Кардинг через системы оплаты счетов (utility bills, налоги, штрафы)

[Good Carder]

От кардера — кардерам. Классический кардинг — это война с 3DS, BIN-фильтрацией и AI-антифродом. Но есть тихий уголок, где защита практически отсутствует. Оплата коммунальных счетов, налогов и штрафов. Почему? Потому что платёжные шлюзы, обрабатывающие эти транзакции, находятся под меньшим давлением регуляторов. Они обязаны принимать платежи быстро и без лишних препятствий. Кто будет жаловаться, если чей-то счёт за электричество вдруг оплатил незнакомец? Никто. Жертва не заметит списание, а если и заметит — не факт, что будет разбираться, кто оплатил её долги.

В этой статье я разберу, почему счета и штрафы — идеальная цель, как использовать низкий порог обнаружения этих транзакций, схемы с возвратом денег от «благодарного» плательщика, фишинг и поддельные QR-коды для массового сбора CVV, а также реальные кейсы из Бахрейна, Италии и России. Главное преимущество: такие платежи почти никогда не проверяются на 3DS, AVS и даже CVV, а при крупных операциях можно получить возврат от реального плательщика «за услугу» — и вывести деньги уже чистыми.

Часть 1. Почему оплата счетов — идеальная цель​

1.1. Низкий порог обнаружения​

Коммунальные платежи, налоги и штрафы обрабатываются платёжными шлюзами (PagoPa, EWA, государственные порталы), которые ориентированы на скорость и доступность. 3DS часто отключен, CVV проверяется формально, AVS не используется. В исследовании 2026 года отмечается, что счета за коммунальные услуги имеют более высокий уровень мошенничества, чем большинство других категорий документов, — именно потому, что системы проверки относятся к ним как к вспомогательным, а не первичным документам, и уделяют им меньше внимания.

Статистика 2026: счета за коммунальные услуги демонстрируют уровень фрода 4–7%, сопоставимый с банковскими выписками и налоговыми формами. Мошенники целенаправленно атакуют слабые места в процессах верификации, а не сами документы. Более того, доля документов, содержащих одновременно манипуляции с личностью и финансами, выросла с 40% в 2024 году до 60% в 2025-м. Это подтверждает, что мошенники перешли от разовых подделок к созданию целостных фрод-пакетов.

1.2. Психология жертвы​

Если владелец карты видит списание от «электрической компании», он редко его оспаривает. Во-первых, он может не помнить, оплачивал ли счёт. Во-вторых, даже если заметит, то подумает, что это была его собственная транзакция. В-третьих, сумма часто небольшая ($50–200). Риск чарджбэка минимален.

1.3. Отсутствие физического товара​

В отличие от кражи карт для покупки электроники, оплата счёта не создаёт товарного следа. Вы не заказываете доставку, не оставляете дроп-адрес. Транзакция проходит между вами и государственным учреждением или коммунальной компанией — и её почти невозможно отследить до вас.

1.4. Возможность возврата от плательщика​

Самая интересная схема: вы оплачиваете чужой счёт (например, за электричество) украденной картой, а затем связываетесь с владельцем счёта и предлагаете вернуть деньги «с комиссией». Владелец, узнав, что его долг погашен, охотно переводит вам 50–70% от суммы на дроп-счёт (или криптовалютой). Вы получаете чистые деньги, а жертва (владелец карты) остаётся с убытком. Она может оспорить транзакцию, но банк будет разбираться с коммунальной компанией, а не с вами. Подробнее об этой схеме — в части 4.

Часть 2. Уязвимость платёжных систем на примере EWA (Бахрейн)​

В 2026 году в Бахрейне прогремел громкий кейс, демонстрирующий, насколько просто обналичивать деньги через оплату коммунальных счетов.

Суть схемы: двое мужчин подходили к жителям, представляясь сотрудниками службы оформления документов, и предлагали оплатить их счета за электричество и воду по заниженной ставке. Жертвы передавали им доступ к своим аккаунтам в Electricity and Water Authority (EWA). Мошенники использовали украденные банковские карты для оплаты этих счетов через онлайн-портал. Жертвы переводили им наличные (якобы «со скидкой»), а мошенники забирали деньги себе.

Цифры и последствия: 12 транзакций на общую сумму 1 854 бахрейнских динара (около $4 900). Осуждённые получили три года тюрьмы и штраф 1 000 динаров ($2 650). Платёжный процессор, обслуживающий портал EWA, пометил транзакции как подозрительные после того, как банки, выпустившие карты, запросили возврат средств. Держатели карт оспорили списания, заявив, что не совершали этих платежей.

