Обучение WWH 20-21. Часть 22. “Работа с брутом”
Лекция#20 Работа с брутом 15.12.2020
Лектор :
Привет всем
Сегодня я буду у вас лектором
Лекция у нас по работе с брут аккаунтами различных шопов
Для тех кто не имеет представления о том что такое брут:
Брут - Процесс перебора комбинаций логин:пароль для получения доступа к какому либо сервису (шоп, банк, игрулька и тд)
Брут аккаунт - это собственно успешный результат работы брутфорса (программы для брута) в виде валидной комбинации логин:пароль для конкретного ресурса
Что же нам нужно для того чтобы начать брутить?
Сам софт, базы вида логин:пароль, прокси и сервер на котором всё это дело будет стоять
Сейчас вратце остановлюсь на каждом из пунктов и расскажу что есть что
Софт для брута, он же Брут, он же Чекер - ПО, которое производит перебор комбинаций логин:пароль для конкретного сервиса, бывают и такие, которые чекают сразу на несколько сервисов, но сейчас вы такие врядли найдёте
Такое ПО можно купить или заказать на любой теневом форуме стоимость начинается от пары сотен рублей и может заканчиватся суммой в несколько тысяч долларов, в зависимости от сложности (наличия защит, капчи и т.д.) сайта, который вы хотите брутить
Дальше по порядку у нас идут Базы.
Базы - набор комбинаций логин:пароль. Добываются путём слива Баз Данных с уязвимых сайтов при помощи SQL инъекций либо некоторыми другими способами.
После добычи базы выглядят как набор непонятных символов (хешей), которые потом прогоняют через расшифровщики и уже продают нам
При покупке или продаже баз имеется несколько критериев, по которым оценивают их качество и то подходят они нам или нет
Среди таких критериев можно выделить следующие:
Валид, он же Валидность - процентный показатель комбинаций логин:пароль, с которыми можно попасть на почту КХ.
Приват или же Приватность - % показатель уникальных комбинаций логин:пароль, которые ранее не встречались публичном доступе. Определяется специальным софтом, так зваными АнтиПабликами.
Гео - определяет принадлежность к тому или другому региону/стране. Бывает, к примеру, Азия, ЮСА, МУР (СНГ), МИКС (Все подряд) и т.д.
Базы, как и софт, можно приобрести на теневых площадках/форумах. Баз огромное количество и цена на них очень сильно разнится в зависимости от критериев и не только.
Дальше у нас идут Прокси - это комбипании айпи:порт, используются в бруте для подмены айпи при подключениях к сайтам и не только. Это очень важная вещь, так как они помогают нам обходить блокировки по айпи. Многие сайты блокируют айпи после нескольких неудачных попыток войти в тот или другой аккаунт. Я к примеру использую stormproxies для брута и других задач. Так же огромное количество различных сервисов с разным качеством и ценами, например proxyrack, bestproxies, topproxies, awmproxy и многие другие. Цены так же могут начинатся от нескольки сотен рублей в месяц, до нескольки сотен долларов.
Подошли к последнему моменту моменту необходимому для брута:
Сервер - собственно удалённый компьютер, в основном ипользуются Windows сервера, к которому вы подключаетесь по RDP, необходим он нам во первых для бесперобойной работы софта, а во вторых для повышения своей анонимности. Сервера под брут нужны не совсем слабые, а хотябы от 2 ядер выделеных и 4 ОЗУ, чем мощнеетем лучше в целом
С первым блоком мы закончили.
Надеюсь доходчиво объяснил что такое брут и что для него нужно.
В следующем блоке мы рассмотрим более детально работу с брут аккаунтами шопов, т.е. в целом мы будем затрагивать эту тему в разрезе вещевого кардинга, а брут БА и сервисов с криптовалютой и т.д. это уже совершенно другая история и другой уровень
В основном для вбивов с брута используются аккаунты с привязаными к ним картами либо аккаунты на которых есть внутренний баланс того или иного шопа
Бывают конечно аккаунты с привязаными БА или ПП, но с них вы с вероятностью 99% ничего не поимете, не советую даже смотреть в их сторону.
В первую очередь рассмотрим работу с привязанымикартами.
