Обучение WWH 20-21. Часть 4. «Карты»
Лекция#5 Карты 23.11.2020
Лектор : Gunnar
11:14:10 AM - Gunnar: Дамы и господа, выключаем на время лекции флуд и давайте начинать
11:14:49 AM - Gunnar: Сегодня мы поговорим немного о банковских картах, принципах их работы и нюансах их покупки для работы и затронем такие вопросы, как чек карт, 3DS/VBV и почему мы даже на “хороших” картах можем получить деклайн (неуспешный результат выполнения транзакции)
11:15:15 AM - Gunnar: Каждый из вас так или иначе сталкивался в своей жизни с банковскими картами, но мало, кто задумывался, как работает процесс оплаты картой и какую информацию несет в себе сам пластик и информация, напечатанная на нем
11:15:28 AM - Gunnar: Первое, что начинающий кардер должен изучить, – базовую информацию о банковских картах в контексте нашей теневой деятельности
11:15:48 AM - Gunnar: В нашем контексте CC (Credit Card, кредитная карта, картон и.т.д) – заботливо угнанные данные реально существующей (либо виртуальной) карты холдера, не проживающего в странах СНГ
11:16:39 AM - Gunnar: Где же нам достать картон? 3 основных варианта – купить в шопах, у приватных (или не очень) селлеров, либо добыть самому (с фейкового сайта, с ботнета, какой-либо взломанной БД либо с любого другого места, куда хватит вашей фантазии). О самостоятельной добыче речь сегодня не пойдет, это тема "со звездочкой" для самостоятельного освоения
11:16:53 AM - Gunnar: Рассмотрим самый популярный и очевидный вариант с покупкой карты
11:17:00 AM - Gunnar: При покупке вы получите картон примерно в таком формате:
11:17:03 AM - Gunnar: 4147400219040084 | 12/20 | 826 | Richard Lang | 56 Groveview Cir #302 | Rochester | 14612 | NY | USA | 661-298-0881 | richielang@aol.com
11:17:22 AM - Gunnar: Формат у каждого шопа/селлера отличается, где-то его можно кастомизировать, но основные моменты идентичны
11:17:32 AM - Gunnar: В нашем примере 4147400219040084 – номер кредитной карты;
11:17:44 AM - Gunnar: 12/20 (12 месяц / 20 год) - дата окончания действия карты (Expiry/Expiration Date);
11:17:50 AM - Gunnar: 826 – защитный код карты CVV/CVV2/CVC;
11:17:57 AM - Gunnar: Richard Lang – First и Last Name (имя, фамилия);
11:18:05 AM - Gunnar: 56 Groveview Cir – Address Line 1 (первая строка адреса);
11:18:35 AM - Gunnar: #302 - Address Line 2 (вторая строка адреса). Обратите внимание, что название улицы и номер дома - это всегда Line 1, а номер квартиры/пристройки/офиса - это Line 2. Если дом частный, то Address Line 2 будет отсутствовать;
11:18:39 AM - Gunnar: Rochester – город;
11:18:50 AM - Gunnar: 14612 – Zip code (зип, аналог нашего почтового индекса);
11:18:57 AM - Gunnar: NY (New York) – штат;
11:19:00 AM - Gunnar: USA – страна;
11:19:04 AM - Gunnar: 661-298-0881 – телефон;
11:19:09 AM - Gunnar: richielang@aol.com – email-адресхолдера.
11:19:26 AM - Gunnar: Минимально необходимая информация для работы по большинству направлений - номер СС, Expiration Date, CVV, First/Last name, Address line 1, Zip code
11:19:42 AM - Gunnar: Остановимся детальнее на номере карты, он содержит в себе важную информацию для работы
11:19:53 AM - Gunnar: BIN (Bank Identification Number) – первые 6 цифр номера кредитной карты
11:20:10 AM - Gunnar: Каждая банковская организация имеет пул уникальных номеров, которые присваиваются выданным ими картам
11:20:33 AM - Gunnar: В этих номерах содержится информация о платежной системе (Visa/MC/AmEx/Discover и.т.д.), банке-эмитенте, уровне карты (Classic/Gold/Platinum и.т.д.), типе карты (Credit/Debit/Prepaid)
11:20:49 AM - Gunnar: Первая цифра BIN определяет Major Industry Identifier (MII) - глобальную платежную систему, под управлением которой данная карта работает
11:21:25 AM - Gunnar: Основные глобальные платежные системы, с которыми вам предстоит столкнуться, – AmEx (первая цифра карты начинается на 3), Visa (4), MasterCard (5), Discover (6)
11:22:08 AM - Gunnar: Подробную информацию о бинах можно найти на сервисах вроде binlist.net, binov.net (последний очень удобен для масс поиска бинов и реверсивного поиска бинов по банкам, хотя базы несколько устарели на данный момент)
11:22:22 AM - Gunnar: Если мы пробьем BIN карты из примера выше (414740), увидим следующую информацию:
11:22:30 AM - Gunnar: TYPE: VISA;
BANK: CHASE BANK USA, N.A.;
RANK: CREDIT;
TYPE: SIGNATURE;
COUNTRY: USA
11:22:53 AM - Gunnar: Остальные цифры карты, кроме последней, идентифицируют аккаунт холдера в банке, а последняя цифра - контрольная, предназначенная для валидации номера банковской карты по алгоритму Луна (Luhn Algorithm)
11:23:05 AM - Gunnar: Теперь что касается непосредственно покупки карт в шопах
11:23:16 AM - Gunnar: При покупке карт в большинстве шопов мы увидим такой параметр, как валидность базы, в которой карта поступила в шоп