Вывод для кардера: чем меньше транзакций с одной карты, тем ниже риск обнаружения. Система флаг-ит операции не сразу, а после получения письма от банка-эмитента. У вас есть окно — от нескольких дней до недели — чтобы завершить сделку. В этой схеме мошенники использовали социальную инженерию для получения доступа к аккаунтам, но можно обойтись и без неё — просто оплачивать счета напрямую, зная номер лицевого счёта или идентификатор плательщика.

В другом похожем кейсе (также Бахрейн, 2026) двое экспатов использовали украденные банковские карты для оплаты счетов за электричество и воду на сумму 1 854 динара через правительственный онлайн-портал, совершив 12 мошеннических онлайн-транзакций. Оба были приговорены к трём годам тюрьмы и штрафу 1 000 динаров. Это подтверждает, что даже при сравнительно небольших суммах операции не остаются незамеченными, если не соблюдать меры предосторожности.

Часть 3. Фишинг через поддельные квитанции и QR-коды​

Самый массовый способ сбора CVV — не воровство карт, а создание поддельных платёжных документов.

3.1. Поддельные квитанции ЖКХ​

В России мошенники раскладывают в почтовые ящики поддельные квитанции за коммунальные услуги. В платёжках указаны реквизиты мошенников, а не управляющей компании. При оплате по такому документу деньги уходят на счёт мошенников. Эксперты Высшей школы экономики предупреждают, что аферисты используют готовые инструменты автоматизированного клонирования сайтов, чтобы быстро создавать фишинговые ресурсы — клоны официальных порталов УК или ТСЖ.

В некоторых регионах мошенники добавляют в поддельные квитанции QR-коды. При сканировании жертва попадает на фишинговую страницу, где вводит данные своей карты. Средства списываются на подконтрольные счета, но реального платежа за услуги не происходит. По данным МВД, мошенники также используют схему с несуществующими долгами за коммунальные услуги, которые предлагается оплатить по поддельным QR-кодам. Переход по QR-коду может привести на страницы с фишинговым контентом, что ведёт к утечке персональных данных.

3.2. Фальшивые налоговые и штрафные порталы​

В Италии четверо мошенников провернули изощрённую схему: они звонили жертве, представляясь сотрудниками службы безопасности банка (спуфинг номера), выманивали последние 4 цифры карты и OTP-коды, а затем использовали полученные средства для оплаты собственных налоговых задолженностей и коммунальных счетов через платёжного агрегатора PagoPa. Жертва потеряла 3 500 евро. Деньги не ушли на зарубежные счета и не конвертировались в криптовалюту — они были направлены на погашение фискальных и энергетических задолженностей самих мошенников.

В Канаде и Греции зафиксированы фишинговые кампании, нацеленные на оплату штрафов за нарушение ПДД. Мошенники рассылают SMS с требованием оплатить несуществующий штраф (например, €6,99 в Греции). Ссылка ведёт на поддельный портал, имитирующий официальный сайт правительства, с провинциальными логотипами и официальным дизайном. Жертва вводит данные карты, и они уходят мошенникам. В Индии мошенники используют SMS с угрозами юридических последствий для оплаты фиктивных штрафов e-Challan; портал принимает любой номер автомобиля и генерирует реалистичный штраф (~590 рупий), чтобы создать иллюзию легитимности, а затем крадёт данные карты.

Единый принцип: жертва сама приходит к вам с деньгами. Вы не ищете карту, не крадёте CVV — вы создаёте ситуацию, в которой человек добровольно вводит свои платёжные данные.

3.3. Автоматизированная инфраструктура фишинга​

В Канаде мошенники используют SEO-отравление, чтобы их поддельные порталы оплаты штрафов появлялись в первых строках поисковой выдачи. Они развернули более 70 вредоносных доменов на одном IP-адресе, имитирующих правительственные сайты Британской Колумбии, Онтарио и Квебека. Фишинговый набор включает «комнату ожидания», создающую иллюзию обработки запроса, прежде чем перейти к сбору платёжных данных. В Индии фишинговые порталы e-Challan используют SMS с локальных индийских номеров (Reliance Jio), а сами сайты клонируют брендинг Министерства дорожного транспорта и автомагистралей (MoRTH). Более 36 фишинговых доменов связаны с одними и теми же IP-адресами, что указывает на масштабную, централизованно управляемую инфраструктуру.

Часть 4. Схема возврата денег от «благодарного» плательщика​

Этот метод превращает украденную карту в чистые наличные, минуя P2P-биржи и криптоматы.

