Carder Compras
Saudações amigos!
Este texto foi feito com fins educativo(até parece) então o que você fizer é sua responsabilidade,
assuma seus atos e viva sua vida(isso é sério).
Uma boa observação, leia todo este texto antes de cometer qualquer ação, obrigado.
Bom, como nunca achamos tutorias completos na internet, resolvi escrever este com um propósito de ensinar e tirar as
duvidas de todos os que estão no começo de suas aventuras. Claro que sempre há alguns que se acham superiores dos outros e
vem tirar sarro com a cara dos novatos, vem pedindo números de cartao de credito, explorando os caras que estão atrás de cc
e depois xingam esses mesmo de lammers. Isso acontece pode acreditar.
Vamos deichar de enrolar e vamos aprender tudo sobre carding.
Índice:
%-- Recebendo as compras:
> Caixa postal
> Drop
> Laranja
> Box
> Enfretando o medo
> A hora de assinar
%-- Fazendo as compras:
> Proxy
> Cadastro
> Limite dos gastos
> Os cartões
%-- Obtendo os dados:
%-- Algumas técnicas:
> Engenharia social
> Vp-asp
> SQL Injection
> WebDav
> Comersus
%-- Lugares para comprar
%-- Porque me prender?
%-- Agradecimentos e fontes
%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%%% Recebendo as compras %%%
%%%%%%%%%%%%%%%%%%%%%%%%%%%%
Existem várias maneiras de se receber uma compra, entre elas:
>>>>Caixa Postal:
Isto que chamamos de caixa postal é nada mais nada menos do que uma conta que você abre no correio pagando
uma taxa anual que não sei exatamente o preço(± 50R$). Para faze-la você precisa da sua identidade, CPF e comprovante de
endereço como conta de luz, água, etc. O mais indicado seria você fazer essa caixa postal com dados falsos, é difícil mas
nada é impossível. Para isso você deveria ter muito cuidado afinal teria que falsificar documentos e isso já é um crime,
se a pessoa que estiver te atendendo perceber que é falso você não conseguirá concluir seu objetivo e talvez começe a ver
o sol nascer quadrado.
Se você tem uma caixa postal, somente o dono desta poderá retirar as compras, ou você, mas teria que levar um
documento do dono.
>>>>Drop:
Bem, o drop é o jeito que eu pessoalmente acho o melhor para receber e menos arriscado. Simplesmente é um lugar
longe da sua casa ou em outro estado, país, o que você preferir que recebe suas compras e depois as manda para você.
Se você depende de alguém que receba para você sempre mantenha essa pessoa satisfeita, compre coisas para ela ou pague ela
com dinheiro vivo mesmo.
>>>>Laranja:
Laranja é alguém que se oferece para receber suas compras, essa pessoa usa sua própria casa ou usa lugares
abandonados ou do jeito que ela preferir. Pode ser um amigo seu, um vizinho, alguem pago para isso. Mas detalhe, essa pessoa
tem que ser de confiança, não deve ter conhecimentos sobre computador e ao menos ter um.
>>>>Box:
São como caixas postais mas sao feitas nos lugares de fora, é ideal para quem compra em sites como amazon.com e
coisas do tipo. Eles recebem e imediatamente mandam para você, este não é um sistema muito confiável, pois muitas vezes não
mandam a compra para a pessoa.
Obs: Nenhum, mas nenhum jeito é confiável. Sempre ha um jeito de se chegar até você. O que isto faz é dificultar este jeito.
Também ha pessoas que recebem as compras na sua própria casa, mas não é aconselhavel faze-lo.
>>>>Enfrentando o medo:
Quando você vai receber alguma encomenda você terá que assinar um papel, claro. Mas isso é uma coisa muito simples e
fácil não precisa ter medo, porque como disse um grande amigo meu, "Não vai sair um policial de dentro da caixa gritando
'Você está preso!!!!'". Portando enfrente, esteja ciente do que está fazendo e não gagueje, ou se mostre nervoso, isso é o
que deda você na hora H.
>>>>A hora de assinar:
Caso você seja um daqueles que não está afim de ficar de lero lero e quer receber logo as compras na sua casa, tem
alguns passos que deve se lembrar na hora de entrega.
