Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INDICE
Il Carding:
Con il termine carding si intendono tutte quelle azioni: dall’
“approvvigionamento” all’uso, di dati di carte di credito (chaimate
anche: pizzas/cc/slices/), ovviamente non nostre, ma a nostro beneficio!
Si divide in due rami:
Carding fisico
Carding virtuale
Con Carding fisico ci si riferisce, appunto, all’approvvigionamento,
ovvero alla ricerca, ma non solo (anche all’uso, con carte fisiche +
pin), di dati di carte. Come?
Semplice, con diversi metodi: dagli skimmer (apparecchi che registrano i
dati detti “track 1 o 2 o 3” delle carte, presenti nella loro banda
magnetica, che contengono le info della carta come CN CVV ect), esistono
vari tipi di skimmer, da quelli più semplici da inserire nelle “bocche”
degli ATM (bancomat) a POS (point of sale: lettori di carte presenti nei
negozi).
Questi dati registrati, vengono salvati in un chip di memoria e
“ristampati” in carte di credito fisiche con Pin, da usare in Pos fisici
o presso sportelli ATM.
Naturalmente per fare ciò servono conoscenze e apparecchi adatti alla
scrittura di bande magnetiche come ad esempio “LETTORE / SCRITTORE DI
CARTE MAGNETICHE MSR605” (che trovate anche su ebay).
Spesso chi usa queste carte fisicamente, ha un complice, ad esempio un
amico con negozio o venditore compiacente, poiché, per poter pagare con
carta di credito, è richiesto per legge, l’esibizione di un documento
attestante la propria identità che coincida col nome della carta di credito.
Per le carte di debito, la cosa è un po’ più facile perché non
presentano nome in rilievo.
Ma comunque non fidatevi mai di venditori di carte fisiche con Pin, chi
le ha le usa per se, non le rivende!!
Per cardare non basta una carta, servono i sistemi di pagamento giusti:
ci son sistemi che hanno un livello di sicurezza molto blando e che vi
chiederanno solo:
Card number
Data scadenza
CVC
Con questi è molto semplice e ma sono anche molto rari, proprio perché
troppo facili da truffare.
Altri sistemi chiedono:
Card number
Data scadenza
CVC
Card Holder Name: quindi nome del proprietario
Indirizzo di fatturazione: cioè l’indirizzo del proprietario, dove
riceve l’estratto conto
Numero di telefono
Con questo tipo, è relativamente semplice, inoltre nel primo e nel
secondo caso, molto spesso si possono usare carte NON-AVS (cioè Address
Verification System o Secure =), sarebbero delle carte con le quali puoi
usare qualsiasi nome ed indirizzo di fatturazione.
Queste carte son molto comode, però il gateway riconosce il BIN, di
conseguenza, se ad esempio cardate un oggetto in italia usando una
No-Avs colombiana, potrebbe bloccare la transazione, perché la carta
risulta di un altro continente.
ANONIMATO:
Come sappiamo, cardare non è propriamente una cosa legale anche se molto
divertente e permette facili guadagni, anzi è alquanto rischioso, per
questo vi aiuterò nella configurazione di un buon livello di anonimato.
Certo, avere una connessione Wifi libera e un pc anonimo (cioè comprato
in contanti magari di seconda mano, o rubato ect) sarebbe meglio, ma non
tutti hanno questa fortuna. Va bene lo stesso!
Cosa vi serve:
Virtual Machine: ovvero la virtualizzazione di un disco nel quale poter
installare un nuovo sistema operativo, ed accedere ad esso direttamente
dal pc in uso senza dover spegnere o riavviare o re-boot. In pratica
avrete due pc (o più) nello stesso pc.
Esistono diversi programmi che permettono ciò, sia gratis che a
pagamento: come VMware, VirtualBox o Xen o tanti altri, basta cercare in
clear.
