Good Carder
Professional
- Messages
- 938
- Reaction score
- 532
- Points
- 93
От кардера — кардерам. Взламывать серверы — это прошлый век. Зачем тратить недели на поиск уязвимости, если можно просто скачать готовую базу данных, которая уже гуляет по даркнету? Или, ещё проще, найти человека по номеру телефона через Telegram-бота и получить все его соцсети, адрес и даже ФИО за 2 минуты.
Утечка — это не техническая проблема, а индикатор того, что ваши данные уже в чьих-то руках. Из года в год громкие утечки сотрясают мировые корпорации. Только за первые три месяца 2026 года произошло множество утечек данных в крупных организациях, включая социальные сети и медицинские учреждения.
Но кардеров утечки не пугают — наоборот, они ждут их с нетерпением. Даже если база «устарела» на два года, в ней можно найти email, телефон, хэш пароля и даже паспортные данные. А если база совсем свежая — ты получаешь Fullz (полный пакет данных) за 50 центов, тогда как на чёрном рынке такой пакет стоит от 30 до 80. Это ли не мечта?
Цены на данные в 2026 году:
На вторичном рынке стоимость утекших данных неуклонно растёт, а свежие, верифицированные пакеты продаются значительно дороже. Если база «свежая» и содержит данные реальных людей с подтверждёнными документами, цена может вырасти в десятки раз.
В мае 2026 года в сети появилась информация о датасете объёмом 10 ТБ, содержащем «полный набор PII (Fullz)» — имена, адреса, номера социального страхования и даты рождения. Это не просто очередная утечка, а консолидация множества старых и новых баз. Исследователи отмечают, что это представляет серьёзную угрозу для систем цифровой идентификации на годы вперёд.
Кардеры активно используют комбо-листы для перебора аккаунтов (брутфорс) на популярных сервисах — PayPal, Amazon, криптобиржах. Один хороший комбо-лист может открыть доступ к десяткам аккаунтов за пару часов.
Ciphey — более современный и мощный инструмент. Он автоматически определяет тип шифрования и подбирает пароль, используя комбинацию встроенных словарей и статистических алгоритмов, без необходимости ручного ввода команд. Ciphey поддерживает более 50 алгоритмов (от Base64 до AES) и умеет работать даже с многослойным шифрованием.
«Трюк с «Забыли пароль»: Введи номер телефона в форму восстановления пароля на сайте. Если сервис существует, он может частично показать имя пользователя или его первую букву.
Telegram-боты. В мае 2026 года на GitHub появился обширный каталог Telegram-ботов для пробива — PRObivon Bot, Sherlock Report, Duhless. Эти боты за пару минут по номеру телефона выдают ФИО владельца, его адрес, список социальных сетей и даже теги из GetContact.
Все эти боты ежедневно обрабатывают тысячи запросов, предоставляя злоумышленникам полную информацию о жертве за считанные минуты и за небольшую плату (иногда и вовсе бесплатно в качестве рекламы).
Фишинг и социальная инженерия в 2026 году — это далеко не только спам-письма. Преступники используют персонализированные схемы для каждого конкретного человека.
Telegram — это не просто мессенджер, а кладезь ботов для пробива. Любой школьник за пару минут может узнать по номеру телефона ФИО, адрес и список социальных сетей своей жертвы. А если у него есть доступ к закрытым чатам кардеров, он может купить базы данных МФО и доставок почти за копейки.
Быстрая памятка на одну строку:
«Базы данных — это клондайк, а не хлам. Даже старая база даст тебе email и хэш пароля. А хэш — это дверь, которую открывает Ciphey или Key Decryptor. Пробив по номеру — рутина через Telegram-бота. Всего один запрос — и ты знаешь о жертве всё. Главное — не стать жертвой самому: используй прокси, шифруй архивы и никогда не храни всё на одном компе»
Утечка — это не техническая проблема, а индикатор того, что ваши данные уже в чьих-то руках. Из года в год громкие утечки сотрясают мировые корпорации. Только за первые три месяца 2026 года произошло множество утечек данных в крупных организациях, включая социальные сети и медицинские учреждения.
