Good Carder
Professional
- Messages
- 765
- Reaction score
- 493
- Points
- 63
От кардера — кардерам. Взламывать базы данных — это прошлый век. Сегодня Fullz (полные пакеты данных) проще и быстрее собирать через людей. Социальная инженерия, фишинг, поддельные опросы и боты — вот что приносит свежее мясо каждый день. Утечки случаются раз в полгода, а жертвы ведутся на уловки ежечасно.
В этой статье я расскажу, как мы собираем Fullz, не тратя время на технически сложные взломы. Это грязная, но эффективная работа. Если ты умеешь втираться в доверие или настраивать красивый фейковый сайт, ты будешь всегда при деньгах, пока другие копаются в старых базах.
Плюсы фишинга:
Минусы:
Полный пакет (Fullz) — это не только номер карты, но и имя, адрес, телефон, дата рождения, иногда SSN (для США), логин и пароль от почты или банка. С таким набором ты можешь не только вбить карту, но и зайти в аккаунт жертвы, вывести деньги, оформить кредит. Цена Fullz на даркнет-рынках — от 30 до 300 в зависимости от страны и «жирности».
Самые ценные Fullz — из США и Западной Европы: там высокие лимиты на картах, развиты кредитные линии. Fullz из СНГ дешевле, но тоже пользуются спросом среди локальных кардеров.
Эти инструменты нужны, чтобы собрать первичную информацию о жертве для целевого фишинга (spear phishing). Для массового фишинга соцсети не нужны — ты просто берёшь базу email из утечек (например, 100 000 адресов) и рассылаешь поддельные письма от PayPal или Amazon.
Если денег нет, клоны можно скачать бесплатно с GitHub (по запросу «paypal phishing template»), но такие шаблоны часто уже запалены антифишинг-системами и долго не живут.
Минимальный набор (для кардинга):
Максимальный набор (Fullz):
Чем больше данных, тем выше цена Fullz на рынке.
Совет: используй короткие ссылки (bit.ly, cutt.ly) с подменой превью, чтобы скрыть фишинговый домен. Но Google может их тоже заблокировать. Ещё рабочий вариант — Telegram-бот для рассылки ссылок, который автоматически обновляет домен, если старый заблокировали.
После этого ты можешь вставить перехваченную cookie в свой браузер и зайти в аккаунт жертвы, минуя 2FA.
Где взять Evilginx2: GitHub, инструкций много. Но для настройки нужен опыт с Linux и Docker.
За неделю такой бот собирает сотни карт. Лучше всего работать в странах СНГ, где люди ещё доверяют Telegram-ботам.
Где взять скрипт для бота: готовый код на Python с библиотекой python-telegram-bot можно найти на GitHub. Настройка занимает час.
Забудь о старых доменах и VPS — не используй их повторно.
Быстрая памятка на одну строку:
«Фишинг — это не взлом, а манипуляция. Люди ведутся на страх, жадность и желание помочь. Клонируй страницу, настрой Evilginx2 для обхода 2FA, используй Telegram-ботов для сбора CVV, прячь инфраструктуру за VPS за крипту и прокси. Никогда не оставляй следов — каждый лог может стать уликой»
В этой статье я расскажу, как мы собираем Fullz, не тратя время на технически сложные взломы. Это грязная, но эффективная работа. Если ты умеешь втираться в доверие или настраивать красивый фейковый сайт, ты будешь всегда при деньгах, пока другие копаются в старых базах.
Часть 1. Почему фишинг и социалочка рулят, а взлом баз — уходящая натура
В 2026 году защита корпоративных сетей усилилась, а люди остались людьми. Они всё так же ведутся на «вы выиграли айфон», «ваш аккаунт будет заблокирован», «подтвердите данные для возврата денег». Зачем тебе взламывать сервер банка, если можно просто сделать копию его страницы и собрать сотни логинов за ночь?Плюсы фишинга:
- Свежие данные — жертва сама приносит тебе логин и пароль сегодня, а не год назад.
- Минимум технических навыков — клонировать сайт может даже новичок.
- Масштабируемость — запустил кампанию на 10 000 жертв, и 1% сдаст данные.
Минусы:
- Риск, что твой сайт быстро заблокируют хостинг-провайдеры или антифишинговые системы.
- Нужно думать, как обойти 2FA (но и это решаемо).
