Good Carder
Professional
- Messages
- 904
- Reaction score
- 520
- Points
- 93
От кардера — кардерам. Только дочитав последний абзац об API-кардинге и шимминге, вы услышали: выходит 3DS 3.0. И вновь паника: «всё, кардинг умер».
Успокойтесь. 3DS не умрёт никогда, потому что мерчанты не могут позволить себе отказываться от бесшовного чекаута. Они всегда будут искать баланс между безопасностью и конверсией. Именно этот баланс — наша вечная лазейка.
В 3DS 2.3 появилась биометрическая аутентификация (SPC, Secure Payment Confirmation) и новые возможности для бесшовной работы на IoT-устройствах. Звучит устрашающе? На деле EMVCo просто пытается догнать FIDO-стандарты WebAuthn, чтобы удержать технологию на плаву. Да, FIDO сложнее обойти, но это лишь новый вызов для нашего ремесла.
В этой статье я разберу, что на самом деле изменилось в 3DS 2.3, какие лазейки у нас остались и как их эксплуатировать в 2026 году.
Почему это плохо для нас? Потому что FIDO-биометрию сложнее обмануть, чем одноразовый код из SMS. Но есть нюанс: массовое внедрение SPC — это затратная технология. Многие банки до сих пор используют старые методы. Пока биометрия внедряется лишь в сегменте премиум-карт крупных эмитентов. В масс-маркете всё ещё рулят OTP, а значит, и наши старые методы работают.
Для нас это не страшно. Единичные платежи с холодильников — это копейки в общем обороте. Значимые суммы по-прежнему проходят через традиционные веб- и мобильные каналы, где наши методы обхода сохраняют эффективность.
Но recurring-платежи по определению не аутентифицируются каждый раз. Использовать их для «легализации» грязных карт? Перспективно. Участились случаи, когда кардеры создавали фиктивные подписки на мелкие суммы и выводили средства через подставные аккаунты. Схема живучая, но не для массового вбива.
Почему это важно для нас? Автоматизация переходов упрощает жизнь обычному пользователю, но мы можем эмулировать OOB-поток с помощью MITM-атак. Перехватив Challenge Data между устройствами (например, через Blueborne или другие Bluetooth-уязвимости), мы подменяем сессию и подтверждаем платёж от имени жертвы. Сложно, но выполнимо, особенно в связке со взломом учётных записей.
Это ограничивает наши возможности, потому что банки получают более надёжные методы аутентификации, на которые сложнее влиять через социальную инженерию. Но на практике уязвимы остаются человеческий фактор и неполное внедрение новых методов. Пока SPC живёт в лабораториях, а массовый клиент подтверждает платежи всё теми же дешёвыми OTP, наши шансы сохраняются.
Ранее мерчант просто запрашивал исключение, а мы видели лишь финальный статус платежа. Теперь можем его контролировать. Однако Stripe Radar 3.0 использует AI для динамического запроса 3DS на основе сотен сигналов (история пользователя, страна карты, поведение). Нам нужно лучше эмулировать поведение реального пользователя, чтобы не триггерить скоринг.
Исследователи Gemini Advisory обнаружили на даркнет-форумах подробные обсуждения методов обхода 3DS. Обычный сценарий выглядит так: кардер заходит на сайт с украденными данными карты, инициирует платёж, система перебрасывает на страницу 3DS-верификации, мерчант ждёт ввода кода. Кардер звонит жертве, представляясь сотрудником банка, и говорит: «Проверяем подозрительную транзакцию, назовите код из SMS для отмены». Жертва диктует код. 3DS успешно пройден. Платёж списан.
Gemini Advisory описывает аналогичный метод с использованием полных данных карты (Fullz), спуфинга номера и поддельного голоса. Fullz + социальная инженерия позволяют обойти FIDO-биометрию, потому что вы атакуете не технологию, а человека.
Новый тренд 2026 года — автодилеры, сидящие с украденными Fullz, которые звонят жертвам одновременно с совершением онлайн-покупки. Схема требует координации и чёткого скрипта, но даёт огромные чеки.
Ваша цель — подогнать merchant data под безопасный шаблон.