Условно есть два варианта работы:
Прямой вбив на дропа или посреда
Вбив на адрес КХ, с последующим рерутом либо пикапом
Прямой вбив на дропа - очень редко заканчивается успехом при работе с брут аккаунтами, зачастую запросит CVV или полный номер карты, которых у нас конечно же не будет. Есть шопы в которых при смене не запрашивается данная информация, если вы такой нашли, то радуемся и пробуем работать по нему. Их кстати довольно таки много. Но это не отменяет того момента, что вашу покупку могут зафродить. Как никак в аккаунт входили с 3х разных айпи, т.е. сам КХ, софт для брута и мы лично + ко всему меняется адрес, что тоже добавляет очков фрода.
Вбив на адрес КХ с последующим рерутом - при таком вбиве мы меньше фродим, так как не меняем адрес КХ на свой, соответственно шанс отмены ордера в разы меньше. Но перед вбивом стоит обязательно обратить внимание на то какой почтовой службой шлёт шоп, если конечно такая информация указана. Так как шоп банально может отправить той службой, которую невозможно рерутнуть или с которой будет очень сложно запикапить наш пак. Что такое рерут и пикап думаю на последней лекции вам объяснять не нужно)
Кстати говоря говоря о гифтах - забудьте. Шанс того что вы вобъёте гифт с брут акка стремится к 0.
Стоит также упомянуть что при работе с брут аккаунтами частенько ордеры отменяют не так шопы, как сами КХ.
Ибо им приходят уведомления на почту или же в приложения шопа/банка
Поэтому не стоит сильно расстраиватся неудачам, мат (брутаккаунты) довольно таки дешевая вещь, особенно, если вы сами их добываете.
Покупные аккаунты с привязанными ЦЦ обычно стоят 1-2 доллара, согласитесь, это значительно дешевле чем покупать ЦЦ отдельно для вбива.
Но я рекомендую всё же самим добывать мат.
Про прогрев при работе с линкованными ЦЦ - особо прогревать шоп при работе с брутом не стоит, вы только время потратите зря.
Так как материал дешевый и его много вы можете смело втупую перебирать аккаунты и какие то из них 100% да зайдут
Конечно походить по шопу хотябы 1-3 минуты перед вбивом, посмотреть какой то товар и добавить в корзину - без этого никак
Про работу с привязаными картами я расказал, абсолютно ничего сложного в этом нет.
Никаких сверх настроек системы и т.д. тоже не нужно. Сфера + носок под страну КХ, а если спарсили ZIP, то ближе к ZIPу и погнали
Теперь расскажу о более сладком, что мне лично больше по душе )
Это работа с аккаунтами на которых есть баланс в шопе
Есть 2 огромных плюса при работе с такими аккаунтами:
95% шопов абсолютно не фродят ордера сделаные с балансов
Выплывает из первого плюса - мы можем спокойно менять адрес на дропа или даже на посреда и не боятся, что шоп отменит его, так как опять же 95% шопов не фродят и не проверяют такие ордера.
Есть еще один небольшой плюс - по факту можно бить даже без носков, используя обычный ВПН под страну КХ. Я не шучу :)
Можно и без сферы обойтись) Включаем инкогнито в любом браузере, включаем впн и погнали)
Конечно некоторые шопы могут и спалить такое, но шанс этого минимален. Тем не менее я рекомендую всё же использовать носки, хотя бы те же 911 и сферу, дабы от вбива к вбиву не повторять железо и отпечатки.
Из небольших минусов:
нельзя бить гифты с баланса, ниразу не видел такой возможности
таких шопов гораздо меньше чем шопов в которых есть линкованные цц, но тем не менее их и не мало, поэтому ищите
Я лично предпочитаю вариант работы с балансами.
Нахожу шоп (гугл -> регистрирую акк -> смотрю есть ли система балансов в шопе)
Обращаюсь к кодерам и заказываю софт
Базы под такие шопы беру даже паблик ибо брутомбалансов мало кто занимается - хз почему
И ебу до посинения )
Так, ну вроде я рассказал всё что хотел
Можете задавать вопросы
Единственное просьба, если увидели что я уже ответил на вопрос схожий с вашим - не задавайте его повторно
goodman
Делись бро парочкой шопов с возможность держать бабки на балансе)
По шопам это конечно свой хлеб отдавать, но могу 1-2 сказать
zalando
разных стран
и john lewis к примеру
это ЮК шоп
user80
И кодеров тоже можно
По кодерам я не могу никого посоветовать, к сожалению
С этим есть всегда небольшая проблема - они любители прибухнуть либо уйти в наркотрип, что даже чаще бывает
Поэтому я не стану кого то рекомендовать
Можно найти кодеров как и на нашем форуме, так и на бхфили экспе
temporary
валидность баз - в процентах сколько можно считать, что нормально? сколько обычно стоят базы? услуги кодеров? под каждый шоп получается надо брут софт заказывать?
