Кардинг через платёжных агрегаторов и их уязвимости (Shopify Payments, Stripe Connect)

[Good Carder]

От кардера — кардерам. Битва с платёжными шлюзами вроде Stripe в лоб становится всё тяжелее. Но есть другая, более изощрённая тактика: атаковать не сам шлюз, а его архитектуру. Платёжные агрегаторы и маркетплейсы, построенные на Stripe Connect и Shopify Payments, превращают борьбу с фродом в нашу игру. Вы становитесь не покупателем, а продавцом-тенью. Вы не крадёте карту, вы убеждаете платформу перевести вам деньги жертвы. В этой статье я разберу архитектуру платежей агрегатора, схему «фейковый продавец + покупка у самого себя с украденной карты», слабую верификацию продавцов на некоторых платформах, задержку выплат и риски быстрой блокировки.

Часть 1. Архитектура платежей агрегатора: деньги сначала на счёт платформы, потом продавцу​

В классической схеме интернет-магазина (Stripe Standard) покупатель платит, и деньги почти сразу поступают продавцу. В модели платёжного агрегатора (Stripe Connect, Shopify Payments) всё иначе.

Платёжный агрегатор — это технический провайдер, который получает средства и переводит полную сумму платежа (за вычетом своей комиссии) непосредственно на расчётный счёт платформы. Вы как продавец на маркетплейсе (Etsy, eBay, Amazon Handmade) не получаете деньги мгновенно. Сначала они аккумулируются на счёте платформы, а затем, после вычета комиссий и периода холда, переводятся вам. Эта задержка — главная проблема для быстрого обналичивания, но и наша главная лазейка.

Разберём две самые популярные архитектуры.

1.1. Shopify Payments: встроенный агрегатор​

Shopify Payments — это не просто плагин, а полноценная платёжная экосистема, интегрированная в каждый магазин на Shopify. Она обрабатывает карты, PayPal, Apple Pay и Google Pay. Shopify Payments использует машинное обучение для оптимизации авторизаций и снижения отказов. Анализ мошенничества Shopify также маркирует подозрительные заказы, чтобы привлечь ваше внимание к потенциальному фроду.

Ключевая особенность: Shopify Payments может удерживать выплаты (reserves) для защиты от чарджбэков и возвратов. Типичный период удержания — от 30 до 180 дней. Но это не мешает нам провернуть сделку: главное, чтобы платформа одобрила транзакцию, а деньги зависли на эскроу, а не ушли обратно покупателю.

1.2. Stripe Connect: мульти-стейкхолдерная платформа​

Stripe Connect — это архитектура для платформ, объединяющих множество продавцов и покупателей. Продавец становится «подключённым аккаунтом» (connected account), а платформа выступает агентом, обрабатывающим платежи и переводящим средства.

Типы подключённых аккаунтов:

• Standard (Standalone): Продавец сам проходит полную верификацию и имеет прямой счёт в Stripe. Деньги поступают ему почти мгновенно.
• Express (Managed): Продавец проходит упрощённую верификацию. Платформа управляет выплатами. Идеально для наших целей.
• Custom (Managed): Полный контроль над пользовательским интерфейсом и процессом верификации. Сложнее в настройке.

Для кардера Express-аккаунт — золотая жила. Требования к верификации минимальны, и можно быстро создать десятки «продавцов» с поддельными документами.

В Stripe Connect, как и в Shopify Payments, действует принцип: сначала деньги идут на счёт платформы (или аккаунта продавца), а затем выводятся продавцу. Но платформа также может удерживать средства на эскроу до подтверждения доставки или до истечения периода возврата (обычно 7–14 дней).

Часть 2. Схема «фейковый продавец + покупка у самого себя с украденной карты»​

Это классическая схема, адаптированная под агрегаторы.

Участники:

• Жертва-покупатель — ничего не подозревающий пользователь.
• Фейковый продавец — ваш подконтрольный аккаунт на маркетплейсе (Etsy, eBay, Shopify Marketplace).
• Вы (кардер) — управляете обоими аккаунтами.

Алгоритм:

1. Регистрация фейкового продавца. Создаёте аккаунт продавца на платформе, используя поддельные документы, виртуальный офис и дроп-банковский счёт. Для Shopify Payments достаточно базовой верификации (имя, адрес, ИНН). Для Stripe Connect Express — минимальный набор данных.
2. Создание товара-приманки. Выставляете на продажу несуществующий цифровой товар (подарочную карту, ключ активации) по высокой цене ($500–1000). Платёж подтверждается моментально, нет риска физической доставки.
3. Покупка украденной картой. Используя другой аккаунт (или то же устройство через чистый прокси и антидетект), вы «покупаете» этот товар у самого себя. Оплата проходит с украденной non‑3DS карты.
4. Прохождение платежа. Платёж доходит до платформы. Shopify Payments или Stripe Connect обрабатывает транзакцию и переводит деньги (за вычетом комиссии) на ваш счёт продавца. Покупатель (второй ваш аккаунт) получает цифровой товар.
5. Ожидание и вывод. Вы ждёте окончания холда (периода, когда платформа может отменить транзакцию). В Shopify Payments и Stripe Connect этот период может составлять от нескольких дней до месяца. Затем выводите средства на дроп-банковский счёт или криптокошелёк.
6. Исчезновение. После вывода средств вы «сжигаете» аккаунт продавца. Жертва (владелец украденной карты) может инициировать чарджбэк, но деньги уже ушли. Платформа и реальный продавец (если он был в цепочке) остаются с убытками.

В Stripe Connect злоумышленники используют упрощённую верификацию Express-аккаунтов для создания тысяч поддельных продавцов, которые затем «продают» товары сами себе, используя украденные карты.

