Carding Guide: CARiD
Get ready. If youve been jacking off to
overpriced mufflers and fancy rims without actually owning them, its time to put your carding skills where your mouth is and hit
CarID.
View attachment 46383
CarID.com has a mountain of auto parts and their security is
weak as water. From cheap air fresheners to custom body kits, they have it all - and were about to help ourselves.
This isnt just about getting a free muffler. Were going to turn
CarID into our own parts supplier. Their inventory is huge, their prices are
high and their protection is
crap. Perfect for us.
Dont get too cocky though. This still takes some skill. Well need to navigate their system, exploit their weaknesses and get away with the goods without tripping any alarms.
So get your cards ready and fire up your proxies. Were about to show
CarID what happens when you leave your warehouse door open. Lets get in and see how we can turn their stock into our profit.
Why CarID?
CarID is the shit when it comes to
high value auto parts with security as
weak as piss. Their inventory is huge, from cheap air fresheners to custom body kits worth thousands. This variety lets us mix our hits and keep it legit.
The real money is in their
high ticket items. Performance parts, custom wheels, high end stereo systems - one good score can set you up for weeks. And this stuff sells fast. Car enthusiasts are always looking for deals, meaning quick flips and less chance of chargebacks.
CarID works with hundreds of brands, so we can spread our activity and avoid patterns. Their global shipping opens up international card and drop possibilities. And theyre used to gift orders, so different billing and shipping addresses wont raise any flags.
In short,
CarID is the perfect target -
high value goods, diverse inventory and
weak security. While others are fighting over electronics and fashion, were raiding an auto parts factory.
Recon
Opening up the
Burp Suite we can see that
CarIDs security is as basic as a cavemans club. No third party fraud system in sight, just some useless analytics crap that wont do jack to stop us.
View attachment 46385
Now heres where it gets interesting.
CarID uses
CyberSource for payments which implements
3DS 2.0. You might think this is bad news, but hold your horses - its actually a gift if you know how to play it right.
View attachment 46386
Before you even send over the payment details your devices fingerprint gets sent to
Cardinal Commerce, the
3DS processor. The code looks something like this:
JSON:
{
"Cookies": {
"Legacy": true,
"LocalStorage": true,
"SessionStorage": true
},
"DeviceChannel": "Mobile",
"Extended": {
"Browser": {
"Adblock": true,
"AvailableJsFonts": [
"Comic Sans MS",
"Georgia",
"Papyrus",
"Arial Black",
"Trebuchet MS"
],
"DoNotTrack": "disabled",
"JavaEnabled": true
},
"Device": {
"ColorDepth": 24,
"Cpu": "ARM",
"Platform": "Linux",
"TouchSupport": {
"MaxTouchPoints": 5,
"OnTouchStartAvailable": true,
"TouchEventCreationSuccessful": true
}
}
},
"Fingerprint": "d9f8a4b5c3d2e1f0a5b6c7d8e9f0a1b2",
"FingerprintingTime": 42,
"FingerprintDetails": {
"Version": "2.1.0"
},
"Language": "en-GB",
"Latitude": null,
"Longitude": null,
"OrgUnitId": "61ddefdbcac40279f9950adf",
"Origin": "Falcon",
"Plugins": [
"QuickTime::Video Format::video/quicktime~mov",
"Flash Player::Flash Content::application/x-shockwave-flash",
"HTML5 Audio::Audio Format::audio/mpeg"
],
"ReferenceId": "e1f23456-g7h8-90ij-klmn-opqrstuvwxyz",
"Referrer": "https://carid.com",
"Screen": {
"FakedResolution": false,
"Ratio": 1.777,
"Resolution": "2560x1440",
"UsableResolution": "2560x1300",
"CCAScreenSize": "01"
},
"CallSignEnabled": null,
"ThreatMetrixEnabled": false,
"ThreatMetrixEventType": "LOGIN",
"ThreatMetrixAlias": "UserAlias456",
"TimeOffset": -300,
"UserAgent": "Mozilla/5.0 (Linux; Android 10; Pixel 3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Mobile Safari/537.36",
"UserAgentDetails": {
"FakedOS": false,
"FakedBrowser": false
},
"BinSessionId": "a1b2c3d4-e5f6-7890-abcd-ef1234567890"
}
So what does this mean for us? It means your antidetect setup is key. If your fingerprint looks sketchy youre screwed before you even enter your card details. But get this right and youve got a clear path to the money.
