Автоматизация поиска уязвимых магазинов через парсинг Google Maps и агрегаторов отзывов

[Good Carder]

От кардера — кардерам. Ручной поиск целей — это прошлый век. В 2026 году с тысячами старых или плохо защищённых магазинов справится системный подход. Google Maps хранит больше 200 миллионов бизнесов с контактами, сайтами и отзывами. Агрегаторы и пауки вроде SpiderFoot обходят их автоматически. Ваша задача — профильтровать этот океан до десятка уязвимых мишеней, готовых к атаке.

В этой статье я покажу, как собирать магазины по ключевым словам через Google Maps API и парсинг, как определять CMS и платёжные шлюзы через Wappalyzer и BuiltWith, как отсеивать цели по формальному возрасту домена, трафику и видимости, как автоматизировать проверку уязвимостей через Shodan, Censys и Nmap. На выходе — CSV с готовыми, качественными мишенями, на которые не жалко тратить карту. Никакой романтики — только железный сбор данных и методология тех, кто перестал полагаться на удачу.

Часть 1. Почему Google Maps — золотая жила для кардера​

Google Maps содержит данные о миллионах магазинов, включая название, категорию, рейтинг, телефон и самое важное — ссылку на сайт. Именно эта ссылка становится точкой входа в вашу разведывательную кампанию. В 2026 году 67% локальных потребителей проверяют Google Maps перед покупкой, а «near me»-поиски выросли более чем на 150% за последние пять лет.

Для кардера Google Maps интересен по трём причинам:

1. Массовость. Вы получаете тысячи бизнесов с веб-сайтами за один поиск.
2. Категоризация. Легко фильтровать только интернет-магазины с корзиной и платёжными шлюзами (e‑commerce stores).
3. Отзывы как индикатор слабых мест. Магазины с низкими оценками часто экономят на безопасности и техническом обслуживании, оставляя уязвимости.

Цель этого этапа — собрать как можно больше веб-сайтов, которые затем подвергнутся глубокому анализу.

Часть 2. Сбор целей через парсинг Google Maps: API vs краулеры​

2.1. Официальный API: дорого, но надёжно​

Google Places API — легальный способ получить бизнес-данные. По состоянию на 2026 год Place Search стоит ~$17 за тысячу запросов, Place Details — ещё ~$17. Полный профиль одной компании обходится в 3–5 центов, но серьёзных денег не сэкономить. Плюсы — стабильность и юридическая чистота. Минусы — быстрое накопление расходов при масштабировании.

2.2. Скрапинг Google Maps: антиботы и прокси​

Прямой скрапинг Maps сильно усложнился. Google Maps — это JavaScript-heavy SPA с протобуф-кодированием данных. Антибот-системы анализируют заголовки, TLS-отпечатки, движения мыши и тайминги запросов. После нескольких запросов с одного IP вылетает reCAPTCHA.

Однако push-технологии остаются. Проект SherlockMaps на базе Playwright автоматизирует обход: открывает браузер, симулирует скролл, клики и собирает данные в JSON/CSV через REST API и Docker. Такие краулеры работают медленнее API, но обходятся дешевле при масштабе до 5–10 тысяч запросов.

Инструменты вроде Scrapingdog или Apify Google Maps Extractor снимают головную боль с прокси и CAPTCHA, предоставляя готовое решение «за кредиты». Для массовых операций они обычно выгоднее, чем содержание собственного парсинга.

2.3. Стратегия Mismatch: отсев мёртвых сайтов​

Статистика неумолима: бизнесы с высоким рейтингом, но ужасным сайтом — самые горячие мишени. Такие магазины уже имеют клиентов, но совершенно не разбираются в безопасности. Методология Mismatch Score работает через AI-оценку сайта по восьми параметрам: адаптивность, скорость загрузки, контактная информация, SSL, сигналы доверия, визуальный дизайн, SEO и платёжный путь.

Сайты с низкой оценкой качества почти наверняка используют устаревшие версии CMS, не обновляют плагины и оставляют критические уязвимости открытыми. Это идеальная цель для дальнейшего анализа.

