stihl не предоставил(а) никакой дополнительной информации.
PayPal повсюду, чёрт возьми. Каждый крупный ритейлер, каждый маленький магазинчик Для просмотра ссылки Войди или Зарегистрируйся — все они машут тебе перед носом этими синими и жёлтыми кнопками. Но большинство кардеров относятся к оплате Для просмотра ссылки Войди или Зарегистрируйся как к криптониту, и не без оснований. Эти хитрые ублюдки из PayPal год за годом усиливают свои системы защиты от мошенничества, превращая процесс оплаты покупок в настоящий ад.
Но вот что интересно: я уже два года сижу на методе, который постоянно приводит к успешным вбивам при оплате PayPal. Это фундаментальный недостаток в их системе, который они не могут просто так исправить быстрым обновлением. И сегодня я расскажу вам всё пошагово.
Отказ от ответственности: Информация, представленная в этой статье, а также во всех моих статьях и руководствах, предназначена исключительно для образовательных целей. Она представляет собой исследование механизмов мошенничества и не предназначена для поощрения, одобрения или содействия какой-либо незаконной деятельности. Я не несу ответственности за какие-либо действия, предпринятые на основе этой статьи или любых материалов, опубликованных в моей учетной записи. Пожалуйста, используйте эту информацию ответственно и не участвуйте в преступной деятельности.
Процесс оплаты через PayPal
Прежде чем мы углубимся в эксплойт, давайте разберёмся, как на самом деле работает процесс оплаты через PayPal. Существует два основных варианта транзакции:
Оплата через PayPal Express (мгновенный платёж)
Стандартная оплата PayPal (двухэтапный процесс)
Во втором процессе — Стандартная оплата — и кроется наша уязвимость. Этот разрыв между авторизацией и окончательной обработкой? Это наш золотой билет. Двухэтапный процесс создаёт окно возможностей, которое система обнаружения мошенничества PayPal не может легко закрыть, не нарушив работу законных функций.
Система обнаружения мошенничества PayPal
PayPals система обнаружения мошенничества — это многоуровневая система, отточенная десятилетиями борьбы с мошенниками. В основе её лежит один важный принцип: адреса доставки не лгут. В то время как большинство платёжных систем одержимы отпечатками браузера и IP-адресами, PayPal знает, что физические заказы оставляют бумажный след, который невозможно подделать. Они создали обширную базу данных доверенных адресов доставки, привязанную к каждому счёту и карте PayPal, которые когда-либо касались их системы.
Подумайте об этом: эта дурацкая карта за 5 долларов, которую вы пытаетесь использовать? Скорее всего, её законный владелец когда-то заказывал что-то через PayPal. PayPal уже знает их домашний адрес, адрес работы и адрес дома их мамы, куда они отправляют рождественские подарки. Каждая успешная транзакция оставляет след в огромной сети PayPal доверенных адресов. Когда вы пытаетесь отправить 65-дюймовый телевизор по случайному адресу, который они никогда раньше не видели, тревожный звоночек начинает звенеть.
Эта одержимость адресами доставки выходит за рамки истории отдельных транзакций. Алгоритмы PayPal анализируют места доставки по всей своей сети, создавая тепловые карты законной торговли и подозрительной активности. Они знают, какие почтовые индексы имеют высокий уровень мошенничества, какие адреса связаны с доставками и даже какие здания чаще всего используются для необычных схем доставки. Ваш, казалось бы, безобидный заказ проходит через этот длинный список факторов риска, связанных с местоположением, прежде чем он попадёт на этап обработки платежа.
Но что делает систему обнаружения мошенничества PayPal поистине впечатляющей, так это то, как она сочетает данные о доставке с обширным набором пользовательских данных. Практически каждый взрослый в США в какой-то момент взаимодействовал с PayPal — совершая прямые покупки, получая платежи или просто создавая учётную запись, которой никогда не пользовался. Каждое такое взаимодействие подпитывает их модели риска, создавая сложную сеть доверительных отношений и проверенных моделей поведения, которую практически невозможно взломать традиционными методами кардинга.