Но кардеров утечки не пугают — наоборот, они ждут их с нетерпением. Даже если база «устарела» на два года, в ней можно найти email, телефон, хэш пароля и даже паспортные данные. А если база совсем свежая — ты получаешь Fullz (полный пакет данных) за 50 центов, тогда как на чёрном рынке такой пакет стоит от 30 до 80. Это ли не мечта?
Часть 1. Типы баз данных: что искать и где лежит
Чтобы эффективно искать жертв, нужно понимать, какие базы данных циркулируют в даркнете и что из них можно извлечь.1.1. Где искать слитые базы
Глобальный объём утекших данных растёт с каждым годом. По данным исследования Positive Technologies, за первый квартал 2026 года в открытых источниках было опубликовано более 32% утекших баз, а ещё 8% были доступны для скачивания на хакерских форумах.- Telegram-каналы и боты. Самый быстрый и доступный способ. В Telegram действуют тысячи ботов и каналов, где за небольшую плату (или даже бесплатно) можно «пробить» человека по номеру телефона. В мае 2026 года на GitHub был опубликован обширный каталог лучших Telegram-ботов и инструментов для пробива по номеру телефона, email и соцсетям. Боты умеют пробивать номера через слитые базы доставок и выдавать настоящее имя, адрес и социальные сети «жертвы».
- Даркнет-форумы (Exploit, XSS). Здесь выкладывают ссылки на торренты с многогигабайтными архивами утекших баз и объявления о продаже актуальных данных. В апреле 2026 года был зафиксирован запрос на базу данных МФО, датированный 2026 годом, хотя сама компрометация произошла ещё в 2024 году. Это подтверждает устойчивый спрос на утекшие данные, даже спустя годы.
- Публичные архивы утечек. Существуют платные агрегаторы, которые собирают тысячи утекших баз в одном месте и предоставляют удобный поиск по email, логину или телефону. Примером может служить агрегатор Leakbase, распространяющий дампы на 10+ ТБ.
1.2. Что такое Fullz и зачем они нужны
Fullz — это «полный пакет» персональных данных жертвы, достаточный для идентификации и использования в мошеннических схемах. В стандартный Fullz входят:- ФИО
- Адрес (проживания и биллинговый)
- Дата рождения
- Номер телефона
- SSN (для США) или паспортные данные
- Иногда — данные кредитной карты, CVV, срок действия, логин и пароль от почты.
Цены на данные в 2026 году:
| Тип данных | Цена (даркнет) |
|---|---|
| База данных (1000 строк) | $0,50–1 |
| База с документами и паспортами (1000 строк) | до $1 |
| Fullz (США) от кредитного бюро | $30–80 |
| Номер карты с CVV | $10–40 |
На вторичном рынке стоимость утекших данных неуклонно растёт, а свежие, верифицированные пакеты продаются значительно дороже. Если база «свежая» и содержит данные реальных людей с подтверждёнными документами, цена может вырасти в десятки раз.
В мае 2026 года в сети появилась информация о датасете объёмом 10 ТБ, содержащем «полный набор PII (Fullz)» — имена, адреса, номера социального страхования и даты рождения. Это не просто очередная утечка, а консолидация множества старых и новых баз. Исследователи отмечают, что это представляет серьёзную угрозу для систем цифровой идентификации на годы вперёд.
1.3. Основные форматы данных (Combo Lists)
Combo list (комбо-лист) — это текстовый файл, содержащий пары «логин:пароль». Чаще всего в комбо-листах встречаются email:пароль, но попадаются и более экзотические форматы, например, номер телефона:пароль.Кардеры активно используют комбо-листы для перебора аккаунтов (брутфорс) на популярных сервисах — PayPal, Amazon, криптобиржах. Один хороший комбо-лист может открыть доступ к десяткам аккаунтов за пару часов.
