carding

Que es carding? Un breve explicacion... Carding: Es el uso ilegitimo de las tarjetas de crédito, o de sus números, perte

Views 3,292 Downloads 19 File size 804KB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories

Citation preview

Que es carding? Un breve explicacion... Carding: Es el uso ilegitimo de las tarjetas de crédito, o de sus números, pertenecientes a otras personas. Se relaciona con el hacking, porque para conseguir números de tarjetas de créditos, una de las formas es utilizando Ingenieria Social y sobre todo nuestra inteligencia (esto es lo mas importante) Se debe tener mucho cuidado en hacer esto ya que nos podemos meter en muchos líos. Con nuestras tarjetas de crédito debemos ser cuidadosos ya que alguien puede leer este documento antes que uno de ustedes y ser capaz de estafarlos. Se puede recuperar el dinero talvez pero para eso tendrían que hablar con el administrador del sitio donde se realizo el pago del artículo solicitando la IP de donde se hizo la compra y luego de todo esto tenemos que demostrar que nosotros no hicimos la compra del mismo. El carding consiste en comprar usando la cuenta bancaria o la tarjeta crédito de otro, esto se consigue con un poco de ingenieria social y mucha perseverancia. Cuando alguna persona utiliza carding para comprar objetos materiales se suele utilizar una dirección falsa con una identificación también falsa, es decir todo el formulario de compra lo llena con datos falsos. De esta manera el comprador quedara esperando en el lugar indicado la entrega del material como si se tratara de su residencia. La filosofía de los carders se basa en que existe mucha gente que tiene grandes cantidades de dinero que no cae nada mal utilizar algo de ese dinero para comprar algunas cositas para cada uno de ellos, ya que posiblemente el dueño de la tarjeta ni se de cuenta de esta compra que el no la hizo. Si ustedes están pensando en comprar por Internet programas o suscripciones y piensan que utilizando el carding será muy fácil pues tienen toda la razón resulta muy sencillo. En este manual se conseguirá revisar los métodos que utilizan los carders para hacerse de los números de tarjetas y burlar las seguridades para poder comprar sin ningún tipo de problemas. Tienen que saber que el robo de una tarjeta de crédito es un delito universal por lo que puede tener causas penales muy graves si no quieres irte de paseo a Cana..da (para otros países Cárcel) no intenten hacer nada de esto. Cuando se compra a través de un sitio de e-commerce, lo habitual es que se utilice una pasarela de cobros de tercero para que el portal de venta no tenga que preocuparse de gestionar las tarjetas de crédito de los clientes. Así, cuando hay que cobrar una operación, se invoca la web de pagos de una entidad bancaria o de Paypal, para que el cliente de toda la información de su tarjeta de crédito a la pasarela y no al e-commerce. Esto para las tiendas online es lo más cómodo, pues se libra de tener que lidiar con el almacenamiento seguro de los datos de venta de los clientes y tener que cumplir certificaciones como Payment Card Industry Data Security Standardque fuerza a tener unas medidas de seguridad mínimas y a cumplir una serie de auditorías de cumplimiento del estándar periódicas. El que una empresa cumpla el PCI DSS no tiene porque significar que el sitio sea 100% seguro, y no todos los e-commerce que piden datos de tarjetas de crédito para hacer transacciones económicas cumplen PCI DSS, así que a la hora de entregar los datos de tu tarjeta tienes que tener muy presente si se los estás entregando a una pasarela de cobros de una entidad bancaria o a Paypal, o si por el contrario se los estás entregando a aplicación web que va a meter los datos en una base de datos con más o menos seguridad. En el último Black Friday - el viernes ese en que en Estados Unidos todas las compras tienen grandes descuentos - se habla de que se han podido robar 40.000.000 de números de tarjetas de crédito que