При покупке валидных баз 80+% это уже хорошая валидность
Стоимость баз очень сильно разнится
От нескольких долларов за условный Микс нечеканый на валид до нескольких сотен долларов (может даже и тысяч) за какую то специфичную страну с высокой валидностью
и да, под каждый шоп получается нужен брут софт, верно
услуги кодеров также зависят от шопа
от 1500 рублей условно и до бесконечности
temporary
стоимость софта? в среднем
ну в среднем если не сложный шоп то 50-100 бакосв
izolenta
Как может не фродить заказы? Немного не понимаю. Мы же должны куки нагуливать и все такое. Тогда как такие ордеры аф будет обходить? Немного не понимаю
temporary
думаю, раз сбручен акк, значит все уже давно зарегено и КХ за нас погулял на сайте, и аф уже на него не так смотрит, может быть?
Речь о вбиве с баланса?
Даже амазон к вбивам с баланса относиться намного проще
Мы ведь не используем карту для вбива
И адрес не должен совпадать как и прочее
Деньги уже есть на счету шопа
и им в принципе фиолетово
Можете поискать в продаже брученные аккаунты того же заландо
к примеру германского
возьмите 2-3 аккаунта
войдите в них используя обычный браузер + впн
и попробуйте вбить
сильно удивитесь)
izolenta
Никто из лекторов по итогу так и не сказал с чего лучше начинать
А я разве не сказал?
По моему личному мнению брут это один из самых дешевых вариантов для старта
и при этом один из самых эффективных
конечно вы не будете сразу загребать огромные суммы
но даже пара вбивов в месяц на небольшие суммы это для начала будет хорошим результатом
yarah
will the anti fraud find it a problem that we change the address to the drop instead of the normal card holder's address?
if you mean when you work with cracked accounts + cc = yes, but if you mean cracked accounts with balance, for ex. Zalando= no
temporary
не совсем понятен вообще ход работы. что ты находишь первым, попунктно можно от и до, пусть кратко?
Находим шоп. Для этого используем банально гугл по любому интересному вам запросу.
Регистрируем аккаунт в шопе
Осматриваем полностью личный кабинет и стараемся найти признаки того что в шопе есть баланс. Само собой на самореге он будет 0. Небольшая подсказка: зачастую если у шопа есть свои Гифты, то у него есть и внутренний баланс.
Если баланс есть - заказываем брут. Подбираем базу под страну. И начинаем работу. Если баланса нет - ищем другой шоп и повторяем действия.
это если конечно речь о работае с балансом (что я предпочитаю)
ну а дальше дело за малым
yarah
so what I understand:
get brutus software
buy database
use program to find the valid accounts
buy socks
login inside accounts
warm up for couple of minutes
enter shipping, send item to drop
yes something like that
user80
Вопрос по странам для работы. Это юса или европа?
Я предпочитаю европу
Так как есть свои дропы и т.д.
Но вполне может быть и юса и даже условная азия
goldenbaum
можно гипотетически сравнить добычу лога от нужного шопа стилером или пойти аналогичным путем и сбрутитьпароль от тех же акков
Нет, это разные вещи
Логи всё же лучше будут
Они имеют куки, доступ к почте соответственно и т.д. и т.п.
Брут этого немного другое. Здесь мы подбираем условно верную комбинацию логина и пароля к шопу и залезаем в него при этом у нас нет никаких других доступов по типу почты и нет кук в целом.
yarah
do you prefer this way more than the normal: VM + socks + CC from CC shop + warmup 30 minutes + re route?? especially forus beginners?
Is the success rate higher?
yes i can reccommend it for beginners
and from my experience success rate higher, right
temporary
если европа, то дропов много?
в юсе думаю с этим получше
в юсе с дропами значительно лучше
но у меня по еу свои дела, поэтому есть свои дропы
Но в целом и в еу достаточно дроп сервисов
Не забывайте, что у нас существует приват-канал с наиболее актуальной информацией и материалом, для входапишите нашему саппорту @ouhom2