Pyclas on Security

pyclas@xmpp.cm (OTR)

クレジットカード詐欺の現場


f:id:pyclas:20151012122236j:plain

イントロダクション

※この記事は犯罪を推奨するものではありません。

  1. 他人から盗んだクレジットカードで小売店等での不正決済

  2. ATMのskimmingから得たカード情報での不正決済

  3. オンライン上で購入したクレジットカード情報のオンライン上での不正決済

いわゆるCarderという人たちの分野に書いていくつもり、CarderにFullz情報を提供するVenderと呼ばれる人たちの分野についてはこの記事では触れない。




必要なものとか


  • クレジットカード情報(番号[BIN]、生年月日[date of birth(DOB)]、CVV2、SSN[Social Security Number])
  • Tor
  • VPN(VIP72 推奨)
  • VM Player(個人的にはVM Workstation推奨) ccleaner Gather Proxy 有償版

---------------- 以下はリアルカーディングのみ ----------------

  • マグストライプリーダー・ライター MSR-206(606等も可能)
  • カードプリンター
  • カードのエンボス加工する機器
  • ホログラムシール(taobaoで中国の業者に発注する)




Paypalでのカーディング 難易度:★★★★☆

(私)==> tor網 ==> VPN ==> socks proxy ==> paypal

dumpした(された)paypalアカウントから、debit cardにチャージ(Polish & Slavic Federal Credit Unionでデビッドカードを作れるらしいけど、調べると居住者しか作ることができないので難しいし、そもそも送金先でバレるのでは?)コンビニとか小売で売ってるような使いきりのクレジットカードになんかにチャージするらしいが、日本ではたぶん難しい。

paypalはtorexitnodeのホストのリストからフィルタリングしてるぽいので、カーディングの際にはCC情報の住所に近いsocks proxyを使う、タイムゾーン、OSに設定されているランゲージも取得してるぽい。言語、タイムゾーンは調べて適当なものに設定しておく。そしてDNSキャッシュも綺麗にしておき、Macアドレスも変更しておく。

cmdで行う場合

ipconfig/ release ipconfig ※DHCPで払いだされたアドレスの開放

ipconfig/ renew ipconfig ※DHCPで払いだされたアドレスの再取得

ipconfig/ flushdns ※DNSキャッシュのクリア

必要なもの

  • proxychains

  • VM Ware Visualbox (OSとかは割れで適当に調達)

  • ccleaner

  • VPN(vip72のような匿名性の高いものを契約しておく)

あると便利なもの

  • Gather Proxy 有償版(自動的にsocks proxy情報を取得してくれる、探せばpirate bayなんかであると思う)


    ◆liqpay 難易度:★★★★☆

f:id:pyclas:20151011135828j:plain

www.liqpay.com

クレジットカード ==> liqpay ==> PayPal ==> Bitcoin ==> ミキシングサービス ==> 自分のbitcoin WALLET

ロシアの代理決済サービス。tor界隈ではSMS認証で引っかかって諦める人多数。プリペイドSIMを個人輸入して使い、アカウントをSMSで認証しておく。liqpayに登録してdumpされたカード情報を取得、paypalの寄付ボタンからカーディング(1決済につき、20~30ルーブルまで)寄付で得たお金でpaypalbitcoinを購入して、ミキシングサービスを使って洗浄して、自分のblocchainとかに送金する。

f:id:pyclas:20151012134337j:plain

必要なもの

  • プリペイドSIM

  • クレジットカード情報(dump,窃取されたものを)

  • paypalアカウント(誰かの)

  • proxychains

  • VM Ware Workstation,Visualbox (OSとかは割れで適当に調達)

  • ccleaner

  • VPN(vip72のような匿名性の高いものを契約しておく)

あると便利なもの

  • Gather Proxy 有償版


    ◆電話での送金 難易度:★★☆☆☆(日本でできない可能性高)

    クレジットカード経由でのチャージに対応した、日本で使用可能な国外の可能なSIMカードを探す。 blockchainは電話での預金なんかにも対応してるらしい(知らなかった) 匿名性を担保できるSIMカードを手に入れるプリペイドSIMとか。tor接続でblockchainのアカウントを作成、電話でクレジットカードを使いblocchainアカウントに振り込み依頼する。大きな金額でも可能らしく、最も成功率が高いらしい。