Il file ISO (il file immagine del sistema operativo), che vi servirà per
installare il SO appunto nella macchina virtuale, lo potete trovare in
rete in molti forum e scaricare con torrent; NB: se avete il CD
d’installazione va bene lo stesso;
Una VPN: cioè una rete virtuale privata che indirizzerà il vostro
traffico verso un server (per spiegarlo in parole povere!), e far
perdere una parte delle vostre tracce: ci son diversi servizi di VPN,
ricordatevi di iscrivervi usando TOR e di pagare con btc:
1) Mullvad: valida anche se abbastanza lenta ma con la possibilità di
chudere la connessione in caso di caduta della connessione, e il DNS
leaks (cercate in clear!)
2) PIA: buona ma lenta e con pochi server
3) AirVPN: buona, con tanti server, e abbastanza veloce
Socks: il sock5 sono proxy che permettono di collegarvi scegliendo un IP
specifico localizzato dove vi pare, sono servizi a pagamento (come per
la VPN, hanno costi abbastanza abbordabili):
1) Vip72: buona, con molti proxy in tutto il mondo, ma spesso lenti e
già blacklistati
2) Super-socks: molto buona ma con pochi proxy
Anche per i socks iscrivetevi da Tor e pagate in btc!
Utility:
1) HdSerialNumberChanger: serve per cambiare il numero di serie
dell’hard disk
2) Tmac di Titanium: serve per spoofare il Mac Address della scheda di rete
3) Bleachbit: utility di pulizia
4) Ccleaner: utility di pulizia
Per prima cosa scarichiamo il file di installazione della virtual
machine, non sto qui a speigarvi tutto il procedimenti, primo perché ci
son diversi programmi e secondo perché trovate tantissime guide molto
semplici in clear.
Inoltre è molto semplice: installate, aggiungete l’extension pack (se
richiesto, come per virtual box), una volta installato create nuova
virtual machine ed inserite CD o ISO del file installazione.
Una volta che è tutto pronto, preparate la nuova VM, installando i vari
programmi:
ATTENZIONE: la VPN va lanciata solo da HOST (cioè dal pc principale,
volendo si può inserire anche nella vm come ulteriore livello di
sicurezza, ma renderebbe la navigazione molto lenta!)
Munitevi di:
Winrar
Ccleaner
Bleachbit
Tmac
HdSerialNumberChanger
Li installate nella nuova VM, questa vi servirà come copia originale,
quindi non la utilizzerete per fare niente, ma solo per clonare nuove VM
dalla prima (appunto l’originale), cosa che richiede 5minuti invece che
dover installare nuovamente un SO su una nuova VM!!!!
Avete fatto tutto? Clonate la VM originale.
Andante in Computer (o risorse del computer) e cambiate Nome e Workgroup
(resettate), cambiate HD serial col programma (resettate), cambiate MAC
address (con tmac e resettate NB: spesso la connessione fallisce, allora
chiudete la finestra della VM e la riavviate, succederà come se avete
appena spento e riavviato il pc da tasto di spegnimento!).
Le VM hanno una risoluzione inferiore, per poter avere una finestra più
ampia, andate in pannello di controllo (nella vm) e cambiate la
risoluzione apportando le modifiche, noterete che la vm avrà “schermo”
più ampio.
Scaricate il browser:
Mozilla: sarà l’unico che userete per cardare, scordatevi Chrome o IE o
altri!
NB: non scaricate MAI flash player;
Scaricate add-ons per Mozilla:
1) User-agent Switcher: questa estensione vi permette di
cambiare/spoofare il sistema operativo, ovviamente fa finta! Cioè
risulterete ad esempio connessi da dispositivo mobile Iphone o quello
che sceglierete, a cosa serve? Semplice, i siti e di conseguenza i
gateway risulteranno molto più facili da cardare, questo perché, alcuni
sistemi di verifica e sicurezza non sono presenti nella versione mobile! ;
2) Tamper Data: questa estensione serve per modificare alcuni parametri
in http, non è semplicissima da usare (cercate su clear), ma è molto
utile, vi permette anche di aggirare la verifica VBV su alcuni siti!
