Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
CC>IBAN
PARTE 1
SICUREZZA E ANONIMATO
SETUP DI SICUREZZA
Quando si effettuano operazioni che poco hanno a che vedere con il concetto di
legalità, bisogna dare un grosso peso al tema della sicurezza in quanto da essa
dipende la nostra libertà. Basta un errore, una distrazione per rischiare di essere
beccati per cui dovremo sempre cercare di creare un setup che riesca a proteggere
tutte le (eventuali) informazioni sensibili su di noi.
Per la tecnica di cash-out che verrà presentata più avanti avremo bisogno di un pc
acquistato in contanti che abbia almeno 4-6Gb di Ram(meglio se 8Gb in quanto
dovremo creare e far girare insieme diverse Virtual Machines) con installato:
CONFIGURAZIONE
Come è possibile notare, utilizzeremo come connessione principale una sim intestata
a terzi inserita in una chiavetta vergine acquistata in contanti. Questo rafforzerà il
nostro anonimato in quanto non useremo alcuna connessione internet riconducibile a
noi. Inoltre ci collegheremo dal sistema operativo principale(Kali o Ubuntu) ad una
VPN(tra quelle in commercio AirVPN, Ipvanish,PIA, Mullvad etc...) che maschererà
l'indirizzo IP della sim e nasconderà il nostro traffico al provider della sim fornendoci
un ulteriore grado di anonimato. In ultimo, dopo aver creato la nostra(anzi le nostre)
VM Windows(Con adattatore di rete di tipo NAT) imposteremo un Proxy SOCKS5
che ci permetterà di geolocalizzarci nella città del Card Holder nel momento in cui
dovremo effettuare la cardata...e non solo.
Voglio precisare che tale configurazione si può pure utilizzare con la connessione di
casa anche se è raccomandabile non farlo o se proprio si è costretti ad utilizzarla
sarebbe opportuno inserire qualche altra misura di sicurezza come una seconda VPN
o utilizzare Whonix. Per non dilungarmi troppo non tratterò questa parte nella guida
dando per assodato che userete una sim intestata a terzi però se avete bisogno di
assistenza per configurare un setup da utilizzare con la connessione domestica
contattatemi via PM.
Cos'è lo spoofing?
– Mac Address, rappresenta l'indirizzo fisico univoco della nostra scheda di rete
– HDD serial number, rappresenta il numero di serie univoco del nostro Hard
Disk
– Timezone e clock, rappresenta il fuso orario che abbiamo settato nel nostro
sistema
IP SPOOFING
Per cambiare l'indirizzo fisico della nostra scheda di rete utilizzata possiamo operare
in questo modo:
Arrivati a questo punto dovreste vedere la scritta “Indirizzo MAC” con accanto
l'inidirizzo che è stato assegnato da virtualbox alla VM e ancora accanto il pulsante
per cambiarlo,(di colore verde) basterà cliccare sul pulsante e potrete cambiare MAC
address tutte le volte che vorrete. Questa operazione va fatta quando la VM è spenta,
prima di avviarla.
Quando creiamo una nuova macchina virtuale con VirtualBox automaticamente viene
creato un disco fisso virtuale con numero di serie diverso da quello reale. Tuttavia se
vogliamo ulteriormente cambiare questo numero e metterne uno a nostro piacimento
dovremo operare come segue:
– Fatto ciò andiamo sul desktop e creiamo un file di testo .txt e nominiamolo a
nostro piacere (ad esempio changeserial.txt)
Volumeid C: xxxx-xxxx
– Clicchiamo col tasto destro sul file appena rinominato e clicchiamo su “Esegui
come amministratore”(apparirà una finestra che si chiuderà velocemente)
– Riavviamo il PC
Per controllare che il nostro seriale sia stato cambiato ci basterà aprire il prompt dei
comandi e scrivere “dir”(senza le virgolette), tra le informazioni che visualizzeremo
sullo schermo dovremmo vedere la seguente scritta:
N.B. L'operazione sopradescritta può essere effettuata quante volte si vuole basterà
ogni volta rinominare il file da .bat a .txt e ripetere la procedura da capo cambiando il
seriale.
-Cambio Nome-PC
Riavviare il PC.
Per quanto riguarda la configurazione di base abbiamo finito; fin ora siamo riusciti,
con le operazioni effettuate a cambiare
IP, MAC ADDRESS, HDD SERIAL NUMBER, TIMEZONE E CLOCK, NOME UTENTE E
NOME-PC
Vediamo nello specifico cosa permette di fare Fraudfox attraverso l'ausilio di questa
immagine:
Come potete ben vedere il tool permette di creare un browser(“Start Browser”) che
fornisca delle informazioni personalizzate durante la navigazione.