Алгоритм:

1. Найдите должника. Ищите людей, у которых есть просроченные счета за коммунальные услуги, налоги или штрафы. Таких много. Можно парсить форумы, группы взаимопомощи, доски объявлений, или просто выбрать случайный счёт и оплатить его (ошибка, но сработает).
2. Оплатите его долг украденной картой. Используйте non‑3DS карту с балансом, соответствующим сумме долга.
3. Свяжитесь с должником (по номеру телефона, email, через соцсети). Сообщите, что вы оплатили его счёт. Придумайте легенду: «Я ошибся номером», «Благотворительная организация», «Возврат ошибочного перевода».
4. Предложите вернуть деньги с комиссией (20–40% от суммы). Должник, получив «подарок», с радостью переведёт вам наличные на дроп-счёт или криптовалютой.

Почему это работает: Должник не знает, что счёт оплачен украденной картой. Он видит только, что его задолженность погашена. Он переводит вам деньги с чистой совестью. Вы получаете наличные. Владелец украденной карты оспаривает транзакцию, но банк будет разбираться с коммунальной компанией, а не с вами. Вы уже вышли из игры.

Реальный пример из Италии: четыре человека использовали украденные данные для оплаты собственных налоговых и энергетических задолженностей, нанеся ущерб жертве на 3 500 евро. Деньги не были выведены на зарубежные счета или в криптовалюту, а напрямую направлены на погашение фискальных и энергетических обязательств мошенников. Это иллюстрирует, как оплата чужих счетов может служить методом обналичивания.

Часть 5. OPSEC для кардинга через оплату счетов​

1. Не используйте одну карту для массовых оплат. Даже если система не блокирует транзакции, банк-эмитент может заподозрить неладное после 5–10 платежей в день. Ограничьтесь 2–3 оплатами с одной карты.
2. Ротируйте BIN. Коммунальные платежи и налоги редко блокируют BIN, но если вы используете один диапазон для оплаты сотен счетов, он попадёт в чёрный список. Меняйте BIN каждые 50–100 транзакций.
3. Используйте прокси, соответствующие региону плательщика. Если вы оплачиваете счёт за электричество в штате Нью-Йорк, IP должен быть из Нью-Йорка. Несовпадение геолокации — один из немногих сигналов, который может вызвать подозрение.
4. Минимизируйте сумму. 80% ваших платежей должны быть в диапазоне $50–200. Крупные суммы ($500+) привлекают внимание.
5. Для фишинговых квитанций используйте только виртуальные карты (VCC). Если жертва оспорит платёж, VCC можно будет закрыть. Не рискуйте основным пулом карт.

Часть 6. Риски и как их минимизировать​

6.1. Блокировка карты по количеству транзакций​

Банк может заблокировать карту, если увидит необычную активность (например, 20 платежей в день в разные коммунальные компании). Этого можно избежать, используя разные карты для каждого плательщика.

6.2. Запрос документов от платёжного шлюза​

При крупных суммах ($1 000+ на одну карту) шлюз может запросить подтверждение личности. Используйте для таких операций только карты дропов с чистыми документами.

6.3. Жертва оспаривает платёж​

Если владелец карты заметит списание и инициирует чарджбэк, деньги вернутся ему, а вы останетесь должны коммунальной компании. Но компания не сможет вас найти — у неё нет ваших данных. Единственный риск — если вы использовали фишинговую квитанцию и жертва обратится в полицию, она может найти ваш IP и дроп-счёт.

Решение: используйте VPN и временные кошельки для вывода.

6.4. Уголовное преследование​

Как показал кейс из Бахрейна, власти могут вычислить мошенников, если они физически контактируют с жертвами (как в случае с представителями «оформления документов»). Если же вы работаете полностью удалённо (оплачиваете счета, не встречаясь с плательщиками), риск ареста значительно ниже.

Часть 7. Чек-лист для кардинга через оплату счетов​

• Выберите цель: коммунальные счета (электричество, вода, газ), налоги, штрафы ГИБДД, судебные пошлины. Ищите платёжные порталы с низкой защитой (без 3DS, капчи, верификации).
• Добудьте украденную non‑3DS карту с балансом, соответствующим сумме счёта.
• Оплатите счёт через онлайн-портал (желательно ночью или в выходные, когда риск проверки минимален).
• Свяжитесь с плательщиком (если вы работаете по схеме возврата) и получите наличные или криптовалюту на дроп-счёт.
• Для фишинговых квитанций: создайте поддельную платёжку (можно сгенерировать через AI-инструменты) или скопируйте официальный бланк, заменив реквизиты на свои.
• Распространите квитанции через почтовые ящики, QR-коды в подъездах, SMS-рассылку.
• Получите деньги от жертв, которые оплатят фальшивый счёт.
• Заметайте следы: уничтожьте шаблоны квитанций, смените прокси, закройте VCC.

