Сегодня мы зайдем в мир банковских карт, разберем основы их функционирования, а также обсудим их покупку, чек-карты, AVS, 3DS/VBV и причины, по которым даже на вид крутых картах иногда можем получить отказ в совершении транзакции.
(19:21:07) Cyb3rH4ck: Каждый из нас сталкивался с банковскими картами, но немногие задумывались о том, как работает процесс оплаты картой и какая информация находится на карте.
(19:21:36) Cyb3rH4ck: Первое, что начинающий хакер-программист должен изучить, - это основную информацию о банковских картах в контексте нашей подпольной деятельности.
(19:22:16) Cyb3rH4ck: Подчеркну, что любую информацию, которую вы получаете при работе, будь то успешный или неуспешный заказ, нужно записывать. Это поможет избегать ошибок и забывчивости. Например, вот так:
(19:23:00) Cyb3rH4ck: Давайте продолжим.
(19:23:31) Cyb3rH4ck: В нашем контексте CC (Credit Card, кредитная карта) - это информация о реальной или виртуальной карте, принадлежащей владельцу, не проживающему в странах СНГ.
(19:24:09) Cyb3rH4ck: Где можно достать информацию о картах? Существует три основных способа: покупка у продавцов, поиск у частных (или не очень) продавцов, или самостоятельное добыча (например, с фейковых сайтов, с перехвата на реальных сайтах, из ботнетов, взломанных баз данных и других мест в зависимости от вашей фантазии). Сегодня мы не будем подробно обсуждать самостоятельную добычу, это тема для самостоятельного изучения.
(19:24:39) Cyb3rH4ck: Рассмотрим самый популярный способ - покупку карт.
(19:27:50) Cyb3rH4ck: При покупке вы получите информацию о карте в следующем формате:
Номер карты: 4147400219040084
Срок действия: 12/21
CVV: 826
Имя: Richard Lang
Адрес: 56 Groveview Cir #302
Город: Rochester
Почтовый индекс: 14612
Штат: NY
Страна: USA
Телефон: 661-298-0881
Email: richielang@aol.com
Формат может варьироваться, но основные элементы остаются неизменными.
В нашем примере:
Номер карты (Card Number): 4147400219040084
Срок действия (Expiration Date): 12/21 (12 месяц / 21 год)
CVV: 826 (защитный код карты)
Имя (Name): Richard Lang
Адрес (Address): 56 Groveview Cir #302
Город (City): Rochester
Почтовый индекс (Zip code): 14612
Штат (State): NY (New York)
Страна (Country): USA
Телефон: 661-298-0881
Email: richielang@aol.com
(19:29:11) Cyb3rH4ck: Минимально необходимая информация для большинства операций включает номер карты, срок действия, CVV, имя и фамилию, первую строку адреса и почтовый индекс.
(19:30:16) Cyb3rH4ck: BIN (Bank Identification Number) - первые 6 цифр номера карты. Каждый банк имеет свои уникальные номера, которые присваиваются их картам. Эти номера содержат информацию о платежной системе (Visa/MC/AmEx/Discover и т.д.), банке-эмитенте, уровне карты (Classic/Gold/Platinum и т.д.) и типе карты (Credit/Debit/Prepaid).
(19:31:06) Cyb3rH4ck: Первая цифра BIN определяет Major Industry Identifier (MII) - глобальную платежную систему, под управлением которой работает данная карта. Основные платежные системы, с которыми вам предстоит работать, - AmEx (первая цифра карты начинается на 3), Visa (4), MasterCard (5), Discover (6).
(19:32:37) Cyb3rH4ck: Для получения более подробной информации о BIN можно воспользоваться сервисами вроде binlist.net, binov.net (последний полезен для массового поиска и обратного поиска BIN по банкам, хотя базы могут быть несколько устаревшими на данный момент). Также базы BIN встроены в большинство магазинов.
(19:35:02) Cyb3rH4ck: Давайте проанализируем данные из BIN-примера выше (414740):
ТИП: VISA;
БАНК: CHASE BANK USA, N.A.;
УРОВЕНЬ: КРЕДИТ;
ТИП: СИГНАТУРА;
СТРАНА: США
Мы подробнее рассмотрим значения RANK и TYPE позже (они определяют тип и уровень карты), остальные данные можно сразу понять по названию.
(19:36:11) Cyb3rH4ck: В большинстве магазинов, где продаются карточки, есть параметр, который называется валидность базы. Это определяет, насколько недавно карта была проверена на валидность. Продавец выбирает несколько случайных карт и проверяет их с помощью чекера. Предположим, из 10 карт, 7 оказались валидными - заявленная валидность базы около 70%. Но на самом деле реальная валидность может сильно различаться в зависимости от честности продавца, используемого чекера и методов, которыми карты были получены и проверены.
(19:37:39) Cyb3rH4ck: Чекер карт - это сервис, который проверяет карты через свои механизмы. Эти чекеры могут работать по-разному. Например, через чекер может быть выполнена небольшая предварительная авторизация на $1-2 через мерч чекера, а затем средства возвращаются. Однако этот метод рискованный, так как холдер может получить уведомление о транзакции и заблокировать карту. Иногда он может не заметить транзакцию вовремя, если не следит за банковскими операциями.
(19:38:23) Cyb3rH4ck: Более продвинутые чекеры используют метод без предварительного списания ($0 authorization), который обычно проходит незаметно для холдера и дает ответ о валидности карты от платежной системы.
(19:39:59) Cyb3rH4ck: Альтернативным способом проверки валидности карты является ее привязка к каким-либо сервисам, например, к аккаунту Google или любому другому сервису, где карта может быть использована.