In particolare le informazioni riguardanti il sistema operativo(“Os Settings”) e il
browser (“Browser settings” da cui si può modificare pure la versione di flashplayer
installata ), informazioni che unite creano lo User-Agent(in alternativa è possibile
inserire uno User-Agent personalizzato nel riquadro in alto a destra). Inoltre si
possono modificare i fonts utilizzati dal sistema operativo(“Font Management”) e
gestire i plugins del browser(“Plugin Management”). Infine tali profili possono essere
esportati conservando i cookie e tutto il resto.
Operazioni preliminari
JAVASCRIPT ENABLED/DISABLED
Capita però, quando ad esempio si usano delle carte fullz in cui si ha pure l'user-agent
della vittima, che tale user-agent non ci sia tra quelli in lista, sebbene ce ne siano
molti. Ovvieremo al problema utilizzando un'altra estensione che si chiama “Modify
headers” e la trovate qui https://addons.mozilla.org/en-us/firefox/addon/modify-
headers/
Questa estensione ci permetterà di modificare manualmente lo user-agent e come
vedremo dopo anche l'accept-language.
Supponiamo di avere una fullz con il seguente user-agent che rappresenta lo user
agent di un iphone con OS X che sta navigando utilizzando safari come browser.
oppure
Questo può avere delle implicazioni pratiche che ci possono ritornare utili e lo
vediamo con un esempio.
Supponiamo di trovarci in questa situazione:
dobbiamo fare una cardata e tra le informazioni abbiamo l'user agent della
vittima (che potrebbe essere quello utilizzato sopra)
Mozilla/5.0 (iPhone; CPU iPhone OS 9_1 like Mac OS X) AppleWebKit/601.1.46
(KHTML, like Gecko) Version/9.0 Mobile/13B5130b Safari/601.1
ma questo user agent non è presente nella lista dell'estensione Random agent
spoofer. In più sappiamo che l'iphone ha risoluzione 1920x1080 mentre il nostro
PC è un po datato e ci permette di arrivare a 1024x768, per cui avremo bisogno
di utilizzare l'estensione Random agent spoofer per cambiare la risoluzione del
nostro schermo.
Come operare:
• Selezioniamo un profilo qualunque dall'estensione user agent
spoofer(tanto non verrà visualizzato ma è solo per permetterci di attivare
l'estensione)
• Selezioniamo la risoluzione che ci interessa(1920x1080) utilizzando
sempre Random Agent Spoofer
• Dopo di che Attiviamo l'estensione Modify Headers(che avrà come già
detto priorità sull'estensione Random Agent Spoofer) e inseriamo e
attiviamo il nostro user agent(e eventualmente anche l'accept language)
con la procedura descritta sopra
Così facendo siamo riusciti ad ottenere un sistema che mostri come user agent
quello personalizzato con l'estensione Modify Headers, ma che al contempo
effettui lo spoofing della risoluzione del nostro schermo utilizzando Random
Agent Spoofer. Naturalmente combinando l'utilizzo di queste due estensioni
potrete simulare tutti i browser e tutte le piattaforme di navigazione possibili e
immaginabili.
Vediamo praticamente come fare a far funzionare questa estensione dopo averla
installata.
Supponiamo di non avere installato alcuna versione di flashplayer e di voler creare
una lista in cui possiamo ad esempio scegliere tra le seguenti versioni di flashplayer:
Una volta che abbiamo scaricato tutte le versioni ci troveremo con degli archivi .rar
all'interno dei quali sono presenti i file di installazione sia per la versione di windows
a 32bit sia a 64 bit, sia in formato .exe sia in formato .msi(microsoft installer).
Dovremo prestare attenzione a scegliere la versione a 32bit e che sia in formato .msi
in quanto il formato .exe esegue l'installazione online quindi anche se, ad esempio
stiamo installando la versione 11 lui scaricherà ed installerà in automatico l'ultima
versione.
Adesso siamo nella situazione in cui abbiamo tutte le versioni passate che ci
interessano(9, 11, 14, 15 e 18) nella versione a 32bit e in formato .msi quindi
operiamo come segue:
Una volta eseguita la procedura sopra indicata per tutte le versioni da installare
possiamo effettuare lo stesso pure con l'ultima versione scaricandola da qui
https://get.adobe.com/flashplayer/
Può capitare che sia necessario,e questo lo sa bene chi ad esempio lavora con diversi
account paypal, salvare i cookie durante la navigazione e non doverli cancellare per
molto tempo e ci si ritrova quindi spesso nella situazione di dover creare una
macchina virtuale per ogni account.
