Good Carder
Professional
- Messages
- 938
- Reaction score
- 546
- Points
- 93
От кардера — кардерам. Никакой воды, только проверенные схемы 2026 года.
Ты купил свежие карты, настроил антидетект, поднял резидентные прокси. Осталось найти цель — магазин, который примет платёж без 3DS, не зарежет по BIN и не запустит бесконечную верификацию. Ошибёшься с выбором — сольёшь карту впустую. Попадёшь на «крепкий орешек» — получишь фрод-флаг на свой IP и профиль.
В этой статье я расскажу, как кардеры с опытом выбирают цели для вбива. Без абстрактных советов — только конкретные признаки, инструменты и чек-листы, которые работают прямо сейчас.
Ключевое правило: ищи слабые шлюзы, а не красивые витрины.
Крупные сети (Amazon, Walmart, Target) имеют бюджеты на топовые антифрод-системы. Там тебе делать нечего, если только у тебя нет non‑3DS карты с подтверждённым балансом и опыта обхода их скоринга. А вот мелкие и средние магазины — особенно свежие Shopify-площадки, маленькие брендовые интернет-магазины, локальные сервисы — часто используют стандартные настройки платёжных шлюзов, которые можно обойти.
Опытный кардер за 5 секунд определяет шлюз по одному только URL в адресной строке при переходе на страницу оплаты.
Что искать в ответе:
Ошибка 2. Игнорировать геолокацию магазина. Если магазин зарегистрирован в Европе (особенно в Германии, Нидерландах, Франции), там почти везде включена обязательная 3DS для европейских карт. Для американских карт — может и не быть, но BIN должен совпадать с IP, а IP — с американским.
Ошибка 3. Вбивать в часы пик. Магазины с ручной проверкой заказов (маленькие бренды) могут обрабатывать заказы только в рабочее время. Если ты вбиваешь в 3 часа ночи по местному времени, а магазин не обрабатывает заказы до утра — у тебя есть окно, но и риск, что к утру карту уже заблокируют. В идеале — вбивать за 1–2 часа до закрытия отдела фрод-мониторинга магазина.
Вбил карту — прошла с первой попытки на $200. Через час получил уведомление, что заказ обработан. Карта была non‑3DS US BIN, прокси — резидентный US. Через неделю повторил с другой картой — снова успех.
Магазин пал из-за того, что:
Вывод: ищи WooCommerce-магазины со старыми версиями плагинов оплаты. Их легко определить по специфическим URL и отсутствию iframe. Они как открытые калитки.
Быстрая памятка:
«Stripe с iframe и кардиналом — выходи сразу. WooCommerce без капчи и с самописным шлюзом — твой клиент. Шлюз определяй до вбива, 3DS — тестовой картой, BIN-фильтр — левым BIN. И никогда не вбивай первым, что попалось под руку»
Ты купил свежие карты, настроил антидетект, поднял резидентные прокси. Осталось найти цель — магазин, который примет платёж без 3DS, не зарежет по BIN и не запустит бесконечную верификацию. Ошибёшься с выбором — сольёшь карту впустую. Попадёшь на «крепкий орешек» — получишь фрод-флаг на свой IP и профиль.
В этой статье я расскажу, как кардеры с опытом выбирают цели для вбива. Без абстрактных советов — только конкретные признаки, инструменты и чек-листы, которые работают прямо сейчас.
Часть 1. Почему выбор мерчанта — это 50% успеха
Ты можешь иметь идеальный BIN, чистый прокси и прогретый профиль. Но если магазин висит на Stripe с включённым Radar в режиме «блокировать всё, что шевелится» — платёж не пройдёт.Ключевое правило: ищи слабые шлюзы, а не красивые витрины.
Крупные сети (Amazon, Walmart, Target) имеют бюджеты на топовые антифрод-системы. Там тебе делать нечего, если только у тебя нет non‑3DS карты с подтверждённым балансом и опыта обхода их скоринга. А вот мелкие и средние магазины — особенно свежие Shopify-площадки, маленькие брендовые интернет-магазины, локальные сервисы — часто используют стандартные настройки платёжных шлюзов, которые можно обойти.