Почему трюк с отправкой на биллинг адрес не работает
Удачи. В отличие от обычных транзакций по кредитным картам, большинство сайтов не позволят вам ничего поменять после того, как платёж через PayPal пройдёт. И на это есть чертовски веская причина — PayPal — это, по сути, их гарантия защиты от мошенничества.
Подумайте сами: когда вы платите кредитной картой, сайты заставляют вас проходить проверку на мошенничество за проверкой и прочую ерунду с верификацией. А платить через PayPal? Этот товар упаковывают и отправляют на следующий день без лишних вопросов. Почему? Потому что эти продавцы знают, что PayPal — лучший уровень защиты от мошенничества. Они видели PayPal по борьбе с мошенниками и доверяют ему больше, чем родной матери.
Логика продавцов проста: никто не настолько глуп, чтобы пытаться кардить через PayPal. Модели риска слишком сложны, а набор данных слишком велик. Поэтому, когда они видят платёж через PayPal, они воспринимают его как благословение самих богов защиты от мошенничества, пока никакая информация не меняется после оплаты.
Подмена адреса доставки
Вот тут-то и начинается самое интересное. Помните тот двухэтапный стандартный процесс оформления заказа PayPal, о котором мы говорили? Этот разрыв между авторизацией и окончательной обработкой — не просто причуда, а наш чёртов молоток. Чтобы лучше понять, давайте проиллюстрируем это на примере случайного магазина Для просмотра ссылки Войдиили Зарегистрируйся.
Когда вы имеете дело с магазином Shopify, использующим PayPal Standard Checkout, вот как мы собираемся обхитрить их систему:
Как и почему работает этот фокус?
PayPal выявляет мошенничество на этапе первоначальной авторизации. Как только они дают зелёный свет, они доверяют продавцу всё остальное. Конечно, продавцы могут отправлять им обновлённый адрес доставки, но это бывает крайне редко. И даже если они это делают, вы уже прошли сложную проверку на мошенничество при оформлении заказа — PayPal уже провёл тщательную проверку и дал вам своё одобрение.
Любой магазин, позволяющий нам изменять заказ перед оплатой, — это наш золотой билет. Он предназначен для того, чтобы позволить добросовестным покупателям исправлять опечатки или вносить изменения в адрес в последнюю минуту. Вместо этого мы будем использовать его для полного обхода сложной системы обнаружения мошенничества PayPal. К моменту завершения обработки последней транзакции PayPal уже переключился на проверку следующего бедолаги, пытающегося провести картой через их систему.
Заключительные мысли
Итак, вот он — Святой Грааль кардинга PayPal раскрыт. Мы не просто бросаем дерьмо в стену в надежде, что что-то прилипнет. Это точно рассчитанная эксплуатация фундаментального недостатка в их системе оплаты.
Но помните: это не какая-то ерунда про «быстрое обогащение». Система обнаружения мошенничества PayPal всё ещё лютый зверь.
И, ради всего святого, держите свою OPSEC под контролем. Чередуйте дропов, меняйте суммы покупок и никогда не используйте один и тот же PayPal дважды.
Класс распущен. А теперь идите и зарабатывайте деньги — только не приходите ко мне жаловаться, когда всё испортите, срезав углы
Но вот что интересно: я уже два года сижу на методе, который постоянно приводит к успешным вбивам при оплате PayPal. Это фундаментальный недостаток в их системе, который они не могут просто так исправить быстрым обновлением. И сегодня я расскажу вам всё пошагово.
Отказ от ответственности: Информация, представленная в этой статье, а также во всех моих статьях и руководствах, предназначена исключительно для образовательных целей. Она представляет собой исследование механизмов мошенничества и не предназначена для поощрения, одобрения или содействия какой-либо незаконной деятельности. Я не несу ответственности за какие-либо действия, предпринятые на основе этой статьи или любых материалов, опубликованных в моей учетной записи. Пожалуйста, используйте эту информацию ответственно и не участвуйте в преступной деятельности.