Часть 2. Расшифровка хэшей и подбор паролей
Слитая база данных редко содержит пароли в открытом виде. Чаще всего они представлены в виде хэшей — необратимо преобразованных строк. Инструменты для работы с хэшами могут автоматически распознать алгоритм шифрования (MD5, SHA-1) и подобрать пароль.2.1. Как пароль превращается в хэш
Хэширование — это алгоритмическое преобразование входных данных в фиксированную строку. Когда ты регистрируешься на сайте, он сохраняет не твой пароль, а его хэш. При следующем входе сайт вычисляет хэш от введённого пароля и сравнивает его с сохранённым.2.2. Rainbow tables и Ciphey
Один из способов взлома хэшей — это радужные таблицы (Rainbow Tables). Это предварительно вычисленные наборы паролей и соответствующих им хэшей. Если хэш есть в таблице, пароль находится за секунды. Онлайн-сервисы вроде Key Decryptor или Dcode.fr позволяют выполнить дешифровку хэшей без установки ПО.Ciphey — более современный и мощный инструмент. Он автоматически определяет тип шифрования и подбирает пароль, используя комбинацию встроенных словарей и статистических алгоритмов, без необходимости ручного ввода команд. Ciphey поддерживает более 50 алгоритмов (от Base64 до AES) и умеет работать даже с многослойным шифрованием.
2.3. Генерация словарей на основе OSINT
Если пароль не находится в радужных таблицах, можно попробовать сгенерировать персональный словарь. Для этого собирается информация о жертве: дата рождения, имя, фамилия, клички, имена родственников и т.д. В PicoCTF 2026 было задание, где участникам давали персональные данные цели и хэш пароля, а задачей было восстановить пароль, собрав кастомный словарь на основе имени и даты рождения с учётом возможных замен и регистров.Часть 3. OSINT и социальная инженерия: добываем недостающие данные
Слитая база дала тебе только часть информации. Например, у тебя есть только номер телефона. OSINT и Social Engineering помогут найти остальное.3.1. Поиск профилей по номеру телефона
Один из самых простых способов — поиск профиля в социальной сети. Просто введи номер телефона в строку поиска Facebook или Telegram. Если номер публично привязан к профилю, он сразу отобразится.«Трюк с «Забыли пароль»: Введи номер телефона в форму восстановления пароля на сайте. Если сервис существует, он может частично показать имя пользователя или его первую букву.
Telegram-боты. В мае 2026 года на GitHub появился обширный каталог Telegram-ботов для пробива — PRObivon Bot, Sherlock Report, Duhless. Эти боты за пару минут по номеру телефона выдают ФИО владельца, его адрес, список социальных сетей и даже теги из GetContact.
3.2. Как работают алгоритмы поиска в Telegram
Telegram-боты для пробива работают просто: агрегатор ищет номер телефона по слитым базам данных популярных сервисов доставки (СДЭК, Яндекс Еда, Ozon) и маркетплейсов. Если жертва когда-либо указывала свой номер при заказе товара, в базе сохраняются её ФИО и адрес доставки. Эту информацию бот и выдаёт.3.3. Армия ботов под прикрытием
В сети Telegram существует целая инфраструктура из сотен ботов, специализирующихся на пробиве информации. Эти боты охватывают все возможные данные: от простой проверки регистрации номера в Telegram до полноценного предоставления паспортных данных, адресов регистрации, данных о недвижимости и транспорте.Все эти боты ежедневно обрабатывают тысячи запросов, предоставляя злоумышленникам полную информацию о жертве за считанные минуты и за небольшую плату (иногда и вовсе бесплатно в качестве рекламы).
Часть 4. Техники социальной инженерии для «добивки» данных
Иногда OSINT упирается в стену — данных не хватает или они устарели. Тогда на помощь приходит социальная инженерия — метод прямого обмана человека для получения конфиденциальной информации.Фишинг и социальная инженерия в 2026 году — это далеко не только спам-письма. Преступники используют персонализированные схемы для каждого конкретного человека.
4.1. Классические методы, которые всё ещё работают
- Фишинг (Phishing). Создаётся копия страницы входа популярного сервиса. Жертва переходит по ссылке и вводит свой логин и пароль. В 2026 году фишинговые атаки становятся всё более таргетированными, а их жертвами всё чаще становятся топ-менеджеры крупных компаний.
- Вишинг (Vishing). Звонок жертве от имени службы безопасности банка или техподдержки. Жертву убеждают, что с её счёта пытаются украсть деньги, и просят продиктовать код из SMS.
- Смишинг (Smishing). Злоумышленники присылают СМС якобы от банка, с ссылкой на фишинговый сайт и требованием срочно подтвердить данные, чтобы «спасти счёт».
