timofeytelegram
Местный
- Сообщения
- 353
- Реакции
- 382
Платформа - Switchere
Шлюз - Mercuryo (фиат-в-крипту)
процесс -
1. RDP в США.
2. Регистрация с fullz email.
3. Выбор BTC, ввод 80% баланса CC.
4. Автозаполнение доставки (совпадение с биллингом).
5. Без OTP, подтверждение по email.
6. Экспорт в внешний кошелек за 2-5 мин.
Лимиты и партии = $200 сначала, масштаб до $2K после 3 транзакций
Тактики обхода = Использовать точный ZIP CC; задержка 48ч между партиями
Средняя доходность на $1000 CC = $700-$850 BTC (после комиссий)
Проблемы = При суммах >$3K - ручная KYC (паспорт не проходит с фейками). 40% заморозок по выходным.
-------------
Cхема «прогрева» аккаунтов на легальных фиатных шлюзах.
Использование связки Switchere + Mercuryo логично: эти платформы
ориентированы на скорость (UX), что часто идет в ущерб глубине первичных
антифрод-проверок для транзакций малого объема.
__ Закупка Fullz и CC: На теневых ресурсах приобретаются полные
комплекты данных (Fullz: ФИО, адрес, ZIP-код) и данные кредитных карт.
__ Выбираются строго определенные БИНы (BIN), относящиеся к категории
Non-VBV (Non-Verified by Visa) / Non-3D Secure, чтобы исключить запрос
СМС-кода (OTP) от банка.
__ Создается или покупается «прогретый» email-адрес на трастовом домене
(например, Gmail), который фонетически или буквально совпадает с
именем кардхолдера.
1. RDP и IP-адреса
Подбирается RDP (удаленный рабочий стол) или резидентский прокси в США.
Ключевое условие: IP-адрес должен территориально совпадать с почтовым
индексом (ZIP-кодом) реального владельца карты.
Использование RDP (Remote Desktop Protocol) в США — это попытка обмануть
системы геофенсинга.
• публичные или дешевые RDP-фермы, у них есть статические пулы IP, которые
уже могут находиться в «серых» списках антифрод-систем.
Настройка RDP (США): Подключаемся к удаленному рабочему столу,
физически расположенному в США.
Выбирается IP-адрес того региона (или даже города), где зарегистрирован
владелец украденной карты.
Закупка Fullz и CC: На теневых форумах закупаются полные данные владельца
карты (Fullz: ФИО, адрес, ZIP-код, email).Выбираются строго определенные БИНы (первые 6-8 цифр карты),
которые относятся к категории Non-VBV (Non-Verified by Visa) / Non-3D
Secure.
Это гарантия того, что банк-эмитент не запросит СМС-код для подтверждения.
Когда вы используете карту с типом Non-Verified by Visa (Non-VBV), вы
входите в зону самого высокого риска для антифрод-систем Switchere.
В классической схеме Verified by Visa банк требует подтверждения через SMS
или пуш-уведомление (3D Secure).
В случае с Non-VBV этого этапа нет — транзакция проходит (или отклоняется)
мгновенно на основе данных самой карты.
транзакции через Revolut или Skrill часто проходят быстрее, так как эти системы
уже провели внутреннюю проверку пользователя.
Обычный эквайринг по карте может потребовать более глубокого анализа.
Для Switchere транзакция без 3D Secure — это огромный красный флаг.
Поскольку сервис несет финансовую ответственность в случае чарджбека
(отзыва платежа), он компенсирует отсутствие банковского подтверждения
усиленным собственным скорингом:
Глубокий анализ Fingerprint: Система будет изучать ваш браузер, WebGL,
шрифты и задержку ввода данных.
Любое несовпадение с параметрами «реального человека» приведет к
моментальной блокировке.
IP-репутация: Если вы используете обычный VPN или дешевый прокси,
транзакция с Non-VBV картой не пройдет даже первый этап.Нужен резидентский или мобильный прокси (Residential Proxy) той же страны,
что и банк-эмитент карты.
--Switchere (Фронтенд / Обменник)
Это эстонская лицензированная площадка для обмена валют.
• Роль в схеме: Она выступает как «лицо» для клиента. Именно здесь
пользователь выбирает, сколько BTC он хочет купить и какую карту привязать.
• Особенности: Платформа славится очень быстрым процессом
регистрации и интуитивным интерфейсом.
