>es como el equivalente a los drogadictos que intentaban sintetizar drogas con tutoriales de baja calidad, y que aún así lograban resultados Cuando era chico buscando la fuente del conocimiento de la programacion sin saber nada me metí accidentalmente más de una vez a una que otra comunidad de carding y comparto la misma percepción. No saben nada, sus conocimientos existen en función única y exclusiva de producir dinero. No digo que más de uno no descubra un interés en las técnicas pero son colectivos bastante excéntricos. Realizan actividades IT pero no son de IT, no tienen conocimientos IT teórico que les puedan servir de apoyo para poder generar resultados con mas facilidad, pero obtienen resultados igual gracias a la refinación de técnicas que ellos mismo han descubierto a fuerza pura fuerza bruta. Les perdí el interes y seguí buscando, pero no por eso dejó de llamarme la atención ese extraño fenómeno...¿técnico delictual? Sé que la palabra hacker se reserva para los maestros históricos de la computación, pero estas personas realmente se abren camino a puro hachazo. Creo que, tomando las distancias, esta cultura del hampa entró de forma orgánica en comunión con algunos reductos académicos en los viejos satélites soviéticos y dejando correr el tiempo un par de generaciones terminamos con los tremendo elementos hostiles rusos y chinos de hoy, lo que en LATAM/CAMEX igual debe pasar hasta cierto punto pero más tarde.

>>15516 >se abren camino a puro hachazo Que definición mas acertada, me encanta, deberíamos conmemorar el momento acuñándo un término que nazca en éste antro de mierda. Propongo: lumberacks + hackers = lumberhacks Anyway... Escribí un generador de cc basado en cvv2 aleatoreas para realizar pruebas en offline, así voy a poder jugar un poco con las probabilidades.

>>15514 a todo esto, no tenía idea de que algunos chips en las cc, tenían cpu dual core, dicho así suena muy bkn, pero con las características da mucho que desear, me pregunto si podría usar uno de esos chips para hacerme una cálculadora o algo por el estilo

He estado observando comunidades de estafadores indios y he notado el mismo patrón. Los hueones tienen sistemas operativos desfasados, usan el Anydesk y en un momento inclusive llegan a tener control completo de la computadora de la víctima, pero en lugar de instalar un ransomware o un keylogger insisten con la mierda de enviar códigos de tarjetas de google Play; demostrando un abismal desconocimiento del TI. En uno de los vidéos recientes del Kitboga se ve que los indios tratan de usar un RVC para alterar su voz, pero como son tan huenes no se dan cuenta que esos programas necesitan de un GPU para funcionar eficientemente lo corren en la estación del trabajo, suena como el culo y tarda 5 segundos en responder. Pero a pesar de todo, se nota las ganas de mejorar con motivaciones completamente delincuenciales, de acá a unos años van a aprender eso y se vana armar su propio servidor de inferencia con un par de 3080s Y tal como dices, a pesar de todo tiene resultados, se hacen camino con pura fuerza bruta.

>>15518 Métele Doom y Retroarch a ver como corre.

Después de leer papers, investigaciones, etc. Creo que encontré la fuente del avance de los lumberhacks, el "error comercial, donde no hacer nada es mejor que hacer algo", parece que para cada medida de seguridad hay una contra medida, ej: Bloqueo IP regional: VPN Validar al navegador: extensión de navegador Revisión de extensión por google: extensión en modo desarrollo Necesidad de usar un navegador (cuando la implementan): uso de remote desktop Rate Limit: proxy rotativo (porque la vpn es mas cara que el proxy) Secret Code (CVV2): distribución de transacciones en decenas, cientos o miles de comercios Código postal relativo a la entidad emisora: API Google Maps y similares con Coordenadas de una sucursal de la entidad emisora Fecha de vencimiento: Generación de PAN codes en rangos de vencimiento conocidos Código PAN incompleto: Extrapolación algorítmica en base al primer dígito de la der con algoritmo de luhn Datos del tarjeta-habiente: leaks por parte de numerosos comercios y pasarelas Actualmente las médidas mas difíciles de pasar, según mi opinión: Verificación por SMS: CVE galería imágenes Android, ataques a la red 2/3G Verificación por app: múltiples CVE en apps (ajam ajam banca retailer falabella, ripley) Lo que aún no se puede pasar: Bloqueo internacional por defecto: solo si el atacante usa un procesador de pago internacional respecto al emisor de la tarjeta Bloqueo de la tarjeta: hasta el momento el mas efectivo, desbloqueándola solo para el uso puntual Mi conjetura es la siguiente: Los lumberhacks son como los gusanos soldados. Si el campo les provee alimento (hojas), ellos comerán sin nada que los detenga. La culpa no es del que come, mas bien del que da de comer. La gente que de verdad tiene conocimiento, muchas veces necesita comer y presta servicios en masa a los gusanillos, porque la industria o les paga mal, no los valora lo suficiente, los intenta explotar, etc. Es como enemistarte con cartero o panadero de cabecera, pero los cabecillas comerciales lo hacen sin escrúpulos. Es una realidad mierda, el universo completo de los tarjeta-habientes, ya sea con o sin plástico, están en el cardumen. El lumberhack está probando y probando todo el tiempo, eventualmente va a dar con tu combinación PAN-EXP-CVV2. El resto es una historia conocida. Y como por si la weaita fuera poca, los grupos lumber son cada vez mas frecuentes. El lumberhack sabe que es cuestión de tiempo antes de que su operación rentabilice en automático, por lo que mantener un trabajo paralelo es solo una fachada temporalmente necesaria. > Para qué someterte a la sociedad, si la éßta puede someterse a ti.