podrían haber sido robadas de la base de datos de 1.500 tiendas minoristas de Target, según cuenta el New York Times, gracias a que se accedió a la base de datos donde se almacenaban. Si un atacante logra vulnerar la seguridad de una aplicación web que almacena los datos de tarjetas de crédito con un simple SQL Injection, o consigue llegar a ella por un Connection String Parameter Pollution o subiendo una Webshellal servidor que no ha sido fortificado correctamente, se podrá llevar fácilmente un montón de datos de tarjetas de crédito que podrá utilizar por Internet. Si hablamos ya de ataques en clientes, los típicos phishing, los troyanos que se dedican al robo de identidad o el ejemplo del uso fraudulento de Autofill pueden permitir llegar también a los datos de las tarjetas de crédito. El número de tarjetas de crédito que suelen quedar expuestos de ambas formas, es decir, o bien utilizando las clonadoras de tarjetas de crédito o bien robando los datos de bases de datos, puede ser muy alto, y es fácil encontrar tarjetas de crédito en venta en foros de la Deep Web, en foros de la web dedicados al carding que se anuncian enInternet con total tranquilidad, y hasta en sitios tan monitorizados como Pastebin. Para enseñar a la gente lo fácil que se puede acceder a datos de tarjetas basta con usar LeakedIn que ya tiene un filtro para las tarjetas de crédito y permite acceder a los últimos números filtrados. Pero de donde obtienen los datos los atacantes? Una botnet es una red de ordenadores (de 5.000++++) infectados por un programa que hace que el ordenador se conecte a un servidor que controla todas las maquinas infectadas. De aca se pueden sacar cuentas, tarjetas, datos personales, correos, etc etc. Las formas de hacerlo varian de la creatividad del carder. Pero lo mas usual es cambiar el host file de la victima redireccionando los principales sitios de pago a un scam. Scam: Clon de algun recurso que graba los datos introducidos en los formilaciones o los envia directamente a el carder. Skimmers! Los skimmers son maquinas que se quedan con los datos de las bandas magneticas y las guardan en un archivo (DUMP). Para sacar dumps con este tipo de aparatos es de buena costumbre aprovechar lugares de trabajos. Lo unico que hay que hacer es pasar la tarjeta por el lector y listo!. Lo mas 1337 serian los ATM smikkers, pero tienen sus inconvenientes a la hora de ponerlos. Hacking E-Shop! Aqui no hay nada que detallar ya que hay muchisimas tecnicas de hacerlo, lo que hay que tener en cuenta al elegir un e-shop victima es que ha de aceptar tarjetas de credito sin redireccion a la pasarela de pagos del banco de la tarjeta ya que estos no guardan datos de la tarjeta en su base. Tiene que ser un sitio con formularios estandar para introducir la tarjeta que se valida al instante. Fake Shop! No tiene que ser Fake shop, la idea de una tienda virtual donde se puede pagar con tarjetas de credito. De alli hay dos salidas, la primera seria realmente hacer envios al comprador, y la segunda es por alguna razon cancelar su pedido. Mas si antes de cancelar el pedido del todo se pierden datos adicionales como fotocopia del SSN del pasaporte o de la tarjeta mucho mejor!. CashOut! CashOut Moneycash como se les conoce, basicamente es obtener dinero en efectivo de varios servicios de envio de dinero como Western Union, Money Gram, Paypal, E-Gold o del mismo banco como hacer un cashout en WU es uno de los mas faciles ya que se necesita una CC 100% valida y virgen aparte de

eso necesitas un WU confirmer, osea hablar en ingles correctamente llamar a WU para confirmar que tu estas enviando el dinero a Tal persona, ya despues de haber llamado te dan el MTCN y cobras tu dinero en banamex, elektra, telegrafos, ect.

Paginas de E-Commerce! Bueno hay varias paginas que manejan seguridad como verisign hackersafe pero son faciles de violar ahora hay otras paginas que manejan que la cc que usas coordine con tu ip tienen un traceroute para ver si tu ip coordina con el pais de la cc pero si usas algun proxy bueno del pais de la cc puedes violar esto. Generalmente el dato falso de la dirección es la de un drop (soltar) o sea una cómplice que recibe la mercadería, la suelta y cuando la policía llega niega todo. La policía irá a buscar, corrobora la IP al no coincidir abandona la carne podrida y se retira. Aún cuando la cartera diga que ella lo recibió, esta lo negará y no pasará de ahí. Es importante entender la estructura de las tarjetas de crédito; están están formadas por 16 dígitos divididos en 4 grupos de 4 dígitos. El primer número de 4 dígitos definirá el banco al que pertenece el plástico. Una de las formas más difundidas de creación de un número de tarjeta en el ambiente carder es tomar un número de tarjeta. Ejemplo: 5176 3423 8657 9887. He resaltado los números que ocupan ubicaciones impares, ahora jugaremos un poco con estos números. 5*7=35=3+5=8 3*2=6 8*5=40=4+0=4 9*8=72=7+2 Esta sencilla cuenta nos dejará con los siguientes números: 8-6-4-2 Ahora tomamos los pares y hacemos la siguiente suma: +6+4+2+1+6+4+3+6+7+8+7=62 Esta cuenta debe darnos un múltiplo de 10, por lo que jugamos con el último dígito un poquito reemplazándolo en este caso por un 5 eso nos dará 60 y será un número válido. Esto es un juego al azar que daría al caco digital el número 5176 3423 8657 9885. Esta es una forma muy rudimentaria de crear un número de tarjeta. Las otras son el robo de la correspondencia, «comprar los datos» la empleada infiel, el famoso papelito con el número y la clave de 4 números de seguridad y la más elaborada: construirte un portal y colocar un formulario que pida el número de tarjeta para ver fotos de ladies con la promesa de no cobrar y demás. Otra muy común el mail corrigiendo un error del banco. Los datos necesarios son:     