Для мелких транзакций у них часто упрощенный комплаенс, что критически
важно для кардера,
которому нужно «проскочить» проверку до того, как владелец карты заметит
списание.
Switchere исключительно как удобную витрину с низким порогом входа.
Регистрация аккаунта: Происходит с использованием купленного или
сгенерированного email-адреса, совпадающего с именем владельца карты.
Выбор направления: Устанавливается пара для обмена (фиатный USD с карты
на BTC).
Инициация суммы: Вводится сумма первого платежа — $200.
Это делается намеренно: сумма достаточно мала, чтобы не вызвать
немедленную блокировку, но достаточна для теста.
При этом злоумышленник списывает около 80% от известного баланса карты,
чтобы избежать отказа (Decline) из-за нехватки средств, который сразу бы
испортил рейтинг (траст) аккаунта.
В США и ряде других стран работает система AVS (Address Verification
Service).Когда вы вводите данные карты на шлюзе типа Mercuryo, система делает запрос
в банк-эмитент.
Как это работает: Банк не передает шлюзу адрес владельца
(конфиденциальность). Вместо этого шлюз отправляет введенный
пользователем ZIP-код банку, а банк отвечает кодом соответствия (например, Y — полное совпадение, N — не
совпадает, P — частичное).
Почему это важно: Для систем типа Mercuryo совпадение ZIP-кода — это самый
сильный маркер «легальности». Если IP-адрес (через RDP) находится в Чикаго, а вводится ZIP-код Майами —
это мгновенный Hard Decline (отказ).
RDP/Прокси ищем в том же почтовом индексе (или соседнем), который
привязан к карте. Когда ZIP-код совпадает с кодом в базе банка,
антифрод-система снижает «балл подозрительности» (Risk Score) настолько, что
позволяет провести транзакцию без запроса СМС (OTP).
Цифровой отпечаток (Fingerprinting)
Антифрод-системы (например, Sift или Riskified), которые использует Switchere,
проверяют:
Возраст почты: Если ваш Gmail создан вчера, риск заморозки в выходные
вырастает до 90%.
Связь с соцсетями: Видит ли система этот email в базах данных других
сервисов. «Пустая» почта — это красный флаг.--Mercuryo (Платежный шлюз / Фиатный шлюз)
Это международная финтех-компания, которая предоставляет инфраструктуру
для обработки платежей.
• Это «движок» под капотом. Switchere не обрабатывает банковские карты сам — он подключает виджет или API от Mercuryo. Именно Mercuryo связывается с банком-эмитентом, проверяет баланс и проводит транзакцию.
• Mercuryo отвечает за KYC (верификацию личности) и Anti-Fraud (систему
оценки рисков). Если транзакция прошла без OTP (СМС-подтверждения), значит, фильтры
Mercuryo сочли операцию безопасной на основе своих алгоритмов (IP,
отпечаток браузера, соответствие ZIP-кода).
Как только нажимается кнопка оплаты, процесс переходит под капот
платежного шлюза Mercuryo. Здесь решается судьба транзакции.
Ввод биллинговых данных: Злоумышленник использует скрипты
автозаполнения.
Идеальное и мгновенное совпадение введенного ZIP-кода и адреса с базой
данных банка — один из главных факторов для снижения риск-балла в системе
Mercuryo.
Оценка риска шлюзом: Mercuryo видит: IP-адрес совпадает со страной карты,
ZIP-код верный, сумма мелкая ($200),
банк-эмитент не требует 3D-Secure. Автоматический фильтр дает зеленый свет.
Списание: Фиатные средства списываются с банковской карты без какого-либо
подтверждения (OTP/СМС) со стороны реального владельца.
2. Уязвимость процесса: Отсутствие OTP (3D-Secure)
Выбор карт без OTP (т. н. Non-VBV или Non-3D) — ключевой фактор успеха
для кардера.
• Аналитика: Это указывает на то, что «материал» (данные карт) закупался
в шопах под конкретные бины (BIN), которые по умолчанию не требуют
подтверждения по СМС в определенных регионах или для определенных типов
(Corporate/Business).
• Взаимодействие с анками: Запрос к эмитенту по конкретным BIN
поможет понять масштаб утечки данных в конкретном регионе.
