера, не проживающего в странах СНГ.
Где же нам достать картон? 3 основных варианта – купить в шопах, у приватных (или не очень) селлеров, либо добыть самому (с фейкового сайта, с ботнета, какой-либо взломанной БД, ну или с любого другого места, куда хватит вашей фантазии)
Рассмотрим самый популярный и очевидный вариант с покупкой карты
При покупке вы получите картон примерно в таком формате:
4147400219040084 | 10/20 | 826 | Richard Brown | 56 Groveview Cir #302 | Rochester | 14612 | NY | USA | 661-298-0881 | [email protected]
Формат у каждого шопа/селлера отличается, где-то его можно кастомизировать, но основные моменты идентичны
В нашем примере 4147400219040084 – номер кредитной карты
10/20 (10 месяц / 20 год) - дата окончания действия карты (Expiry/Expiration Date);
826 – защитный код карты CVV/CVV2/CVC;
Richard Lang – First и Last Name (имя, фамилия);
56 Groveview Cir – Address Line 1 (первая строка адреса);
#302 - Address Line 2 (вторая строка адреса). Обратите внимание, что название улицы и номер дома - это всегда Line 1, а номер квартиры/пристройки/офиса - это Line 2. Если дом частный, то Address Line 2 будет отсутствовать.
Rochester – город;
14612 – Zip code (зип, аналог нашего почтового индекса);
NY (New York) – штат;
USA – страна;
661-298-0881 – телефон;
[email protected] – email-адрес холдера.
Минимально необходимая информация для работы - номер СС, Expiration Date, CVV, First/Last name, Address line 1, Zip code.
Остановимся детальнее на номере карты, он содержит в себе важную информацию для работы.
BIN (Bank Identification Number) – первые 6 цифр номера кредитной карты
Каждая банковская организация имеет пул уникальных номеров, которые присваиваются выданным ими картам.
В этих номерах содержится информация о платежной системе (Visa/MC/AmEx/Discover и.т.д.), банке-эмитенте, уровне карты (Classic/Gold/Platinum и.т.д.), типе карты (Credit/Debit/Prepaid)
Первая цифра BIN определяет Major Industry Identifier (MII) - глобальную платежную систему, в которой данная карта работает.
Основные платежные системы, с которыми вам предстоит столкнуться, – AmEx (первая цифра карты начинается на 3), Visa (4), MasterCard (5), Discover (6).
Подробную информацию о бинах можно найти на сервисах вроде binlist.net, binov.net (последний очень удобен для массового поиска бинов и реверсивного поиска бинов по банкам, рекомендуем записать)
Если мы пробьем BIN карты из примера выше (414740), увидим следующую информацию:
TYPE: VISA;
BANK: CHASE BANK USA, N.A.;
RANK: CREDIT;
TYPE: SIGNATURE;
COUNTRY: USA
Остальные цифры карты, кроме последней, идентифицируют аккаунт холдера в банке, а последняя цифра - контрольная, предназначенная для валидации номера банковской карты по алгоритму Луна (Luhn Algorithm).
Теперь что касается непосредственно покупки карт в шопах.
При покупке карт, один из важнейших параметров – валидность базы, в которой карта поступила в шоп.
Шопом/селлером она определяется так: берется рандомно некоторое количество карт и валидируется чекером. Допустим, из 10 карт вышло 7 валидных – валидность такой базы около 70%.
Отдельно скажем, что валидность - хотя и единственный, пожалуй, реально измеримый критерий качества карт, однако он далеко не является параметром, гарантирующим успешный заход карт в нужный Вам сервис. Многое зависит от источника, откуда карты получены - и какой из них лучше, можно установить только экспериментальным путем.
Итак, по поводу чека карт.
Более продвинутые чекеры используют бесчарджевую валидацию ($0 authorization), которая проходит незаметно для холдера и дает ответ от платежной системы о валидности карты.
Альтернативным способом прочекать карту на валидность является ее привязка к каким-либо сервисам (как пример - к гуглу, либо в любой другой сервис, куда карта вяжется в личный кабинет).
Это достаточно безопасный метод чека, который сводит риск смерти карты к минимуму при условии, что он тоже использует принцип бесчарджевой валидации.