Резюме​

Счета за коммунальные услуги, налоги и штрафы — это недооценённая ниша в кардинге. 3DS почти никогда не требуется. Чарджбэки редки. Психология жертвы играет на руку: люди не верят, что кто-то оплатит их долги, и не проверяют выписки. А если и заметят списание, то спишут его на себя.

Кейс из Бахрейна показывает, что даже при использовании социальной инженерии схема работает. Кейс из Италии демонстрирует, как оплата чужих налогов и счетов может служить прямым методом обналичивания. Фишинговые квитанции и поддельные QR-коды позволяют собирать CVV тысячами, не вступая в прямой контакт с жертвой.

Главные риски — блокировка карты по частоте и уголовное преследование при физическом контакте с жертвами. Оставайтесь полностью удалённым, не превышайте лимиты и используйте одноразовые карты.

Быстрая памятка на одну строку:
«Счета за свет и налоги — идеальная цель. 3DS нет. Чарджбэков почти нет. Платишь чужой долг украденной картой, получаешь 70% от «благодарного» плательщика на дроп-счёт. Риск минимален, если не жадничать и не выходить на личный контакт. Фишинговые квитанции и QR-коды собирают CVV тысячами — жертвы сами приносят деньги»

 

[Good Carder]

Социальная инженерия и скрипты для обмана​

Наиболее эффективный метод массового обмана — сочетание социальной инженерии с автоматизацией. Мошенники используют скрипты, которые в автоматическом режиме обзванивают тысячи потенциальных жертв и, манипулируя их эмоциями, выманивают данные карт или заставляют перевести деньги.

В 2026 году мошенники активно комбинируют автоматизацию с традиционной социальной инженерией, делая атаки быстрыми, масштабируемыми и труднообнаруживаемыми. Скрипт непрерывно набирает номера один за другим без участия человека на начальном этапе.

Сценарий звонка от «коммунальной службы»:

«Здравствуйте, это отдел по работе с задолженностью вашей управляющей компании. У вас образовалась просрочка по оплате электроэнергии на сумму 50$. Если вы не оплатите в течение часа, будет начислен штраф и приостановлена подача ресурса. Для быстрой оплаты назовите номер вашей карты и CVV-код».

Жертва, испугавшись отключения света, диктует данные, и через минуту деньги уже на счету мошенника.

Инструменты для звонков включают подмену Caller ID (спуфинг), когда на экране жертвы отображается официальный номер государственной службы или управляющей компании. Телефонные мошенники часто используют подмену номера телефона, чтобы на дисплее получателя отображался номер, отличный от реального, и жертва доверяла звонку. В 2026 году мошенники также используют Telegram-боты, которые могут инициировать звонок и извлекать у жертвы определённую информацию (OTP-коды, CVV) по заранее заданному скрипту.

Совет от кардера: для убедительности используйте данные из утекших баз. Если вы знаете точную сумму последнего платежа жертвы и дату, доверие к вам возрастёт в разы. «Иван Петрович, 15 мая вы оплатили 50$. Сейчас задолженность 30$» — эта конкретика ломает психологическую защиту.

Технические методы и обход защиты​

Поиск платёжных порталов с низкой защитой​

Ваша задача — найти сайты, где 3DS отключен или его можно обойти через low-value exemption. Кандидаты:

• Порталы оплаты штрафов ГИБДД (многие региональные порталы имеют слабую защиту).
• Сайты коммунальных платежей небольших городов — у них часто самописные решения, а не Stripe/Adyen.
• Судебные порталы оплаты пошлин — государственные порталы редко внедряют 3DS.

Поиск через Google Dorks​

inurl:pay "utility bill" "credit card" -3ds
inurl:payment "traffic fine" "card payment"
site:gov.* "pay online" "bill" "card number"

Автоматизация массовых платежей​

Для крупных операций используйте скрипты на Python с библиотекой requests или curl_cffi для подмены TLS-отпечатка. Главное ограничение — не отправляйте более 10-20 запросов в час с одной карты, чтобы не триггерить fraud-скоринг. Для платежей через API используйте ротацию прокси (резидентные IP, фрод-скор <20). Чем меньше запросов с одной карты — тем безопаснее.

Маскировка транзакций​

Используйте виртуальные карты RedotPay с кастомным дескриптором (например, COMMUNAL SERVICE). Жертва увидит в выписке знакомое название коммунальной службы и не заподозрит подвоха. Никогда не используйте названия Netflix, Amazon или Starbucks для оплаты счетов — несоответствие MCC вызовет вопросы у банка.