3. Паттерн «Прогрева» (Warm-up)
Схема $200 --> $200 --> $200 --> $2K — это попытка обмануть Velocity Checks
(проверку частоты и объема операций).
• Маркеры для мониторинга: Для бирж это классический паттерн
«надежного клиента».
• Зацепка: 48-часовая пауза между партиями говорит о том, что
злоумышленник хорошо знаком с интервалами обновления риск-скоринга
Mercuryo.
Velocity Checks — это алгоритмы, которые отслеживают частоту транзакций по
одной карте или на один аккаунт за определенный промежуток времени.
Проблема «быстрых денег»: Если по карте, которая обычно покупала кофе и
продукты, внезапно проходят три покупки BTC по $200 за 10 минут — это
аномалия.
Срабатывает автоматический триггер на «серийное мошенничество», и карта
улетает в блок.
Механика «остывания»: 48 часов — это стандартное окно, после которого
многие банковские и платежные системы обнуляют краткосрочные счетчики
риска.
Эффект «доверенного устройства»: 1. Первая транзакция ($200) создает запись в
базе данных шлюза: «Аккаунт X успешно оплатил, чарджбэка (протеста) от
банка за 48 часов не поступило».
Система начинает считать этот «отпечаток» браузера и связку «карта-аккаунт»
относительно безопасными.Это позволяет злоумышленнику во второй или третий раз прогнать сумму в
$2000, так как лимиты для «старого» клиента всегда выше, чем для новичка.
4. Точки вывода (Off-ramping)
Экспорт в кошелек за 2–5 минут — это критическое окно.
Средства не задерживаются на внешнем кошельке, а сразу уходят на миксеры
(например, Tornado Cash или аналоги) или на «холодные» адреса для
долгосрочного хранения.
40% заморозок по выходным указывают на работу ручного отдела комплаенса
(Manual Review), который по субботам и воскресеньям работает медленнее или
жестче.
Это время, когда транзакции «зависают», и это лучший момент для
оперативного реагирования.
В субботу и воскресенье службы безопасности (Anti-Fraud) работают в
сокращенном составе. Если транзакция проскочила автоматические фильтры,
вероятность того, что живой аналитик заметит аномалию в реальном времени,
стремится к нулю.
Если карта «засветилась», реальный владелец может заметить списание, но
дозвониться до профильного отдела банка в воскресенье в 3 часа ночи сложнее.
Это дает те самые 2–5 минут форы для вывода в миксеры.
________________________________________
________________________________________
(Техническая цепочка)
Когда кардер заходит на Switchere, процесс выглядит так:
1. Интеграция: Switchere отправляет запрос к Mercuryo: «У нас есть клиент,
он хочет купить BTC на $200».
2. Обработка: Открывается окно оплаты Mercuryo. Кардер вводит данные
CC (Credit Card).
3.Риск-скоринг: Система Mercuryo анализирует данные:
oСовпадает ли страна IP (RDP) со страной выпуска карты?
o Использовался ли этот «отпечаток» устройства в мошеннических схемах
ранее?
o Требует ли банк-эмитент 3D-Secure (OTP)?4.
Конвертация: Если проверка пройдена, Mercuryo списывает доллары/евро
с карты, забирает комиссию и отправляет эквивалент в BTC на кошелек,
указанный в Switchere.
Почему задержанный выбрал именно их?
• Скорость вывода: Как он указал, экспорт в кошелек занимает 2–5 минут.
В кардинге скорость — это всё. Чем быстрее BTC уйдет на внешний кошелек,
тем меньше шансов, что транзакцию откатят (chargeback) в ручном режиме.
• Лимиты: У этих сервисов есть «порог доверия». До определенной суммы
(например, до $1000–$2000 суммарно) они могут не требовать селфи с
паспортом или видеоверификацию, ограничиваясь только проверкой данных
карты и email.
• Слабость 3D-Secure: Некоторые BIN-номера карт (особенно
корпоративные или старые карты США) позволяют проводить транзакции через
такие шлюзы без СМС-подтверждения, если сумма не превышает
установленный лимит.
________________________________________
Опираясь на предоставленные данные, процесс трансформации украденных
фиатных средств в криптовалюту через легальные шлюзы можно разложить на
четкий, алгоритмичный сценарий.
Данная схема демонстрирует высокую техническую подготовку исполнителя на
начальных этапах и эксплуатацию уязвимостей в протоколах оценки рисков
(Risk Scoring).
