Carding Debunking a Huge Myth: “Carding is dead”
- Thread starter Abraham_Lincoln
- Start date
ei9o2kohuj
Carding Novice
- Joined
- 16.04.25
- Messages
- 7
- Reaction score
- 0
- Points
- 1
ok thanks bro
谢谢我记得在 2020 年,很多卡片持有者在周日下午喝了 6 杯啤酒后,在一个阅读量达 10 亿的帖子中获得了免费的 cvv 赠品,他们说:
刷卡已死!2019年的时候更容易……现在有了otp和新的vbv系统,就废了,只能干脆坐在沙发上胡言乱语,用赠送的cvv刷卡。一次刷卡失败,他就能解释为什么刷卡已死。
周日下午的黑客会抱怨:是的,现在他们甚至没有将卡片存储在 SQL 数据库中,黑客攻击的意义何在?
这种糟糕的心态一直是初学者最大的绊脚石。成功的最好方法是不断学习,不断尝试,找到自己独特的刷卡或砍卡方式。
2021 年,同样的人说着同样的话,2022 年也是同样的故事,2023 年也是同样的故事,2024 年也是同样的故事。”
现在已经是 2025 年了,一些懒惰的人仍然在寻找理由不再尝试,吸取过去失败的更多经验。
一年有 365 天,一天有 24 小时。
如果您拥有足够的正确知识,则准备、执行梳理操作并从中获利只需 1 个小时。
当这些人抱怨的时候,有些人已经拿到了 iPhone 并卖给他们,所以每年夏天,人们都会连续几个月检查酒店和顶层公寓,而周日下午的卡片发放者还在抱怨。
与其他任何工作一样,梳理工作并不容易,虽然有一定的难度,但相对较大的经济回报是可以弥补的。
对于那些能读懂字里行间含义的人来说,这里有一个最近发生的故事:
2025 年 1 月 14 日至 24 日期间,一家顶级 Watch 网站电子商店遭到黑客攻击,其中包含恶意脚本,窃取了信用卡和客户信息。
任何在这段时间内购物的顾客的个人信息和信用卡数据都可能被黑客窃取。
该事件由 JSCrambler 发现,并于 1 月 28 日通知了该网站。恶意脚本在 24 小时内从网站上删除。
JSCrambler 表示,此次攻击利用了 Magento 的漏洞,并攻击了其他 17 个网站。由于研究人员正在与受影响的网站合作清除感染,因此其他公司的名称暂不公开。
Skimmer Payload 源代码:
*** 隐藏文本:无法引用。***
操作细节
从技术角度来看,此次攻击使用了植入在网站上的简单的第一阶段 skimmer,并从防弹托管服务提供商(ru-jsciot)动态获取第二阶段 skimmer。
第二阶段使用自定义编码和基于 XOR 的字符串隐藏进行混淆以逃避检测。
一旦受害者将商品添加到虚拟购物车,盗刷器就会加载一个虚假的结账表格,而不是像大多数盗刷器那样将受害者引导至实际的结账页面。
伪造结账表格(3 个步骤)
该表单的设计与该网站的整体网站主题不符,点击“立即购买”后不会触发,这表明攻击不够复杂。
该恶意表单旨在窃取客户的敏感数据,包括账单地址、电子邮件地址、电话号码、信用卡持有人姓名、信用卡号、信用卡到期日期和信用卡 CVV 码。
输入所有详细信息后,受害者会看到一个虚假错误,然后被重定向到网站的合法结帐页面以照常完成订单。
被盗数据经过 AES-256-CBC 加密并泄露到攻击者的服务器,在所有观察到的案例中,该服务器都是 X IP 地址。
泄露数据的(解密)样本
JSCrambler 评论说,卡西欧已经实施了内容安全策略 (CSP) 保护,这应该可以限制网站上的恶意脚本执行,但配置过于松散。
“该网站已实施内容安全策略 (CSP),但设置为仅报告模式 (Content-Security-Policy-Report-Only),并且未配置为报告任何违规行为(无 report-uri 或 report-to 指令)。”
“因此,CSP 违规行为仅记录在浏览器控制台中,而不是主动阻止攻击。”