11:24:01 AM - Gunnar: Шопом/селлером она определяется так: берется рандомно некоторое количество карт и валидируется чекером. Допустим, из 10 карт вышло 7 валидных – *заявленная* валидность такой базы около 70%. Отмечу, что реальная валидность может сильно отличаться в зависимости от честности селлера/шопа, используемого чекера, метода добычи карт и того, насколько давно база была добыта
11:24:15 AM - Gunnar: Чекер карт – сервис, который прогоняет карты через свои мерчи
11:24:31 AM - Gunnar: Чекеры могут работать по-разному: с карты может преавторизоваться небольшая сумма ($1-2) через мерч чекера и возвращаться обратно через небольшой промежуток времени
11:25:13 AM - Gunnar: Такой метод плох тем, что у холдера могут быть настроены нотификации на транзы и подозрительная транзакция может вынудить его заблокировать карту. Ну или он просто не вовремя может чекнуть bank statement (банковскую выписку, бывает доступна в бумажном виде, по звонку в банк, либо в онлайн-банкинге)
11:25:32 AM - Gunnar: Более продвинутые чекеры используют бесчарджевую валидацию ($0 authorization), которая проходит незаметно для холдера и дает ответ от платежной системы о валидности карты
11:25:57 AM - Gunnar: Альтернативным способом прочекать карту на валидность является ее привязка к каким-либо сервисам (как пример - к гуглу, либо в любой другой сервис, куда карта вяжется в личный кабинет)
11:26:23 AM - Gunnar: Это достаточно безопасный метод чека, который сводит риск смерти карты к минимуму при условии, что он тоже использует принцип бесчарджевой валидации
11:26:49 AM - Gunnar: В нормальных шопах за невалидные карты предусмотрен рефанд – обычно на чек дается 5-15 минут
11:27:37 AM - Gunnar: Чтобы минимизировать временные и финансовые потери, я рекомендую чекать карты после покупки и пытаться получить рефанд, если карта мертвая. Если вы не доверяете вашему методу чека карт (допустим, считаете, что он может убивать карты), можно чекать карту после вбива, чтобы свести к минимуму вероятность ее смерти от чека
11:28:26 AM - Gunnar: Также стоит помнить, что встроенные в шопы чекеры зачастую портят карты значительно сильнее, чем ваши собственные методы чека, потому пользуйтесь ими только в том случае, если уверены, что карта невалид (алгоритм чаще всего такой: вы чекаете карту чекером шопа, если чекер шопа сообщает о преждевременной кончине карты, вы получаете рефанд; если же чекер говорит, что карта жива - то нет)
11:28:51 AM - Gunnar: Также, хочу отметить, что однозначно самый безопасный метод чека карты - попытка ее заролить, либо прозвон в банк. В этом случае иногда может понадобиться пробить доп. инфу по карте (SSN (номер соц. страхования)/DoB (дату рождения холдера) или еще что-либо)
11:29:18 AM - Gunnar: Пару слов о видах CC. Как я уже говорил выше, чаще всего в работе вам будут встречаться карты Visa, MasterCard, American Express, Discover
11:29:59 AM - Gunnar: Из моего опыта, проще всего найти хорошие бины Visa и MC, однако в практике мне встречались и жирные бины амекса (однако, с последним есть своя специфика - быстрее идет чарджбек, что зачастую бывает губительно для вбивов. Нужно понимать, где такое пройдет, а где будет руинить вашу работу). Карты Discover, скорее, относятся к экзотике - но в некоторых направлениях их тоже используют
11:30:21 AM - Gunnar: Карты Visa, MasterCard и Discover имеют по 16 цифр в номере карты и 3-х значные CVV-коды. У амекса же в номере карты 15 цифр и CVV 4-х значный
11:30:34 AM - Gunnar: При работе с картами рано или поздно вы столкнетесь с защитными механизмами 3D Secure
11:30:55 AM - Gunnar: У карт Visa он называется Visa Secure / Verified by Visa (VBV); у MC - MasterCard Secure Code (MCSC), а у Amex - SafeKey
11:31:50 AM - Gunnar: Данные механизмы призваны значительно сократить процент неавторизованных/мошеннических операций с картами путем добавления дополнительного метода подтверждения транзакции, не связанного с самой картой. В случае вбива в мерч с активированной системой 3DS, при проведении транзакции вы будете перенаправлены на страницу ввода статичного кода, который должен быть известен холдеру, либо одноразового кода, отправляемого холдеру по SMS/e-mail
11:32:39 AM - Gunnar: Статичные коды будут неизвестны вам при покупке карты, однако, для некоторых бинов их можно сбросить. Бины, где такое можно провернуть, называются бинами со сбросом VBV
11:32:50 AM - Gunnar: Также, встречаются бины, которые проходят VBV автоматически
11:33:12 AM - Gunnar: Выглядит это так: во время проведения транзакции, вы попадаете на страницу VBV, аналогичную таковой для вышеперечисленных бинов, но сам код VBV у вас не запрашивает