схема «прогрева» и вывода средств.
Этап 1. Подготовка цифрового профиля и материалов (Setup)
На этом этапе формируется база для обхода систем антифрода (Sift, Riskified) и
геофенсинга.
* **Закупка Fullz и CC:** На теневых ресурсах приобретаются полные
комплекты данных (Fullz: ФИО, адрес, ZIP-код) и данные кредитных карт.
Выбираются строго определенные БИНы (BIN), относящиеся к категории**Non-VBV** (Non-Verified by Visa) / Non-3D Secure, чтобы исключить запрос
СМС-кода (OTP) от банка.
* **Настройка сети (RDP/Proxy):** Подбирается RDP (удаленный рабочий
стол) или резидентский прокси в США. Ключевое условие: IP-адрес должен
территориально совпадать с почтовым индексом (ZIP-кодом) реального
владельца карты.
* **Генерация Fingerprint:** Создается (или покупается «прогретый») email-
адрес на трастовом домене (например, Gmail), который фонетически или
буквально совпадает с именем кардхолдера.
Этап 2. Входная точка (Frontend On-boarding)
Используется платформа **Switchere** в качестве удобной «витрины» с низким
порогом первичного комплаенса.
* **Регистрация:** Осуществляется через подготовленный email.
* **Настройка ордера:** Выбирается направление обмена (USD с карты на
BTC) и вводится адрес внешнего кошелька (например, Trust Wallet).
* **Калибровка суммы:** Инициируется транзакция на сумму **$200**. Сумма
рассчитывается так, чтобы составить около 80% от известного баланса карты,
предотвращая Hard Decline (отказ по нехватке средств), который моментально
сжигает рейтинг аккаунта.
Этап 3. Пробитие шлюза и обход AVS (Gateway Execution)
После нажатия кнопки оплаты запрос передается «под капот» платежному
шлюзу **Mercuryo**, где происходит основная оценка транзакции.
* **Ввод биллинговых данных:** Через скрипты автозаполнения вводятся
реквизиты.
* **Проверка AVS (Address Verification Service):** Mercuryo отправляет ZIP-
код в банк-эмитент. Благодаря грамотно подобранному RDP на Этапе 1,
происходит идеальное совпадение гео-данных IP и ZIP-кода банка (ответ Y —
полное совпадение).* **Снижение риск-балла:** Система видит совпадение локации, малую сумму
($200) и отсутствие требования 3DS от банка. Транзакция получает «зеленый свет». Фиат списывается без участия реального владельца.
Этап 4. Паттерн «Прогрева» и обход Velocity Checks
Самый критический этап, направленный на обман алгоритмов, отслеживающих
частоту и объем операций (Velocity Checks).
* **Закрепление «доверенного устройства»:** Успешная транзакция на $200
фиксирует связку «IP + Отпечаток браузера + Карта» в базе Mercuryo как
безопасную.
* **Окно «остывания» (48 часов):** Исполнитель делает паузу. Это время
необходимо для обнуления краткосрочных счетчиков риска в платежной
системе и проверки того, что банк не инициировал чарджбэк (Chargeback).
* **Масштабирование:** Цикл повторяется по схеме `$200 -> $200 -> $200`.
* **Финальный удар:** Накопив траст «старого клиента», инициируется
транзакция на **$2000**. Поскольку лимиты доверия расширены, система
пропускает объемный платеж без запроса дополнительных документов.
Операция прерывается (или злоумышленник отступает) только на суммах
>$3000, где шлюз жестко требует прохождения видео-KYC или предоставления
физических документов.
Этап 5. Финальный вывод (Off-Ramping)
Цель — разорвать связь между фиатным шлюзом и конечным бенефициаром за
минимальное время.
* **Критическое окно:** Перевод BTC от Mercuryo на Trust Wallet занимает 2–5 минут.
* **Обфускация:** Средства не хранятся на Trust Wallet. Они немедленно перенаправляются на миксеры (Tornado Cash и аналоги) или дробятся на независимые «холодные» адреса.* **Фактор выходного дня:** Если операция проводится в субботу или воскресенье и попадает под фильтр ручной проверки (Manual Review) в 40% случаев, транзакция «зависает». Для злоумышленника это риск потери материала (карты), но в случае успеха дефицит кадров в комплаенсе на выходных дает максимальную фору во времени до обнаружения хищения.