Старая уловка с «грязным» скриптом давно не работает. Stripe Radar анализирует не только статические поля, но и динамику сессии: скорость заполнения формы, паузы между нажатиями, траекторию мыши. Имитируйте реального человека, и 3DS будет запрашиваться реже.
Какие exemption можно использовать для обхода?
В 2026 году доля non-3DS BIN среди US-карт стремительно падает, но они существуют.
Типичные диапазоны non-3DS BIN US на 2026 год:
Они активно используются в кардинге, но нужно быть осторожным: многие эмитенты меняют BIN раз в 3-6 месяцев.
Где брать актуальные non-3DS BIN:
Быстрая памятка на одну строку:
«SPC и биометрия? Не у всех. Social Engineering рулит. Non-3DS BIN жив до тех пор, пока банк не проапгрейдил свою защиту. Low-value exemption и recurring подписки — наша «лазейка» для мелких краж»
Успокойтесь. 3DS не умрёт никогда, потому что мерчанты не могут позволить себе отказываться от бесшовного чекаута. Они всегда будут искать баланс между безопасностью и конверсией. Именно этот баланс — наша вечная лазейка.
В 3DS 2.3 появилась биометрическая аутентификация (SPC, Secure Payment Confirmation) и новые возможности для бесшовной работы на IoT-устройствах. Звучит устрашающе? На деле EMVCo просто пытается догнать FIDO-стандарты WebAuthn, чтобы удержать технологию на плаву. Да, FIDO сложнее обойти, но это лишь новый вызов для нашего ремесла.
В этой статье я разберу, что на самом деле изменилось в 3DS 2.3, какие лазейки у нас остались и как их эксплуатировать в 2026 году.
Часть 1. 3DS 2.3: что изменилось на самом деле
EMV 3DS 2.3 — это эволюционный шаг, а не революционный скачок. EMVCo выпустила его в конце 2021 года, а к 2026 году он наконец добрался до массового внедрения. Всё, что добавили:1.1. SPC (Secure Payment Confirmation) — та самая биометрия
Secure Payment Confirmation (SPC) — это новая схема аутентификации, которая официально встраивает FIDO-биометрию в 3DS. Пользователь подтверждает платёж отпечатком пальца, Face ID или пасс-кеем, минуя OTP-код. Версия 2.3 вводит SPC как метод аутентификации, а 3DS 2.3.1 (дальнейшее уточнение) добавляет новые поля и дорабатывает процесс.Почему это плохо для нас? Потому что FIDO-биометрию сложнее обмануть, чем одноразовый код из SMS. Но есть нюанс: массовое внедрение SPC — это затратная технология. Многие банки до сих пор используют старые методы. Пока биометрия внедряется лишь в сегменте премиум-карт крупных эмитентов. В масс-маркете всё ещё рулят OTP, а значит, и наши старые методы работают.
1.2. Split-SDK — 3DS проникает в холодильники
Split-SDK — ключевое техническое нововведение 3DS 2.3: разделение стандартного 3DS SDK на клиентскую и серверную части. Это нужно для того, чтобы внедрить 3DS на устройства с ограниченными вычислительными ресурсами — умные колонки, автомобили, IoT-гаджеты.Для нас это не страшно. Единичные платежи с холодильников — это копейки в общем обороте. Значимые суммы по-прежнему проходят через традиционные веб- и мобильные каналы, где наши методы обхода сохраняют эффективность.
1.3. Улучшения для recurring-платежей
3DS 2.3 расширил поддержку подписок и регулярных платежей. Добавлены поля для instalment payments, recurring amount, recurring date, recurring frequency и recurring expiry date.Но recurring-платежи по определению не аутентифицируются каждый раз. Использовать их для «легализации» грязных карт? Перспективно. Участились случаи, когда кардеры создавали фиктивные подписки на мелкие суммы и выводили средства через подставные аккаунты. Схема живучая, но не для массового вбива.
1.4. OOB (Out-of-Band) переходы
В версии 2.3 автоматизированы переходы между приложением мерчанта и приложением банка (OOB). Данные Challenge Data теперь передаются в CReq/CRes-сообщениях для App-based flow.Почему это важно для нас? Автоматизация переходов упрощает жизнь обычному пользователю, но мы можем эмулировать OOB-поток с помощью MITM-атак. Перехватив Challenge Data между устройствами (например, через Blueborne или другие Bluetooth-уязвимости), мы подменяем сессию и подтверждаем платёж от имени жертвы. Сложно, но выполнимо, особенно в связке со взломом учётных записей.