11:34:28 AM - Gunnar: В это время банк-эмитент оценивает вашу транзакцию по своим антифрод-критериям и дает ответ мерчу, прошли вы проверку VBV, либо нет. Такие бины называются автовбв. Также, иногда автовбв карты встречаются у банков, которые просто еще не имплементировали защиту с помощью 3DS, в таких банках процент успешного прохождения VBV будет выше. Обычно это небольшие банки (чаще всего - Credit Union'ы)
11:35:07 AM - Gunnar: Если вы работаете по вещевухе с US шопами и наткнулись на шоп с VBV/MCSC, проще всего на такой шоп забить и найти другой. Если же вы бьете какой-либо сервис, где VBV обязателен (например, Airbnb), либо работаете по EU - там уже нужно искать бины со сбросом/автовбв, которые будут лезть в мерч вашего сервиса/шопа
11:35:16 AM - Gunnar: Поговорим немного о типах и уровнях СС
11:35:44 AM - Gunnar: Кредитная (Credit) - карта, на которую можно тратить заемные средства, т.е. не имея на счете собственных денег
11:36:05 AM - Gunnar: Более того, у US карт на кредитных картах зачастую нет вообще такого понятия, как положительный баланс - на них можно тратить только кредитные средства и погашать кредит
11:36:51 AM - Gunnar: Чем выше у КХ Credit Score, тем большие кредитные лимиты дает банк. Обращу ваше внимание, что если на такой карте вы захотите прозвонить в банк, либо заролить (это понятие будет детально освещено в дальнейших лекциях, подразумевает получение доступа к онлайн-банкингу карты) и узнать баланс, то реально доступными для траты средствами будет являться не account balance, а available credit
11:37:32 AM - Gunnar: Дебетовая (Debit) - карта, которая привязана к банковскому счету и является своего рода ключом к банковскому счету для удобства повседневных расчетов (очевидно, что, как метод совершения платежей, банковские аккаунты не так удобны, как карты). Списываются средства с дебеток только в пределах актуального баланса на БА
11:38:48 AM - Gunnar: Предоплаченная (Prepaid) - карта с предварительно оплаченной суммой - смарт-карта, на которой хранятся электронные деньги, заранее внесенные туда владельцем карты. В использовании аналогичны дебиткам, но в отличии от них не связаны с банковскими аккаунтами. Зачастую встречаются у платежных систем вроде Payoneer, ePayments и.т.д. Некоторые мерчи отказываются работать с prepaid-картами. Отмечу, что это наихудший вариант для работы, за исключением кейсов, когда вы четко знаете свойства такого бина, как с ним работать и что делать
11:39:31 AM - Gunnar: Что касается уровней карт - их очень много и у разных банков они разные. От Classic до Black. Детальное описание в формате ликбеза каждого из уровней вы можете почитать в рабочей конференции на форуме, там должен быть соответствующий пост
11:39:56 AM - Gunnar: С одной стороны, карты более высокого уровня говорят о более высоком статусе владельца и потенциально на них может находиться больше денег, чем на картах низких уровней
11:40:25 AM - Gunnar: Однако, на практике это далеко не всегда так - к примеру, в моем арсенале есть бины Classic, на которых всегда очень много доступных средств, их холдеры в большинстве своем активны и такие карты позволяют списывать крупные суммы
11:40:56 AM - Gunnar: С другой стороны, есть бины Platinum, на которых в среднем и денег мало и списывать транзакции с них получается со скрипом, а зачастую это вообще невозможно из-за повсеместных лимитов и злого банковского фрода
11:41:38 AM - Gunnar: Таким образом, я хочу развеять популярный миф о том, что стоит стараться брать карты более высоких уровней - зачастую, это далеко не так (по крайней мере, при работе с US картами. В случае с EU картами, использование карт уровней Gold и выше оправдано и действительно показывает статистически лучшие результаты)
11:42:16 AM - Gunnar: Также хочу отметить, что далеко не всегда наличие доступных к трате средств на карте равно успешному вбиву и сейчас я дам развернутое объяснение, почему. Для этого рассмотрим детально всю кухню, происходящую при оплате картой и скрытую от глаз обывателя
11:42:26 AM - Gunnar: Процесс оплаты банковской картой в Интернете не такой простой, как кажется на первый взгляд
11:42:35 AM - Gunnar: Допустим, вы проводите оплату в онлайн-магазине
11:42:43 AM - Gunnar: Разберем основных участников процесса оплаты:
11:43:00 AM - Gunnar: - КХ: кардхолдер, владелец карты, с которой совершается платеж;
11:43:34 AM - Gunnar: - Мерчант: собственно, онлайн-точка продажи товара с расчетным счетом, куда в итоге должны поступить средства за товар. Многие путают мерчант и то, что правильнее называть payment gateway. Это разные сущности, однако на кардерском сленге для упрощения мы говорим о них, как о едином целом (о мерче);
11:43:53 AM - Gunnar: - Payment Gateway (платежный шлюз) - технология, позволяющая связать мерчант с процессинговым центром и банком-эквайером;
11:44:29 AM - Gunnar: - Процессинговый центр - высокотехнологичная система обработки платежей по банковским картам в сфере электронной коммерции. Принимает данные от платежных шлюзов, обрабатывает и перенаправляет их банку-эмитенту;