Шлюз - Mercuryo (фиат-в-крипту)
процесс -
1. RDP в США.
2. Регистрация с fullz email.
3. Выбор BTC, ввод 80% баланса CC.
4. Автозаполнение доставки (совпадение с биллингом).
5. Без OTP, подтверждение по email.
6. Экспорт в внешний кошелек за 2-5 мин.
Лимиты и партии = $200 сначала, масштаб до $2K после 3 транзакций
Тактики обхода = Использовать точный ZIP CC; задержка 48ч между партиями
Средняя доходность на $1000 CC = $700-$850 BTC (после комиссий)
Проблемы = При суммах >$3K - ручная KYC (паспорт не проходит с фейками). 40% заморозок по выходным.
-------------
Cхема «прогрева» аккаунтов на легальных фиатных шлюзах.
Использование связки Switchere + Mercuryo логично: эти платформы
ориентированы на скорость (UX), что часто идет в ущерб глубине первичных
антифрод-проверок для транзакций малого объема.
__ Закупка Fullz и CC: На теневых ресурсах приобретаются полные
комплекты данных (Fullz: ФИО, адрес, ZIP-код) и данные кредитных карт.
__ Выбираются строго определенные БИНы (BIN), относящиеся к категории
Non-VBV (Non-Verified by Visa) / Non-3D Secure, чтобы исключить запрос
СМС-кода (OTP) от банка.
__ Создается или покупается «прогретый» email-адрес на трастовом домене
(например, Gmail), который фонетически или буквально совпадает с
именем кардхолдера.
1. RDP и IP-адреса
Подбирается RDP (удаленный рабочий стол) или резидентский прокси в США.
Ключевое условие: IP-адрес должен территориально совпадать с почтовым
индексом (ZIP-кодом) реального владельца карты.
Использование RDP (Remote Desktop Protocol) в США — это попытка обмануть
системы геофенсинга.
• публичные или дешевые RDP-фермы, у них есть статические пулы IP, которые
уже могут находиться в «серых» списках антифрод-систем.
Настройка RDP (США): Подключаемся к удаленному рабочему столу,
физически расположенному в США.
Выбирается IP-адрес того региона (или даже города), где зарегистрирован
владелец украденной карты.
Закупка Fullz и CC: На теневых форумах закупаются полные данные владельца
карты (Fullz: ФИО, адрес, ZIP-код, email).Выбираются строго определенные БИНы (первые 6-8 цифр карты),
которые относятся к категории Non-VBV (Non-Verified by Visa) / Non-3D
Secure.
Это гарантия того, что банк-эмитент не запросит СМС-код для подтверждения.
Когда вы используете карту с типом Non-Verified by Visa (Non-VBV), вы
входите в зону самого высокого риска для антифрод-систем Switchere.
В классической схеме Verified by Visa банк требует подтверждения через SMS
или пуш-уведомление (3D Secure).
В случае с Non-VBV этого этапа нет — транзакция проходит (или отклоняется)
мгновенно на основе данных самой карты.
транзакции через Revolut или Skrill часто проходят быстрее, так как эти системы
уже провели внутреннюю проверку пользователя.
Обычный эквайринг по карте может потребовать более глубокого анализа.
Для Switchere транзакция без 3D Secure — это огромный красный флаг.
Поскольку сервис несет финансовую ответственность в случае чарджбека
(отзыва платежа), он компенсирует отсутствие банковского подтверждения
усиленным собственным скорингом:
Глубокий анализ Fingerprint: Система будет изучать ваш браузер, WebGL,
шрифты и задержку ввода данных.
Любое несовпадение с параметрами «реального человека» приведет к
моментальной блокировке.
IP-репутация: Если вы используете обычный VPN или дешевый прокси,
транзакция с Non-VBV картой не пройдет даже первый этап.Нужен резидентский или мобильный прокси (Residential Proxy) той же страны,
что и банк-эмитент карты.
--Switchere (Фронтенд / Обменник)
Это эстонская лицензированная площадка для обмена валют.
• Роль в схеме: Она выступает как «лицо» для клиента. Именно здесь
пользователь выбирает, сколько BTC он хочет купить и какую карту привязать.
• Особенности: Платформа славится очень быстрым процессом
регистрации и интуитивным интерфейсом.