必要なもの 

◆オンラインポーカーを使った方法 難易度:★★★☆☆

switch pokerでアカウントを作る。

www.switchpoker.com

2BTCを追加してアカウントを有効化。実際の自分の情報を使ったアカウントを作成する。dump済みクレジットカード情報を用いたアカウントを作り、torと通常のブラウザを使って、2アカウントでアビューズ。BANを避けるためにも実際にそこら辺のプレイヤーとプレーする。賞金を受け取る。
必要なもの

  • 2BTC


    bitcoinを使ったSKRILLカーディング 難易度:★★★★★

CCのfullz情報を購入。 skrill.comでskrillのアカウントを作成。(カード保有者の詳細を記入していく、匿名のメールアドレス、電話番号を使用する) slrillにクレジットカード情報を追加する。(カード情報が検証されるが、それを使わない電話する。※英語できるなら、ね。) 担当者はパスポート、公的身分証明書の提出を求めるので、提出する ※むりだろこれ。 有効化されれたあとskrillのアカウントに資金を追加して、skrillからVirwoxでbitcoinを購入する。

www.skrill.com

注意点

  • できるだけ早くskrillの口座からお金を移す。

  • 女性の情報で男性の声で担当者と会話しない。

  • 自分の情報を使わない。

  • 有料のsocks proxyを使う。(そこら辺に落ちてるようなproxyは速度も遅く、ほとんどがblack list登録されている。)

必要なもの

  • クレジットカード情報

  • クレジットカード保有者の詳細な情報

  • クレジットカード保有者の公的な身分証明書、あるいは偽造した身分証明書

  • proxychains

  • VM Ware Visualbox (OSとかは割れで適当に調達)

  • ccleaner

  • VPN(vip72のような匿名性の高いものを契約しておく)

※個人的にこれはidentificationの乗っ取りでもしない限りは難しいと思う。


◆ルーンスケープというオンラインゲームとpaypalを使った方法 難易度:★★★☆☆

www.runescape.com

Paypal ==> food4rs.com ==> Runescape ==> Easyplaygame.com ==> R2 PLESENT.com ==> 自分

換金率が低い(50%)

必要なもの

※以降上記のテクニックを応用しつつ、決済

◆国際配送対応のBtoCサービスでの方法 難易度:★☆☆☆☆

f:id:pyclas:20151012122015j:plain

普通に他人のクレジットカードを使って商品を購入する。配送先は空き家等にする。 ロンドンのHarrodsのサイトなんかもチェックが緩かった気がする。 決済はたぶん、少額で行わないと引っかかる。

カーディング可能サイトリスト ZeroBin

必要なもの

Base(ベイス)を使う方法

ネットショップを開き、そこでなにかを販売する(あまりに実態のない取引はアカウント、決済を停止される可能性あり) ※Bitcoinを販売した猛者が実態のない取引を疑われた。

BASE(ベイス) | ネットショップを無料で簡単に作成

必要なもの

  • クレジットカード情報

  • no log VPN

◆Purse.ioを利用する方法 難易度:★★☆☆☆

BTC ==> Purse.io ==> 商品 ==> 転売(あるいは転売しない)

Purse - Spend Bitcoin. Save Money. Bitcoinを使って、Amazonの商品を購入できる

買いたいものを自分のほしい物リストに登録して、それをPurse.ioにインポートします。 すると世界のどこかのBitcoinを購入したい人がその商品を代わりに買ってくれます。 自分に欲しい商品が届いたら、買ってくれた人に代金としてBitcoinを支払います。 このような流れによって、商品を買いたい人はBitcoinを使って安く買うことができ、Bitcoinが欲しい人はAmazon経由で購入することができます。

reomaru7.hatenablog.jp

必要なもの

  • クレジットカード情報

  • no log VPN

◆マグストライプライターでのtrack1,2のクレジットカードキャッシング 難易度:★★★★☆

track1,2,cvv2等を磁気ストライプに書き込み、それでキャッシング。

ホログラムシールはtaobaoなんかで中国の業者に発注し、自分でカード番号の彫りを入れ、カードそのものを偽造することもあるらしい。

MSR206 (カーダー御用達の磁気ストライプライター) us.ute.com

参考動画

www.youtube.com

www.youtube.com

www.youtube.com

※真ん中の動画は実はオランダの消費者保護NPO(のようなもの)の啓蒙活動のために制作されたものだったりする。