11:44:56 AM - Gunnar: - Банк-эквайер (банк мерчанта) : банк, который является участником глобальной платежной системы (Visa/MC и.т.д.) и позволяет бизнесу принимать платежи при помощи банковских карт;
11:45:08 AM - Gunnar: - Банк-эмитент (банк КХ) : банк, который также состоит в глобальной платежной системе и выдал карту холдеру;
11:45:59 AM - Gunnar: - Глобальная платежная система (Visa/MC и.т.д.) - организация, регулирующая и производящая межбанковские взаиморасчеты. Простыми словами, позволяет перебросить деньги со счета банка-эмитента на счет банка-эквайера и разруливает весь происходящий при этом процесс и решает возможные проблемы
11:46:11 AM - Gunnar: После нажатия КХ кнопки Place Order, сначала данные попадают в антифрод-систему шопа
11:47:05 AM - Gunnar: Она оценивает ордер по своему огромному массиву критериев (рекомендую ознакомиться со статьями
https://wwh-club.cc/index.php?threads/payment-fraud-antifrod-shopov-2018-vzgljad-iznutri-chast-no1.114525 ;
https://wwh-club.cc/index.php?threads/payment-fraud-antifrod-shopov-2018-vzgljad-iznutri-chast-no2.115342/ ;
https://wwh-club.cc/index.php?threads/razbor-antifraud-sistemy-kompanii-sift.177700/ ; https://wwh-club.cc/index.php?threads/razbor-antifraud-sistemy-kompanii-seon.177425/ )
и принимает решение о том, пропустить ли ордер дальше автоматом, отправить на ручной вериф либо дать инстант деклайн
11:47:25 AM - Gunnar: На этом этапе в большинстве случаев данные карты еще не ушли дальше шопа
11:47:38 AM - Gunnar: Если проверка антифродом успешно пройдена, либо менеджер вручную зааппрувил ордер, процесс оплаты продолжается
11:48:29 AM - Gunnar: После аппрува ордера, данные собираются, шифруются и передаются в платежный шлюз (Payment Gateway). В свою очередь, он оценивает транзакцию по своим критериям (у шлюзов есть свои антифрод-системы, позволяющие выявить подозрительные паттерны) и может сразу развернуть оплату
11:49:03 AM - Gunnar: Допустим, транзакция КХ показалась шлюзу легитимной - в этом случае, он передает все данные дальше процессинговому центру. Процессинговый центр снова проводит проверку по своим критериям мошеннических транзакций и принимает решение о том, направлять ли транзакцию дальше
11:49:18 AM - Gunnar: Если процессинговому центру все понравилось - транзакция идет через глобальную платежную систему к банку-эмитенту
11:50:45 AM - Gunnar: Банк-эмитент анализирует транзакции КХ и в случае, если транзакция кажется ему из ряда вон выходящей (например, КХ никогда не покупал с карты ничего дороже $100, а вы вдруг пытаетесь вбить золотой слиток за $10k) - также может завернуть транзакцию (как минимум, до звонка КХ в банк и верифа такой транзакции, сопровождающегося обычно приличным количеством вопросов, ответы на которые в теории должны быть известны только КХ)
11:51:15 AM - Gunnar: Банк-эмитент также смотрит на установленные холдером лимиты и, конечно же, наличие доступных собственных/кредитных средств
11:51:53 AM - Gunnar: Если и банку-эмитенту кажется, что все в порядке, он передает положительный ответ в банк-эквайер обратно через глобальную платежную систему, тот, в свою очередь, возвращает результат успешной транзакции платежному шлюзу и шлюз сообщает напрямую вам и менеджерам шопа об успешной оплате
11:52:26 AM - Gunnar: Теперь вы понимаете, почему тот факт, что у вас на руках имеется карта с известным балансом, не дает вам уверенности в успешном вбиве? Вы имеете дело с многоступенчатым антифродом (шопа, платежного шлюза, процессингового центра и банков)
11:53:09 AM - Gunnar: Вся наша деятельность заключается в том, чтобы все ступени антифрода научиться эффективно обходить. Это достаточно сложно, потому, что всегда есть много переменных, которые нам недоступны, но грамотно анализируя вбивы, рано или поздно мы находим уязвимости, которые и эксплуатируем, пока они не закроются
11:53:29 AM - Gunnar: Если мы говорим о работе с картами, то у нас есть 2 основные сущности, которые мы должны правильно подобрать, чтобы обойти вышеназванные системы защиты
11:54:36 AM - Gunnar: Первая - это техническая сторона, а именно - правильная настройка системы, имитирующая таковую реального холдера (включает, к примеру, системные языки, часовой пояс и.т.д., подмену IP-адреса при помощи анонимайзеров (прокси-серверов, SSH-туннелей, OVPN/PPTP конфигов, прямого доступа к машинам (RDP, (H)VNC и.т.д.) и поведенческие факторы (имитацию действий реального пользователя)
11:55:36 AM - Gunnar: Вторая - сторона, связанная непосредственно с картами, а именно - поиск бинов, обладающих нужными вам для работы с выбранным сервисом характеристиками: стабильное прохождение транзакций на нужные суммы, возможность обхода VBV, возможность enroll'а, либо добычи определенной информации прозвоном в банк и.т.д.