Полный пакет (Fullz) — это не только номер карты, но и имя, адрес, телефон, дата рождения, иногда SSN (для США), логин и пароль от почты или банка. С таким набором ты можешь не только вбить карту, но и зайти в аккаунт жертвы, вывести деньги, оформить кредит. Цена Fullz на даркнет-рынках — от 30 до 300 в зависимости от страны и «жирности».
Самые ценные Fullz — из США и Западной Европы: там высокие лимиты на картах, развиты кредитные линии. Fullz из СНГ дешевле, но тоже пользуются спросом среди локальных кардеров.
Часть 2. OSINT в соцсетях: собираем данные, не светясь
Прежде чем фишить, нужно понять, кто твоя цель. Иногда данные можно собрать бесплатно и без взлома — просто из открытых профилей.2.1. Что можно найти в соцсетях
| Соцсеть | Что даёт | Примеры |
|---|---|---|
| ФИО, дата рождения, город, место работы/учебы, телефон (если указан), список друзей. Через закрытые группы можно получить номер карты, если админ плохо следит за мошенниками, плюс часто указывают email, фото паспорта (если выложил по глупости), семейное положение. Через Facebook Marketplace можно вычислить, что человек продаёт/покупает | john.doe@gmail.com, живёт в Лос-Анджелесе, женат, есть дети | |
| Геолокации (посты, сторис), хобби, круг общения. Через гео можно определить, где человек бывает, и подстроить фишинг под конкретную локацию | Часто отмечается в Starbucks на 5-й авеню — значит, можно сделать фейковую акцию от Starbucks | |
| Место работы, должность, профессиональные контакты. Идеально для целевого фишинга на сотрудников компаний (BEC) | Работает в финдепартаменте «Газпрома» — можно подсунуть фейковое письмо от «налоговой» | |
| Telegram | Через ботов и поиск можно найти сливы баз, но прямая социалочка — в группах по интересам (крипта, инвестиции, заработок). Там легко набирать жертв под видом «эксперта» | Участник чата «Криптоинвесторы», пишет, что недавно купил биткоин — идеальная цель для фишинга под обменник |
2.2. Инструменты для сбора OSINT
- Sherlock — ищет аккаунты по юзернейму на 300+ соцсетях.
- theHarvester — собирает email и домены.
- Maltego — строит граф связей (имя → email → телефон → адрес → друзья).
- Telegram-боты для поиска (@get_contact, @tgsearch_bot) — пробивают номер телефона на привязку к Telegram-аккаунту.
Эти инструменты нужны, чтобы собрать первичную информацию о жертве для целевого фишинга (spear phishing). Для массового фишинга соцсети не нужны — ты просто берёшь базу email из утечек (например, 100 000 адресов) и рассылаешь поддельные письма от PayPal или Amazon.
Часть 3. Фишинговые страницы: клонируем банки, криптобиржи, сервисы
Самый массовый способ сбора Fullz — поддельная страница входа или оплаты. Жертва думает, что зашла на сайт PayPal, а на самом деле отправила тебе логин, пароль и, возможно, код 2FA.3.1. Готовые наборы для фишинга (клоны)
На даркнет-форумах и в Telegram продаются готовые клоны популярных сайтов:| Цель | Где взять клон | Цена | Особенность |
|---|---|---|---|
| PayPal | Наборы PhishHunter, Paypal Black | $20–50 | Поддерживает страницу «подтвердите счёт» и запрос карты |
| Amazon | Amazon Clone Kit | $15–30 | Имитирует страницу смены пароля и входа |
| Gmail / Outlook | OpenBullet конфиги + клоны | $10–20 | Крадут сессионные cookie |
| Binance / Coinbase | Крипто-фишинг-паки | $50–150 | Есть обход 2FA через подмену SMS (но сложно) |
| Банки | Кастомные клоны под заказ | $100–500 | Делают под конкретный банк с реальными шрифтами |
Если денег нет, клоны можно скачать бесплатно с GitHub (по запросу «paypal phishing template»), но такие шаблоны часто уже запалены антифишинг-системами и долго не живут.
3.2. Какие поля собирать для Fullz
На фишинговой странице ты должен попросить достаточно данных, чтобы получить полноценный пакет:Минимальный набор (для кардинга):
- Номер карты, срок, CVV, имя держателя.
- Адрес (billing address): страна, город, улица, дом, почтовый индекс.
Максимальный набор (Fullz):
- Логин и пароль от банка / PayPal / криптобиржи.
- Дата рождения, SSN (для США), номер телефона.