(19:40:23) Cyb3rH4ck: Этот метод проверки относительно безопасен и снижает риск блокировки карты, особенно если он использует метод без предварительного списания.
(19:41:54) Cyb3rH4ck: В нормальных магазинах предусмотрен возврат средств за невалидные карты обычно в течение 5-15 минут. Рекомендуется проверять карты после покупки и, в случае мертвой карты, пытаться вернуть средства. Если вы не доверяете методу проверки (например, считаете, что он может убить карту), можно проверить карту после ввода данных, чтобы минимизировать риск.
(19:43:16) Cyb3rH4ck: Стоит помнить, что встроенные в магазины чекеры часто намного жестче воздействуют на карты, чем ваши собственные методы. Их следует использовать только в случае, если уверены, что карта невалидна. Если чекер магазина сообщает о преждевременной блокировке карты, вы можете попытаться вернуть средства. Если же он говорит, что карта жива - то нет.
(19:44:39) Cyb3rH4ck: Самым безопасным методом проверки карты является попытка ее заролить (получить доступ к онлайн-банкингу карты) или прозвонить на баланс. В этом случае иногда может потребоваться дополнительная информация о карте, такая как SSN (социальный номер страхования) или дата рождения холдера.
Несколько слов о типах кредитных карт. Как я уже упоминал ранее, вы чаще всего встретите карты Visa, MasterCard, American Express и Discover.
(19:45:48) Cyb3rH4ck: Из моего опыта, самые легко доступные бины обычно относятся к Visa и MasterCard. Однако с American Express бывают жирные бины, но у них есть свои особенности, так как у Amex более активное использование возможности чарджбека, что может негативно сказаться на вашей работе. Поэтому важно знать, где Amex будет работать и где она может вызвать проблемы. Карты Discover считаются более экзотичными, но они также могут использоваться в некоторых сферах.
(19:46:02) Cyb3rH4ck: Карты Visa, MasterCard и Discover имеют по 16 цифр в номере и 3-х значный CVV-код. У American Express в номере карты 15 цифр и 4-х значный CVV.
(19:47:11) Cyb3rH4ck: Некоторые страны, такие как США, Канада, Австралия, Новая Зеландия и Соединенное Королевство, имеют систему проверки адреса (Address Verification System, AVS), которая сверяет адрес, указанный при транзакции, с данными в банке-эмитенте. Если данные не совпадают (например, цифры в адресе и почтовом индексе), банк вернет ответ AVS Mismatch, и транзакция будет отклонена. Эти понятия, такие как billing и shipping address, будут подробно рассмотрены в последующих лекциях.
(19:48:51) Cyb3rH4ck: Но для общего понимания, давайте разберем это:
(19:50:10) Cyb3rH4ck: AVS - Address Verification System должны были изучать, суть в том что если делаете транзакцию внутри страны (то есть банк эмитент карты той же страны что и магазин) у вас могут сверить цифровую часть адреса, и если он не совпадает будет decline, список стран у которых есть эта система запомните. То есть этой системы нет в РФ/EУ.
(19:51:12) Cyb3rH4ck: (прим. на корпоративных картах англии нет AVS, так же не все карты в usa/ca/au могут иметь такую защиту, в usa и ca почти все, в au реальнее найти без сверки)
(19:52:46) Cyb3rH4ck: При работе с картами рано или поздно вы столкнетесь с защитными механизмами 3D Secure
(19:53:30) Cyb3rH4ck: У карт Visa он называется Visa Secure / Verified by Visa (VBV); у MC - MasterCard Secure Code (MCSC), а у Amex - SafeKey. Соответственно у многих шлюзов есть свои аналоги.
(19:54:31) Cyb3rH4ck: 3Dsecure - Кажется обычно ее называют 3ий слой защиты, суть в том что вы вводите интернет пароль для покупок, я думаю вы уже с этим сталкивались при покупке с ваших карт, когда для подтверждения транзакции банк присылал вам sms код.
(19:55:38) Cyb3rH4ck: Что очень важно отметить, если вы сделали покупку с 3дс кодом,чарджбек ложиться полностью на плечи кардхолдера или банка, магазин ответственности не несет за эту операцию, то есть даже если кардхолдер спалит транзакцию маловероятно что на шоп это повлияет и он не отправит вам товар, но тут есть исключение (шоп который дорожит своей репутацией отменит).
(19:56:29) Cyb3rH4ck: То есть транзакции с 3дс кодом обладают высоким трастом (исключение USA ввиду того что там интернет пароль зачастую статичный, то есть к примеру как пароль от email, и его можно сбросить).
(19:57:39) Cyb3rH4ck: Чуть проясню это окно ввода 3дс кода у USA банка, но вместо смс вас просит банк ввести информацию по карте+зип код.
(19:58:18) Cyb3rH4ck: В общем то 3ds самый распространенный тип защиты, в большинстве стран у мерчантов в шопах подключен он у карт
(19:58:53) Cyb3rH4ck: То есть если у мерчанта не подключена эта защита, а на карте она стоит то транзакция пройдет без 3дс, так как это не было инициировано шопом.
(20:00:34) Cyb3rH4ck: Давайте более детально рассмотрим систему 3D Secure:
Эти механизмы были созданы с целью снижения процента несанкционированных и мошеннических операций с кредитными картами. Они добавляют дополнительный способ подтверждения транзакции, не связанный напрямую с самой картой. Когда вы производите покупку в магазине с активированной системой 3D Secure, вас перенаправляют на страницу, где нужно ввести статический код, известный только владельцу карты, или одноразовый код, отправляемый по SMS или по электронной почте.