11:55:49 AM - Gunnar: В дальнейших лекциях мы так или иначе будем затрагивать обе этих стороны применимо к различным направлениям в кардинге
11:55:57 AM - Gunnar: На этом на сегодня у нас все, жду ваших вопросов
11:56:09 AM - gangass13: 1) TYPE: SIGNATURE - что это?
2) по алгоритму Луна - что это?
3) в чем смысл чекать карту после вбива, если она невалид? не придется потом заново настраивать систему?
4) будут ли примеры более или менее нормальных бинов, чтобы не сливать деньги на плохой материал?
12:01:04 PM - Gunnar: 1. В данном контексте это тип карты Visa Signature, один из высоких уровней карт;
2. Luhn algorithm, рекомендую загуглить, если интересно в деталях. Лучше википедии я о нем не расскажу;
3. В том, чтобы получить за нее реф в шопе. По поводу настройки системы заново после деклайна - если ты бьешь в тот же шоп (а так же в шоп с таким же мерчем и АФ) - однозначно нужно настраивать заново / создавать новый конфиг в антике;
4. Нет, базу бинов вы будете нарабатывать сами. Очень сложно дать бины просто так, т.к. разные бины обладают разными свойствами: какие-то лезут в определенный мерч, какие-то нет и.т.д. К тому же, бин / шоп, данный на аудиторию в 40 человек из рабочего достаточно быстро может превратиться в нерабочий
12:02:53 PM - Yarah: https://wwh-club.ws/index.php?threads/payment-fraud-antifrod-shopov-2018-vzgljad-iznutri-chast-no1.114525/
12:07:41 PM - SPARK_LQ: 1. по какому принципу отсеивать бины и искать нормальные? можешь поделиться личным опытом , как делаешь и подбираешь бины ты. то есть вбил n кол во карт одного бина на всех не оказалось необходиммой суммы / не влез в мерч. можно выкинуть этот бин? или сколько лучше будет перебрать карт одного бина чтобы понять жир или нет.
2.если в мерч не лезет цц определенного бина , это означает что все цц этого бина не влезут в этот мерч ? или могут быть исключения?
3. расскажите про шопы цц , где лучше брать цц , какие шопы помойные / более менее нормальные?
12:13:27 PM - Gunnar: 1. Очень сильно зависит от сервиса, в который ты тестишь бины. К примеру, если сервис с VBV, то у тебя 2 критерия отбора бина: 1) прохождение VBV (авто/сброс, гораздо чаще встречается первый вариант) и 2) прохождение транзакций на нужную сумму. В идеале, конечно, тестить бин при известном балансе (покупаешь карту > прозваниваешь в банк/роллишь), но далеко не со всеми бинами это получается, потому я тестирую бин хотя бы 3-4 раза, чтобы сделать о нем вывод (и даже в этом случае чисто статистически вывод может быть некорректен, однако в целом картина обычно достаточно точна при таком подходе). Если ты тестишь бины в шопы без вбв, то тебе нужно тестить бин как минимум в несколько шопов. У меня критерий примерно следующий: если бин не прошел >3 раз на $1000 в тестируемый шоп, я больше не буду тестить его в этот шоп и буду отдавать более низкий приоритет при тесте его в другие шопы. При выборе бинов я опираюсь на то, чтобы карта тестируемого бина была из максимально свежей базы, банк был не из топ-15 крупных и обязательно проверяю ее на валид дабы исключить неверный вывод о бине из-за некачественного мата
12:15:32 PM - Gunnar: 2. Исключения есть всегда, приведу простой пример. В Airbnb не лезут карты, допустим, Chase Bank / BofA при прямом вбиве "в лоб". В 1/20 случаев не залезут, если это будут рандомные карты. Однако, если в такой карте недавно была транзакция в Airbnb, то именно эта карта с высокой степенью вероятностью станет той самой одной из 20.
