2019/7更新:更改了部分失效信息,新增了部分名词。


1. 前言

2. CC

    2.1-CVV简述

    2.2-风险控制-触发验证的若干条件

    2.3-何为3D验证

    2.4-免3D验证

    2.5-通道

    2.6-支付环境

    2.7-收货出货

 3. Dump

    3.1-dump原理

    3.2-前景分析与风险提示

    3.3-基本名词

 4. 工具介绍

    4.1-ANTI浏览器

    4.2-代理

    4.3-清理软件

    4.4-DRP

前言

本文首发7pirate,隐去了很多敏感内容,见谅。

写这篇文章目的很明确,给真正想了解这行的人一个“指南针”的作用。本文可能有部分内容与之前发的文章有重叠,如果你第一次来到我们网站,那么我建议你可以不用查看前面的文章,这篇文章实际上是前面所有文章的整合深化以及加深。当然所有知识面只涉及基础,阅读本文只能让你对这个行业有个初步了解。如果你觉得carding是在互联网上多看看几篇文章就能“毕业”的,too young to simple。

关于名词我想说的:所有名词、分类因翻译或者个人见解不同可能会存在多种叫法,比如dump直译转储,字面意思就是把一个东西记录并转移到另一个地方。有人叫他复制,有人叫他轨道,有人把冒名卡也归类于Dump。这里举个例3+4=7,2+5=7,6+1也等于7,只要结果一样就Ok。

(图为某微信群群友被骗) 

   ━━━━━━━━━━━━━━━━━━━━━正文开始━━━━━━━━━━━━━━━━━━━

国内称盗刷信用卡的过程为洗料,料分为很多种,有CC、复制(Dump),一个线上一个线下。

Carding(cvv)

部分国家地区的卡片在网上购物

不需要进行身份验证

,只需卡号、到期日、cvv2就可以在网上完成交易。一条完整的料应该包含以下信息,当然也有号称能提供Ssn的。

一条完整的外料(不是fullz)

1. CVV的组成16位卡号,4位有效日(月份/年),3位cvv2(安全码)

2. BIN指的是卡号前面6位数,可以根据BIN判断卡片所属地区和发卡行。

3. SSN-美国社会安全号码,例子517920249。可以理解为身份证。

4. 库料-“黑客”通过暴库,撞库等非常规手段破解线上交易网站服务器来获取该网站的用户信息,优点:量大,便宜,缺点:存活率不高,资料不全。

 风险控制

风险控制-简单点就是银行风控系统通过大数据分析,来判断是否需要验证。根据经验大致分为以下方式

 1数据正确性:就是基本的验证卡号|持卡人姓名|到期日期|cvv2

2:登录IP验证:持卡人上一次交易IP与你当前的IP是否属于同一个城市,会触发验证

3输入的方式:有一些网站有复制检测器,如果是复制的信息会触发风控,拒绝支付

4:.支付网站有自己的一个风控库大部分是被大家撸过的,里面的BIN支付一般会验证或者直接拒绝,需要人工联系网站开通或授权。当然也有接入第三方风控数据库。

5:你的注册时间:部分网站对于新注册的用户风控级别很高,这个值就不详细说了,都懂! 

6数据的对应性,例你注册的账号邮箱是123465789@qq.com,支付的持卡人姓名Debbie

james这个就肯定触发验证或者直接拒绝

7:账号变更异常:一个IP在网站登录N个账号或者一个账户多次变更IP,肯定触发

8:设备验证:也是频繁更换登录,一会儿window 7 一会儿macOS 10.14

9:Ip更换频换:昨天早欧洲,今天在亚洲,这个不说了,肯定拒绝

 3D验证-有OTP(短信验证),KBA(密保问题)。触发3D验证的条件上面讲的很清楚了,基本到了这一步也就GG了。

3d验证

3d验证

免3D

免3D-我们谈谈常说的免3D,大家常说的免3D有两种,一种是通过通道和环境的配合完成欺骗支付平台让你误认为你是卡主。第二种是卡片没有在3dsecure中注册。可以看到大部分支付平台支付流程如下:

1. 卡主在网站上输入卡片信息(卡号、有效期、cvv2等)