Primeiro, o cara vai vir pedir se você é a pessoa que você colocou na hora do cadastro para receber. Você com certeza
vai dizer sim, eles normalmente não pedem identidade mas caso pedir tenha algo preparado, como uma carteira de identidade
scaniada e modificada e tals, ou um xeróx falso. Ok, você disse que era o cara, daí ele vai pedir o RG, e agora? Simples
você diz que sabe seu RG de cor, mas fique com o número na cabeça para não parecer que está inventando na hora, detalhe que
ele tenha 11 números, não tenha muitos números repetitivos, e que não comece com zero.
Você também pode pegar na internet alguns dados de uma pessoa, e assinar com o nome dela e o RG, assim na hora que
forem verificar verão que está tudo nos conformes, tudo confere.
%%%%%%%%%%%%%%%%%%%%%%%%%%
%%% Fazendo as compras %%%
%%%%%%%%%%%%%%%%%%%%%%%%%%
Quando você está fazendo uma compra, vai passar por várias etapas. Como o cadastro ou como ficar anônimo, veja aqui como
fazer tudo certo para não se ferrar depois.
>>>>Proxy:
Sempre, mas sempre use proxy. Eles fazem com que os outros não vejam o seu IP verdadeiro, claro que não é 100%
seguro, nem preciso dizer porque, mas eles ajudam a despistar bastante. Use também conexões de provedores grátis onde tenham
bastante pessoas conectadas simultaneamente, dificulta um pouco. Pode usar também o login de outras pessoas em provedores
pagos como a UOL, BOL, etc.
Essa coisa de IP para quem não sabe funciona assim, quando você entra em um site, ele ja tem informações sobre você
como o seu IP, seu OS e outras coisas mais. Se eles descobrirem seu IP de verdade, eles vão ligar para a provedora deste IP
e pedir informações da pessoa que estava com tal IP a tal hora, a provedora, claro que vai passar. Então a partir daí eles
vão saber aonde você mora, e podem te prender. Isso ae. :)
Tendo a proxy que é um endereço de IP que você pode conseguir em www.proxymania.com você vai configurar o seu
browser para usar esta proxy. Para ver se esta proxy está funcionando corretamente entre em www.meuip.cjb.net , se ali
aparecer o IP da proxy quer dizer que está funcionando bem, caso apareça o seu IP verdadeiro, cuidado que a proxy não está
escondendo o seu IP corretamente, então não a use.
Onde conseguir proxys? www.proxymania.com
>>>>Cadastro:
Essa é segunda parte mais complicada. Que dados colocar? Os dados devem ser verdadeiros? Onde devo colocar os
verdadeiros? O que colocar no endereço de entrega? Que nome colocar na entrega? Calma, todas essas perguntas que te atrasam
serão respondidas aqui.
Quando você vai comprar, o que você primeiramente deve ter em suas mãos, são:
-Dados de alguma pessoa
-Cartão de crédito de preferênca internacional
-Corajem
-Um bom proxy
-Necessidade
Bom, sobre os dados, para adquirir dados de alguém, ou você pega na internet, ou você pega em canais de carding( de
preferência o #Pago ou o #ATH - Ambos Brasnet ). Estes dados que eu digo são: Nome completo, RG e CPF.
Normalmente em quase todos os sites, tem o campo para o endereço de cobrança e para o endereço de entrega. No de
cobrança você põe todos os dados que adquiriu, nome, CPF, RG, tudo da mesma pessoa, não nome do ciclano e CPF do beltrano
aí não dá. Beleza, colocado la os dados e tal agora vai para o endereço de entrega. Aí sim, você deve colocar o endereço
do seu drop, ou o seu endereço se você recebe na sua casa. O nome você deve colocar só o primeiro igual ao seu, por
exemplo:
Se o seu nome é Gabriel Camburuzi Pereira, coloque lá o nome como: Gabriel Cambuzi , ou Gabriel Perera. Caso o entregador
conteste, você avisa ele que deve ter sido um engano de quem mandou, afinal , so ha a mudança de algumas letras. Isso também
ajuda se você for receber e alguem conhecido estiver passando por perto e for ali, o cara vai pedir pra ela se ela conhece
tal pessoa, ela vai dizer "Ah, tem um Gabriel que mora aí.".