Для мелких транзакций у них часто упрощенный комплаенс, что критически
важно для кардера,
которому нужно «проскочить» проверку до того, как владелец карты заметит
списание.
Switchere исключительно как удобную витрину с низким порогом входа.
Регистрация аккаунта: Происходит с использованием купленного или
сгенерированного email-адреса, совпадающего с именем владельца карты.
Выбор направления: Устанавливается пара для обмена (фиатный USD с карты
на BTC).
Инициация суммы: Вводится сумма первого платежа — $200.
Это делается намеренно: сумма достаточно мала, чтобы не вызвать
немедленную блокировку, но достаточна для теста.
При этом злоумышленник списывает около 80% от известного баланса карты,
чтобы избежать отказа (Decline) из-за нехватки средств, который сразу бы
испортил рейтинг (траст) аккаунта.
В США и ряде других стран работает система AVS (Address Verification
Service).Когда вы вводите данные карты на шлюзе типа Mercuryo, система делает запрос
в банк-эмитент.
Как это работает: Банк не передает шлюзу адрес владельца
(конфиденциальность). Вместо этого шлюз отправляет введенный
пользователем ZIP-код банку, а банк отвечает кодом соответствия (например, Y — полное совпадение, N — не
совпадает, P — частичное).
Почему это важно: Для систем типа Mercuryo совпадение ZIP-кода — это самый
сильный маркер «легальности». Если IP-адрес (через RDP) находится в Чикаго, а вводится ZIP-код Майами —
это мгновенный Hard Decline (отказ).
RDP/Прокси ищем в том же почтовом индексе (или соседнем), который
привязан к карте. Когда ZIP-код совпадает с кодом в базе банка,
антифрод-система снижает «балл подозрительности» (Risk Score) настолько, что
позволяет провести транзакцию без запроса СМС (OTP).
Цифровой отпечаток (Fingerprinting)
Антифрод-системы (например, Sift или Riskified), которые использует Switchere,
проверяют:
Возраст почты: Если ваш Gmail создан вчера, риск заморозки в выходные
вырастает до 90%.
Связь с соцсетями: Видит ли система этот email в базах данных других
сервисов. «Пустая» почта — это красный флаг.--Mercuryo (Платежный шлюз / Фиатный шлюз)
Это международная финтех-компания, которая предоставляет инфраструктуру
для обработки платежей.
• Это «движок» под капотом. Switchere не обрабатывает банковские карты сам — он подключает виджет или API от Mercuryo. Именно Mercuryo связывается с банком-эмитентом, проверяет баланс и проводит транзакцию.
• Mercuryo отвечает за KYC (верификацию личности) и Anti-Fraud (систему
оценки рисков). Если транзакция прошла без OTP (СМС-подтверждения), значит, фильтры
Mercuryo сочли операцию безопасной на основе своих алгоритмов (IP,
отпечаток браузера, соответствие ZIP-кода).
Как только нажимается кнопка оплаты, процесс переходит под капот
платежного шлюза Mercuryo. Здесь решается судьба транзакции.
Ввод биллинговых данных: Злоумышленник использует скрипты
автозаполнения.
Идеальное и мгновенное совпадение введенного ZIP-кода и адреса с базой
данных банка — один из главных факторов для снижения риск-балла в системе
Mercuryo.
Оценка риска шлюзом: Mercuryo видит: IP-адрес совпадает со страной карты,
ZIP-код верный, сумма мелкая ($200),
банк-эмитент не требует 3D-Secure. Автоматический фильтр дает зеленый свет.
Списание: Фиатные средства списываются с банковской карты без какого-либо
подтверждения (OTP/СМС) со стороны реального владельца.
2. Уязвимость процесса: Отсутствие OTP (3D-Secure)
Выбор карт без OTP (т. н. Non-VBV или Non-3D) — ключевой фактор успеха
для кардера.
• Аналитика: Это указывает на то, что «материал» (данные карт) закупался
в шопах под конкретные бины (BIN), которые по умолчанию не требуют
подтверждения по СМС в определенных регионах или для определенных типов
(Corporate/Business).
• Взаимодействие с анками: Запрос к эмитенту по конкретным BIN
поможет понять масштаб утечки данных в конкретном регионе.
3. Паттерн «Прогрева» (Warm-up)
Схема $200 --> $200 --> $200 --> $2K — это попытка обмануть Velocity Checks
(проверку частоты и объема операций).