(20:01:42) Cyb3rH4ck: Статические коды неизвестны вам при покупке кредитных карт, однако для некоторых BIN (первые цифры карты) их можно сбросить. Такие BIN, где это возможно, называются "BIN с сбросом VBV."
(20:02:50) Cyb3rH4ck: Существуют также BIN, которые автоматически проходят проверку VBV. При совершении транзакции вы попадаете на страницу VBV, похожую на ту, которая описана выше, но вам не нужно вводить сам код VBV. В это время банк-эмитент оценивает вашу транзакцию по своим антифрод-критериям и дает ответ магазину: прошла ваша транзакция проверку VBV или нет. Такие BIN называются "автовбв." Иногда карты с автовбв можно найти у банков, которые просто еще не внедрили 3D Secure, обычно это небольшие банки (чаще всего - кредитные кооперативы).
(20:03:51) Cyb3rH4ck: Если вы работаете с магазинами в США и сталкиваетесь с магазином, поддерживающим VBV/MCSC, проще всего пропустить такой магазин и найти другой. Однако, если вам необходимо работать с сервисами, где VBV обязателен (например, Airbnb), или вы работаете в Европе, вам нужно искать BIN с сбросом или автовбв, которые подойдут для вашего сервиса или магазина.
(20:04:22) Cyb3rH4ck: Важно отметить, что в США 3D Secure код зачастую статичен, чаще всего это zip/ssn или zip+ssn, и его можно сбросить. В других регионах также можно найти карты, у которых можно сбросить статический пароль (при условии, что он действительно статичен, а не зависит от SMS или токена, и имеется опция сброса).
(20:05:02) Cyb3rH4ck: Например, в Великобритании есть более высокая вероятность найти карты с возможностью сброса пароля 3D Secure, так как раньше там было много BIN, которые поддерживали сброс пароля по DOB (дата рождения).
(20:08:16) Cyb3rH4ck: Раньше было много BIN с возможностью сброса пароля 3D Secure по данным, которые можно было найти в открытых источниках. Сейчас таких BIN стало меньше, но они все еще существуют. На данный момент многие банки переходят к SMS-кодам или токенам вместо статических паролей 3D Secure. Тем не менее, если SMS-код все еще используется, есть опции для успешного прохождения проверки.
(20:09:10) Cyb3rH4ck: Если SMS-код все еще используется, то есть способы обойти эту защиту, и в мире уже давно говорят о необходимости отказаться от подтверждения через номера телефонов. Возможно, через 2-3 года множество банков перейдет на токены.
(20:10:03) Cyb3rH4ck: Примеры того, как выглядит окно 3D Secure и принципы защиты в Европе:
[Ссылки на изображения]
(20:10:17) Cyb3rH4ck: Для работы с EU (Европейскими) методами и материалами, лучше узнавать на лекциях о бронировании отелей и авиабилетов, так как эти направления тесно взаимосвязаны между собой. Чтобы узнать, поддерживает ли магазин 3D Secure, можно взять карту с этой защитой и провести тестовую транзакцию, предпочтительно не типичную, чтобы избежать автоматической проверки (auto3ds). Это поможет выявить, какие магазины поддерживают эту защиту, или вы можете проверить официальный сайт магазина для получения информации.
(20:11:56) Cyb3rH4ck: Также, при работе с картами из Европы в США, стоит уточнять у службы поддержки магазина или банка, поддерживается ли оплата картами из других стран. Потому что если транзакция продвинется дальше, но банк-эмитент ее не одобрит, вам поможет только звонок в поддержку. Поэтому обязательно связывайтесь с поддержкой.
(20:12:25) Cyb3rH4ck: Если говорить о других странах, не включая США, можно выделить следующие регионы: Латинская Америка, Евросоюз, СНГ, Азия, Австралия и Африка.
(20:13:07) Cyb3rH4ck: Кроме того, существуют особенности для стран Ближнего Востока, Индии, Англии и других регионов. Подробную информацию о каждом из этих регионов можно найти в Интернете. Ситуация может сильно различаться в разных странах и зависит от множества факторов, таких как законодательство и другие влияющие аспекты. Поэтому важно уметь искать информацию и ориентироваться в разных регионах.
(20:14:14) Cyb3rH4ck: Я, в основном, работал с картами из США, Евросоюза и Азии, поэтому более подробно разберем именно эти направления. В остальных регионах ситуация примерно такая же, как в Евросоюзе и Азии.
(20:14:20) Cyb3rH4ck: Теперь перейдем к разговору о типах и уровнях кредитных карт.
(20:15:28) Cyb3rH4ck: Кредитная карта позволяет использовать средства в кредит, то есть тратить деньги, которых у вас нет на счету. У большинства американских карт не предусмотрен положительный баланс - вы можете использовать только кредитные средства и погашать кредит. Чем выше ваш Кредитный Рейтинг (Credit Score), тем больше кредитных лимитов вы можете получить от банка. Важно отметить, что при звонке в банк для уточнения баланса и доступных средств на карте, обычно учитывается не общий баланс (account balance), а доступный кредит (available credit).
(20:16:00) Cyb3rH4ck: Дебетовая карта, в свою очередь, привязана к банковскому счету и используется для удобных расчетов. Деньги списываются только в пределах доступного баланса на банковском счете.
(20:17:02) Cyb3rH4ck: Предоплаченная карта (Prepaid) - это карта, на которой заранее внесена определенная сумма денег. Электронные деньги на такой карте уже оплачены владельцем карты. Она используется аналогично дебетовой карте, но не привязана к банковскому счету. Некоторые магазины могут не принимать предоплаченные карты. Важно отметить, что работа с такими картами может быть сложной, за исключением случаев, когда вы хорошо знакомы с особенностями конкретных типов карт и как с ними взаимодействовать.