12:16:11 PM - Gunnar: 3. Я беру карты в 95% случаев в следующих шопах: бинго, ферум, джокер, валидцц. Они покрывают подавляющее большинство моих запросов
12:16:29 PM - panacash: Я правильно понимаю что если на кредитной карте отрицательный баланс, то можно пробовать с нее заливать?
12:19:09 PM - Gunnar: Не совсем правильно. Account balance - это сумма транзакций за месяц, она может быть либо нулевой (картой не пользовались), либо положительной. Лучше брать карты с ненулевым balance, т.к. по карте были движения и транзу с нее банк одобрит с более высокой степенью вероятности, чем с карты, которая была неактивной какое-то время. Т.е. в случае с кредитной картой идеальный сценарий выглядит так: account balance > $100, available credit хотя бы на $100-200 больше суммы, которую ты собираешься бить
12:20:42 PM - noghosting: Gunnar: Good day, can we get the English lecture?
12:22:09 PM - Yarah: noghosting I dont speak Russian either, you can open laba.im/xmpp on Google Chrome and use auto translator from Google. It will translate instantly what the lecturer says and you can understand 95%+ of what's said.
12:22:22 PM - Gunnar: noghosting: There will be a translation available on the forum after the lecture is over (yet I believe they use Google Translate so the quality might be worse than you could expect)
12:22:40 PM - Gunnar: Yarah: yeah, good point
12:23:18 PM - ame: 1.Вопрос по поводу паблик шопов, который предоставляют материал, какое качество материала в них?
И стоит ли гнаться за продавцами, которые где то там, в "непаблик"?
2.Как определить какой мерч стоит в магазине?
12:23:20 PM - Yarah: Gunnar I have a question
12:23:47 PM - Gunnar: Yarah: Sorry, looks like I missed your question. You'll be next in line
12:24:17 PM - noghosting: yea but on chrome you cant use OTR plugins
12:24:42 PM - noghosting: Gunnar: Thanks boss
12:27:07 PM - Gunnar: ame:
1) Так все адекватные шопы - по факту паблик. Как минимум - те, что я перечислил выше. Нет, гнаться не стоит, есть много причин, по которым крупные "паблик" шопы лучше, чем мелкие селлеры. Банально - количество мата и наличие редких бинов. Да, к ним есть другие вопросы, но все их минусы не перевешивают плюсы большого количества карт в наличии.
2) Думаю, это будет затронуто в дальнейших лекциях. На мой взгляд, адекватных метода 2: в некоторых шопах мерч так или иначе обозначен (может быть написано, что за мерч, интеграция оплаты может быть реализована так, что тебя перенаправляет на брендированную страницу мерча и.т.д.); либо, если упоминаний мерча нет - нужно анализировать запросы браузера в Developer Tools > Network и искать в них запросы от/к мерчу
12:27:14 PM - Yarah: 1. using CC(Full name, card number, DOB, ZIP etc) info only VS using Logs(cookies, fingerprints etc.)? will CC only work ?
2. should we look for NON-VBV cards shops/sellers?
12:29:25 PM - deadhasan: нужно анализировать запросы браузера в Developer Tools > Network и искать в них запросы от/к мерчу я не понял вот это
12:29:35 PM - Gunnar: 1. It definitely might work, yet if you have the account from logs with the attached CC, cookies, etc. - success rate will definitely be higher.
2. If you are planning working with services that have VBV implemented, then you might start searching for non/auto VBV BINs sellers and then look up those BINs in the CC shops.
12:29:56 PM - Gunnar: deadhasan: https://developers.google.com/web/tools/chrome-devtools/network
12:32:28 PM - centurion_52: 1. В начале работы стоит ли покупить бины авто VBV (видел предложения на форуме) или лучше искать самому?
2. Обязательно ли каждый раз звонить в банк перед вбивом для того чтобы узнать баланс?
12:33:51 PM - deadhasan: проходят как минимум я их вижу)
12:36:09 PM - Gunnar: centurion_52: 1. Стоит, если ты планируешь работать с сервисами с активированным VBV. Понятно, что далеко не все из этих бинов будут лезть в выбранный тобой сервис, но это все еще гораздо лучше, чем тестить рандом;
2. Необязательно, но имеет смысл, если ты хочешь знать баланс (и тем самым повысить % успешных вбивов). Это имеет смысл не всегда по причинам, которые я описал в лекции. Скажем так: тесты без прозвонов будут быстрее (сможешь охватить больше мата), но менее эффективными
12:36:36 PM - Temporary: 1.почему все банки поголовно не вводят vbv(не авто и не со сбросом)?
2. кончится ли вся сс-тема, когда все банки или большинство введут такое vbv?