• Маркеры для мониторинга: Для бирж это классический паттерн
«надежного клиента».
• Зацепка: 48-часовая пауза между партиями говорит о том, что
злоумышленник хорошо знаком с интервалами обновления риск-скоринга
Mercuryo.
Velocity Checks — это алгоритмы, которые отслеживают частоту транзакций по
одной карте или на один аккаунт за определенный промежуток времени.
Проблема «быстрых денег»: Если по карте, которая обычно покупала кофе и
продукты, внезапно проходят три покупки BTC по $200 за 10 минут — это
аномалия.
Срабатывает автоматический триггер на «серийное мошенничество», и карта
улетает в блок.
Механика «остывания»: 48 часов — это стандартное окно, после которого
многие банковские и платежные системы обнуляют краткосрочные счетчики
риска.
Эффект «доверенного устройства»: 1. Первая транзакция ($200) создает запись в
базе данных шлюза: «Аккаунт X успешно оплатил, чарджбэка (протеста) от
банка за 48 часов не поступило».
Система начинает считать этот «отпечаток» браузера и связку «карта-аккаунт»
относительно безопасными.Это позволяет злоумышленнику во второй или третий раз прогнать сумму в
$2000, так как лимиты для «старого» клиента всегда выше, чем для новичка.
4. Точки вывода (Off-ramping)
Экспорт в кошелек за 2–5 минут — это критическое окно.
Средства не задерживаются на внешнем кошельке, а сразу уходят на миксеры
(например, Tornado Cash или аналоги) или на «холодные» адреса для
долгосрочного хранения.
40% заморозок по выходным указывают на работу ручного отдела комплаенса
(Manual Review), который по субботам и воскресеньям работает медленнее или
жестче.
Это время, когда транзакции «зависают», и это лучший момент для
оперативного реагирования.
В субботу и воскресенье службы безопасности (Anti-Fraud) работают в
сокращенном составе. Если транзакция проскочила автоматические фильтры,
вероятность того, что живой аналитик заметит аномалию в реальном времени,
стремится к нулю.
Если карта «засветилась», реальный владелец может заметить списание, но
дозвониться до профильного отдела банка в воскресенье в 3 часа ночи сложнее.
Это дает те самые 2–5 минут форы для вывода в миксеры.
________________________________________
________________________________________
(Техническая цепочка)
Когда кардер заходит на Switchere, процесс выглядит так:
1. Интеграция: Switchere отправляет запрос к Mercuryo: «У нас есть клиент,
он хочет купить BTC на $200».
2. Обработка: Открывается окно оплаты Mercuryo. Кардер вводит данные
CC (Credit Card).
3.Риск-скоринг: Система Mercuryo анализирует данные:
oСовпадает ли страна IP (RDP) со страной выпуска карты?
o Использовался ли этот «отпечаток» устройства в мошеннических схемах
ранее?
o Требует ли банк-эмитент 3D-Secure (OTP)?4.
Конвертация: Если проверка пройдена, Mercuryo списывает доллары/евро
с карты, забирает комиссию и отправляет эквивалент в BTC на кошелек,
указанный в Switchere.
Почему задержанный выбрал именно их?
• Скорость вывода: Как он указал, экспорт в кошелек занимает 2–5 минут.
В кардинге скорость — это всё. Чем быстрее BTC уйдет на внешний кошелек,
тем меньше шансов, что транзакцию откатят (chargeback) в ручном режиме.
• Лимиты: У этих сервисов есть «порог доверия». До определенной суммы
(например, до $1000–$2000 суммарно) они могут не требовать селфи с
паспортом или видеоверификацию, ограничиваясь только проверкой данных
карты и email.
• Слабость 3D-Secure: Некоторые BIN-номера карт (особенно
корпоративные или старые карты США) позволяют проводить транзакции через
такие шлюзы без СМС-подтверждения, если сумма не превышает
установленный лимит.
________________________________________
Опираясь на предоставленные данные, процесс трансформации украденных
фиатных средств в криптовалюту через легальные шлюзы можно разложить на
четкий, алгоритмичный сценарий.
Данная схема демонстрирует высокую техническую подготовку исполнителя на
начальных этапах и эксплуатацию уязвимостей в протоколах оценки рисков
(Risk Scoring).
