Выбор цели для вбива: анализ трафика, возраста домена и платёжной формы

[Good Carder]

От кардера — кардерам. Вы купили идеальные non‑3DS карты, настроили антидетект и прокси. Но платёж всё равно падает с fraudulent. Почему? Потому что вы выбрали неправильную цель. Современный антифруд — это не только проверка карты и IP. Это комплексная оценка всего цифрового следа магазина: его возраст, трафик, история изменений и, самое главное, уязвимости платёжной формы. В этой статье я научу вас анализировать цели для вбива — от поиска магазинов с низкой конверсией фрода до автоматического обнаружения форм без 3DS. Вы узнаете, как использовать SimilarWeb, Whoxy и Wayback Machine, как находить WordPress‑магазины со старыми версиями WooCommerce Stripe, где 3DS отключён, и как парсить чек-ауты с помощью автоматических скриптов.

Часть 1. Анализ трафика и домена: первые шаги​

1.1. SimilarWeb: оценка трафика и платёжеспособности​

Первое, что нужно оценить — насколько магазин «живой». Магазины с низким трафиком часто имеют слабую защиту, но и средний чек там ниже. Магазины с высоким трафиком — более защищены, но и «жирнее».

Как использовать SimilarWeb в 2026:

• Оцените ежемесячный трафик (Monthly Visits). Цели с 10 000–50 000 посетителей в месяц — «золотая середина». У них есть деньги, но безопасность часто не на высоте.
• Посмотрите на источники трафика (Traffic Sources). Если магазин живёт за счёт прямых заходов и рефералов, а не SEO или платной рекламы — это хороший признак легитимного бизнеса.
• Оцените географию (Top Countries). Цель должна быть из той же страны, что и ваши карты (US Fullz → US‑сайт). Несовпадение геолокации — красный флаг.
• Проанализируйте поведение аудитории (Audience Interests). Если посетители магазина также посещают криптовалютные или азартные сайты — это может быть признаком «рисковой» аудитории, которую банки чаще проверяют.

По данным SimilarWeb, бесплатной версии достаточно для первичного анализа. Вы получаете базовые метрики: ежемесячный трафик (около 5 000–50 000 для мелких магазинов), источники трафика (прямые заходы, рефералы), топ-5 стран и вовлечённость. Для более глубокого анализа нужна платная подписка, но для кардера хватает бесплатного доступа.

1.2. Whoxy: возраст домена — индикатор доверия​

Чем старше домен, тем больше доверия у платёжных систем. Магазины с доменами младше 6 месяцев часто блокируются на уровне шлюза.

Whoxy — это мощная WHOIS-система, позволяющая получить историю регистрации домена, дату создания, владельца и даже прошлых владельцев. Вы можете проверять возраст домена без создания аккаунта, а также исторические записи, чтобы выявить, не менялся ли владелец в последнее время. Если домен перепродан — это может быть признаком «однодневки», которую уже использовали для кардинга. API Whoxy доступен по модели «pay as you go», но для единичных проверок можно обойтись бесплатными запросами.

Идеальная цель: возраст домена 3–10 лет. Магазины старше 10 лет обычно имеют хорошую защиту, младше 6 месяцев — слишком рискованны.

1.3. Wayback Machine: история изменений​

Wayback Machine показывает, как сайт выглядел в прошлом. Она архивирует миллионы сайтов и позволяет просматривать их исторические копии. Если сайт не обновлялся последние 2–3 года — это признак заброшенности и, возможно, устаревшего платёжного модуля. Если в истории есть резкие изменения (например, смена темы или платёжного шлюза) — это может быть следствием взлома или смены владельца, что повышает риск.

Часть 2. Поиск целей с низкой конверсией фрода​

Идеальная цель — магазин, у которого есть деньги, но нет денег на безопасность.

2.1. Магазины с высоким трафиком, но низким бюджетом на безопасность​

Это категория магазинов, которые зарабатывают достаточно, чтобы не закрыться, но экономят на ИТ-специалистах и платёжных решениях. Их антифрод часто ограничивается базовыми настройками шлюза.