E é assim que funciona.
Agora se fosse for dar um nome totalmente falso, daí você tenha xeróx falso de um identidade. Caso ele peça.
>>>>Limite dos gastos:
Normalmente, quando a compra é para cima de 300 R$, loja liga para confirmar o pedido. Por isso caso você tenha um
celular pré-pago, coloque o número dele como número do telefone nos dados de cobrança. Daí se eles ligarem tenha todos os
dados possíveis para não fazer cagada, não gagueje, não trema a voz, não pense muito para falar, seja rápido e normal, como
se fosse você confirmando um pedido seu mesmo.
Nunca exagere nso gastos, pois mesmo se a compra for aprovada, a loja talvez não esteja a fim de assumir o prejuízo
e mande a polícia federal investigar isso.
>>>>Os cartões:
Existem vários tipos de cartões de crédito, mas somente 4 "marcas" conhecidas, Visa, Mastercard, American
Express(AMEX) e Dinners. Os preferidos dos carders são os AMEX, por causa de seu auto limite de gastos e sua alta aceitação
no mercado.
Cada tipo de cartão tem seus próprios métodos para o comércio-online, mas não entrarei em detalhes sobre isso agora,
talvez posteriormente.
Como identificar o tipo do cartão? Simples, quando o cartão começa com o número:
3 = AMEX
4 = Visa
5 = Mastercard
6 = Dinners
%%%%%%%%%%%%%%%%%%%%%%%%
%%% Obtendo os dados %%%
%%%%%%%%%%%%%%%%%%%%%%%%
Irei explicar algumas técnicas no próximo tópico, mas o que posso dizer aqui é ... #Pago em irc.brasnet.org
e #ATH na Brasnet também. Nestes dois canais ha gente especializada nisso e circulação de informações como CC( Cartão de
Crédito), Nome, CPF, RG, etc.
Nunca, mas nunca saia pedindo CC para os outros, se tem uma coisa que eu nunca gostei foi pedir CC para os outros,
vá atrás de seu próprio material, se não sabe pesquise, estude, faça o que for preciso, mas não aconselho a pedir CC.
Se for para amigos tudo bem, mas chegar nos pvt das pessoase falar "Ae, me consegue CC ae.", cara, na boa, isso irrita.
Aqui é só isso, não tem mais o que dizer, o melhor vem no próximo tópico.
%%%%%%%%%%%%%%%%%%%%%%%%
%%% Algumas técnicas %%%
%%%%%%%%%%%%%%%%%%%%%%%%
Aqui irei explicar algumas técnicas das mais usadas para a obtenção tanto de números de Cartão de Credito, quanto
para Dados de pessoas.
>>>>Engenharia-social:
Você com certeza já deve ter ouvido falar em engenharia-social na sua vida ou ate tenha feito uso da mesma.
Engenharia-social se trata da habilidade de manipulação das pessoas através da comunicação, ou seja, você vai poder obter
dados e coisas interessantes simplesmente "pedindo" para os alvos ingenuos.
Para você ter uma noçao sobre isso nada melhor do que a prática e a leitura da Zine do Virii Hacking, onde ha um
ótimo texto sobre Engenharia-social feito pelo grande e saudável Inferninho. Ela pode ser encontrada em:
www.infoshack.cjb.net
www.txt.org
br.groups.yahoo.com/group/virii_hacking/
>>>>Vp-asp:
Vp-asp é uma técnica que explora a ma configuração do programa VP-ASP Shopping Cart, usado por várias empresas que
utilizam o sistema de comércio eletrônico. É explorada pelo browser , e basta você saber o nome do db e coloca-lo em seu
browser, a partir daí faz o download do db.
1º passo: Vá até o google, ou use um programa de filtragem de url's e coloque para procurar pela seguinte palavra-
chave: "allinurl:shopdisplaycategories.asp" (sem as aspas)
Vão aparecer url's mais ou menos assim: www.porcaria.com/shop/shopdisplaycategories.asp
2º passo: Pegue o nome de uma das url's encontradas e coloque em seu browser, então substitua a parte
"shopdisplaycategories.asp" por "shopdbtest.asp" para que a url fique assim:
www.porcaria.com/shop/shopdbtest.asp
A partir daí, vai aparecer uma tabela com vários nomes como:
xDatabase = Nome do banco de dados.
xDblocation = Localização do banco de dados.
xdatabasetype = Tipo do banco de dados, se nada estiver escrito quer dizer que é do Access, ou seja, *.mdb
xssl = Se estiver algo escrito, significa que o db(banco de dados) está nessa url.