Процесс оплаты через PayPal
Прежде чем мы углубимся в эксплойт, давайте разберёмся, как на самом деле работает процесс оплаты через PayPal. Существует два основных варианта транзакции:
Оплата через PayPal Express (мгновенный платёж)
- Покупатель нажимает кнопку «Оплатить через PayPal»
- Перенаправляется на сайт PayPal для оплаты
- Платеж обрабатывается немедленно после завершения транзакции через PayPal
- Покупатель возвращается в магазин с завершённой транзакцией
- Дополнительное подтверждение не требуется
- Распространено на обычных сайтах электронной коммерции
Стандартная оплата PayPal (двухэтапный процесс)
- Покупатель нажимает кнопку «Оплатить через PayPal»
- Перенаправляется на сайт PayPal для авторизации (но не обработки) платежа
- Возвращается на сайт продавца с токеном PayPal
- По-прежнему можно изменять данные доставки/счета
- Необходимо нажать последнюю кнопку «Оплатить сейчас» для завершения
- Используется крупными розничными продавцами для гибкости
Во втором процессе — Стандартная оплата — и кроется наша уязвимость. Этот разрыв между авторизацией и окончательной обработкой? Это наш золотой билет. Двухэтапный процесс создаёт окно возможностей, которое система обнаружения мошенничества PayPal не может легко закрыть, не нарушив работу законных функций.
Система обнаружения мошенничества PayPal
PayPals система обнаружения мошенничества — это многоуровневая система, отточенная десятилетиями борьбы с мошенниками. В основе её лежит один важный принцип: адреса доставки не лгут. В то время как большинство платёжных систем одержимы отпечатками браузера и IP-адресами, PayPal знает, что физические заказы оставляют бумажный след, который невозможно подделать. Они создали обширную базу данных доверенных адресов доставки, привязанную к каждому счёту и карте PayPal, которые когда-либо касались их системы.
Подумайте об этом: эта дурацкая карта за 5 долларов, которую вы пытаетесь использовать? Скорее всего, её законный владелец когда-то заказывал что-то через PayPal. PayPal уже знает их домашний адрес, адрес работы и адрес дома их мамы, куда они отправляют рождественские подарки. Каждая успешная транзакция оставляет след в огромной сети PayPal доверенных адресов. Когда вы пытаетесь отправить 65-дюймовый телевизор по случайному адресу, который они никогда раньше не видели, тревожный звоночек начинает звенеть.
Эта одержимость адресами доставки выходит за рамки истории отдельных транзакций. Алгоритмы PayPal анализируют места доставки по всей своей сети, создавая тепловые карты законной торговли и подозрительной активности. Они знают, какие почтовые индексы имеют высокий уровень мошенничества, какие адреса связаны с доставками и даже какие здания чаще всего используются для необычных схем доставки. Ваш, казалось бы, безобидный заказ проходит через этот длинный список факторов риска, связанных с местоположением, прежде чем он попадёт на этап обработки платежа.
Но что делает систему обнаружения мошенничества PayPal поистине впечатляющей, так это то, как она сочетает данные о доставке с обширным набором пользовательских данных. Практически каждый взрослый в США в какой-то момент взаимодействовал с PayPal — совершая прямые покупки, получая платежи или просто создавая учётную запись, которой никогда не пользовался. Каждое такое взаимодействие подпитывает их модели риска, создавая сложную сеть доверительных отношений и проверенных моделей поведения, которую практически невозможно взломать традиционными методами кардинга.
Почему трюк с отправкой на биллинг адрес не работает
«Но, Албанец, почему бы просто не использовать адрес холдера и не связаться с шопом после этого?»
Удачи. В отличие от обычных транзакций по кредитным картам, большинство сайтов не позволят вам ничего поменять после того, как платёж через PayPal пройдёт. И на это есть чертовски веская причина — PayPal — это, по сути, их гарантия защиты от мошенничества.