Как искать:

• Анализируйте нишевые магазины (одежда, аксессуары, хобби, подарки). У них высокие наценки, но низкий уровень технической экспертизы.
• Ищите магазины, которые используют дешёвый хостинг (общий хостинг на GoDaddy, Bluehost). Это часто коррелирует с низким бюджетом на безопасность.
• Ищите магазины с устаревшим дизайном (темы 2018–2020 годов). Владельцы, которые не обновляют дизайн, скорее всего, не обновляют и платёжные модули.

2.2. Магазины возрастом >3 лет​

Магазины старше 3 лет «пережили» свой кризис и обычно имеют постоянную клиентскую базу. Но они часто используют устаревшие версии CMS и плагинов, потому что владельцы боятся обновлений «что-то сломается».

Как проверить:

• Whoxy покажет дату регистрации домена.
• Косвенно — по контенту: если блог магазина не обновлялся 2–3 года, это плохой признак.

2.3. Магазины с низкой мобильной адаптацией​

Если сайт плохо выглядит на мобильном телефоне, значит, владелец не заботится о клиентах. Скорее всего, он также не заботится и о безопасности.

Часть 3. Технический анализ платёжной формы​

Главный вопрос: есть ли у магазина 3DS? Если да, то ваши non‑3DS карты всё равно могут не пройти. Нужно найти формы, где 3DS отключен или слабо настроен.

3.1. Прямые признаки отсутствия 3DS в чек-ауте​

Откройте страницу оплаты и посмотрите на:

• URL и iframe. Если поля карты находятся в iframe с доменом js.stripe.com или braintreegateway.com — это Stripe или Braintree. 3DS в них включен по умолчанию для европейских карт, но для US-карт может не запрашиваться.
• Редиректы. Если при вводе карты происходит редирект на cardinalcommerce.com или mastercard.com/3ds — 3DS обязателен.
• Поведение страницы. Если при вводе неверного CVV страница не просит подтверждение по SMS или в приложении банка — 3DS может быть отключен.

Техника «ручной проверки»: возьмите тестовую карту Stripe 4000 0000 0000 0002. Попробуйте провести платёж. Если появляется окно 3DS — 3DS включен. Если платёж падает с do_not_honor без окна — 3DS, вероятно, отключен.

3.2. Поиск магазинов без 3DS через автоматический парсинг​

Вручную проверять тысячи сайтов нереально. Используйте автоматические скрипты для парсинга чек-аутов и анализа наличия 3DS.

Алгоритм:

1. Соберите список магазинов (из Google Dorks, баз данных, Google Maps).
2. Напишите скрипт на Python, который заходит на страницу /checkout и анализирует HTML на наличие:
   • iframe с доменами Stripe, Braintree, Adyen.
   • скриптов 3ds.js, cardinal.js, adyen.encrypt.
   • кода ошибок authentication_required.
3. Имитируйте поведение браузера с помощью Playwright или Selenium, чтобы обойти простую защиту от ботов.

Пример упрощённого скрипта:

import requests
from bs4 import BeautifulSoup

def has_3ds(url):
    response = requests.get(url)
    soup = BeautifulSoup(response.text, 'html.parser')
    scripts = [script.get('src') for script in soup.find_all('script')]
    iframes = [iframe.get('src') for iframe in soup.find_all('iframe')]
    for src in iframes + scripts:
        if src and any(x in src for x in ['3ds', 'cardinal', 'adyen']):
            return True
    return False

Однако это базовый уровень. Современные платёжные формы часто загружают 3DS‑скрипты асинхронно, после ввода карты. Для детекции нужно эмулировать полный цикл оплаты: ввод карты, отправка формы, перехват запросов. Для этого уже требуется браузерный движок (Playwright) и анализ сетевого трафика.

3.3. Примеры: WordPress-магазины со старым плагином WooCommerce Stripe​

Самый жирный пласт уязвимых магазинов — WordPress на устаревших версиях плагина WooCommerce Stripe.

В старых версиях плагина (до 5.8.0) 3DS мог быть отключен, если была выбрана опция «Force 3D Secure». В некоторых версиях плагина опция «Force 3D Secure» была включена по умолчанию, но не работала корректно, и 3DS не триггерился. После обновления плагина 3DS мог начать работать, и магазины, которые не обновлялись годами, оставались с «дырявой» защитой.