Mas e como faço para pegar o banco de dados?
3º passo: Veja o que está escrito em "xDatabase", este será o nome do db, normalmente é algo parecido com
"shopping.mdb" ou "shopping450.mdb".
Agora você ve o que está escrito no "xDblocation", porque esse é o diretório onde está localizado o db, e agora?
4º passo: Coloque na url, o diretório que está o db, seguido do nome do db. Ficaria mais ou menos assim:
www.porcaria.com/shop/fpdb/shopping.mdb
Pronto, você vai estar baixando o db. Claro que este texto está um pouco resumido, mas em breve estarei
disponibilizando um texto sobre vp-asp que ensina muito bem explicado.
>>>>SQL Injection:
Não vou entrar na parte teórica da coisa, vou só explicar como usar e não o porque que acontecem as coisas, se você
quer aprender isto procure gugliar um pouco e aprenda por si mesmo.
Esta técnicas se baseia na injeção de comandos para o banco de dados SQL em conjunto com ASP ou PHP. O que você
precisa saber por agora é simplesmente o que escrever.
Nas mesmas urls que você fez a busca no tópico anterior sobre vp-asp, você vai encontrar na página um link, na parte
inferior, "Shop Administration" ou coisa parecida com Administrador.
Você tem que clicar no link e ele vai pedir o login e a senha. Você simplesmente vai responder os campos assim:
login: ' or '1
senha: ' or '1
Isso mesmo, aspa + espaço + or + espaço + aspa + 1.
Tem vezes que não precisa colocar senha. Após isso você vai ter acesso como administrador dentro do site e poderá
ver os pedidos das pessoas, tenha sorte para encontrar um site co bastante pedidos e bastante CCs. :)
Teste neste site: www.petipanema.com.br/shopadmin.asp
Qualquer dúvida há um texto explicando a técnicas mais teóricamente e tudo mais em www.totalsecurity.com.br
>>>>WebDav:
Ainda não tive tempo de ler muito sobre essta falha, mas sei sobre um tutorial que um amigo ae fez, bem completo,
com imagens, e bem explicado. Gostaria que desculpassem por não explicar aqui tudo direitinho, mas, a coisa aqui ta dificil.
www.ownedyou.org - feito por den1ed
>>>>Comersus:
É uma boa falha, parecida com o Vp-asp, so que em outro programa de shopping-cart, pelo motivo do poerschke ter
escrito um texto nesta semana eu já me poupo de escrever tudo aqui e passo diretamente a url.
www.portalath.com/Poerschke
%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%%% Lugares para comprar %%%
%%%%%%%%%%%%%%%%%%%%%%%%%%%%
Infelizmente, não é em todos os sites que se pode comprar, alguns utilizam um sistema mais seguro de confirmação de
compra, outros não. Aqui vou listar alguns que não são seguros e são vulneráveis ao carding. Todo o site é vul ao carding,
mas alguns sao mais difíceis.
Sites cardeables, lista do ATH.
www.oglobo.globo.com - Assine o Globo, quem le sabe
www.visa.com.br/riscozero/lojas_lista.htm?qualCategoria=doacoes - Doações Visa
www.assineabril.com.br - Editora Abril
www.editoraeuropa.com.br - Pc Master
www.aol.com.br
www.arrombadas.com.br
www.badboy.com.br
www.bol.com.br
www.boticario.com.br
www.casadasaliancas.com.br
www.cea.com.br
www.correios.com.br
www.e-store.com.br
www.meumicro.com.br
www.motostore.com.br
www.natura.com.br
www.samello.com.br
www.sendas.com.br
www.sexo.com.br
www.siciliano.com.br
www.sony.com.br
www.ultrafarma.com.br
www.uniflores.com.br
www.uol.com.br
www.casaevideo.com.br
%%%%%%%%%%%%%%%%%%%%%%%%%
%%% Porque e prender? %%%
%%%%%%%%%%%%%%%%%%%%%%%%%
Há vários motivos para você ser preso, um deles é o carding, você que pratica o carding sabe dos riscos que isto trás
e não somente o ato de comprar com um cartão de crédito roubado, mas também, utilizar dados de outras pessoas como sendo você
sem permissão. Isso é chamado de Falsidade Ideológica. Se for provado que você é carder, utilizou cartões, dados de outros,
você terá que pagar multa, terá que responder processos, e mais um xixi do seu pai.