Подумайте сами: когда вы платите кредитной картой, сайты заставляют вас проходить проверку на мошенничество за проверкой и прочую ерунду с верификацией. А платить через PayPal? Этот товар упаковывают и отправляют на следующий день без лишних вопросов. Почему? Потому что эти продавцы знают, что PayPal — лучший уровень защиты от мошенничества. Они видели PayPal по борьбе с мошенниками и доверяют ему больше, чем родной матери.
Логика продавцов проста: никто не настолько глуп, чтобы пытаться кардить через PayPal. Модели риска слишком сложны, а набор данных слишком велик. Поэтому, когда они видят платёж через PayPal, они воспринимают его как благословение самих богов защиты от мошенничества, пока никакая информация не меняется после оплаты.
Подмена адреса доставки
Вот тут-то и начинается самое интересное. Помните тот двухэтапный стандартный процесс оформления заказа PayPal, о котором мы говорили? Этот разрыв между авторизацией и окончательной обработкой — не просто причуда, а наш чёртов молоток. Чтобы лучше понять, давайте проиллюстрируем это на примере случайного магазина Для просмотра ссылки Войди
Когда вы имеете дело с магазином Shopify, использующим PayPal Standard Checkout, вот как мы собираемся обхитрить их систему:
- Добавьте свой товар в корзину и перейдите к оформлению заказа.
- В разделе «Информация о доставке» введите РЕАЛЬНЫЙ АДРЕС ДЕРЖАТЕЛЯ КАРТЫ
- Это крайне важно — PayPal должен видеть адрес, которому он доверяет.
- Убедитесь, что он совпадает с тем, что есть в списке адресов PayPal для этой карты
- Нажмите «Далее» и на странице оплаты нажмите кнопку «Оплатить через PayPal».
- PayPal видит доверенный адрес доставки
- Их обнаружение мошенничества вызывает тёплое, приятное чувство.
- Авторизация проходит безупречно.
- Вот где происходит волшебство:
- После авторизации PayPal, но ДО окончательного подтверждения.
- Shopify позволит вам «проверить» (если магазин не использует Express Checkout, в этом случае транзакция будет выполнена мгновенно) ваш заказ в последний раз.
- В этом случае вы меняете адрес доставки на свой адрес дропа
- PayPal уже получили своё благословение, больше не проверяют
- Нажмите последнюю кнопку «Оплатить сейчас»
- Транзакция проходит через предавторизованный токен PayPal
- Shopify получает вашу обновлённую информацию о доставке
- Посылка отправляется в доставку, а не владельцу карты
Как и почему работает этот фокус?
PayPal выявляет мошенничество на этапе первоначальной авторизации. Как только они дают зелёный свет, они доверяют продавцу всё остальное. Конечно, продавцы могут отправлять им обновлённый адрес доставки, но это бывает крайне редко. И даже если они это делают, вы уже прошли сложную проверку на мошенничество при оформлении заказа — PayPal уже провёл тщательную проверку и дал вам своё одобрение.
Любой магазин, позволяющий нам изменять заказ перед оплатой, — это наш золотой билет. Он предназначен для того, чтобы позволить добросовестным покупателям исправлять опечатки или вносить изменения в адрес в последнюю минуту. Вместо этого мы будем использовать его для полного обхода сложной системы обнаружения мошенничества PayPal. К моменту завершения обработки последней транзакции PayPal уже переключился на проверку следующего бедолаги, пытающегося провести картой через их систему.
Заключительные мысли
Итак, вот он — Святой Грааль кардинга PayPal раскрыт. Мы не просто бросаем дерьмо в стену в надежде, что что-то прилипнет. Это точно рассчитанная эксплуатация фундаментального недостатка в их системе оплаты.
Но помните: это не какая-то ерунда про «быстрое обогащение». Система обнаружения мошенничества PayPal всё ещё лютый зверь.
И, ради всего святого, держите свою OPSEC под контролем. Чередуйте дропов, меняйте суммы покупок и никогда не используйте один и тот же PayPal дважды.
Класс распущен. А теперь идите и зарабатывайте деньги — только не приходите ко мне жаловаться, когда всё испортите, срезав углы