(20:18:44) Cyb3rH4ck: Что касается уровней карт, их существует много, и они различаются от банка к банку. Они могут быть от классических до "черных" уровней (Classic до Black). Подробности о каждом из уровней можно найти в специализированных сообществах и форумах. На практике карты высшего уровня не всегда означают больше доступных средств, и важно понимать, что успешное совершение транзакции зависит от множества факторов, а не только от уровня карты.
(20:19:18) Cyb3rH4ck: Хочу развеять миф о том, что всегда стоит предпочитать карты более высокого уровня. В случае работы с американскими картами это не всегда так (в отличие от карт Евросоюза, где карты Gold и выше часто дают лучшие результаты). Также стоит отметить, что наличие доступных средств на карте не всегда гарантирует успешное проведение транзакции. Вам предстоит разобраться в сложных моментах, связанных с процессом оплаты банковской картой в интернете.
(20:19:34) Cyb3rH4ck: Процесс оплаты банковской картой в интернете намного сложнее, чем может показаться на первый взгляд. При оплате в онлайн-магазине взаимодействуют различные участники:
Кардхолдер (КХ) - владелец карты, с которой совершается оплата;
Мерчант - онлайн-магазин с расчетным счетом, в котором должны поступить средства за товар;
Платежный шлюз (Payment Gateway) - технология, связывающая мерчанта с процессинговым центром и банком-эквайером;
Процессинговый центр - система обработки платежей по банковским картам в сфере электронной коммерции;
Банк-эквайер (банк мерчанта) - банк, который позволяет бизнесу принимать платежи с банковских карт;
Банк-эмитент (банк КХ) - банк, выдавший карту владельцу;
Глобальная платежная система (Visa/MC и др.) - организация, регулирующая межбанковские взаиморасчеты и участвующая в процессе перевода денег между банками-эмитентами и банками-эквайерами.
(20:22:04) Cyb3rH4ck: Следующее сообщение будет продолжением описания процесса оплаты банковской картой в интернете и роли каждого из участников.
(20:23:16) Cyb3rH4ck: После того, как КХ нажал кнопку "Place Order," информация сначала проходит через антифрод-систему магазина.
Антифрод-система принимает решение: разрешить ли продолжение оформления заказа автоматически, отправить его на ручную верификацию или немедленно отклонить. На этом этапе, в большинстве случаев, данные карты еще не покидают систему магазина.
(20:24:13) Cyb3rH4ck: Если антифрод-проверка прошла успешно, или менеджер решает одобрить заказ вручную, процесс оплаты продолжается. После одобрения заказа, ваши данные собираются, шифруются и передаются в платежный шлюз (Payment Gateway). Платежный шлюз, ihrerseits, проверяет транзакцию по своим критериям, и у них тоже есть собственные антифрод-системы, которые могут выявить подозрительные шаблоны. В некоторых случаях, оплата может быть отклонена здесь.
(20:25:18) Cyb3rH4ck: Предположим, что транзакция КХ выглядит легитимной для платежного шлюза - в этом случае он передает данные дальше в процессинговый центр. Процессинговый центр также проводит свою проверку на предмет мошенничества и принимает решение, передавать ли транзакцию дальше. Если процессинговому центру все нравится, то транзакция пересылается через глобальную платежную систему к банку-эмитенту.
(20:26:01) Cyb3rH4ck: Банк-эмитент анализирует транзакцию КХ и в случае, если она выглядит подозрительно (например, КХ никогда не совершал покупки дороже $100, а вы вдруг пытаетесь сделать покупку золотого слитка за $10,000), банк также может отклонить транзакцию. Это обычно требует звонка КХ в банк и верификации такой транзакции, которая сопровождается множеством вопросов, ответы на которые, в теории, должны быть известны только КХ.
(20:26:26) Cyb3rH4ck: Банк-эмитент также анализирует установленные КХ лимиты и, конечно, наличие доступных собственных или кредитных средств на счету.
(20:27:27) Cyb3rH4ck: Если банку-эмитенту нечего нарекать, он передает положительный ответ обратно в банк-эквайер через глобальную платежную систему. Банк-эквайер в свою очередь сообщает платежному шлюзу о успешной транзакции, и шлюз уведомляет вас и менеджеров магазина о успешной оплате.
(20:28:51) Cyb3rH4ck: Теперь вы, вероятно, понимаете, почему наличие карты с известным балансом не дает вам гарантии успешного взлома. Вам приходится иметь дело с множеством антифрод-систем (магазина, платежного шлюза, процессингового центра и банка). Ваши усилия в кардинге заключаются в том, чтобы научиться эффективно обходить все эти системы. Это сложная задача, так как всегда существует множество переменных, к которым у нас нет доступа, но грамотный анализ взломов позволяет находить уязвимости, которые можно использовать, пока они не будут устранены.
(20:30:02) Cyb3rH4ck: Когда речь идет о работе с картами, у нас есть два ключевых аспекта, которые нам нужно правильно настроить, чтобы обойти вышеупомянутые системы защиты. Первый - это техническая сторона, включая корректную настройку системы, чтобы имитировать поведение реального владельца карты (это включает в себя системный язык, часовой пояс и другие факторы, а также замену IP-адреса с помощью анонимайзеров, SSH-туннелей, OVPN/PPTP конфигов, прямого доступа к машинам (RDP, VNC и т. д.) и имитацию действий реального пользователя). В будущих лекциях мы более подробно рассмотрим оба эти аспекта и их применение в различных аспектах кардинга.