1.5. FIDO-интеграция
Интеграция WebAuthn и SPC позволила банкам предлагать единый метод аутентификации для разных сервисов.Это ограничивает наши возможности, потому что банки получают более надёжные методы аутентификации, на которые сложнее влиять через социальную инженерию. Но на практике уязвимы остаются человеческий фактор и неполное внедрение новых методов. Пока SPC живёт в лабораториях, а массовый клиент подтверждает платежи всё теми же дешёвыми OTP, наши шансы сохраняются.
1.6. Stripe Radar 3.0: прозрачность для нас
Stripe обновил API в марте 2026 года, добавив в объект Payment Record свойства 3D Secure: криптограмму (cryptogram), Electronic Commerce Indicator (ECI) и Exemption Indicator. Теперь мы можем видеть, какую именно exemption использовал мерчант (например, low-value или recurring).Ранее мерчант просто запрашивал исключение, а мы видели лишь финальный статус платежа. Теперь можем его контролировать. Однако Stripe Radar 3.0 использует AI для динамического запроса 3DS на основе сотен сигналов (история пользователя, страна карты, поведение). Нам нужно лучше эмулировать поведение реального пользователя, чтобы не триггерить скоринг.
Часть 2. Методы обхода 3DS: что работает в 2026
2.1. Фишинг и социальная инженерия (King’s move)
Самый эффективный метод, который никогда не умрёт, — это обмануть не технологию, а человека. Социальная инженерия в связке с 3DS превратилась в отлаженную индустрию.Исследователи Gemini Advisory обнаружили на даркнет-форумах подробные обсуждения методов обхода 3DS. Обычный сценарий выглядит так: кардер заходит на сайт с украденными данными карты, инициирует платёж, система перебрасывает на страницу 3DS-верификации, мерчант ждёт ввода кода. Кардер звонит жертве, представляясь сотрудником банка, и говорит: «Проверяем подозрительную транзакцию, назовите код из SMS для отмены». Жертва диктует код. 3DS успешно пройден. Платёж списан.
Gemini Advisory описывает аналогичный метод с использованием полных данных карты (Fullz), спуфинга номера и поддельного голоса. Fullz + социальная инженерия позволяют обойти FIDO-биометрию, потому что вы атакуете не технологию, а человека.
Новый тренд 2026 года — автодилеры, сидящие с украденными Fullz, которые звонят жертвам одновременно с совершением онлайн-покупки. Схема требует координации и чёткого скрипта, но даёт огромные чеки.
2.2. Эмуляция merchant data: как снизить фрод-скор
Второй по эффективности метод — «вписаться в доверие». 3DS отправляет на сторону банка (ACS) десятки параметров о транзакции. Если банк видит несоответствия, вероятность запроса 3DS резко возрастает.Ваша цель — подогнать merchant data под безопасный шаблон.
- Сумма. Не превышайте low-value exemption. Порог обычно до €30 (около $33).
- Частота. Повторяющиеся транзакции на одну и ту же сумму с одного IP — красный флаг.
- Merchant Category Code (MCC). Разные MCC имеют разный уровень риска. MCC для подарочных карт или криптовалютных бирж — моментальный 3DS-челлендж. MCC для стриминговых сервисов или доставки еды часто проходят без вызова. В 2026 году MCC оплаты коммунальных услуг (телефон, интернет, газ) стал одним из самых безопасных — предсказуемые суммы, низкая доля фрода.
- География. Транзакция из той же страны, что и карта, — ниже риск. Запрос 3DS происходит реже.
- Device fingerprint. Передаваемые банку данные об устройстве (OS, браузер, часовой пояс) должны быть согласованы и не содержать следов виртуализации.
Старая уловка с «грязным» скриптом давно не работает. Stripe Radar анализирует не только статические поля, но и динамику сессии: скорость заполнения формы, паузы между нажатиями, траекторию мыши. Имитируйте реального человека, и 3DS будет запрашиваться реже.