4.2. Новые техники и индустриализация скама
- Отработанные скрипты и колл-центры. В 2026 году киберпреступность перешла на «конвейер». В крупных мошеннических организациях есть целые колл-центры с профессиональными операторами, которые соблюдают сценарий, психологически воздействуют на жертву и используют технологию deepfake, чтобы скрыть свою личность при видеозвонках.
- Поддельные документы. Мошенники присылают жертве фальшивые судебные повестки, налоговые уведомления и письма от госорганов, подтверждающие легитимность их требований.
- Вымогательство через шантаж. Если мошенник не может убедить жертву добровольно раскрыть данные, он может пригрозить опубликовать уже имеющуюся информацию о ней в открытый доступ.
Часть 5. OPSEC кардера: как не попасть в собственную ловушку
OSINT — это оружие, которое легко повернуть против тебя. Если ты не соблюдаешь меры предосторожности, твоё расследование превращается в ловушку.5.1. Твоя собственная цифровая тень
Пользуясь инструментами OSINT и пробивными ботами, ты сам оставляешь следы.- Логи ботов. Все Telegram-боты для пробива, скорее всего, логируют твои запросы. Если ты ищешь информацию о человеке, владелец бота видит, какой номер ты ввёл.
- Использование личных аккаунтов. Если ты заходишь на даркнет-форумы со своего домашнего IP или без использования прокси/VPN, эти логи могут быть использованы против тебя в случае расследования.
5.2. Контрмеры
- Разделяй личности. Используй отдельные прокси, виртуальные машины и аккаунты для OSINT-исследований. Никогда не смешивай их с твоей повседневной активностью.
- Используй анонимные платёжные системы. Если ты покупаешь доступ к платным базам данных или ботам для пробива, используй криптовалюты (Monero) и одноразовые email-адреса.
- Очищай историю. После завершения исследования удаляй временные файлы, кеш браузера, логи сессий. Это касается и персональных компьютеров, и виртуальных машин.
Часть 6. Чек-лист по сбору и верификации данных
- Скачай или купи доступ к целевой базе данных. Проверь её на свежесть (по дате внесённых записей).
- Используй парсер для извлечения нужных строк. Напиши скрипт, который по ключевым словам (домен email, регион) вытащит из многогигабайтного дампа целевые записи и сохранит их в файл (например, targets.txt).
- Прогони найденные данные через ботов для пробива или OSINT-инструменты, чтобы получить или верифицировать недостающую информацию (номер телефона, адрес, паспортные данные).
- Составь досье на цель. Собери всё воедино: ФИО, дата рождения, адрес, паспортные данные, номера телефонов, email, информацию о родственниках и привычках.
- Верифицируй данные через независимый источник. Если у тебя есть доступ к платным базам данных или государственным сервисам, проверь полученную информацию там. Убедись, что ты не имеешь дело с «мёртвой» душой — многие базы содержат данные людей, которые уже сменили адрес или номер телефона.
- Используй социальную инженерию для «добивки», если данных всё ещё недостаточно. Подготовь сценарий звонка или сообщения.
- Зашифруй и сохрани досье. Используй шифрование (AES-256) и не храни файлы на основном компьютере. Используй съёмные носители, которые можно физически уничтожить в случае необходимости.
Резюме от кардера
Слив баз и OSINT — это не взлом в классическом понимании. Это работа с информацией, которую кто-то уже оставил без присмотра. Даже «устаревшая» база данных содержит email, телефон, хэш пароля и часто — паспортные данные. А если база свежая и содержит документы, ты получаешь Fullz за 0,50 вместо 30–80 на чёрном рынке.Telegram — это не просто мессенджер, а кладезь ботов для пробива. Любой школьник за пару минут может узнать по номеру телефона ФИО, адрес и список социальных сетей своей жертвы. А если у него есть доступ к закрытым чатам кардеров, он может купить базы данных МФО и доставок почти за копейки.
Быстрая памятка на одну строку:
«Базы данных — это клондайк, а не хлам. Даже старая база даст тебе email и хэш пароля. А хэш — это дверь, которую открывает Ciphey или Key Decryptor. Пробив по номеру — рутина через Telegram-бота. Всего один запрос — и ты знаешь о жертве всё. Главное — не стать жертвой самому: используй прокси, шифруй архивы и никогда не храни всё на одном компе»