схема «прогрева» и вывода средств.
Этап 1. Подготовка цифрового профиля и материалов (Setup)
На этом этапе формируется база для обхода систем антифрода (Sift, Riskified) и
геофенсинга.
* **Закупка Fullz и CC:** На теневых ресурсах приобретаются полные
комплекты данных (Fullz: ФИО, адрес, ZIP-код) и данные кредитных карт.
Выбираются строго определенные БИНы (BIN), относящиеся к категории**Non-VBV** (Non-Verified by Visa) / Non-3D Secure, чтобы исключить запрос
СМС-кода (OTP) от банка.
* **Настройка сети (RDP/Proxy):** Подбирается RDP (удаленный рабочий
стол) или резидентский прокси в США. Ключевое условие: IP-адрес должен
территориально совпадать с почтовым индексом (ZIP-кодом) реального
владельца карты.
* **Генерация Fingerprint:** Создается (или покупается «прогретый») email-
адрес на трастовом домене (например, Gmail), который фонетически или
буквально совпадает с именем кардхолдера.
Этап 2. Входная точка (Frontend On-boarding)
Используется платформа **Switchere** в качестве удобной «витрины» с низким
порогом первичного комплаенса.
* **Регистрация:** Осуществляется через подготовленный email.
* **Настройка ордера:** Выбирается направление обмена (USD с карты на
BTC) и вводится адрес внешнего кошелька (например, Trust Wallet).
* **Калибровка суммы:** Инициируется транзакция на сумму **$200**. Сумма
рассчитывается так, чтобы составить около 80% от известного баланса карты,
предотвращая Hard Decline (отказ по нехватке средств), который моментально
сжигает рейтинг аккаунта.
Этап 3. Пробитие шлюза и обход AVS (Gateway Execution)
После нажатия кнопки оплаты запрос передается «под капот» платежному
шлюзу **Mercuryo**, где происходит основная оценка транзакции.
* **Ввод биллинговых данных:** Через скрипты автозаполнения вводятся
реквизиты.
* **Проверка AVS (Address Verification Service):** Mercuryo отправляет ZIP-
код в банк-эмитент. Благодаря грамотно подобранному RDP на Этапе 1,
происходит идеальное совпадение гео-данных IP и ZIP-кода банка (ответ Y —
полное совпадение).* **Снижение риск-балла:** Система видит совпадение локации, малую сумму
($200) и отсутствие требования 3DS от банка. Транзакция получает «зеленый свет». Фиат списывается без участия реального владельца.
Этап 4. Паттерн «Прогрева» и обход Velocity Checks
Самый критический этап, направленный на обман алгоритмов, отслеживающих
частоту и объем операций (Velocity Checks).
* **Закрепление «доверенного устройства»:** Успешная транзакция на $200
фиксирует связку «IP + Отпечаток браузера + Карта» в базе Mercuryo как
безопасную.
* **Окно «остывания» (48 часов):** Исполнитель делает паузу. Это время
необходимо для обнуления краткосрочных счетчиков риска в платежной
системе и проверки того, что банк не инициировал чарджбэк (Chargeback).
* **Масштабирование:** Цикл повторяется по схеме `$200 -> $200 -> $200`.
* **Финальный удар:** Накопив траст «старого клиента», инициируется
транзакция на **$2000**. Поскольку лимиты доверия расширены, система
пропускает объемный платеж без запроса дополнительных документов.
Операция прерывается (или злоумышленник отступает) только на суммах
>$3000, где шлюз жестко требует прохождения видео-KYC или предоставления
физических документов.
Этап 5. Финальный вывод (Off-Ramping)
Цель — разорвать связь между фиатным шлюзом и конечным бенефициаром за
минимальное время.
* **Критическое окно:** Перевод BTC от Mercuryo на Trust Wallet занимает 2–5 минут.
* **Обфускация:** Средства не хранятся на Trust Wallet. Они немедленно перенаправляются на миксеры (Tornado Cash и аналоги) или дробятся на независимые «холодные» адреса.* **Фактор выходного дня:** Если операция проводится в субботу или воскресенье и попадает под фильтр ручной проверки (Manual Review) в 40% случаев, транзакция «зависает». Для злоумышленника это риск потери материала (карты), но в случае успеха дефицит кадров в комплаенсе на выходных дает максимальную фору во времени до обнаружения хищения.