(19:21:07) Cyb3rH4ck: Каждый из нас сталкивался с банковскими картами, но немногие задумывались о том, как работает процесс оплаты картой и какая информация находится на карте.
(19:21:36) Cyb3rH4ck: Первое, что начинающий хакер-программист должен изучить, - это основную информацию о банковских картах в контексте нашей подпольной деятельности.
(19:22:16) Cyb3rH4ck: Подчеркну, что любую информацию, которую вы получаете при работе, будь то успешный или неуспешный заказ, нужно записывать. Это поможет избегать ошибок и забывчивости. Например, вот так:
(19:23:00) Cyb3rH4ck: Давайте продолжим.
(19:23:31) Cyb3rH4ck: В нашем контексте CC (Credit Card, кредитная карта) - это информация о реальной или виртуальной карте, принадлежащей владельцу, не проживающему в странах СНГ.
(19:24:09) Cyb3rH4ck: Где можно достать информацию о картах? Существует три основных способа: покупка у продавцов, поиск у частных (или не очень) продавцов, или самостоятельное добыча (например, с фейковых сайтов, с перехвата на реальных сайтах, из ботнетов, взломанных баз данных и других мест в зависимости от вашей фантазии). Сегодня мы не будем подробно обсуждать самостоятельную добычу, это тема для самостоятельного изучения.
(19:24:39) Cyb3rH4ck: Рассмотрим самый популярный способ - покупку карт.
(19:27:50) Cyb3rH4ck: При покупке вы получите информацию о карте в следующем формате:
Номер карты: 4147400219040084
Срок действия: 12/21
CVV: 826
Имя: Richard Lang
Адрес: 56 Groveview Cir #302
Город: Rochester
Почтовый индекс: 14612
Штат: NY
Страна: USA
Телефон: 661-298-0881
Email: richielang@aol.com
Формат может варьироваться, но основные элементы остаются неизменными.
В нашем примере:
Номер карты (Card Number): 4147400219040084
Срок действия (Expiration Date): 12/21 (12 месяц / 21 год)
CVV: 826 (защитный код карты)
Имя (Name): Richard Lang
Адрес (Address): 56 Groveview Cir #302
Город (City): Rochester
Почтовый индекс (Zip code): 14612
Штат (State): NY (New York)
Страна (Country): USA
Телефон: 661-298-0881
Email: richielang@aol.com
(19:29:11) Cyb3rH4ck: Минимально необходимая информация для большинства операций включает номер карты, срок действия, CVV, имя и фамилию, первую строку адреса и почтовый индекс.
(19:30:16) Cyb3rH4ck: BIN (Bank Identification Number) - первые 6 цифр номера карты. Каждый банк имеет свои уникальные номера, которые присваиваются их картам. Эти номера содержат информацию о платежной системе (Visa/MC/AmEx/Discover и т.д.), банке-эмитенте, уровне карты (Classic/Gold/Platinum и т.д.) и типе карты (Credit/Debit/Prepaid).
(19:31:06) Cyb3rH4ck: Первая цифра BIN определяет Major Industry Identifier (MII) - глобальную платежную систему, под управлением которой работает данная карта. Основные платежные системы, с которыми вам предстоит работать, - AmEx (первая цифра карты начинается на 3), Visa (4), MasterCard (5), Discover (6).
(19:32:37) Cyb3rH4ck: Для получения более подробной информации о BIN можно воспользоваться сервисами вроде binlist.net, binov.net (последний полезен для массового поиска и обратного поиска BIN по банкам, хотя базы могут быть несколько устаревшими на данный момент). Также базы BIN встроены в большинство магазинов.
(19:35:02) Cyb3rH4ck: Давайте проанализируем данные из BIN-примера выше (414740):
ТИП: VISA;
БАНК: CHASE BANK USA, N.A.;
УРОВЕНЬ: КРЕДИТ;
ТИП: СИГНАТУРА;
СТРАНА: США
Мы подробнее рассмотрим значения RANK и TYPE позже (они определяют тип и уровень карты), остальные данные можно сразу понять по названию.
(19:36:11) Cyb3rH4ck: В большинстве магазинов, где продаются карточки, есть параметр, который называется валидность базы. Это определяет, насколько недавно карта была проверена на валидность. Продавец выбирает несколько случайных карт и проверяет их с помощью чекера. Предположим, из 10 карт, 7 оказались валидными - заявленная валидность базы около 70%. Но на самом деле реальная валидность может сильно различаться в зависимости от честности продавца, используемого чекера и методов, которыми карты были получены и проверены.
(19:37:39) Cyb3rH4ck: Чекер карт - это сервис, который проверяет карты через свои механизмы. Эти чекеры могут работать по-разному. Например, через чекер может быть выполнена небольшая предварительная авторизация на $1-2 через мерч чекера, а затем средства возвращаются. Однако этот метод рискованный, так как холдер может получить уведомление о транзакции и заблокировать карту. Иногда он может не заметить транзакцию вовремя, если не следит за банковскими операциями.
(19:38:23) Cyb3rH4ck: Более продвинутые чекеры используют метод без предварительного списания ($0 authorization), который обычно проходит незаметно для холдера и дает ответ о валидности карты от платежной системы.
(19:39:59) Cyb3rH4ck: Альтернативным способом проверки валидности карты является ее привязка к каким-либо сервисам, например, к аккаунту Google или любому другому сервису, где карта может быть использована.