A questo problema si può ovviare utilizzando l'estensione Advanced Cookie Manager
che potrete scaricare da qui https://addons.mozilla.org/en-us/firefox/addon/cookie-
manager/
Con questa estensione potrete esportare ed importare i cookie di navigazione in pochi
click. Per cui se dobbiamo, ad esempio, gestire due account paypal utilizzando la
stessa Virtual machine possiamo, grazie a questa estensione esportare ed importare
nel nostro browser i cookie relativi a ciascuno dei due account quando ne abbiamo
necessità.
Ho inserito questa estensione per completezza ma come vedremo tra poco non la
utilizzeremo molto in quanto otterremo migliori risultati utilizzando altro.
GESTIONE PROXY
Per aggiungere un proxy ci basterà cliccare su “Add new Proxy”--->Si aprirù una
schermata come mostrato nella seconda figura in cui dovremo inserire indirizzo IP
del proxy e la porta e scegliere l'opzione SOCKS5(se si tratta di un proxy socks5).
Con questo si conclude la parte relativa alla sicurezza e alla creazione di FraudFox fai
da te; la seconda parte sarà totalmente dedicata alla tecnica di cash-out con le
possibili varianti del metodo gli accorgimenti da prendere per una buona riuscita
dello stesso.
Come effettuare la
cardata
Prima di tutto dovrete realizzare una fake email, esistono migliaia di servizi che
offrono la possibilità di creare una fake email, se siete in possesso di un cell burned,
io consiglio sempre il buono e caro gmail.com, ovviamente l'indirizzo email dovrà
riportare il nome del card holder.
Fatto ciò, andrete su google e digiterete money transfer to Italy, google, Vi darà una
serie di link, ma quello che a noi interessa, è xoom.com , si tratto di un servizio di
trasferimento di denaro tramite bonifico dagli stati uniti verso quasi tutto il mondo.
Selezionando il link dalla ricerca google, saremo reindirizzati alla home page di
xoom.com , da lì cominceremo con una piccola registrazione e verifica dell'email,
dopodichè comincerete la cardata, iniziando con lo scegliere il paese dove mandare i
soldi, per poi passare agli importi, io consiglio di cardare un imposto mai superiore ai
450$, che cmq sono già un bel gruzzoletto. La cardata sarà molto semplice in quanto
è un percorso obbligato. Quando sarà chiesto il bank drop vi sarà chiesto oltre
all'iban, il nome e cognome e email, anche il codice swift, che serve per i bonifici
dall'estero, questo codice è univoco x ogni banca, quindi se non ne siete in possesso
googlando, riuscirete a trovarlo. Una volta effettuata la cardata, sarà generato un track
su lvostro account xoom, composto da varie righe, la prima sarà quella con la dicitura
“ started “ che indicherà che il processo di verifica è stato avviato e che comunque la
cc ha quella disponibilità. Il secondo rigo, comparirà solo quando la transazione è
andata a buon fine e avrà la dicitura “ Paymente Verified “, questo rigo generalmente,
apparirà dopo circa 30 minuti, ma a volte può ritardare un po'. Il terzo rigo con la
dicitura “ Transfer in Progress “ vorrà dire che stanno inoltrando i dati ai loro partner,
per effettuare il bonifico. Il quarto rigo “ Deposit in Progress” indica il fatto che i
vostri soldi sono stati inviati al drop :). Il quinto ed ultimo rigo invece “ Deposit
Update – Final “ vuol dire che dovete alzare il culo dalla sedia e dovete andare a
cashare la vostra carta xchè i soldi sono disponibili sul conto. Di seguito un immagine
che Vi fa vedere praticamente ciò che ho scritto.
Carte di Credito
Per quanto riguarda la scelta delle cc, è necessario l'utilizzo di cc con dob ( date of
born ) ossia data di nascita e telefono, questi 2 dati devono necessariamente
corrispondere al vero.
Un altro consiglio è di scegliere sempre cc fresh e di categoria superiore alle
classiche credit, quindi scegliere signature, gold,silver e premium.
Xoom, funziona con visa, mastercard e discover, ma non con amex !!!
di seguito vi indico una serie di bin con i quali ho cardato tranquillamente:
446542;411870;446542;424604;426451;448110;467321;477019;403216;403766;
403784;405367;402826.