Часть 2. Ручной отбор целей: что смотреть на странице
Ручной отбор занимает время, но он бесплатный и часто даёт результат там, где боты слепы.2.1. Определяем платёжный шлюз по косвенным признакам
Перед тем как ввести первую цифру карты, нужно понять, с кем ты имеешь дело.| Признак | Шлюз | Что это значит |
|---|---|---|
| Поля карты внутри iframe с доменом js.stripe.com | Stripe | Высокий риск, если у магазина включён Radar. Но 3DS не обязателен для non‑3DS BIN. |
| Поля карты в обычных <input>, форма отправляется на /payment | Свой самописный шлюз или старый процессинг | Часто низкая защита, но нужно проверять, не сохраняют ли карты в открытом виде. |
| Редирект на checkout.paypal.com или paypal.com | PayPal | Бесполезно для кардинга — там нужен аккаунт PayPal. Пропускай. |
| Редирект на braintreepayments.com | Braintree | Аналог Stripe, но с немного другим скорингом. Некоторые BIN проходят там, где Stripe режет. |
| Появление окошка с выбором банка при вводе карты | Adyen с 3DS | Почти гарантированный 3DS. Только non‑3DS карты. |
| Поля карты внутри iframe с adyen.com | Adyen (hosted fields) | Тоже Adyen, но без редиректа. Шанс на проход есть, но низкий. |
| Всплывающий iframe с cardinalcommerce.com | Cardinal Commerce (3DS сертификатор) | 3DS обязателен — сразу бросай эту цель. |
Опытный кардер за 5 секунд определяет шлюз по одному только URL в адресной строке при переходе на страницу оплаты.
2.2. Тест на 3DS без реальной карты
Иногда можно проверить, требует ли магазин 3DS, даже не имея карты. Некоторые шлюзы на этапе ввода номера карты отправляют AJAX-запрос на /v1/payment_methods или аналогичный эндпоинт. В консоли разработчика (F12 → Network) можно увидеть этот запрос и его ответ. Если в ответе есть поле authentication_required или next_action[type]=redirect_to_url — магазин запросит 3DS при подтверждении.2.3. Проверка BIN-фильтрации
Некоторые магазины фильтруют карты по BIN на уровне клиентского JavaScript. Введи в поле номера карты заведомо prepaid BIN (например, 431294 — Vanilla Visa). Если страница сразу выдаёт ошибку «карта не принимается» без запроса к серверу — магазин использует чёрный список BIN на фронте. Такой магазин бесполезен для этого BIN, но может принять другой.Часть 3. Инструменты для сканирования слабых шлюзов
Когда вручную перебирать магазины надоедает, в ход идут автоматические инструменты.3.1. OpenBullet 2 с конфигами под платёжные шлюзы
OpenBullet — это не только для чекеров. С помощью специальных конфигов можно автоматически проверять магазины на проходимость: отправлять запрос на создание платёжного интента с указанием BIN и анализировать ответ. Конфиги под Stripe, Braintree, Adyen и другие шлюзы продаются на форумах за $10–50.Что искать в ответе:
- Если ответ содержит "requires_action":true или "status":"requires_action" — требуется 3DS.
- Если ответ содержит "decline_code":"do_not_honor" — карта мёртва, но шлюз живой (магазин не банит BIN).
- Если ответ 403 или "error":{"code":"fraudulent"} — магазин использует жёсткий антифрод.