(19:40:23) Cyb3rH4ck: Этот метод проверки относительно безопасен и снижает риск блокировки карты, особенно если он использует метод без предварительного списания.
(19:41:54) Cyb3rH4ck: В нормальных магазинах предусмотрен возврат средств за невалидные карты обычно в течение 5-15 минут. Рекомендуется проверять карты после покупки и, в случае мертвой карты, пытаться вернуть средства. Если вы не доверяете методу проверки (например, считаете, что он может убить карту), можно проверить карту после ввода данных, чтобы минимизировать риск.
(19:43:16) Cyb3rH4ck: Стоит помнить, что встроенные в магазины чекеры часто намного жестче воздействуют на карты, чем ваши собственные методы. Их следует использовать только в случае, если уверены, что карта невалидна. Если чекер магазина сообщает о преждевременной блокировке карты, вы можете попытаться вернуть средства. Если же он говорит, что карта жива - то нет.
(19:44:39) Cyb3rH4ck: Самым безопасным методом проверки карты является попытка ее заролить (получить доступ к онлайн-банкингу карты) или прозвонить на баланс. В этом случае иногда может потребоваться дополнительная информация о карте, такая как SSN (социальный номер страхования) или дата рождения холдера.
Несколько слов о типах кредитных карт. Как я уже упоминал ранее, вы чаще всего встретите карты Visa, MasterCard, American Express и Discover.
(19:45:48) Cyb3rH4ck: Из моего опыта, самые легко доступные бины обычно относятся к Visa и MasterCard. Однако с American Express бывают жирные бины, но у них есть свои особенности, так как у Amex более активное использование возможности чарджбека, что может негативно сказаться на вашей работе. Поэтому важно знать, где Amex будет работать и где она может вызвать проблемы. Карты Discover считаются более экзотичными, но они также могут использоваться в некоторых сферах.
(19:46:02) Cyb3rH4ck: Карты Visa, MasterCard и Discover имеют по 16 цифр в номере и 3-х значный CVV-код. У American Express в номере карты 15 цифр и 4-х значный CVV.
(19:47:11) Cyb3rH4ck: Некоторые страны, такие как США, Канада, Австралия, Новая Зеландия и Соединенное Королевство, имеют систему проверки адреса (Address Verification System, AVS), которая сверяет адрес, указанный при транзакции, с данными в банке-эмитенте. Если данные не совпадают (например, цифры в адресе и почтовом индексе), банк вернет ответ AVS Mismatch, и транзакция будет отклонена. Эти понятия, такие как billing и shipping address, будут подробно рассмотрены в последующих лекциях.
(19:48:51) Cyb3rH4ck: Но для общего понимания, давайте разберем это:
(19:50:10) Cyb3rH4ck: AVS - Address Verification System должны были изучать, суть в том что если делаете транзакцию внутри страны (то есть банк эмитент карты той же страны что и магазин) у вас могут сверить цифровую часть адреса, и если он не совпадает будет decline, список стран у которых есть эта система запомните. То есть этой системы нет в РФ/EУ.
(19:51:12) Cyb3rH4ck: (прим. на корпоративных картах англии нет AVS, так же не все карты в usa/ca/au могут иметь такую защиту, в usa и ca почти все, в au реальнее найти без сверки)
(19:52:46) Cyb3rH4ck: При работе с картами рано или поздно вы столкнетесь с защитными механизмами 3D Secure
(19:53:30) Cyb3rH4ck: У карт Visa он называется Visa Secure / Verified by Visa (VBV); у MC - MasterCard Secure Code (MCSC), а у Amex - SafeKey. Соответственно у многих шлюзов есть свои аналоги.
(19:54:31) Cyb3rH4ck: 3Dsecure - Кажется обычно ее называют 3ий слой защиты, суть в том что вы вводите интернет пароль для покупок, я думаю вы уже с этим сталкивались при покупке с ваших карт, когда для подтверждения транзакции банк присылал вам sms код.
(19:55:38) Cyb3rH4ck: Что очень важно отметить, если вы сделали покупку с 3дс кодом,чарджбек ложиться полностью на плечи кардхолдера или банка, магазин ответственности не несет за эту операцию, то есть даже если кардхолдер спалит транзакцию маловероятно что на шоп это повлияет и он не отправит вам товар, но тут есть исключение (шоп который дорожит своей репутацией отменит).
(19:56:29) Cyb3rH4ck: То есть транзакции с 3дс кодом обладают высоким трастом (исключение USA ввиду того что там интернет пароль зачастую статичный, то есть к примеру как пароль от email, и его можно сбросить).
(19:57:39) Cyb3rH4ck: Чуть проясню это окно ввода 3дс кода у USA банка, но вместо смс вас просит банк ввести информацию по карте+зип код.
(19:58:18) Cyb3rH4ck: В общем то 3ds самый распространенный тип защиты, в большинстве стран у мерчантов в шопах подключен он у карт
(19:58:53) Cyb3rH4ck: То есть если у мерчанта не подключена эта защита, а на карте она стоит то транзакция пройдет без 3дс, так как это не было инициировано шопом.
(20:00:34) Cyb3rH4ck: Давайте более детально рассмотрим систему 3D Secure:
Эти механизмы были созданы с целью снижения процента несанкционированных и мошеннических операций с кредитными картами. Они добавляют дополнительный способ подтверждения транзакции, не связанный напрямую с самой картой. Когда вы производите покупку в магазине с активированной системой 3D Secure, вас перенаправляют на страницу, где нужно ввести статический код, известный только владельцу карты, или одноразовый код, отправляемый по SMS или по электронной почте.