Для автоматизации можно использовать связку: Serper API → Firecrawl → LLM с оценкой. Ниже пример кода для оценки качества сайта через AI:

import requests
from openai import OpenAI

def evaluate_site_quality(html_content):
    client = OpenAI(api_key="YOUR_OPENAI_KEY")
    prompt = f"""
    Оцени сайт по 8 критериям от 0 до 10: 
    1. SSL и HTTPS (есть сертификат, нет смешанного контента)
    2. Скорость загрузки (визуально, по наличию оптимизации)
    3. Адаптивность (работает на мобильных)
    4. Контактная информация (телефон, email, адрес)
    5. Сигналы доверия (сертификаты, гарантии, отзывы)
    6. Визуальный дизайн (современный vs 2010)
    7. Безопасность платежей (заметны ли платёжные шлюзы)
    8. Техническое состояние (неработающие ссылки, ошибки JS)
    Верни JSON с баллами и общий вердикт.
    """
    response = client.chat.completions.create(
        model="gpt-4",
        messages=[{"role": "user", "content": f"{prompt}\n\n{html_content[:10000]}"}]
    )
    return response.choices[0].message.content

Часть 3. Технологический фингерпринтинг: от URL до стека​

Когда у вас есть список сайтов, нужно понять, с чем вы имеете дело. Технологический фингерпринтинг — быстрый способ без глубокого пентеста.

3.1. Wappalyzer и BuiltWith: не панацея​

Wappalyzer — самый популярный инструмент, определяющий CMS, JS-фреймворки, платёжные шлюзы и хостинг. Но он смотрит только на домашнюю страницу. Платёжные шлюзы часто появляются только на checkout, поэтому API-сканеры проверяют и страницу оформления.

Усовершенствованные сканеры (например, Apify Tech Stack Scanner) просматривают не только главную, но и /cart и /checkout, что позволяет выловить Adyen, Worldpay и другие платёжки, которые прячутся на втором плане. Сканер способен обработать тысячи доменов за один прогон, что критично для массового поиска.

3.2. SpiderFoot: глубокая разведка​

SpiderFoot имеет более 200 модулей, автоматически собирающих информацию с DNS, WHOIS, баг-трекеров, тёмной сети и даже утекших паролей. SpiderFoot запрашивает Shodan, HaveIBeenPwned, AlienVault и другие источники. Его модульная архитектура выстраивает всю картину: от IP-адресов и DNS-записей до открытых портов и версий ПО. Это уже не просто фингерпринтинг, а полноценная разведка для глубокого пентеста.

Запуск SpiderFoot в Docker прост:

docker run -d --name spiderfoot -p 5001:5001 -v $PWD/spiderfoot-data:/data joshuapfritz/spiderfoot:v4.0
# Открыть http://localhost:5001

3.3. Тест на API-уязвимости: автоматизация проверки XSS и SQLi​

После определения CMS можно автоматически прогонять сайты через Nuclei (YAML-шаблоны уязвимостей). Пример сканирования на CVE-2025-4371 в веб-камерах или XSS в /submit_checkout у Bdtask Isshue.

# Установка Nuclei
go install -v github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest

# Сканирование списка доменов на известные уязвимости
nuclei -l targets.txt -t cves/ -t vulnerabilities/ -o scan_results.txt

Поиск открытых баз данных (MongoDB, Elasticsearch). Используя Shodan, ищите порты 27017 (MongoDB) и 9200 (Elasticsearch), часто оставленные без пароля на серверах магазинов.

# Shodan query for vulnerable e‑commerce infrastructure
port:27017 product:"MongoDB" "ecommerce"

3.4. Шаблоны поисковых запросов (Google Dorks) для уязвимых магазинов​

Нельзя игнорировать и классические методы OSINT. Вот несколько рабочих Google Dorks на 2026 год:

# Устаревшие CMS
site:*.shopify.com "Powered by Shopify" "Version 2" checkout
inurl:checkout "WooCommerce 5.0" payment

# Плагины с известными уязвимостями
inurl:/index.php?route=checkout/confirm "Opencart 2.3" 
ext:log "Stripe" "PHP Fatal error"

# Открытые файлы конфигурации
intitle:"index of" ".env" DB_PASSWORD
filetype:sql "INSERT INTO `orders`" "credit_card"

Часть 4. Верификация: отсев мёртвых и защищённых целей​

Сбор данных — половина дела. Не менее важно отсеять мёртвые или хорошо защищённые сайты.