Nombre. Numero de Cuenta. Fecha de Expiración. Tipo de tarjeta. Numero de verificación Estos datos, si nos basamos en la creación de números al azar, también terminan siendo azarosos; si nos basamos en las técnicas de ingeniería social son muy fáciles de conseguir y generalmente son cedidos por los propios usuarios.

Tal vez lo más complicado sea el tipo de tarjeta; para esto nos fijamos en el primer dígito; esto hasta hace un tiempo atrás era así (ya les advertí que manejaría los datos críticos a mi antojo): 3 ->American Express (15 dígitos) 4 ->VISA (13 o 16 dígitos) 5 ->Mastercard (16 dígitos) 6 ->Discover (16 dígitos) Teniendo definidos esos datos ya la carder puede comprar algo online. Generalmente la primera prueba es comprar pornografía para ver que la tarjeta funcione. Si la compra es por un monto elevado se le pedirán mayores datos, todo depende de la paciencia y de la Ingeniería Social montada. Cuantos más datos ponga en las redes sociales más datos dará a su Carder amiga.

Si alguien te llama por teléfono y te dice: «Buenos Días, soy Jorge Ramirez de la sección fraudes de VISA Card, hemos detectado un posible uso fraudulento de su plástico o tarjeta, por lo que necesitamos efectuar una comprobación de rutina…»; y nos empiezan a pedir todos los datos desde nuestro nombre a la fecha de cumpleaños. Por favor: ¡NO SE LOS DEN!

Últimamente se esta poniendo muy de moda el tema de el " Carding"" a nivel de todo latino América, no hay que ser un profesional ni siquiera un "Hacker" como dicen muchos por concepto erróneo de este tipo de método , ya que eh visto a muchas personas que nisiquiera saben hacer un simple " ByPass" or Sql

inyeccion metodo POST en los risk entre otros payloads de una simple herramienta como "Sqlmap" o ni muchos menos saben utilizar "Mfsconsole", digo esto porque es la realidad y soy de las personas que digo las cosas como son . Antes de comenzar los métodos de ataque de este escenario , quiero aclarar que no enseñare a utilizar un proxy u algo, ya que ese post lo tienen en mi "BLOG" , guerra revisada no mata gente bueno sigamos :

SCAMS + Mailers Spammer En este tema tocaremos sobre la plataforma que trabaja el carder y como nosotros podemos tener la nuestra de una manera tan sensilla Pasos : 1- Tener un scams actualizado de paypal : 2-Tener un Cpanel para subirlo al servidor Una ves obtenido estos dos requisitos, vamos a subir nuestro scam mediatnte el "upload" del Cpanel en la opcion " cargar " debemos comprimir nuestro scam en extension " .zip " para que lo descomprima sin ningun problema luego de ello una vez subido nuestro scam :

Una vez subido como vemos en la imagen nosotros editaremos el archivo " Email.php " y nos saldra este codigo :

nosotros en la parte del correo electronico le pondremos nuestro correo para que llege los datos de las personas, pero no creen que seria algo un poco cursi ? tanto si nos rastrean los datos de envios u otro, bueno perfecto este scam tambien tiene la opcion de guardar los datos en .TXT en la misma we de manera automatica sin modificar nada sigamos. Ya tenemos nuestro Scam 100 % estable :