(20:01:42) Cyb3rH4ck: Статические коды неизвестны вам при покупке кредитных карт, однако для некоторых BIN (первые цифры карты) их можно сбросить. Такие BIN, где это возможно, называются "BIN с сбросом VBV."
(20:02:50) Cyb3rH4ck: Существуют также BIN, которые автоматически проходят проверку VBV. При совершении транзакции вы попадаете на страницу VBV, похожую на ту, которая описана выше, но вам не нужно вводить сам код VBV. В это время банк-эмитент оценивает вашу транзакцию по своим антифрод-критериям и дает ответ магазину: прошла ваша транзакция проверку VBV или нет. Такие BIN называются "автовбв." Иногда карты с автовбв можно найти у банков, которые просто еще не внедрили 3D Secure, обычно это небольшие банки (чаще всего - кредитные кооперативы).
(20:03:51) Cyb3rH4ck: Если вы работаете с магазинами в США и сталкиваетесь с магазином, поддерживающим VBV/MCSC, проще всего пропустить такой магазин и найти другой. Однако, если вам необходимо работать с сервисами, где VBV обязателен (например, Airbnb), или вы работаете в Европе, вам нужно искать BIN с сбросом или автовбв, которые подойдут для вашего сервиса или магазина.
(20:04:22) Cyb3rH4ck: Важно отметить, что в США 3D Secure код зачастую статичен, чаще всего это zip/ssn или zip+ssn, и его можно сбросить. В других регионах также можно найти карты, у которых можно сбросить статический пароль (при условии, что он действительно статичен, а не зависит от SMS или токена, и имеется опция сброса).
(20:05:02) Cyb3rH4ck: Например, в Великобритании есть более высокая вероятность найти карты с возможностью сброса пароля 3D Secure, так как раньше там было много BIN, которые поддерживали сброс пароля по DOB (дата рождения).
(20:08:16) Cyb3rH4ck: Раньше было много BIN с возможностью сброса пароля 3D Secure по данным, которые можно было найти в открытых источниках. Сейчас таких BIN стало меньше, но они все еще существуют. На данный момент многие банки переходят к SMS-кодам или токенам вместо статических паролей 3D Secure. Тем не менее, если SMS-код все еще используется, есть опции для успешного прохождения проверки.
(20:09:10) Cyb3rH4ck: Если SMS-код все еще используется, то есть способы обойти эту защиту, и в мире уже давно говорят о необходимости отказаться от подтверждения через номера телефонов. Возможно, через 2-3 года множество банков перейдет на токены.
(20:10:03) Cyb3rH4ck: Примеры того, как выглядит окно 3D Secure и принципы защиты в Европе:
[Ссылки на изображения]
(20:10:17) Cyb3rH4ck: Для работы с EU (Европейскими) методами и материалами, лучше узнавать на лекциях о бронировании отелей и авиабилетов, так как эти направления тесно взаимосвязаны между собой. Чтобы узнать, поддерживает ли магазин 3D Secure, можно взять карту с этой защитой и провести тестовую транзакцию, предпочтительно не типичную, чтобы избежать автоматической проверки (auto3ds). Это поможет выявить, какие магазины поддерживают эту защиту, или вы можете проверить официальный сайт магазина для получения информации.
(20:11:56) Cyb3rH4ck: Также, при работе с картами из Европы в США, стоит уточнять у службы поддержки магазина или банка, поддерживается ли оплата картами из других стран. Потому что если транзакция продвинется дальше, но банк-эмитент ее не одобрит, вам поможет только звонок в поддержку. Поэтому обязательно связывайтесь с поддержкой.
(20:12:25) Cyb3rH4ck: Если говорить о других странах, не включая США, можно выделить следующие регионы: Латинская Америка, Евросоюз, СНГ, Азия, Австралия и Африка.
(20:13:07) Cyb3rH4ck: Кроме того, существуют особенности для стран Ближнего Востока, Индии, Англии и других регионов. Подробную информацию о каждом из этих регионов можно найти в Интернете. Ситуация может сильно различаться в разных странах и зависит от множества факторов, таких как законодательство и другие влияющие аспекты. Поэтому важно уметь искать информацию и ориентироваться в разных регионах.
(20:14:14) Cyb3rH4ck: Я, в основном, работал с картами из США, Евросоюза и Азии, поэтому более подробно разберем именно эти направления. В остальных регионах ситуация примерно такая же, как в Евросоюзе и Азии.
(20:14:20) Cyb3rH4ck: Теперь перейдем к разговору о типах и уровнях кредитных карт.
(20:15:28) Cyb3rH4ck: Кредитная карта позволяет использовать средства в кредит, то есть тратить деньги, которых у вас нет на счету. У большинства американских карт не предусмотрен положительный баланс - вы можете использовать только кредитные средства и погашать кредит. Чем выше ваш Кредитный Рейтинг (Credit Score), тем больше кредитных лимитов вы можете получить от банка. Важно отметить, что при звонке в банк для уточнения баланса и доступных средств на карте, обычно учитывается не общий баланс (account balance), а доступный кредит (available credit).
(20:16:00) Cyb3rH4ck: Дебетовая карта, в свою очередь, привязана к банковскому счету и используется для удобных расчетов. Деньги списываются только в пределах доступного баланса на банковском счете.
(20:17:02) Cyb3rH4ck: Предоплаченная карта (Prepaid) - это карта, на которой заранее внесена определенная сумма денег. Электронные деньги на такой карте уже оплачены владельцем карты. Она используется аналогично дебетовой карте, но не привязана к банковскому счету. Некоторые магазины могут не принимать предоплаченные карты. Важно отметить, что работа с такими картами может быть сложной, за исключением случаев, когда вы хорошо знакомы с особенностями конкретных типов карт и как с ними взаимодействовать.