Adesso impostate Ccleaner e bleachbit, spuntando tutte le caselle tranne
le avanzate di Ccleaner, che riguardano il sistema e sono lente.
Date una pulita con entrambi.
Aprite proxifier e socksclient se usate Vip72 e cercate il socks che vi
serve.
Come fare? Semplice, se avete i dati di una carta di Roma, cercate un
socks di Roma e vi collegate a quello.
Lo checkate andando su <!-- m --><a class="postlink"
href="http://www.check2ip.com">http://www.check2ip.com</a><!-- m --> e
vedete che non sia blacklistato, controllate che l’orario sia lo stesso
(in italia si, ma se usate carta americana, il socks dev’essere
americano e di conseguenza anche l’orario dev’essere lo stesso!).
Richiudete Mozilla a aprite il prompt dei comandi per ripulire i DNS
(trovate su google maggiori info a riguardo), vi bastera digitare “
ipconfig /flushdns ” ( senza le virgolette e inserite lo spazio prima di
“/”).
Adesso andate nel sito che dovete cardare e cardate!
CARDAARE AMAZON:
Per prima cosa compriamo una carta (più avanti vi dirò dove trovare
carte con validità alta), una volta che abbiamo preso la carta, non
dobbiamo fare altro che aprire una VM, con la VPN già attiva nell’host.
Puliamo DNS da prompt, diamo una pulita con Bleachbit e Ccleaner e
prendiamo un socks il più vicino possibile all’indirizzo del Card
Holder, e lo checkiamo su <!-- m --><a class="postlink"
href="http://www.check2ip.com">http://www.check2ip.com</a><!-- m --> o
su <!-- m --><a class="postlink"
href="http://www.whoer.net">http://www.whoer.net</a><!-- m --> .
Ad esempio:
4023 6001 1234 5678|12|2015|Carlo Conti| Via Pavia
33|Roma|00161|3490123456| <!-- e --><a
href="mailto:negroconti@yahoo.it">negroconti@yahoo.it</a><!-- e --> |
Debit PostePay
Questo è il tipico esempio di dati che ci vengono forniti quando
compriamo una carta da un autoshop o un venditore.
Abbiamo:
Numero Carta
Mese scadenza
Anno scadenza
Nome proprietario
Indirizzo (via)
Città
Zip code (codice postale)
Telefono
Mail
Tipo carta + istituto
Cosa facciamo? Per prima cosa c’è da dire che Amazon ha un sistema di
sicurezza e antifrode, molto avanzato, come Paypal e altri siti, ma si
può cardare anche perché non richiede il VBV, se non si è troppo
ingordi. Tuttavia è molto complcato, ma provare non ci costa niente,
tanto la carta già ce l’abbiamo.
Come molti siti anche Amazon conserva registri dei propri clienti e
quindi di IP usati e anche dati naturalmente. Potrebbe essere che il
Sig. Carlo Conti, abbia già usato la sua carta su Amazon e quindi se
provate ad acquistare voi non vi riesce. Si potrebbe anche provare a
registrarsi usando la suo mail, se non vi fa registrare perché risulta
già iscritto, bè probabilmente avrà pure usato la stessa carta, però
rischiate, in caso contrario, di allertarlo vedendosi recapitare una
mail di registrazione di Amazon!
Il carding è cosi, spesso ci vogliono più carte per un solo acquisto,
per varie ragioni:
Credito insufficiente
Dati errati
Limiti carta: giornalieri/settimanali/mensili/per transazione
Carta già presente nel sistema sotto altro account
Errori vostri
Sistema antifrode
Insomma per motivi più disparati, è normale, anche loro devono tutelare
i clienti, mica ci possono rendere tutto cosi semplice!
E’ bene usare una VM per volta (cioè per account), nella quale salviamo
tutti i dati e cache e cookies dell’account che dobbiamo usare per cardare.
