Carding Bites: Understanding Shopify
Alright, you delinquents, its time to get into the beast thats been both a
blessing and a
curse for carders everywhere:
Shopify. If youve been in this game for more than a while, you probably hit more
Shopify stores than you had hot meals. But how much do you really understand about whats going on under the hood?
So get in, shut up and pay attention. Class is in session, and todays lesson might just be the difference between your next
big score and your next
big failure.
What is Shopify and Why?
Unless youve been living under a rock (or in a
federal penitentiary), youve run into
Shopify more times than you can count. This e-commerce giant powers over 29% of all online stores in the
US, making it the 800-pound gorilla of the digital marketplace. As a carder, understanding
Shopify isnt just useful - its
fucking essential, especially if you like card physical stuff and none of the gay ass bank logs shit.
Now, you might be thinking, Its just another checkout page, whats the big deal?
Wrong.
Shopify is a labyrinth of configurations, security measures, and potential loopholes. Each store might look the same on the surface, but under the hood, its a whole different ballgame. One
Shopify store might roll over easier than a submissive in a BDSM club, while another might be locked down tighter than a nuns asshole.
I get more messages about
Shopify than almost anything else. Every day, some newbie slides into my DMs asking how to crack
Shopify like its a fucking
Rubiks Cube. And you know what? Theyre not entirely wrong. Hitting
Shopify stores can
print you money if you know what youre doing, or a
quick path to failure if you dont.
Heres the deal: understanding how
Shopify works isnt just about increasing your success rate (though itll do that too). Its about opening up a whole new world of opportunities. When you really get how this platform ticks, youll start seeing vulnerabilities and exploits that the average script kiddie couldnt spot if their life depended on it.
So buckle up, buttercup. Were about to plunge headfirst into the world of
Shopify. By the time were done, youll either be
getting those dildo orders shipped or youll have realized youre in the
wrong fucking business. Either way, youre in for one hell of a ride.
Knowing A Shopify When We See One
Первый шаг к пониманию
Shopify — узнать, работает ли сайт, на который вы пытаетесь попасть, на
Shopify . Любой опытный кардер должен знать это к настоящему моменту, поскольку большинство сайтов
Shopify, как правило, имеют определенный вид, особенно во время оформления заказа. Но если вы не знаете, вот самый простой и точный способ узнать, работает ли сайт
Shopi-fucking-fy :
- Щелкните правой кнопкой мыши в любом месте страницы и выберите «Просмотреть» или «Просмотреть исходный код страницы» (или нажмите Ctrl+U в большинстве браузеров).
- Просматривая исходный код, нажмите Ctrl+F, чтобы открыть функцию поиска.
- Введите shopify и нажмите Enter.
- Если вы получаете кучу переходов, особенно с cdn.shopify.com , поздравляем — вы нашли себе магазин Shopify .
Этот метод
надежен , поскольку
Shopify оставляет свои отпечатки пальцев по всему исходному коду, словно неаккуратный грабитель на месте преступления.
Теперь, если вам лень это делать или вы пытаетесь найти магазины
Shopify , чтобы поразить, есть такие инструменты, как
Wappalyzer и
BuiltWith . Эти расширения для браузера могут сказать вам, какую платформу использует сайт, прежде чем вы втиснете свои противные карты. Просто помните, что хотя эти инструменты отлично подходят для массового поиска, они не всегда на 100% точны для определенных сайтов. Они могут пропустить некоторые хитро замаскированные магазины
Shopify или дать ложные срабатывания на других. Однако, что они хороши, и об этом я объясню позже, так это поиск магазинов
Shopify , чтобы поразить.
Лабиринт Shopify
Давайте проясним одну вещь: нет универсального подхода к магазинам
Shopify . Все они — уникальные звери со своими настройками и мерами безопасности. У некоторых есть системы мошенничества на основе искусственного интеллекта, которые заставят вас почесать голову, другие работают на цифровом эквиваленте ржавого велосипедного замка. Ключ? Вы должны знать свою чертову цель.
Прежде чем вы даже подумаете о том, чтобы зайти в магазин
Shopify , сделайте свою чертову домашнюю работу. Запустите тестовую проверку с
Burp или
Caido , как мы всегда делаем в нашей серии Live Carding. Это не просто рутинная работа — это ваша дорожная карта для понимания мер безопасности сайта, потока платежей и всех грязных маленьких секретов, которые могут определить ваш
успех или
неудачу .
Теперь давайте углубимся в то, как
Shopify обрабатывает платежи, потому что именно здесь большинство из вас, придурков, спотыкаются.
Прямые и внешние платежи
Магазины Shopify обычно делятся на два лагеря: прямые платежи и внешние платежи.
Прямая оплата ( платежи Shopify ):
Подавляющее большинство магазинов
Shopify используют Direct Payment, и большинство из них используют
Shopify Payments . Как узнать? Если вы не перенаправлены на другую страницу для завершения платежа, вы имеете дело с Direct Payment.
И вот в чем подвох:
Shopify Payments — это всего лишь замаскированный
Stripe .
Да, вы не ослышались. Этот ублюдок
Stripe — причина того, что ваши заказы отменяются
или отклоняются
. Владельцы магазинов любят
Shopify Payments , потому что он дешевле и проще в настройке. А для нас? Это как пытаться ограбить банк, который находится в полицейском участке.
Внешний платеж:
По сути, любой сайт, который перенаправляет на другой платежный шлюз. Подходы здесь будут зависеть от того, на какой платежный шлюз вы перенаправлены.
Полосатый радар Mindfuck
Каждая чертова транзакция, которая проходит через
Shopify Payments, получает краткий обзор от
Stripe Radar . Вот поток:
А вот теперь самое интересное. Из-за какой-то юридической ерунды и правил конфиденциальности
Stripe Radar в
Shopify Payments не получает полных данных о вашем сеансе. Это как пытаться судить конкурс красоты с повязкой на глазах —
Radar может только потрогать данные карты, и, по моему опыту, у него нет доступа к вашему IP или отпечатку пальца при оплате из магазина
Shopify .
Что это значит для тебя, придурок? Это значит, что попасть в магазин
Shopify часто проще, чем на страницу оформления заказа
Stripe . Оценка вашего IP и отпечатков пальцев
Shopify настолько глупа и туповата, что ее легко обойти, она такая же строгая, как пьяный вышибала в 2 часа ночи.
Но не будьте самонадеянны. Потому что
Stripe Radar все еще оценивает вашу карту, и вот как это выглядит примерно по моему личному опыту:
- Оценка радара > 90: Вам пиздец. Заказ отклоняется или отменяется мгновенно.
- Оценка радара > 80: 3DS challenge. Лучше иметь готовый обход.
- Оценка радара > 60: Вы в подвешенном состоянии. Может пройти, может быть отменено, может быть придется пройти через большее количество препятствий.
- Оценка радара < 50: Вы в золоте. Заказ принят и отправлен.
Вот пример заказа, который
не прошел оценку Stripe на панели
Shopify :
Посмотрите, как весь список на
Shopify s анализ мошенничества показывает
пройденный , но у него есть
красный сигнал тревоги ? Конкретная карта, которую я использовал здесь, была проверена с помощью
bind-checker , и в этом случае она по умолчанию имеет
высокий рейтинг мошенничества на
Stripe . Если вы не понимаете, о чем я говорю, лучше просмотрите мое другое руководство:
Эксклюзив от CrdPro: почему купленные вами карты никогда не работают и что с этим можно сделать.
Одна вещь, которую вы также должны учитывать, это то, что у
Shopify есть плагины, которые позволяют владельцам магазинов
настраивать свои правила мошенничества на основе оценки
Shopify (не
Stripe ). Некоторые
параноидальные мудаки могут
отменить , если ваши IP находятся в сотне километров от выставления счетов, в то время как другие могут пропустить
очевидный мошеннический заказ , если продажи идут
медленно . Это чертовски
мошенническая игра , но ее в миллион раз
проще провернуть, чем другие платежные шлюзы.
Так какой вывод? Когда вы совершаете набег на магазины
Shopify , которые используют
Shopify Payments , ваш
успех или
неудача сводятся к одному: как
Radar оценивает вашу чертову карту. Вот и все. Вот и все. Собственный анализ мошенничества
Shopify легко обойти , но если
Stripe скажет
Shopify, что ваши карты
облажались , ваш заказ определенно
облажался . Знайте это, и вы будете совершать набеги на магазины
Shopify так, будто это ваша работа (что, давайте посмотрим правде в глаза, так и есть). Обязательное самовставление: если вам нужны хорошие карты из первых рук, получите их у меня:
d0ctrine .
Метод обхода проверки на мошенничество Shopify
Теперь давайте поговорим о маленьком
трюке , который
спасет вашу задницу , когда магазины
Shopify попытаются сыграть роль детектива. Вы знаете, как это делается — вы
успешно вводите данные , а затем они набрасываются на вас с этой ерундой
о возврате средств за проверку .