But dont get ahead of yourself just yet. Ive got a trick up my sleeve thatll make carding
CarID easier. Well get to that good stuff soon enough.
Payment Processing
CarID uses
CyberSource with
3DS 2.0 for payments. This might seem like a problem, but its actually good news for us.
3DS 2.0 is more flexible than the previous one. The companies behind it realized strict security was killing sales so they made it dynamic. This works in our favor.
Heres the thing:
3DS 2.0 decides in real-time whether to show a
3DS prompt. Its not a simple yes/no based on the card anymore. This gives us room.
Még a 3DS-t általában kiváltó kártyák is megkerülhetik, ha kellőképpen csökkentjük a kockázati pontszámunkat. Minden attól függ, hogy
a Cardinal Commerce , a
3DS processzor hogyan látja a tranzakciónkat (feltéve, hogy közben nincs mesterséges intelligencia csaló rendszer).
Két lehetőségünk van:
- Nem VBV kártyák : Még mindig a legegyszerűbb, ha rendelkezésre állnak.
- Kockázati pontszám manipulálása : Az eszköz ujjlenyomatának módosításával potenciálisan megkerülhetjük a 3DS-t azokon a kártyákon, amelyek ezt igénylik.
A 3DS 2.0s kísérlet a biztonság és a felhasználói élmény egyensúlyára lehetőséget adott számunkra. Ki akarták használni.
A 3DS 2.0 kockázati pontszámának minimalizálása
Térjünk bele a jó dolgokba. A divatos mesterséges intelligencia-csalási rendszerekkel ellentétben
a 3DS 2.0-t az adatvédelmi irányelvek és az adatkezelési törvények kötik. Ez azt jelenti, hogy korlátozott adatkészlettel működik – csak az Ön IP-címe és a böngésző ujjlenyomata.
Most lehet, hogy tévedek néhány részletben, de nekem ez vált be:
*** Rejtett szöveg: nem idézhető. ***
Ne feledje, ez nem bolondbiztos. De ez egy egyszerű és hatékony módja annak, hogy csökkentse
a 3DS 2.0 kockázati pontszámát, és növelje annak esélyét, hogy esetleg megkerülje ezeket a bosszantó
3DS utasításokat. Nem szeretné elérni ezt a képernyőt:
View attachment 46387
Követelmények és áramlás
Követelmények:
- Nem VBV kártya VAGY használja a fenti trükkünket.
- Tisztítsa meg a lakossági proxykat, amelyek megfelelnek az országnak megfelelő kártyáknak
- Szilárd antidetect böngészőbeállítás
- Dobd el a címet
Folyik:
- Használja a fenti trükkünket, ha VBV-kártyákat használ
- Tedd a kosárba tételeket .
- Menj a pénztárhoz . Lehetőség szerint használja a vendégpénztárat.
- Gondosan töltse ki a szállítási adatokat . Nincs másolás beillesztés.
- Adja fel a rendelést és tartsa vissza a lélegzetét .
- Ha sikeres, azonnal ne nyomja meg újra a CarID-t . Helyezze el a próbálkozásait.
Tapasztalataim szerint
a CarID soha nem törölt egy tranzakciót, vagy kért egy tétel visszaküldését. De összesen ötnél többet nem találtam el (mindegyik kiszállításra került), így az eredmények változhatnak. Mindig készüljön fel lemondásokra vagy visszaküldésekre.
Megvannak
a CarID titkai, és most azt tervezi, hogy a készletüket saját alkatrészbolttá alakítja.
A 3DS 2.0s gyengeségeitől az egyszerű trükkökig megvannak az eszközök, amelyekkel nagy pénzt kereshet.
Most építsd meg azt az álomautót – egyenként egy-egy kártyás alkatrészt.
Csak ne feledd, ha elkapnak és bebasznak, ezt nem tőlem tanultad. d0ctrine ki.