- Email и пароль от почты (чтобы потом перехватывать письма).
Чем больше данных, тем выше цена Fullz на рынке.
3.3. Где размещать фишинг-сайт, чтобы не спалили
- Дешёвый VPS с плохой репутацией (например, VPS-сервер в России, Украине, Нидерландах) за $3–5 в месяц. Хостинг может выключить сайт по жалобе, но к тому моменту ты уже соберёшь достаточно данных.
- Скомпрометированные сайты на WordPress — заливаешь фишинг-страницу на легитимный сайт через уязвимость. Так дольше живёт, но требует навыков взлома.
- GitHub Pages / Cloudflare Pages — бесплатно, быстро, но антифишинг Google может заблокировать ссылку за несколько часов. Зато ты всегда можешь создать новый репозиторий.
- Ngrok / Serveo — туннелируют локальный сервер в интернет. Идеально для тестирования, но не для массовых кампаний (ссылка каждый раз новая, и её трудно запомнить).
Совет: используй короткие ссылки (bit.ly, cutt.ly) с подменой превью, чтобы скрыть фишинговый домен. Но Google может их тоже заблокировать. Ещё рабочий вариант — Telegram-бот для рассылки ссылок, который автоматически обновляет домен, если старый заблокировали.
Часть 4. Обход 2FA и перехват сессий
Если жертва использует двухфакторную аутентификацию, простого логина и пароля недостаточно. Но есть способы перехватить 2FA вместе с данными.4.1. Прокси-туннелирование (Evilginx2)
Evilginx2 — это продвинутый фреймворк для фишинга, который работает как reverse-прокси. Ты настраиваешь его так:- Покупаешь домен, похожий на целевой (например, google.com-secure-login.xyz).
- Настраиваешь Evilginx2 на VPS.
- Жертва переходит по ссылке, видит настоящую страницу Google (которая проксируется с реального сайта), вводит логин, пароль, код 2FA.
- Evilginx2 перехватывает и сессионную cookie, и все данные, и пропускает жертву на реальный сайт (она даже не замечает подвоха).
После этого ты можешь вставить перехваченную cookie в свой браузер и зайти в аккаунт жертвы, минуя 2FA.
Где взять Evilginx2: GitHub, инструкций много. Но для настройки нужен опыт с Linux и Docker.
4.2. Поддельные приложения 2FA
Мошенники создают фейковые приложения Google Authenticator или Microsoft Authenticator, которые якобы «улучшают безопасность». Жертва устанавливает их и сама даёт доступ к своим кодам. Способ старый, но до сих пор работает на пожилых и неопытных пользователях.4.3. SIM-свопинг (дорого и рискованно)
Это крайний метод: обмануть оператора сотовой связи, чтобы перевыпустить SIM-карту жертвы на себя. Тогда все SMS с 2FA будут приходить тебе. Но это требует доступа к паспортным данным жертвы и хорошего знания процедуры оператора. В 2026 году операторы усилили защиту, и SIM-свопинг стал сложным. Обычно его используют только при целевых атаках на крупные суммы (от $50 000).Часть 5. Telegram-боты для сбора CVV/CVC
Telegram — рай для массового сбора данных. Люди сами заливают свои карты в ботов, веря, что «проверяют баланс» или «участвуют в розыгрыше».5.1. Боты-«чекеры» под видом легитимных сервисов
Схема простая:- Создаёшь бота с названием «Проверка карты Visa» или «Баланс карты онлайн».
- Настраиваешь приветственное сообщение: «Введите данные карты, и я покажу остаток».
- Как только жертва вводит номер, срок и CVV, бот сохраняет их в базу.
- Дальше жертве пишется «Ошибка, попробуйте позже».
За неделю такой бот собирает сотни карт. Лучше всего работать в странах СНГ, где люди ещё доверяют Telegram-ботам.
Где взять скрипт для бота: готовый код на Python с библиотекой python-telegram-bot можно найти на GitHub. Настройка занимает час.
5.2. Боты-«раздачи» и «опросы»
Создаёшь канал с розыгрышем айфона или крипты. Условие участия: «Подпишись на канал, введи данные карты для верификации (с карты не спишут, просто проверим)». Люди ведутся. Для убедительности можно добавлять фейковых победителей.5.3. Защита от разоблачения
Telegram блокирует ботов по жалобам. Поэтому:- Используй разные аккаунты для создания ботов (покупай аккаунты на смс-активаторах за $0.5–1).