(20:18:44) Cyb3rH4ck: Что касается уровней карт, их существует много, и они различаются от банка к банку. Они могут быть от классических до "черных" уровней (Classic до Black). Подробности о каждом из уровней можно найти в специализированных сообществах и форумах. На практике карты высшего уровня не всегда означают больше доступных средств, и важно понимать, что успешное совершение транзакции зависит от множества факторов, а не только от уровня карты.
(20:19:18) Cyb3rH4ck: Хочу развеять миф о том, что всегда стоит предпочитать карты более высокого уровня. В случае работы с американскими картами это не всегда так (в отличие от карт Евросоюза, где карты Gold и выше часто дают лучшие результаты). Также стоит отметить, что наличие доступных средств на карте не всегда гарантирует успешное проведение транзакции. Вам предстоит разобраться в сложных моментах, связанных с процессом оплаты банковской картой в интернете.
(20:19:34) Cyb3rH4ck: Процесс оплаты банковской картой в интернете намного сложнее, чем может показаться на первый взгляд. При оплате в онлайн-магазине взаимодействуют различные участники:
Кардхолдер (КХ) - владелец карты, с которой совершается оплата;
Мерчант - онлайн-магазин с расчетным счетом, в котором должны поступить средства за товар;
Платежный шлюз (Payment Gateway) - технология, связывающая мерчанта с процессинговым центром и банком-эквайером;
Процессинговый центр - система обработки платежей по банковским картам в сфере электронной коммерции;
Банк-эквайер (банк мерчанта) - банк, который позволяет бизнесу принимать платежи с банковских карт;
Банк-эмитент (банк КХ) - банк, выдавший карту владельцу;
Глобальная платежная система (Visa/MC и др.) - организация, регулирующая межбанковские взаиморасчеты и участвующая в процессе перевода денег между банками-эмитентами и банками-эквайерами.
(20:22:04) Cyb3rH4ck: Следующее сообщение будет продолжением описания процесса оплаты банковской картой в интернете и роли каждого из участников.
(20:23:16) Cyb3rH4ck: После того, как КХ нажал кнопку "Place Order," информация сначала проходит через антифрод-систему магазина.
Антифрод-система принимает решение: разрешить ли продолжение оформления заказа автоматически, отправить его на ручную верификацию или немедленно отклонить. На этом этапе, в большинстве случаев, данные карты еще не покидают систему магазина.
(20:24:13) Cyb3rH4ck: Если антифрод-проверка прошла успешно, или менеджер решает одобрить заказ вручную, процесс оплаты продолжается. После одобрения заказа, ваши данные собираются, шифруются и передаются в платежный шлюз (Payment Gateway). Платежный шлюз, ihrerseits, проверяет транзакцию по своим критериям, и у них тоже есть собственные антифрод-системы, которые могут выявить подозрительные шаблоны. В некоторых случаях, оплата может быть отклонена здесь.
(20:25:18) Cyb3rH4ck: Предположим, что транзакция КХ выглядит легитимной для платежного шлюза - в этом случае он передает данные дальше в процессинговый центр. Процессинговый центр также проводит свою проверку на предмет мошенничества и принимает решение, передавать ли транзакцию дальше. Если процессинговому центру все нравится, то транзакция пересылается через глобальную платежную систему к банку-эмитенту.
(20:26:01) Cyb3rH4ck: Банк-эмитент анализирует транзакцию КХ и в случае, если она выглядит подозрительно (например, КХ никогда не совершал покупки дороже $100, а вы вдруг пытаетесь сделать покупку золотого слитка за $10,000), банк также может отклонить транзакцию. Это обычно требует звонка КХ в банк и верификации такой транзакции, которая сопровождается множеством вопросов, ответы на которые, в теории, должны быть известны только КХ.
(20:26:26) Cyb3rH4ck: Банк-эмитент также анализирует установленные КХ лимиты и, конечно, наличие доступных собственных или кредитных средств на счету.
(20:27:27) Cyb3rH4ck: Если банку-эмитенту нечего нарекать, он передает положительный ответ обратно в банк-эквайер через глобальную платежную систему. Банк-эквайер в свою очередь сообщает платежному шлюзу о успешной транзакции, и шлюз уведомляет вас и менеджеров магазина о успешной оплате.
(20:28:51) Cyb3rH4ck: Теперь вы, вероятно, понимаете, почему наличие карты с известным балансом не дает вам гарантии успешного взлома. Вам приходится иметь дело с множеством антифрод-систем (магазина, платежного шлюза, процессингового центра и банка). Ваши усилия в кардинге заключаются в том, чтобы научиться эффективно обходить все эти системы. Это сложная задача, так как всегда существует множество переменных, к которым у нас нет доступа, но грамотный анализ взломов позволяет находить уязвимости, которые можно использовать, пока они не будут устранены.
(20:30:02) Cyb3rH4ck: Когда речь идет о работе с картами, у нас есть два ключевых аспекта, которые нам нужно правильно настроить, чтобы обойти вышеупомянутые системы защиты. Первый - это техническая сторона, включая корректную настройку системы, чтобы имитировать поведение реального владельца карты (это включает в себя системный язык, часовой пояс и другие факторы, а также замену IP-адреса с помощью анонимайзеров, SSH-туннелей, OVPN/PPTP конфигов, прямого доступа к машинам (RDP, VNC и т. д.) и имитацию действий реального пользователя). В будущих лекциях мы более подробно рассмотрим оба эти аспекта и их применение в различных аспектах кардинга.