Dobbiamo creare una mail; esistono moltissimi servizi email
(hotmail/outlook/live, yahoo, gmail ect ect), il problemi di questi è
che chiedono un numero di telefono per verifica (verifica per sms che
viene fatta solo se mettete un numero di telefono poco credibile), ad
ogni modo è sempre una rottura perché variando di poco il socks, vi
bloccherà la mail fino a verifica con sms.
Certo per cardare ed essere precisi, servirebbe anche un telefono con
scheda anonima, ma non tutti lo hanno, però esistono diversi servizi che
offrono la ricezione gratis di sms come <!-- m --><a class="postlink"
href="http://www.receive-sms-online.info/">http://www.receive-sms-
online.info/</a><!--
m --> , ovviamente vengono usati da migliaia di persone e spesso il
servizio non è efficace nel vostro caso.
Quindi per mail italiana, come facciamo? VIRGILIO è la risposta! Infatti
virgilio non chiede nessuna verifica.
Registriamo una nuova mail cercando di usare i dati del Card Holder, o
quanto meno di fare un indirizzo che lo ricordi : <!-- e --><a
href="mailto:c.conti72@virgilio.it">c.conti72@virgilio.it</a><!-- e --> .
Adesso andiamo su Amazon e registriamo nuovo account usando i dati che
abbiamo.
NB: non abbiate fretta nel compilare tutti i campi, tipo dati di
fatturazione ect, ci penseremo in un secondo momento, cioè quando avremo
deciso come utilizzare la carta: se per comprare gift- card (cioè buoni
regalo) o per cardare oggetti fisici che riceveremo tramite drop.
Una volta fatto tutto ciò, ricevuto o non ricevuto niente, ma dovete in
ogni caso cambiare carta, potete cancellare direttamente la VM oppure
pulirla con tutti i programmi.. non fa differenza..
Qualche trucchetto:
Per prima cosa, come già detto, le piattaforme mobile rendono il carding
più semplice, perché hanno un sistema di verifica meno avanzato, perché
essendo più rintracciabile, secondo loro si evitano truffe dai
dispositivi mobile!
Inoltre molti siti richiedono tipi di verifica più semplici, come ad
esempio non chiedono data di nascita o numero di telefono ect.
Oltre all’user-agent per mozilla, esistono una moltitudine di Emulatori
Android coi quali è possibile fare la stessa cosa dell’user agent ma in
modo più approfondito, infatti esistono anche molte app per l’emulatore
che vi permettono di cambiare numero di telefono ect.
Ed ancora, questi emulatori sono i migliori quando si vuole fare cashout
di siti come paypal!
Emulatori:
Genymotion
Bluestacks
Migliori BIN:
anche su questo ci sarebbe un po’ da dire a riguardo,
intanto c’è da dire che è naturale che una carta di “alto livello” (nel
senso di Platinum o Centurion) insomma carte con alti limiti, avranno
più possibilità di avere soldi e limiti più alti, e solitamente sono
piene. E’ anche vero che non si può di certo sapere il tipo di verifica:
sms alert, mail, ect che il Card Holder ha impostato.
Quindi sappiamo che 402360 è il BIN di una PostePay, la postepay è una
carta di debito, limiti molto bassi e plafond di poche migliaia di €
Mentre ad esempio 414720 è il bin di una Visa Signatura USA con limiti
molto alti e plafond sempre molto alti, io le uso per stripe e mi ci
trovo molto bene.
Questi sono quelli che uso io:
371537
371292
371553
412800
414709
414720
424604
426684
431307
438857
446539
446540
448915
464018
464579
485620
524366
546616
546630
546632
549099
549123
601100
I Gateway:
i gateway sono i sistemi di pagamento che accettono le carte online, il
più conosciuto è quello di paypal
PayFlow, è molto facile da cardare il problema è che se una carta è già
stata utilizzata o è associata ad un conto paypal attivo, non può essere
usata per il pagamento.
In alternativa ci sono diversi siti coi quali è possibile fare pagamanti
con carta e ricevere i soldi in conti paypal o skrill ect.
Shopify
Odesk
Freelancer
Payhip
Paymill
Braintree