- Меняй название и аватар бота каждые 2–3 дня.
- Не храни собранные данные в самом боте — настрой автоматическую выгрузку в Google Sheets или на свой сервер каждые 5–10 минут.
- Отвечай жертвам шаблонными фразами, не вступай в диалог.
Часть 6. OPSEC для фишера: как не подставить себя
Фишинг — это незаконно не только в США, но и в любой стране мира. Если тебя вычислят, прилетят с обыском, даже если ты живёшь в домике в лесу. Поэтому базовая операционная безопасность — обязательна.6.1. Инфраструктура
- VPS покупай за криптовалюту (лучше Monero) и через Tor. Не используй свой реальный email при регистрации. Подойдёт временная почта.
- Домены для фишинг-сайтов регистрируй у регистраторов, которые принимают крипту и не требуют верификации (например, Njalla, Namecheap с подарочными картами). Никогда не регистрируй домен на себя.
- Прокси для доступа к панели управления фишинг-сайтом используй обязательно. Лучше цепочку: домашний интернет → VPN (Mullvad) → Tor → прокси в стране VPS. Чем больше слоёв, тем сложнее тебя найти.
6.2. Коммуникация
- Никогда не общайся с жертвами с личных аккаунтов в соцсетях. Используй отдельные аккаунты с фейковыми данными, зарегистрированные через анонимный VPN.
- Для обсуждения фишинг-кампаний с партнёрами используй шифрованные мессенджеры (Signal, Session, Matrix). Никакого WhatsApp или обычного Telegram без шифрования.
- Если используешь Telegram для ботов, не заходи в админку бота с телефона, который привязан к твоему номеру. Используй виртуальный номер (Google Voice, SMS-activate) и заходи через веб-версию через VPN.
6.3. Сбор и хранение данных
- Не храни украденные данные на том же VPS, где крутится фишинг-сайт. Полиция может его захватить. Настрой автоматическую отправку логов на внешний сервер (например, на другой VPS или в облачный сервис типа Telegram-бота).
- Шифруй собранные базы перед хранением (Veracrypt, AES-256). Пароль держи в голове.
- Регулярно удаляй старые логи. Не плоди улики.
6.4. Выход (exit strategy)
Как только ты понимаешь, что фишинг-кампания себя исчерпала (или хостинг вот-вот заблокируют):- Удали все файлы с сервера.
- Останови VPS (не просто выключи, а уничтожь инстанс).
- Смени все прокси и VPN, которые использовал для администрирования.
- Смени криптокошельки, если принимал оплату на них.
Забудь о старых доменах и VPS — не используй их повторно.
Часть 7. Чек-лист кардера фишинг-кампании
- Цель выбрана. Что собираем: карты, Fullz, доступы к аккаунтам?
- Клон страницы готов. Используем готовый шаблон или написали сами?
- Хостинг / VPS настроен. Домен куплен, SSL-сертификат (Let's Encrypt) установлен.
- Скрипт сбора данных написан. Логи пишутся в защищённое место.
- Канал привлечения жертв продуман. Email-рассылка, таргетинг в соцсетях, реферал от другого бота.
- Прокси и VPN для администрирования настроены. Нет прямого выхода в интернет.
- Тестовая жертва (сам кардер) прогоняет всю цепочку. Убедись, что данные падают в логи, а не уходят в никуда.
- Кампания запущена. Мониторинг логов каждые 2–3 часа, чтобы оперативно реагировать на блокировки.
- По окончании — уничтожение следов. Удали всё, забери деньги, смени инфраструктуру.
Часть 8. Резюме
Социалочка и фишинг — это не хай-тек, а чистая психология и немного автоматизации. Ты не взламываешь банк, ты убеждаешь человека отдать тебе ключи. Это грязно, но эффективно. Свежие Fullz, собранные сегодня, стоят в разы дороже старых утечек. И если ты умеешь создавать правдоподобные подделки и не боишься рутины, этот метод будет кормить тебя долго. Маскируйся хорошо, не жадничай и всегда имей запасной план.Быстрая памятка на одну строку:
«Фишинг — это не взлом, а манипуляция. Люди ведутся на страх, жадность и желание помочь. Клонируй страницу, настрой Evilginx2 для обхода 2FA, используй Telegram-ботов для сбора CVV, прячь инфраструктуру за VPS за крипту и прокси. Никогда не оставляй следов — каждый лог может стать уликой»
Last edited:
