Carding Bites: Understanding Shopify
Alright, you delinquents, its time to get into the beast thats been both a
blessing and a
curse for carders everywhere:
Shopify. If youve been in this game for more than a while, you probably hit more
Shopify stores than you had hot meals. But how much do you really understand about whats going on under the hood?
So get in, shut up and pay attention. Class is in session, and todays lesson might just be the difference between your next
big score and your next
big failure.
What is Shopify and Why?
Unless youve been living under a rock (or in a
federal penitentiary), youve run into
Shopify more times than you can count. This e-commerce giant powers over 29% of all online stores in the
US, making it the 800-pound gorilla of the digital marketplace. As a carder, understanding
Shopify isnt just useful - its
fucking essential, especially if you like card physical stuff and none of the gay ass bank logs shit.
Now, you might be thinking, Its just another checkout page, whats the big deal?
Wrong.
Shopify is a labyrinth of configurations, security measures, and potential loopholes. Each store might look the same on the surface, but under the hood, its a whole different ballgame. One
Shopify store might roll over easier than a submissive in a BDSM club, while another might be locked down tighter than a nuns asshole.
I get more messages about
Shopify than almost anything else. Every day, some newbie slides into my DMs asking how to crack
Shopify like its a fucking
Rubiks Cube. And you know what? Theyre not entirely wrong. Hitting
Shopify stores can
print you money if you know what youre doing, or a
quick path to failure if you dont.
Heres the deal: understanding how
Shopify works isnt just about increasing your success rate (though itll do that too). Its about opening up a whole new world of opportunities. When you really get how this platform ticks, youll start seeing vulnerabilities and exploits that the average script kiddie couldnt spot if their life depended on it.
So buckle up, buttercup. Were about to plunge headfirst into the world of
Shopify. By the time were done, youll either be
getting those dildo orders shipped or youll have realized youre in the
wrong fucking business. Either way, youre in for one hell of a ride.
Knowing A Shopify When We See One
The first step to understanding
Shopify is knowing if the site youre trying to hit is actually powered by
Shopify. Any seasoned carder should know this by now, since most
Shopify sites tend to have a specific look, most especially during checkout. But if you dont, heres the simplest and most accurate way to know if the sites
Shopi-fucking-fy:
- Right-click anywhere on the page and select Inspect or View Page Source (or hit Ctrl+U on most browsers).
- Once youre looking at the source code, hit Ctrl+F to open the search function.
- Type in shopify and hit enter.
- If you get a bunch of hits, especially from cdn.shopify.com, congratulations - youve found yourself a Shopify store.
This method is
foolproof because
Shopify leaves its fingerprints all over the source code like a sloppy burglar at a crime scene.
Now, if youre too lazy to do that or youre trying to find
Shopify stores to hit, there are tools like
Wappalyzer and
BuiltWith. These browser extensions can tell you what platform a site is using before you squeeze in your nasty cards. Just keep in mind that while these tools are great for bulk searching, theyre not always 100% accurate for specific sites. They might miss some cleverly disguised
Shopify stores or give false positives on others. What they are good however, which is something Ill explain later, is looking for
Shopify stores to hit.
The Shopify Maze
Lets get one thing straight: theres no one-size-fits-all approach with
Shopify stores. Theyre all are a unique beasts with their own configuration and security measures. Some have AI fraud systems thatll leave you scratching your head, others are running on the digital equivalent of a rusty bike lock. The key? You have to know your fucking target.
Before you even think about hitting a
Shopify store, do your goddamn homework. Run a test checkout with
Burp or
Caido like we always do in our Live Carding series. This isnt just busy work - its your roadmap to understanding the sites security measures, payment flow, and all the dirty little secrets that could determine your
success or
failure.
Now, lets dive into how
Shopify processes payments, because this is where most of you dipshits are getting tripped up.
Direct vs. External Payments
Shopify stores generally fall into two camps: Direct Payment and External Payment.
Direct Payment (Shopify Payments):
The vast majority of
Shopify stores use Direct Payment, and most of those are running
Shopify Payments. How can you tell? If youre not redirected to another page to complete your payment, youre dealing with Direct Payment.