Mas como vão provar? Simples, você vai para sua escola feliz pela manhã, com as roupas que cardeou e deixa
seu HD normal, sem fazer uma limpeza nem nada do tipo com as provas, como cookies, temporary internet files, arquivos de
texto e etc. Então você está voltando, com fome, achando que vai comer daí acontece que você entra no quarto e não encontra o
seu computador.
- Mãe!! Mãe!!!! Cade o meu computador?
- Ah filho, a Polícia Federal apareceu aí com um mandato de apreensão do seu computador.
- Mas e você deixou eles levarem?
- Sim, porque?
................
Aí continua o diálogo até você contar todo o mistério pra ela, explicado bem direitinho, mas nesta altura meu amigo
você já está fudido. Eles terão todas as provas contra você.
Portanto, pensando nisso, sempre antes de sair de casa ou logo quando termina uma compra, limpa seu HD e deixa tudo
limpo. Claro que não se pode se esquecer de sempre deichar uma chave de fenda e um martelo do lado do pc. Caso os PF
apareçam e você esteja em casa, tire o HD e enfie no cu, ou quebre todo ele com o martelo.
É isso aí, nunca se esqueça de nada, se não quer perder tudo já antes de começar a lucrar.
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%%% Agradecimentos e fontes %%%
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
Queria agradecer as pessoas que me ajudaram com tudo até hoje, porque se não fossem elas eu não estaria aqui hoje
escrevendo essa coisa.
Primeiro a minha namorada querida e amada Grazi, Swordfish amigão do peito , Cyber_Geek outro grande amigo do peito,
Mr_w4r também, TheDreads parcero também, a todo o pessoal do Virii, SKOFF, Hallucination, Haze, Inferninho, e todo mundo,
po é foda lembrar tudo agora :P. E os cara do ATH também, hehehe.
Tudo o que contém aqui foi o que aprendi na prática e na teoria do que li até hoje, e nisso duas pessoas colaboraram
extremamente, Sword , Cyber e Mr_w4r. Cada um com seu jeito e conhecimento que trocamos.
E é isso ae, não me vem mais coisa na cabeça, mas então fico por aqui mesmo. aTé a próxima, espero lançar um texto
sobre manipulação de números de CPF daqui um tempinho, e depois um sobre Python. Depois disso a gente ve né.
Não se esqueça de pegar a zine do Virii em www.infoshack.cjb.net ou algum dos outros citados antes, e um abraço pra
vocês que leram isso e aprovaram :)
Só queria avisar você novato, muito cuidado com os canais quem tem por ae, como o #carder. Lá o pessoal não perdoa,
eles são muito covardes e traidores. Só isso.
Texto escrito por: codex - codexmail@bol.com.br
em 10/04/03
=======================
===Carder - midicart===
=======================
-----------------------------------------------------------------
Esses tutorias de Carder que irei publicar serão nem simples.
Eu colocarei os arquivos bugados a serem procurados e como pegar
as MDBs(os arquivos que contem os Ccs).
-----------------------------------------------------------------
-> Procurando sites bugados
O modo mais simples certamente é o Google(www.google.com) mas se
você sabe bem de alguma linguagem de programação recomendo que faça
seus próprios scans ;)
Para achar sites bugados com essa falha v´no Google e digite:
allinurl: meny2.asp
-----------------------------------------------------------------
-> Pegando as MDBs
Para pegar as MDBs você deverá substituir os URLs encontrador como
no exemplo abaixo:
Achamos o www.sitebug.com.br que tem o arquivo meny2.asp
Colocamos no navegador
www.sitebug.com.br/midicart.mdb
-----------------------------------------------------------------
Ps. Nunca se esquece que os MDBs podem variar de diretorio ;)
Esse txt é para aprendizado não me responsabilizo pelo que você
vier a fazer.