2.3. Злоупотребление исключениями (exemptions)
В 3DS 2.3 есть механизмы исключений (exemptions). Если транзакция признаётся низкорисковой, 3DS может не запрашиваться вовсе.Какие exemption можно использовать для обхода?
- Low-value exemption (сумма менее €30, но не более 5 транзакций в день или €100 накопленных). Раз в три-четыре дня подряд совершайте мелкие платежи — они будут проходить без 3DS.
- Recurring transactions exemption. Создайте у целевого мерчанта подписку. Первая транзакция (подписка) может потребовать 3DS. А вот последующие автоматические списания (recurring) проходят с высокой вероятностью без аутентификации. Атака повторяющаяся, не для масс-маркета, но раз в месяц можно срубить крупную сумму на подставных аккаунтах доставки.
- Low-risk exemption через Merchant Category Code. Мерчант с низким процентом чарджбэков имеет право запрашивать exemption автоматически. Найдите такого мерчанта и используйте его как шлюз для кардинга (схема «Proxy Carding»).
2.4. Direct BIN attack: ищем живые карты без 3DS
Самый простой метод — использовать карты, которые вообще не поддерживают 3DS (non-3DS BIN). Они не зарегистрированы в системе банка и никогда не запросят аутентификацию. Работает там, где мерчант не проверяет BIN в чёрных списках и не блокирует по гео.В 2026 году доля non-3DS BIN среди US-карт стремительно падает, но они существуют.
Типичные диапазоны non-3DS BIN US на 2026 год:
- 414720 (Chase Bank Visa Credit)
- 439305 (Microsoft Prepaid Mastercard)
- 536425 (Mastercard Credit)
Они активно используются в кардинге, но нужно быть осторожным: многие эмитенты меняют BIN раз в 3-6 месяцев.
Где брать актуальные non-3DS BIN:
- Платные базы на даркнет-форумах (Exploit, XSS). Продавцы публикуют свежие списки с пометкой «non-3DS, tested».
- Бесплатная база BIN - binx.vip
- BIN-list Telegram-боты. Автоматический поиск по BIN, показывает страну, тип, а также (иногда) статус 3DS.
- Самостоятельное тестирование: покупаете карту, вбиваете на сайте с включённым 3DS и смотрите, вылетает ли запрос аутентификации.
Часть 3. Стратегия снижения фрод-скора: пошаговый чек-лист
- Собирайте данные перед атакой. Парсите MCC и историю 3DS целевого мерчанта через Burp Suite. Иногда мерчант оставляет настройки 3DS по умолчанию, не меняя их годами, — это даёт нам прямую лазейку.
- Используйте low-value exemption. Ставки до $30 (€27). Для повторяющихся платежей — применяйте recurring exemption.
- Эмулируйте реальные покупки. 3–4 мелких платежа в разных магазинах за неделю имитируют жизнь реального пользователя. Долговременный прогрев сессии может творить чудеса.
- Настройте прокси и антидетект. Используйте резидентные прокси с фрод-скором <30, синхронизируйте часовой пояс, язык, локализацию.
- Подберите BIN. Non-3DS US BIN — ваш друг в США. Для Европы нужны карты не-EEA эмитентов, которые могут проходить по one-leg-out правилу.
- Следите за обновлениями Radar. Stripe Radar 3.0 использует AI для динамического запроса 3DS. Изучайте документацию Stripe на предмет изменений в exemption-правилах. Анализируйте логи собственных попыток и корректируйте параметры.
Резюме
EMV 3DS 2.3 не убил кардинг, а просто изменил правила игры. SPC и биометрия усложнили задачу, но оставили массу лазеек. Социальная инженерия (главное оружие), злоупотребление исключениями, эмуляция merchant data и non-3DS BIN — всё ещё ваши надёжные инструменты. В 2026 году главное — следить за обновлениями антифрода и не жадничать.Быстрая памятка на одну строку:
«SPC и биометрия? Не у всех. Social Engineering рулит. Non-3DS BIN жив до тех пор, пока банк не проапгрейдил свою защиту. Low-value exemption и recurring подписки — наша «лазейка» для мелких краж»