2. 网站根据大数据分析判断卡片是否需要3D验证

3. 网站联系发卡行服务器以查看该卡是否已在3dsecure中注册。

4. 发卡行服务器响应一条消息,指示该卡已注册。

5. 网站将卡主重定向至发卡行提供的“3D安全”页面。

6. 卡主通过输入简讯或者邮箱验证码等在3D安全页面上向发卡行进行身份验证。

7. 将3D验证的结果返回到网站

8. 授权交易

我们可以很简单的找到“漏洞”,2和3。

第2条“

网站根据大数据分析判断卡片是否需要3D验证”,

逃避它就需要所谓的环境来伪装欺骗风控系统。

这里我们可以看到一个很有趣的现象,在多个地理位置发行卡的银行而言,银行和商家可能不均衡地使用3D安全系统,从而在例如美国国内和非美国发行的卡之间产生差异。换句话说商家或者银行为了促进消费可能会放宽风险审核力度。

第3条“网站联系发卡行服务器以查看该卡是否已在3dsecure中注册。”

反馈流程

 通道

通道-大致理解为购物平台,通道分为现金、虚拟(点卡、礼品卡、预付卡)和实物(购物,酒店,机票,门票),优先级现金>虚拟>实物,毕竟回款是摆在成功率后面最大的问题。

现金通道类似于早期国内的信用卡套现,但是门槛比较高,很难接触到真实的,并且在线时间不长,回款比例较低,毕竟周期内坏账多了,银行方面会加强风控,轻则影响正常交易,重则提高费率。

关于手输机我想说几句,市面上的确存在手输机,但是手输机申请条件之难,常见于贸易公司、赌场,国内起步涉外4星酒店,以他们的体量不会做,也不屑做,

凡说自己是员工可以做的,千万不要相信,交易的款项是直接进公司账户,我不相信他能从公司账户划走一笔钱。

现金通道

虚拟通道&实物通道

因为两个通道都是线上支付,所以合并一起讲讲,虚拟通道回款较快,没有收货等风险。但是它的审核力度肯定大于实物。目前来看国内这个行业出事的都是做实物的。举最出名例子apple store(BIN和apple账户高度吻合,并且对账户有一定要求),eshop(商店分区和BIN匹配),Steam,Amazon礼品卡。

 在排除成功率、安全因素过后,实物通道最大的缺陷就是回款速度,关税,如果你能找到靠谱的本地接货商也没问题,不过只有商品回国才能利益最大化。

机票,门票,酒店不建议个人做,不确定因素太多了。大概说三个点1接单,2出单,3砍单。

支付环境

根据料和通道实际情况进行配置,

常用的工具伪装浏览器Anti-Detect Browser,

虚拟机的话可以考虑Oracle,VMware,FRAUDFOX也是可以的。

RDP远程桌面-很多黑客在真实用户的电脑上留有后门,你可以随时访问该电脑,并进行一切操作。如果你能自己养猪就另当别论,否则你还是乖乖的在别人那里购买。比如你用美国的卡片去日本的网站支付,但是你浏览器是360浏览器,IP是德国的。那么你这次交易肯定会验证或者拒绝的。如果你是使用DRP操作就不存在这些问题。

收到最多的私信就是说怎么配置支付环境?我能告诉你的只是操作方式,具体怎么搭配一定要多想,风控条件已经列出来了,大家可以翻上去看,也不多说。

另外但凡是真采集而不是库料的都应该有持卡人当前使用的操作环境,编者经常购买国外的服务器,有好几次都是用常用电脑支付,使用国内的银行卡也不触发短信验证,所以有了浏览器,IP等信息。有这些等于事半功倍。fullz料通常是普通料的几倍价格。

DUMP

Dump-轨道,实体卡,复制卡都属于转储,早期银行卡都是磁条储存信息,三条磁道,全球很少有银行卡用到三条磁道。

内轨道

 155930006471502^ALCAZAR/LILIA            ^1009101000100000000000144000000?;5155930006471502=1009101000100 02201440000?

由于磁条卡具有高度泄漏风险 ,从2018年起国内磁条卡使用银联POS机交易都需要二次身份验证。并且所有银行卡已经不办理新的银联标磁条卡

14 thoughts on “CVV、洗料、通道、DUMP、CARDING,工作室内部资料

发表评论