12:41:06 PM - Gunnar: 1. Хороший вопрос. Из моего опыта, банковская система США - архаична и неповоротлива и зачастую для многих (особенно - небольших) банков стоимость имплементациии подобного рода систем слишком высока. Что говорить, если зачастую банковский софт в таких банках крутится на эмуляторах мейнфреймов (серверов 80х-начала 90х годов) и переписать его никто не берется по принципу "работает - не трожь". Айти-отделы в таких банках соответствующие, для изменения этого нужен прогрессивно мыслящий менеджмент и свободные средства, а комбинации таких факторов встречаются далеко не всегда.
2. Если будет введено VBV с OTP по смс, то 95% кардинга с СС действительно вымрет. Останется только небольшая прослойка кардеров с ботами для мобайл-устройств / другими средствами для перехвата смс (например, перевыпуск SIM), которые смогут противостоять такой защите
12:41:45 PM - Koba787: Простите за массу глупых вопрос, но это уже традиция:
1 - хотелось бы примеры хороших чекеров (хотя бы условно) и хорошие шопы с СС? (на том же форуме полно рекламы и один краше другого;)
2 - что такое хороший БИН? как научится понимать хорошесть БИНа? какие его признаки и свойства?
3 - по какому принципу подбираются БИНы? в том числе и где можно сбросить VBV и как его сбросить? И как подбирать БИНы с автоВБВ?
4 - в логах поправьте ссылки плиз (тут битые - СС надо заменить на англ. СС;))
5 - какие пункты относятся к аналитике вбивов, то есть какие моменты и эпизоды надо фиксировать, что бы анализировать в правильном направлении?
6 - Есть БИН, который был успешен и 10, которые были не успешны, но БИН это же 6 цифр из 14-16. Как анализировать то? В том же шопе СС искать БИНы из серии успешных БИНов? или как?
7 - в ответах было про баланс карты: есть чекеры и баланса или только валидности?
8 - я так понимаю в выборе кредит/дебит - точного ответа не существует, может быть лажа и там и там с одинаковой вероятностью?
(если мой вопрос повторился прошу скопипастить ответ) - сорри, по ответам не всегда понятно, где куда отвечали сегодня)
12:49:15 PM - Temporary: Koba787 у меня не было ответов лектора
12:51:35 PM - deadhasan: Я готовлю свой конфиг для отдельного тестирования каждого БИНСА с ближайшим SOCKS5.
Я покупаю соответствующий отпечаток пальца и файлы cookie, чтобы заказать его на LOG Cdiscount или на Amazon.
1- Нужно ли мне переделывать конфигурацию от A до Z при каждой попытке, если BIN не работает с первого раза.
2- Рекомендуется ли, чтобы лучше адаптироваться к поведению реального клиента, перейти на страницу продажи статьи через рекламное электронное письмо или рекламу на партнерском сайте? SCORING?
3- С крупными торговцами, такими как Amazon и другие, не лучше ли использовать учетные записи PayPal? И используйте CC на более "независимых" сайтах.
Большое спасибо за ответы, я прибыл во время конференции, поэтому надеюсь, что ответ не был дан до моего приезда.
12:52:40 PM - Gunnar: 1. Самый адекватный чекер сейчас на мой взгляд - Paris Checker в телеграме (@CCParisBot). По поводу шопов ответил выше.
2. В лекции этот вопрос был освещен, резюмирую: хороший бин - тот, который обладает нужными тебе свойствами (например, прозванивается на баланс/recent transactions, роллится, проходит вбв, вяжется к нужному тебе сервису удобным тебе способом и.т.д.) и при этом относительно стабильно (в 50%+ случаев) дает списать нужные тебе суммы в нужный сервис.
3. Подбираются в зависимости от твоих целей, перечитай мои ответы выше. Сброс VBV, если он возможен, чаще всего осуществляется в окне VBV при помощи ссылок вроде Forgot password. Если сброс возможен, ты будешь перенаправлен на форму сброса кода, где тебе нужно будет ввести какие-либо данные КХ, чтобы его подтвердить: где-то достаточно только данных карты, где-то нужен SSN+DOB, где-то инфа, которую невозможно пробить. Подбирать бины с автовбв можно только тестами.
4. Сорян, не переключил раскладку, спасибо за замечание.
5. Результат выполнения транзакции и любые аномалии при ее проведении. Ответы мерча, скорость реакции КХ (как быстро транзакция была отменена в случае cancel'а заказа), в случае с вбв - как именно бин проходит (или не проходит) вбв и что при этом происходит. Желательно успешные бины звонить/пытаться роллить, чтобы получить еще больше контроля над вбивами в будущем и различные возможности, которые дает enroll (у вас будет по этому направлению отдельная лекция)
6. В любом шопе CC есть поле BIN в фильтрах. Также зачастую можно искать по банку (облегчает поиск схожих бинов), уровню карты и.т.д.