3.2. PayPal API как разведчик
Некоторые кардеры используют PayPal API для проверки BIN. Создаёшь тестовый платёж через PayPal REST API с указанием BIN (без полного номера), и в ответе можно увидеть, поддерживает ли PayPal этот BIN для страны магазина. Это не прямой индикатор, но помогает отсеять заведомо неподходящие цели.3.3. Сервисы-агрегаторы «дырявых» магазинов
На теневых форумах и в Telegram-каналах публикуют списки «мерчантов с низким фрод-контролем». Зачастую это свежие магазины на Shopify, которые ещё не успели настроить Radar. Платить за такие списки обычно не нужно — они распространяются как благодарность внутри комьюнити. Но всегда проверяй актуальность: магазины быстро закрывают дыры.Часть 4. Чек-лист кардера перед вбивом (ручной отбор)
Перед тем как потратить карту, пройди по этому списку:- Определи платёжный шлюз (Stripe, Adyen, Braintree, самописный).
- Проверь, не выскакивает ли 3DS на тестовом номере 4000 0000 0000 0002.
- Убедись, что страница оплаты не блокирует по BIN (введи prepaid BIN и посмотри на реакцию).
- Посмотри на адресную строку — нет ли редиректа на cardinalcommerce.com или mastercard.com/3ds.
- Проверь страницу на наличие скриптов аналитики — чем больше (Google Analytics, Facebook Pixel, Hotjar), тем выше шанс, что магазин собирает данные, но это не страшно, если шлюз слабый.
- Оцени возраст магазина (через whois). Магазины младше 3 месяцев часто имеют стандартные настройки шлюза.
- Попробуй добавить товар в корзину и дойти до оплаты без входа в аккаунт — чем меньше требований к регистрации, тем проще вбив.
Часть 5. Типичные ошибки при выборе цели
Ошибка 1. Гнаться за дорогими товарами. Самые «жирные» чеки (электроника, техника) часто находятся под усиленной защитой. Цифровые товары (подарочные карты, софт, подписки) проходят чаще при той же сумме.Ошибка 2. Игнорировать геолокацию магазина. Если магазин зарегистрирован в Европе (особенно в Германии, Нидерландах, Франции), там почти везде включена обязательная 3DS для европейских карт. Для американских карт — может и не быть, но BIN должен совпадать с IP, а IP — с американским.
Ошибка 3. Вбивать в часы пик. Магазины с ручной проверкой заказов (маленькие бренды) могут обрабатывать заказы только в рабочее время. Если ты вбиваешь в 3 часа ночи по местному времени, а магазин не обрабатывает заказы до утра — у тебя есть окно, но и риск, что к утру карту уже заблокируют. В идеале — вбивать за 1–2 часа до закрытия отдела фрод-мониторинга магазина.
Часть 6. Пример из практики: почему я бросил Stripe-магазин и пошёл на самописный шлюз
Реальный случай. Нашёл магазин подарков на WooCommerce. Поля карты — обычные HTML-инпуты, форма отправляется на /wc-api/ (стандарт Woo). Никаких iframe, никаких редиректов. Очевидно, самописный шлюз через какой-то старый плагин.Вбил карту — прошла с первой попытки на $200. Через час получил уведомление, что заказ обработан. Карта была non‑3DS US BIN, прокси — резидентный US. Через неделю повторил с другой картой — снова успех.
Магазин пал из-за того, что:
- Не было никакой защиты от BIN-атак.
- Платёжный шлюз не проверял CVV.
- Чарджбэк-менеджмент отсутствовал.
Вывод: ищи WooCommerce-магазины со старыми версиями плагинов оплаты. Их легко определить по специфическим URL и отсутствию iframe. Они как открытые калитки.
Резюме
Выбор мерчанта — это не удача, а системный отбор. Трать 5–10 минут на анализ цели перед тем, как использовать дорогую карту. Используй ручные проверки, автоматические сканеры и списки «слабых» магазинов с форумов. Помни: Stripe с правильно настроенным Radar — это почти всегда отказ, а старый WooCommerce без обновлений — это золотая жила.Быстрая памятка:
«Stripe с iframe и кардиналом — выходи сразу. WooCommerce без капчи и с самописным шлюзом — твой клиент. Шлюз определяй до вбива, 3DS — тестовой картой, BIN-фильтр — левым BIN. И никогда не вбивай первым, что попалось под руку»