В нормальных шопах за невалидные карты предусмотрен рефаyнд – обычно на чек дается 5-15 минут. Если Вы не доверяете вашему методу чека карт, можно чекать карту после вбива, чтобы свести к минимуму вероятность ее смерти от чека. Также стоит помнить, что встроенные в шопы чекеры зачастую портят карты значительно сильнее, чем ваши собственные методы чека, потому пользуйтесь ими только в том случае, если уверены, что карта невалид.
Пару слов о видах CC. Как мы уже говорили выше, чаще всего в работе вам будут встречаться карты Visa, MasterCard, American Express, Discover.
Из нашего опыта, проще всего найти хорошие бины Visa и MC, однако в практике нам встречались и жирные бины амекса. Проблема при работе с амексом в том, что обычно на таких картах холдеру приходит куча алертов и, в случае обнаружения мошеннической транзакции, чарджбек летит очень быстро.
Карты Visa, MasterCard и Discover имеют по 16 цифр в номере карты и 3-х значные CVV-коды. У амекса же в номере карты 15 цифр и CVV 4-х значный. Это ни на что не влияет, но любой уважающий себя кардер должен это знать.
При работе с картами рано или поздно вы столкнетесь с защитными механизмами 3D Secure.
У карт Visa он называется Visa Secure / Verified by Visa (VBV); у MC - MasterCard Secure Code (MCSC), а у Amex – SafeKey
В случае вбива в мерч с активированной системой 3DS, при проведении транзакции вы будете перенаправлены на страницу ввода статичного кода, который должен быть известен холдеру.
Такие коды будут неизвестны вам при покупке карты, однако, для некоторых бинов их можно сбросить. Также, все большую популярность начинает набирать имплементация 3DS, где для подтверждения используется одноразовый код, отправляемый по SMS/e-mail. К счастью, US банков, которые ввели бы такую защиту, все еще довольно мало (и, напротив, в EU их все больше).
Также, существует отдельный тип карт, которые проходят страницы 3DS автоматически. Суть в том, что в данном случае вместо ввода кода при проведении транзакции ее детали пристально рассматривает антифрод банка и, если его все устраивает, одобряет ее. Такие карты называются autovbv (автовбв) и с их помощью зачастую можно бить в сервисы с активированным 3DS.
В целом, если вы работаете по вещевухе с US шопами и наткнулись на шоп с активированным VBV/MCSC, проще всего на такой шоп забить и найти другой. Если же вы бьете какой-либо сервис, либо работаете по EU - там уже нужно искать бины со сбросом/автовбв, которые будут лезть в Ваш мерч. К сожалению, единственный действенный метод поиска таких бинов - тестирование. Да, нужно покупать и перебивать большое количество карт прежде, чем вы найдете подходящие. Иногда сузить поиск можно, купив у трастовых селлеров бины автовбв либо со сбросом - однако, это не говорит о том, что такие бины будут подходить под ваш сервис/шоп.
Поговорим немного о типах и уровнях СС.
Кредитная (Credit) - карта, на которую можно тратить заемные средства, т.е. не имея на счете собственных денег. Более того, у US карт на кредитных картах зачастую нет вообще такого понятия, как положительный баланс. Потому зачастую с логов с привязанных платежек получается вбить даже с тех бинов, которые в обычных условиях не лезут никогда.
Банк-эмитент также смотрит на установленные холдером лимиты и, конечно же, наличие доступных собственных/кредитных средств.
Если и банку-эмитенту кажется, что все в порядке, он передает положительный ответ в банк-эквайер обратно через глобальную платежную систему, тот, в свою очередь, возвращает результат успешной транзакции платежному шлюзу и шлюз отвечает напрямую вам либо менеджеру шопа об успешной оплате.
Собственно, вот почему тот факт, что у вас на руках имеется карта с известным балансом, не дает вам уверенности в успешном вбиве. При каждой транзакции Вы имеете дело с многоступенчатым антифродом (шопа, платежного шлюза, процессингового центра и банков).
Отсюда же следует, что многие популярные бины просто “задрочены” и не лезут в нужные вам шопы/сервисы. В данном контексте “задрочены” означает то, что с карт такого бина был замечен большой процент мошеннических транзакций, и на них плохо реагируют все ступени антифрода.
Вашей задачей для совершения успешных вбивов с СС является максимально подстроить свою машину и свои действия в шопе под реального пользователя и кропотливыми тестами и экспериментами подобрать те самые бины, которые приведут вас к заветному профиту.