And heres the twist:
Shopify Payments is just
Stripe in disguise.
Sí, has oído bien. Ese cabrón
de Stripe es la razón por la que tus pedidos se
cancelan o
rechazan . A los dueños de tiendas les encanta
Shopify Payments porque es más barato y más fácil de configurar. Pero, ¿para nosotros? Es como intentar robar un banco que está dentro de una comisaría.
Pago externo:
Básicamente, cualquier sitio que redirija a una pasarela de pago diferente. Las estrategias en este caso dependerán de la pasarela de pago a la que se lo redirija.
El radar de rayas, un lío mental
Stripe Radar analiza cada maldita transacción que pasa por
Shopify Payments . Este es el proceso:
Ahora, aquí es donde se pone interesante. Debido a algunas tonterías legales y reglas de privacidad,
Stripe Radar en
Shopify Payments no obtiene todos los detalles de tu sesión. Es como intentar juzgar un concurso de belleza con los ojos vendados:
Radar solo puede acceder a los detalles de la tarjeta y, según mi experiencia, no tiene acceso a tu dirección IP ni a tu huella digital cuando realizas el pago en una tienda
Shopify .
¿Qué significa esto para ti, imbécil? Significa que acceder a una tienda
Shopify suele ser más fácil que acceder a una página de pago de
Stripe . La evaluación de
Shopify de tu IP y huella digital es tan tonta y defectuosa y fácil de eludir que es tan estricta como un portero borracho a las 2 de la mañana.
Pero no te confíes, porque
Stripe Radar sigue evaluando tu tarjeta y, en mi experiencia personal, te explico cómo funciona:
- Puntuación de radar > 90: estás jodido. El pedido se rechaza o cancela al instante.
- Puntuación de radar > 80: desafío de 3DS. Es mejor tener un bypass listo.
- Puntuación de radar > 60: estás en el limbo. Puede que pases, puede que te cancelen, puede que tengas que superar más obstáculos.
- Puntuación de radar < 50: estás en lo cierto. Pedido aceptado y enviado.
A continuación se muestra un ejemplo de un pedido que
no pasó la evaluación de Stripe en un panel
de Shopify :
¿Ves cómo toda la lista del análisis de fraude de
Shopify muestra que se aprobó , pero tiene una
alerta roja ? La tarjeta específica que usé aquí se verificó con un
verificador de enlaces y, en ese caso, tiene un puntaje de fraude alto predeterminado en
Stripe . Si no entiendes de qué estoy hablando, mejor revisa mi otra guía:
Exclusiva de CrdPro: Por qué las tarjetas que compraste nunca funcionan y qué puedes hacer al respecto.
One thing you should also consider is that
Shopify has plugins that let store owners
customize their fraud rules based on
Shopify assessment (not
Stripe). Some
paranoid fucks might
cancel if your IPs a hundred kilometers away from the billing, while others might let an
obvious fraudulent order
slide if sales are
slow. Its a goddamn
crapshoot, but its a million times
easier to pull off than other payment gates.
So whats the takeaway? When youre hitting
Shopify stores that use
Shopify Payments, your
success or
failure boils down to one thing: how
Radar judges your fucking card. Thats it. Thats the ballgame.
Shopify's own fraud analysis is
easy to bypass, but if
Stripe tells
Shopify your cards
fucked, your order is definitely
fucked. Know this, and you'll be hitting
Shopify stores like its your job (which, lets face it, it kind of is). Obligatory self-insert: if you want good first-hand cards, get them from me:
d0ctrine.
Shopify Fraud Check Bypass Method
Now, lets talk about a little
trick that will
save your ass when
Shopify stores try to play detective. You know the drill - you card
successfully, then they hit you with that
verification refund bullshit.
Instead of
pissing away money on
Visa Alerts or
Enrolls, heres a method that
works 100% of the time that I cooked up personally and its
simpler than a cavemans diet.
*** Hidden text: cannot be quoted. ***
Its that fucking
easy. No more
guessing games, no more relying on
unreliable tools. Just
pure, unadulterated access to the refund amount you need.