Часть 3. Уязвимости: слабая верификация продавцов и задержка выплат​

3.1. Слабая верификация (Express / Managed Accounts)​

Главная уязвимость агрегаторов — недостаточная проверка продавцов, особенно на начальном этапе. Shopify Payments может запрашивать верификацию личности и бизнеса, но часто это происходит уже после первых транзакций или при подозрении на мошенничество. Stripe Express-аккаунты, ориентированные на платформы, также могут быть открыты с минимальным набором данных, что позволяет массово их создавать до того, как система их заблокирует.

Злоумышленники активно используют поддельные бизнес-регистрации, одноразовые номера телефонов и даже поддельные удостоверения личности (включая deepfake-видео для прохождения биометрии) для обхода KYC. Stripe, впрочем, использует комбинацию машинного обучения, эвристического анализа и ручной проверки для верификации документов, а также сверяет их с базой фейковых шаблонов. Но до тех пор, пока аккаунт не помечен как подозрительный, он может успешно принимать платежи.

3.2. Задержка выплат (Payment Hold / Reserve)​

Shopify Payments и Stripe Connect могут удерживать средства новых продавцов в течение 7–21 дня, а в некоторых случаях (например, при высоком риске чарджбэков) — до 180 дней. Но для нашей схемы это не проблема. Деньги уже заморожены на счету платформы и не будут отозваны при чарджбэке, если вы успели их вывести.

Часть 4. Риски: быстрая блокировка аккаунта продавца при подозрении​

4.1. Триггеры блокировки Shopify Payments​

Shopify Payments использует машинное обучение для анализа подозрительных заказов и автоматического тестирования карт. Если система обнаружит аномалию (слишком много отказов за короткое время, несовпадение геолокации, подозрительные email), ваш аккаунт может быть заблокирован или заморожен.

Дополнительные триггеры:

• Превышение порога чарджбэков. Если количество чарджбэков превысит 1–2%, Shopify Payments может наложить резерв (reserve) или приостановить выплаты.
• Жалобы от реальных покупателей. Если жертва украденной карты оспорит транзакцию до того, как вы вывели средства, аккаунт будет заблокирован.
• Несоответствие документов при верификации. Если вы не предоставите запрошенные документы вовремя или они окажутся поддельными — аккаунт заблокируют.

4.2. Риски Stripe Connect​

Stripe также активно борется с фродом продавцов. Существуют специализированные инструменты, такие как Guard Your Connect, которые выявляют подозрительных продавцов и предупреждают платформы. В случае чарджбэка или возврата ответственность может лечь на платформу, которая, в свою очередь, заблокирует ваш подключённый аккаунт.

Часть 5. Методы обхода и OPSEC​

5.1. Обход слабой верификации​

• Для Shopify Payments: Используйте уже верифицированный аккаунт (aged account), купленный на даркнете. Цена — $50–150.
• Для Stripe Connect: Регистрируйте Express-аккаунты с поддельными документами, но на разных IP и с разными фингерпринтами. Используйте дроп-адреса и виртуальные офисы.
• Deepfake-документы: Для прохождения видео-верификации используйте deepfake-видео или наймите актёра, похожего на фото в паспорте.

5.2. Как избежать блокировки аккаунта​

• «Прогревайте» аккаунт продавца. Не начинайте с крупной транзакции. Сделайте 5–10 мелких продаж ($5–20) с легитимных карт (можно через дропов), чтобы создать историю.
• Используйте цифровые товары. Они не требуют физической доставки и подтверждения, что ускоряет вывод.
• Выводите средства мелкими частями. Не пытайтесь снять $10 000 одним переводом.
• Следите за чарджбэк-рейтом. Если процент чарджбэков превысил 1%, немедленно «сжигайте» аккаунт.
• Используйте разные аккаунты для разных сумм. Не смешивайте мелкие легитимные продажи и крупные фродовые транзакции.

Часть 6. Чек-лист для атаки на агрегатор​

• Выберите платформу: Shopify Marketplace (легче верификация) или Stripe Connect (больше контроля).
• Создайте фейкового продавца: Используйте поддельные документы, виртуальный офис, дроп-банковский счёт.
• Выставите цифровой товар на сумму $500–1000.
• Совершите покупку с украденной non‑3DS карты с другого аккаунта, через чистый прокси и антидетект.
• Дождитесь подтверждения платежа (обычно 1–7 дней).
• Выведите средства на дроп-счёт или криптокошелёк.
• «Сожгите» аккаунт продавца после вывода.

Резюме​

Платёжные агрегаторы (Shopify Payments, Stripe Connect) предлагают уникальную возможность для кардера — стать продавцом-тенью. Схема «фейковый продавец + покупка у самого себя с украденной карты» позволяет перевести деньги жертвы на ваш подконтрольный счёт, минуя прямую атаку на платёжный шлюз. Главные уязвимости — слабая верификация продавцов (особенно на начальном этапе) и задержка выплат, которая даёт вам время вывести средства до чарджбэка. Но и риски высоки: быстрая блокировка аккаунта при подозрении, резервы и конфискация средств. Соблюдайте OPSEC, прогревайте аккаунты и не жадничайте, и агрегаторы станут вашим надёжным инструментом.

Быстрая памятка на одну строку:
«Агрегатор — не шлюз, а посредник. Деньги сначала на счёт платформы, потом продавцу. Экспресс-верификация — слабое место. Схема: фиктивный продавец → цифровой товар → покупка у себя украденной картой → вывод на дроп-счёт. Холд до 180 дней — не помеха, если ты быстрее. Блокировка по чарджбэкам — главный риск»