Предоплаченная (Prepaid) - карта с предварительно оплаченной суммой - смарт-карта, на которой хранятся электронные деньги, заранее внесенные туда владельцем карты. По многим параметрам аналогичны дебитке, но в отличии от них не связаны с банковскими счетами. Зачастую встречаются у платежных систем вроде Payoneer, ePayments и.т.д. Некоторые мерчи отказываются работать с prepaid-картами.
Что касается уровней карт - их очень много и у разных банков они разные. От Classic до Black. С одной стороны, карты более высокого уровня говорят о более высоком статусе владельца и потенциально на них может находиться больше денег, чем на картах низких уровней. Однако при работе по US на картах высоких уровней может как банально не быть балансов, так и стоять лимиты на транзакции и такие бины просто не будут давать
В работе с US картами мы гораздо встречаем карты Classic и подобных "невысоких" уровней, которые прекрасно подходят для нашей работы.
Так что однозначной рекомендации вроде "берите платину, она даст" (распространенное в нашей среде заблуждение) дать не можем. Только тестить и выявлять закономерности на своей практике.
Также хочу отметить, что далеко не всегда наличие баланса на карте (и даже отсутствующие лимиты) равно успешному вбиву. Сейчас я дам развернутое объяснение, почему так происходит. Для этого рассмотрим детально всю кухню, происходящую при оплате картой и скрытую от глаз обывателя.
Разберем основных участников процесса оплаты:
КХ: кардхолдер, владелец карты, с которой совершается платеж;
Мерчант: собственно, онлайн-точка продажи товара с расчетным счетом, куда в итоге должны поступить средства за товар. Многие путают мерчант и то, что правильнее называть payment gateway. Это разные вещи, однако на кардерском сленге для упрощения мы говорим о них, как о едином целом (о мерче).
Payment Gateway (платежный шлюз) - технология, позволяющая связать мерчант с процессинговым центром и банком-эквайером;
Процессинговый центр - высокотехнологичная система обработки платежей по банковским картам в сфере электронной коммерции. Принимает данные от платежных шлюзов, обрабатывает и перенаправляет их банку-эмитенту;
Банк-эмитент (банк КХ) : банк, который также работает под юрисдикцией одной из глобальных платежных систем и выдал карту холдеру;
Глобальная платежная система (Visa/MC и т.д.) - организация, регулирующая и производящая межбанковские взаиморасчеты. Простыми словами, позволяет перебросить деньги со счета банка-эмитента на счет банка-эквайера и разруливает весь происходящий при этом процесс.
После нажатия КХ кнопки Place Order, сначала данные попадают в антифрод-систему шопа. Она оценивает ваш ордер по своему огромному массиву критериев и принимает решение о том, пропустить ли ордер дальше автоматом, отправить на ручной вериф либо дать вам инстант деклайн. На этом этапе в большинстве случаев данные карты еще не ушли дальше шопа.
Если вы прошли проверку антифродом, либо менеджер вручную зааппрувил ваш ордер, процесс оплаты продолжается.
После аппрува ордера, ваши данные собираются, шифруются и передаются в платежный шлюз (Payment Gateway). В свою очередь, он оценивает транзакцию по своим критериям (у шлюзов есть свои антифроды, позволяющие выявить подозрительные паттерны) и может сразу развернуть оплату.
Допустим, транзакция КХ не показалась шлюзу подозительной - в этом случае, он передает все данные дальше процессинговому центру. Процессинговый центр снова проводит проверку по своим критериям мошеннических транзакций и принимает решение о том, направлять ли транзакцию дальше.
Если процессинговому центру все понравилось - транзакция идет через глобальную платежную систему к банку-эмитенту.
Банк-эмитент анализирует транзакции КХ и в случае, если транзакция кажется ему из ряда вон выходящей (например, кх никогда не покупал с карты ничего дороже $100, а вы вдруг пытаетесь вбить золотой слиток за $10k) - также может завернуть транзакцию. Хочу отметить, что зачастую предыдущие, реальные успешные транзакции в выбранный вами сервис могут повысить доверие к вашей. Потому зачастую с логов с приязанных платежек получается вбить даже с тех бинов, которые в обычных условиях не лезут никогда.
ПРОДОЛЖЕНИЕ ВО ВТОРОЙ ЧАСТИ :)