1. Проверка возраста домена (через WHOIS). Молодые домены (до 6 месяцев) часто используют современные шаблоны с хорошей защитой. Старые, но активно работающие магазины редко обновляют платёжные модули.
2. Анализ скорости ответа сервера. Быстрые времена реакции (под 50-100 мс) намекают на мощную инфраструктуру с защитой. Медленные ответы иногда указывают на слабый хостинг и, возможно, на слабую защиту.
3. Тест на анонимность прокси. Если сайт отклоняет несколько резидентных прокси подряд, вероятно, он использует DataDome, Shape Security или другой WAF. Такие сайты лучше пропускать.
4. Проверка на honeypot. Некоторые сайты созданы специально, чтобы ловить кардеров. Признак — подозрительно лёгкий чек-аут с подтверждением любой карты.

Пример кода для проверки WHOIS и возраста домена:

import whois
from datetime import datetime

def get_domain_age(domain):
    try:
        w = whois.whois(domain)
        creation_date = w.creation_date
        if isinstance(creation_date, list):
            creation_date = creation_date[0]
        age_days = (datetime.now() - creation_date).days
        return age_days
    except:
        return None

Часть 5. Практический чек-лист кардера 2026​

Вот готовый план действий:

• Этап 1. Сбор начального списка бизнесов. Используйте Google Places API или SherlockMaps для извлечения магазинов по ключевым словам («online store», «checkout», «payment gateway») с фильтром по стране/региону.
• Этап 2. Технологический анализ. Прогоните каждый URL через Apify Tech Stack Scanner и Wappalyzer для выявления CMS, платёжного шлюза (Stripe, Adyen, Braintree) и хостинга.
• Этап 3. Глубокая разведка. Запустите SpiderFoot для каждого домена. Проверьте DNS, заголовки безопасности, SSL, открытые порты и наличие в утечках.
• Этап 4. Поиск уязвимостей. Используйте Nuclei с шаблонами для конкретных CMS (XSS в WooCommerce 5.x, RCE в Magento 2.3). Сканируйте через Shodan на открытые базы данных.
• Этап 5. Оценка качества и финальная фильтрация. Примените AI-скоринг качества сайта с помощью LLM (mismatch score). Удалите сайты с оценкой выше 7/10 по безопасности.
• Этап 6. Подготовка финального списка. Экспортируйте цели в CSV, включите URL корзины, метод оплаты, версию CMS и выявленную уязвимость.

Пример вывода CSV для атаки:

Domain	CMS	Payment Gateway	Vulnerability	Priority
cheapstore.com	WooCommerce 5.0	Stripe	XSS in checkout	High
oldmart.com	Magento 2.3	Paypal	Open redirect	Medium
vintage.shop	Custom PHP 5.6	Authorize.Net	SQLi in search	Critical

Резюме​

Автоматизация поиска уязвимых магазинов через парсинг Google Maps и агрегаторов отзывов — это системная работа, устраняющая случайный поиск. Google Maps даёт массу бизнесов с сайтами. Wappalyzer и технологические сканеры выявляют CMS и платёжные шлюзы. SpiderFoot и Shodan находят открытые базы и слабые конфигурации. AI-оценка качества и mismatch scoring отсеивают надёжные сайты. В 2026 году победит не тот, кто дольше сидит в браузере, а тот, кто умеет эффективно фильтровать тысячи целей.

Быстрая памятка на одну строку:
«Google Maps собирает сайты, Wappalyzer узнает CMS, SpiderFoot ищет базы, Nuclei взламывает. AI отсеивает сильных. Остаются слабые. Твой CSV — это карта сокровищ. CSV — это карта сокровищ. Работай умнее, а не тяжелее — в 2026 году выигрывает не скорость, а системность».