Una vez completado ahora lo que haremos sera spamear una lista de correos electronicos que esten con cuentas de paypal / se puede obtener dumpeando un sitio web que tenga las tablas de paypal y los corrreos electronicos o utilizadno un extractor de correos a una web de "Shop" enlazada con paypal , pero para ello nesesitamos lo siguiente : 1- Mailer.php para enviar el spam a los correos 2- Letter en este caso de paypal para enviar el mensaje mediante html Les aconsejo que suban el Mailer.php en un servidor aparte , que no este en el mismo servidor del scam ya que el mailer puede ser quemado facilmente. Bueno una ves subido el mailer.php lo tendremos de la siguiente manera :

Aqui es donde entra en funcion el " Letter " , el Letter no es mas que un archivo contenedor del codigo fuente del mensaje que paypal deja en los correos electronicos de los usuarios para una seria de procesos en la cuenta del usuario :

Antes de pegar el codigo del lettler debemos modificar algunas cosas por ejemplo el link de la web donde se direccionara el mensaje en este caso la web de nuestro "Scam " View Source :





------------------------------------------------------------------------------------------------------------------------Source Edit :



Una ves modificado correctamente llenaremos los datos del email.php , para spamear los correos electronicos : Requito : 1- Tener una lista de correos electronicos 2-Copiar el source del lettler en Message Box :

Ejemplo de datos que se debe poner :

Luego de ello le daremos en " Send eMails ", para que empieze a enviar el mensaje :

Una vez enviado los mensajes a la bandeja de entrada del correo, en este caso la victima creera que fue enviado por la misma web de Paypal :

La victima le dara clip en el enlace : Click Here To Verfiy Your Account info luego de ello la victima caera en nuestra trampa y pondra los datos de su tarjeta de credito y su cuenta

de paypal en esta seccion de aqui :

Luego que la victima aya puesto todos sus datos y aceptado en las opciones de continuar, automaticamente se guardara el registro y se creara una carpeta en nuestro scam llamada Rezult/CREDIT.txt mas el archivo donde se almacenaran los datos de la tarjeta de credito

Link de descarga de todo lo utilizado en este proceso :

http://www.mediafire.com/download/d9ep6so990ywc01/Scam+Paypal+2014+%2B+Mailer+%2B+ Letller.rar

DUMPEO DE CCV el dumpeo de las datos de una tarjeta , no es mas que una inyeccion SQL mediante una herramienta como sqlmap o havij , ya que solo extraeremos los datos que almacene la DB . Quizas el metodo de hallar es utilizando las "dorks" de google ya que la mayoria las usa para este tipo de ataque de algunas dork especialmente de Carding ,en este proceso de ataque es algo comun pero este nos dara $ $ $ . Primero nesesitamos una web vulnerable en ese caso : http://www.localhost.com/category.php?cat_id=1

Una ves extraido la base de datos " la mayoria de tarjetas de credito se encuentren en las Tablas "Orders" o " Shopping_cart " se encuentran los datos de las CCV

Database: db309014570 [15 tables] +-----------------------+ | categories | | contents | | login | | orders | | orders_temp | | ordersp | | ordersp_temp | | products | | resale |

| resale_temp | | shopping_cart_info | | shoppingcart | | user_credit_cart_info | | users | | users_wishlist | +-----------------------+

Aver entraremos en la tabla " shopping_cart_info " y veamos que nos arroja :

como vemos no ah dado informacion sobre los datos de las CCV , pero si se fijan hay mas tablas donde puede aver mas informacion para sacarle mas jugo a todo ese dinero $ $ $ entraremos a la tabla " users ", ya que estos usuarios registran su datos para poder comprar productos de la web la cual nos hace tener acceso a este sitio 100 % cardeable tanto de extraccion como para realizar nuestras compras aqui mismo.

como vemos esta web es cardeable internamente, bueno sin mas que decir me despito ante ustedes se me olvida decirles algo , al momento de dumpear y comprar productos les aconsejo uilizar siempre un proxy Socks5 Premium , quizas uno podra decir vaya protego mi IP y listo, pero no mis queridos amigos(a) , la mac juega un rol importante en el soporto de un ordenador de la misma empresa, ya que es su numero de " SERIE" y pocos le toman importancia a ello les dejare una herramienta "Premium" para cambiar nuestra Mac de manera manual :

Link de descarga : http://www.mediafire.com/download/y5g2oiqdhsaasvk/Technitium_MAC_Address_Changer_v6.0.3_Setup.rar