O Manual básico de um carder
1- Obtenção de cartões.
Como você sabe nenhuma transação é segura na WEB. Quando se faz compras on line, as páginas oferecem a opção de compra pelo SECURE SERVER, isto é, eles garantem que transação está sendo feita somente entre a sua máquina e a do servidor, pois todos os dados estão sendo codificados. Isso não garante nada!!!.
Mesmo que nehum hacker consiga decodificá-la, isso não impede que se entre no servidor da página e consiga o arquivo que contenha os dados dos clientes.
A outra opção menos trababalhosa, é simplesmente PEDIR!!!
É simples: no Mirc, existem canais que eu chamo de específicos, são os canais geralmente de hacker, é só fazer uma amizade e pedir :-).
Se mesmo assim você não encontrou, procure em qualquer servidor Sprynet (digite no Mirc: /server irc.cris.com) lá existem canais que só há carders, como #carder, #card, #carding. Todos esses canais possuem alguem que posso te dar um Help
Mas, se ainda assim você não conseguiu ( to suspeitando que você é Lamo!!), posso te dar ajuda pessoalmente!!!. Procure pelo canal #carder no servidor brasnet do seu Mirc, esse canal é o nosso, é certo de ter alguem sempre a noite pois ele geralmente está cheio de carders trocando cartões e informações. Procure por <{HellSpawn}> , , ou .Nós teremos o prazer em ajudá-lo.
2- Como Cardear!!!!
Pronto, você já tem os cartoes em mãos! agora como diz Duke Nukem: -Let's Rock!!!
Antes de tudo você deve testar os cartões. Existem páginas de compras, ou na maioria delas, paginas de registro de shareware que você deve preencher o cadastro* como se fosse registrar um soft seu e nisso ela dirá se o cartão é válido ou não.
*O Cadastro.
Quando você for se cadastrar, você deve preencher todos os campos com informações falsas, ou seja, o endereço..tel..etc, pois você não quer ver o sol nascer quadrado né??. A unica informação que deve ser verdadeira é o e-mail* pra contato.
*O E-mail.
O email também não deve ser o do seu do provedor, você deve usar o email de páginas que fornecem o email gratuito tipo: Hotmail , Starmedia etc.Mas o o cadastor deve ser feito de acordo com o item anterior.
Rastreamento de IP.
Quando você prenche os dados em páginas de cadastor, seu endereço IP é rastreado pela página, ou seja, eles podem te localizar pelo seu provedor de acesso :-( .Mas pode driblar esse sistema :-):
Existem programas que despistam seu número de IP ( na área de Download tem esse arquivo)
para que não possam te localizar, atenção: isso é fundamental para quem paga acesso a internet :-))
O que se pode cardear.
Suas habilidades carders podem ser usadas de diversas maneiras:
Você pode fazer inscrição em home pages que dão acesso exclusivo para usuários, na maioria páginas pornos, onde o acesso ao conteúdo só é permitido com o pagamento mediante cartão de Crédito. LEMBRE-SE: As informações do cadastro devem ser falsificadas, menos o cartão, é claro.
Como cardear um souvenir!!!.
Sem dúvida a glória de um Carder é cardear alguma coisa, de preferência um computador para conseguir tais proezas é necessário:
1- Você tem que estar certo que o cartão é válido!!!!!
2- Use de preferência cartão extrangeiro, evite cartões brasileiros.
3- Se você for cardear alguma coisa cara, use cartões American Express e Visa Gold, pois o limite e grande e não há perigo de não ter crédito :-)
4- Não cometa o erro de cardear alguma coisa cara parcelado, ou seja, compre tudo à vista!!!
5- Se você for cardear assinaturas de revistas (registramos casos desse tipo também), não assine revistas nacionais, cardeie as americanas, levam +ou- uns 20 dias para chegar. Uma dica Importante:
Se você puder alugue uma caixa postal nos correios, para receber essas revistas ( custa R$ 54,18 por 1 ano).
Pronto você já pode se divertir como um CARDER !!!!!!!