>>15602 Siempre he pensado ¿no sería posible hacer una regresión multivariable con diferentes variables durante la compra para hacer un modelo de regresión que permita identificar patrones inusuales? por ejemplo, si alguien tiene por costumbre comprar libros de cocina en Falabella, luego sería raro que se ponga a comprar tarjetas de regalo de Steam; en ese caso levantar una observación y bloquearse de manera automática. Estoy casi seguro que con la cantidad de información que manejan los bancos eso debería ser posible. >El lumberhack está probando y probando todo el tiempo, eventualmente va a dar con tu combinación PAN-EXP-CVV2. El resto es una historia conocida Eso me recuerda un vidéo de un tipo que analizaba una página de Phishing, creo que era un Amazon falso, donde al final pedía meter la tarjeta y se lo llevaba al servidor del estafador. Lo sorprendente era que usaba una API de terceros para validar la tarjeta de antes, solamente si era válida la guardaba; entonces el tipo se dió cuenta que le cobraban algo de 3 centavos de dolar por validación o algo por el estilo, así que hizo un script en Python que floodeaba la API, ni idea de qué tan viable sería eso para estropearle la operación a esos estafadores.

>>15603 Lee sobre "regresión logística".

>15603 Uno de los papers menciona algo parecido a lo que tu dices pero respecto a 3D secure, ni idea como funcionará, pero hace incapié en que las ventas reales bajaban en un+40%. Debido a eso, muchos procesadores de pago no lo implementaban. Respecto al flooding, tambien mencionan que para una tienda en particular, ojo, tienda (comercio) no procesador, dicha técnica termina eventualmente en el cierre del comercio por parte de la gente del procesador. Porque para iniciar una transacción la tienda es necesaria, para que se comunique con su procesador y permita el intento. Tambien se mencionaba lo otro, vaisa a diferencia de masterplop no implementaba un límite de transacciones, la segunda tenía algo así como 10 movimientos o intentos de movimientos, en cambio la primera permitía todo como un colador. Acá entra el clásico ejemplo de comprar en aliexpress con una cta rut que solo está habilitada para uso nacional. Puedes intentar tanto como quieras y nunca te vas a enterar de que se hicieron intentos de compras, hasta que llames al banco a preguntar y te indiquen que debes habilitar manualmente el uso internacional. Otra cosa que mencionaban, es que ninguna red (porque identifican a vaisa, masterplop, am express, etc, como redes separadas, mas bien distintos conglomerados compitiendo), tiene la capacidad de relacionar eventos entre procesadores y comercios, de hecho, los investigadores descartaban al completo el CVV2 como medida de seguridad debido a que con los suficientes comercios, tener 1000 intentos de 000 a 999 eran poco menos que pan comido a 2seg/intento, aún a 5/segs intento. Además, por lo que he visto en mi propia investigación personal, es rara la tendencia del intervalo 5xx-999, por lo que aún si no se tiene la fecha de vencimiento, la dificultad solo incrementa en tiempo, mas no en una medida tecnológica activa.

>>15605 y como agregado a ésto, dado un PAN delimitado ya con una fecha de vencimiento real, es decir, habiendo calculado a raíz de tarjeta A 22/01 y tarjeta B 22/01 todo el entremedio, todas las tarjetas con CVV2 por debajo de 200 serían las mas vulnerables. Una estimación bruta, para un lote de 100 tarjetas, teniendo la fecha, a 2s por transacción en velocidad servidor cloud, linealmente son 11.11 horas, pero en un pool de procesos con unos 30 procesos, se reduce a 23 min... la mayoría de scripts que he visto trabajan con 60 procesos/threads en paralello; Ya hablaríamos perfectamente de un lote de 100 tarjetas poir cada 12 minutos. Si te enmarcas en vaisa, en un escenario teórico son 12 mil tarjetas por cada día de servidor. De un universos de millones de plásticos emitidos 12 mil elementos me parece mas que factible. Si todo eso se deriva a criptos (que es muy común), la operación se volvería mas que rentable.