Вместо того, чтобы
тратить деньги на
Visa Alerts или
Enrolls , вот метод, который
работает в 100% случаев , который я придумал лично, и он
проще, чем диета пещерного человека.
*** Скрытый текст: не может быть процитирован. ***
Это чертовски
просто . Больше никаких
игр в догадки , больше никакой зависимости от
ненадежных инструментов. Просто
чистый, неподдельный доступ к сумме возврата, которая вам нужна.
Этот метод работает, потому что большинство владельцев магазинов
Shopify слишком заняты подсчетом своих денег, чтобы понять, что они оставили
заднюю дверь широко открытой . Используйте его, пока он
горячий , потому что в этой игре
хорошие лазейки не остаются
в тайне вечно. Найдите сайты, которые проверяют возврат средств, и пошлите их нафиг.
Помните, половина кардинга заключается в поиске этих маленьких
трещин в системе . Пока все остальные играют в шашки, вы играете
в 4D-шахматы . Не
тратьте эти знания попусту — применяйте их, совершенствуйте и наблюдайте,
как растет ваш процент успеха .
Поиск сайтов
Теперь, когда вы получили навыки
и понимаете, как работает
Shopify , пришло время найти свои цели. Вот где в игру вступают такие инструменты, как
Wappalyzer ,
Builtwith и другие
инструменты для парсинга .
Эти инструменты дадут вам список сайтов
Shopify длиннее, чем ваш возможный
послужной список . Но не стоит сразу бросаться в
атаку . Будьте
стратегом и ищите магазины, которые соответствуют вашим картам и навыкам. В элитном бутике может быть
более строгая охрана , но выигрыш может
того стоить . Между тем, некоторые семейные магазинчики, продающие подставки ручной работы, могут быть
легкой добычей , но стоит ли это вашего чертового времени? И зачем вообще ходить в маленькие магазины, разве у вас нет морали?
Вот
совет профессионала : используйте
Google в своих интересах. Попробуйте поискать:
site:myshopify.com НАИМЕНОВАНИЕ ТОВАРА
Это выведет сайты Shopify с конкретными товарами, которые вы ищете. Будь то дилдо, подарочные карты или корм для крыс, на Shopify есть все. Это как чертов
торговый центр для кардеров.
Но подождите, это еще не все. Собственная поисковая система Shopify — это
золотая жила :
Магазин.Приложение
У них даже есть чат-бот с искусственным интеллектом, который поможет вам найти свой следующий счет. Они буквально
умоляют нас картировать их магазины.
И последнее: не стоит недооценивать
силу нишевых рынков . Тот малоизвестный магазин, торгующий лакомствами для собак ручной работы, может оказаться вашим билетом к
жирному дню зарплаты . Чем специфичнее продукт, тем меньше вероятность, что у него будет первоклассная безопасность поверх
Shopify . Плюс, кто, черт возьми, заподозрит мошенничество с изысканными закусками
для померанских шпицев ?
Заключение
Давайте закруглимся с этим дерьмом. Мы
разобрали Shopify, как лягушку на уроке биологии в старшей школе, и теперь у вас есть знания, чтобы превратить этого гиганта электронной коммерции в ваш
личный кошелек .
Помните:
Shopify — это не просто еще одна платформа, это
отличная возможность , если вы знаете, как ею воспользоваться. От обнаружения магазинов
Shopify в дикой природе до понимания их платежного потока и
обхода их
несовершенных мер безопасности — теперь вы вооружены инструментами, чтобы сделать
Shopify своей сучкой.
Но вот в чем дело: знания без действий так же
полезны, как член, который не встает . Не сидите просто так, словно это ценная вещь.
Используйте ее. Совершенствуйте ее. Сделайте ее своей.
Также: будьте
адаптивны . Методы, которые мы рассмотрели сегодня, могут работать как часы сейчас, но, как я всегда говорю, ничто не остается неизменным надолго. Продолжайте
учиться, продолжайте развиваться и будьте
на шаг впереди команд безопасности, которые читают это руководство сейчас или в будущем (Привет, разработчики
Shopify !).
И последнее: помните, что с большой силой приходит большая ответственность. Не будьте тупицей
и не
переигрывайте . Бейте
умно , бейте
стратегически и живите, чтобы сыграть в другой день.
Класс распущен, прекрасные ублюдки.
А теперь иди и сделай так, чтобы твой папочка тобой гордился. doctrine out.