Как искать:

• Google Dorks: inurl:/checkout "WooCommerce" "Version 3"
• Сканирование сайтов на наличие файлов wp-content/plugins/woocommerce-gateway-stripe/readme.txt, где указана версия плагина.
• Использование Wappalyzer для определения версии WooCommerce.

Почему это работает: В старых версиях плагина Stripe для WooCommerce настройка 3DS была опциональной и часто отключалась владельцами магазинов. При обновлении плагина до актуальной версии 3DS включается автоматически, но многие магазины на старых версиях остаются уязвимыми.

В версии 5.8.0 (2021 год) плагин уже поддерживал новую платёжную интеграцию (UPE) с обязательным 3DS для европейских карт. Но для US-карт он мог не запрашиваться.

CVE-2024-43315 — уязвимость в плагине Stripe Payments For WooCommerce (от 3rd party разработчика Checkout), которая позволяла обойти авторизацию и получить доступ к платёжной форме.

Ищите магазины с версией плагина ниже 6.0 — они с высокой вероятностью имеют устаревшие настройки 3DS.

Часть 4. Автоматизация поиска и финальный чек-лист​

4.1. Инструменты и ресурсы​

• Wappalyzer (расширение для браузера) — определяет версии CMS и плагинов на сайте.
• Burp Suite — для анализа запросов и подмены параметров.
• Python + Playwright — для автоматического парсинга чек-аутов.
• Google Dorks — для поиска магазинов на устаревших CMS.
• Shodan — для поиска открытых баз данных и RDP на серверах магазинов.

4.2. Пайплайн анализа цели​

1. Сбор. Парсинг магазинов из Google Maps, Google Dorks и локальных директорий.
2. Фильтрация. Отсев неинтересных: слишком большой трафик (плохая защита — не критерий), слишком маленький, не в целевой стране.
3. Технический анализ. Проверка возраста домена, версий CMS и плагинов, наличия 3DS.
4. Тестовая транзакция. Покупка на $1 с тестовой карты для проверки проходимости.
5. Запись в базу. Занесение цели в список с пометкой приоритета (от 1 до 5).

4.3. Чек-лист для кардера​

• Оцените трафик магазина через SimilarWeb. Месячный трафик 10 000–50 000, источники — прямые заходы и рефералы, гео — целевая страна.
• Проверьте возраст домена через Whoxy. Идеально: 3–10 лет.
• Посмотрите историю изменений через Wayback Machine. Резкие изменения — возможен перепродаж.
• Проанализируйте платёжную форму. Определите шлюз, наличие 3DS (тест с картой 4000 0000 0000 0002).
• Если Shopify / WooCommerce — определите версию плагина Stripe. Если ниже 6.0 — высокая вероятность уязвимости.
• Тестовая транзакция $1 на целевом сайте. Если проходит — цель готова.

4.4. Типичные ошибки​

Ошибка №1. Выбирать цели только по низкой цене товара. Это не снижает риск блокировки карты.
Ошибка №2. Игнорировать версию плагина. Современные плагины почти всегда включают 3DS.
Ошибка №3. Не проверять возраст домена. Новые домены часто блокируются даже до запроса к банку.
Ошибка №4. Доверять одному инструменту. Используйте комбинацию SimilarWeb, Whoxy и Wayback Machine для кросс-проверки.

Резюме​

Выбор цели — это не менее важный этап, чем подготовка карт и прокси. Магазины с низкой конверсией фрода — это WordPress-сайты с устаревшими плагинами, малым трафиком, но возрастом домена >3 года. Анализируйте трафик через SimilarWeb, возраст — через Whoxy, историю — через Wayback Machine. Ищите цели с отключённым 3DS через автоматический парсинг чек-аутов, используя тестовую карту Stripe 4000 0000 0000 0002. Всегда делайте тестовую транзакцию $1 перед крупным вбивом. Удачи.

Быстрая памятка на одну строку:
«Выбирай магазин с трафиком 10k–50k, доменом старше 3 лет, но с устаревшим плагином Stripe. SimilarWeb для трафика, Whoxy для возраста, Wayback Machine для истории. 3DS проверяй тестовой картой 4000 0000 0000 0002. WordPress с WooCommerce Stripe версии ниже 6.0 — золотое дно. Тестовая транзакция $1 — твой лучший друг»