7. Есть чекеры баланса, но я крайне не рекомендую ими пользоваться, т.к. чекают они авторизацией нужной суммы, что с высокой долей вероятности убивает карты;
8. Совершенно верно
12:54:33 PM - Gunnar: deadhasan: Ну твой вопрос ломает мозг, конечно
12:55:52 PM - Gunnar: Ты можешь переформулировать по пунктам более понятно?
12:56:20 PM - deadhasan: я нечайно это отправил сорян
12:57:20 PM - Gunnar: Ок, тогда если будет вопрос от тебя, то дальше в порядке очереди )
12:57:42 PM - Koba787: 2 - ответ на 2 вопрос: правильно ли я понимаю, что присборе статиске именно первые 6 wabh позволят более успешно подбирать под мои цели? я к тому, что остальные 8 цифр то меняются, к примеру БИН подобран, как успешный и допустим это дебетовая карта (да или даже кредитная), в том или ином банке, но ведь это не гарантирует, что у другоу КХ с аналогичным БИНом будет тот же лимит на карте или тот же баланс? ИЛи если это БИН с НОНВБВ, у друго КХ с аналогичным БИНом не будет ВБВ?
1:01:00 PM - Gunnar: Понятно, что даже самый лучший в мире BIN не даст тебе в нужный тебе сервис в 100% случаев, даже если он туда очень хорошо лезет по причине того, что не может быть у всех холдеров нужный тебе баланс на карте. Однако, чисто статистически, одни бины значительно больше подходят для вбивов, чем другие. Зачастую даже вопрос не столько в самом бине, сколько в банке (возможно, именно слабая защита банка позволяет его бинам хорошо проходить), однако также нередки случаи, когда это именно такая удачная комбиинация банка + уровня карты + типа карты, и другие бины этого банка не будут настолько же хороши.
1:01:21 PM - centurion_52: Насчет поиска "хороших" БИНов. Например я нашел рабочий бин и там банк X, система Y, уровень Z итд... Потом в сс шопе я забиваю эти параметры и получаю еще массу рабочих бинов, так?
1:02:47 PM - Gunnar: centurion_52: Не так по причине, которую я как раз описал в прошлом ответе. Основным параметром будет как раз банк, вот забив тот же банк и посмотрев аналогичные по параметрам бины - скорее всего, они будут примерно такими же, как и твой изначальный
1:04:09 PM - Koba787: Gunnar: я бы с удовольствием посмотрел пример подбора в лайве)) никто не устал
1:04:14 PM - centurion_52: <ipetrov> Как войти в ролку через приложение? Спасибо
1:04:47 PM - Gunnar: Koba787: Частично возможно это будет на лекции по пикапу. Там будет онлайн. Я постараюсь рассказать вкратце, как я буду подбирать тестовую карту
1:05:30 PM - Gunnar: ipetrov: у вас будет отдельная лекция по enroll, там будет это все рассмотрено в подробностях, дождись :)
1:05:34 PM - OTJlU4HUK: Короче говоря, как я вижу всю картину. Договорившись заранее с дропом, я лезу в магазин сс. Там смотрю весь список карт, которые дают мне хоть какую-то инфу(адрес, банк, валид, есть мыло, телефон). Если все устраивает, копирую бин и чекаю телеге более точную инфу, а там уже по шопам конкретно буду ориентироваться?
1:08:24 PM - Gunnar: OTJlU4HUK: Ну по поводу поиска мата не совсем так. В магазин сс ты лезешь и ищешь там карты под зипы твоего дропа. Если у тебя уже есть рабочие бины, то ищешь карты по совпадению BIN + зипы в радиусе твоего дропа (либо, если ты планируешь рерут, то зипы тебя интересуют в меньшей степени, рерутить можно откуда угодно, тогда ориентируешься только на сами карты - BIN/банк/уровень карты/бренд (visa/master/amex)). Опять же, мы это более детально разберем на лекции по пикапу
1:11:52 PM - centurion_52: <Koba787> Много СС идут в разными данными, где то только фио, мейл и зип, где то фио и зип. На сколько полнотоа инфы влияет на результат? имеет ли сымсл покапать СС где только ФИО и ЗИП? При том, что шоп говорит о валидности в 95%^ к примеру
1:13:27 PM - Gunnar: Зависит от того, куда ты бьешь. Зачастую эти данные нужны только для enroll/прозвона в банк
1:14:02 PM - Gunnar: Окей, дамы и господа, я вынужден откланяться, т.к. очень сильно нужно отлучиться
1:14:08 PM - Gunnar: У нас еще 2 лекции будет с вами
1:14:12 PM - Gunnar: Успеем вдоволь наобщаться
1:14:44 PM - Gunnar: Отзывы о лекции можно оставить здесь: https://wwh-club.cc/index.php?threads/otzyvy-o-gunnar.143054/
1:14:58 PM - Gunnar: Всем спасибо за присутствие и успешных вбивов!
Не забывайте, что у нас существует приват-канал с наиболее актуальной информацией и материалом, для входапишите нашему саппорту @ouhom2