This method works because most
Shopify store owners are too busy counting their money to realize theyve left the
back door wide open. Use it while its
hot, because in this game,
good loopholes dont stay
secret forever. Find sites that check for the refund, and fuck them dry.
Recuerda que la mitad del proceso de elaboración de cartas consiste en encontrar esas pequeñas
grietas en el sistema . Mientras todos los demás juegan a las damas, tú ahora estás jugando
al ajedrez 4D . No
desperdicies este conocimiento: aplícalo, perfeccionándolo y observa cómo tu
tasa de éxito se dispara .
Encontrar sitios
Ahora que ya tienes los
conocimientos y entiendes cómo funciona
Shopify , es hora de encontrar tus objetivos. Aquí es donde entran en juego herramientas como
Wappalyzer ,
Builtwith y otras
herramientas de scraping .
Estas herramientas te darán una lista de sitios
de Shopify más larga que tu posible prontuario . Pero no te lances a
la caza de alguien sin más . Sé
estratégico y busca tiendas que se ajusten a tus cartas y tus habilidades. Una boutique de lujo puede tener
una seguridad más estricta , pero la recompensa podría
valer la pena . Mientras tanto, una pequeña tienda que venda posavasos hechos a mano puede ser un
objetivo fácil, pero ¿vale la pena perder el tiempo? Además, ¿por qué atacar a las tiendas pequeñas? ¿No tienes moral?
Un
consejo de experto : utilice
Google a su favor. Pruebe a buscar:
sitio:myshopify.com NOMBRE DEL ARTICULO
Esto mostrará los sitios de Shopify con los artículos específicos que estás buscando. Ya sean consoladores, tarjetas de regalo o comida para ratas, Shopify lo tiene todo. Es como un maldito
centro comercial para personas que compran tarjetas.
Pero espera, hay más. El motor de búsqueda de Shopify es una
mina de oro :
Tienda.Aplicación
Incluso tienen un chatbot de inteligencia artificial para ayudarte a encontrar tu próximo puntaje. Prácticamente nos están
rogando que les pidamos que les muestremos sus tiendas.
Una última cosa: no subestimes el
poder de los nichos de mercado . Esa oscura tienda que vende golosinas artesanales para perros podría ser tu boleto a un
gran día de pago . Cuanto más específico sea el producto, menos probable es que tengan una seguridad de primera categoría además de
Shopify . Además, ¿quién diablos va a sospechar de un fraude en los bocadillos gourmet para perros
de Pomerania ?
Conclusión
Terminemos con esto. Hemos
diseccionado Shopify como si fuera una rana en una clase de biología de secundaria y ahora tienes el conocimiento para convertir a este gigante del comercio electrónico en tu
billetera personal .
Recuerda:
Shopify no es solo otra plataforma, es una
oportunidad excelente si sabes cómo aprovecharla. Desde detectar tiendas
Shopify en la red hasta comprender su flujo de pago y
eludir sus
deficientes medidas de seguridad, ahora estás armado con herramientas para convertir
Shopify en tu perra.
Pero aquí está la cuestión: el conocimiento sin acción es tan
útil como un pene que no se pone duro . No te quedes sentado con esta información como si fuera una posesión preciada.
Úsala. Refínala. Hazla tuya.
Además: mantén
la flexibilidad . Los métodos que hemos cubierto hoy pueden funcionar de maravillas ahora, pero como siempre digo, nada permanece igual por mucho tiempo. Sigue
aprendiendo, sigue evolucionando y mantente
un paso adelante de los equipos de seguridad que están leyendo esta guía ahora mismo o en el futuro (¡Hola, desarrolladores
de Shopify !).
Por último: recuerda que un gran poder conlleva una gran responsabilidad. No seas
tonto y
juegues demasiado con tus cartas . Juega
con inteligencia , juega
estratégicamente y vive para recibir cartas otro día.
Clase terminada, hermosos bastardos.
Ahora sal y haz que tu papá se sienta orgulloso. Doctrina afuera.