Día 4

En este punto ya tenemos prácticamente resuelto el sistema de nuestro SETUP de

seguridad. Hoy nos vamos a enfocar a ver que páginas vamos a cardear y donde
conseguiremos las CCs.

¿Qué paginas son buenas para cardear?

Por simple lógica es de suponer que las que tienen un sistema de seguridad deficiente, son
las más indicadas. Estas páginas son aquellas que no cuenten con “3D Secure”.

¿Qué es 3D Secure?

El sistema 3D Secure sirve para evitar los tipos de fraude CNP (Card No Present). Funciona
de la siguiente manera:

Al realizar el pago en alguna página, nos redireccionará automáticamente a una página del
banco. En la cual realizaremos una confirmación de identidad adicional, para esto el banco
nos puede pedir el SNN (número de seguro social), DNI o incluso verificación vía mensaje
de texto. Es decir nos va a solicitar información que solo el titular debe conocer.Una vez se
complete con éxito esta etapa, nos redirecciona a la página donde estabas realizando la
compra para finalmente terminar con la orden.

-En el caso de las tajetas Visa, se le llama “VBV” (Verified by Visa) .

-En el caso de las tajetas MasterCards, se le llama “MCSC” (Mastercard Security Code).

*Nosotros vamos a averiguar si la página que queremos cardear posee este sistema de la
siguiente manera. Como primera opción vamos a fijarnos en la página, la mayoría
acostumbra mostrar o avisar que tienen este sistema, en caso no figure nada nosotros
podemos contactar con el servicio de soporte. Muchas de estas páginas tienen soporte en
línea en “live chat”, podemos contactarlos y consultar. Podemos decir que queremos
realizar un pedido pero queremos saber si poseen este tipo de sistema antifraude, ya que
anteriormente hemos sido víctimas y bla bla bla…..Algo que suene creible. En caso de que
no haya live chat, podemos enviar un mail o llamar (este tipo de compañías acostumbran
responder bastante rápido, no desesperes y considera hacer esto). En su defecto puedes
comprar una cvv y hacer la prueba si te muestra la parte del 3DSecure, pues ahí tienes la
respuesta.

Entonces, resulta fácil de suponer que las grandes páginas de ventas poseen este sistema
anti fraude. Entonces, es nuestra misión ubicar páginas simples, de diseño pobre, no tan
conocidas y sobre todo un sistema de seguridad simple.
*****Consejo Importante*******

Vamos a entrar a www.froogle.com , y nos redireccionará a un buscador, al igual que

Google, pero a diferencia de este, froogle lo que hará, será buscar tiendas online.
Supongamos que queremos encontrar una tienda donde vendan zapatillas “nike”. Sólo
colocaremos la palabra NIKE y nos dará una lista de tiendas las cuales venden estas
zapatillas. Hagamos research entre ellas y ubiquemos cuales nos sirven.

**Antes de cardear vamos a revisar que todo funcione bien, esto es algo que tienes que
hacer SIEMPRE antes de entrar en acción.**

Vamos a revisar que nuestra SETUP funcione a la perfección, ya que de eso depende
nuestra seguridad como el éxito de nuestro cardado:

-Para cada intento, ya sea exitoso o no. Vamos a crear una MV nueva (PC-COPIA), con una
mac adress diferente (vimos cómo hacer esto antes, puedes revisar si tienes dudas). No
recicles MV, siempre al terminar el proceso con cada CC elimina y clona otra.

-Whoer y Check2ip, serán nuestros mejores amigos. Realiza todas las comprobaciones
necesarias. Ya aprendimos que es lo que tenemos que hacer en cada parte, si tienes
alguna duda puedes revisar más arriba o en todo caso preguntarme. Estas páginas nos
darán garantía que nuestro sistema coincide con el sock. Atentos.

-Es muy importante que no detecten nuestra IP como un proxy, ¿Quién usa un proxy antes
de comprar? Yo no.

Vamos a comprobar si es visible que navegamos a través de un proxy, para esto vamos a ir
a : http://whatismyipaddress.com/proxy-check en la parte inferior hay un cuadro, y en
todas las categorías tiene que decir NO , si en alguna dice que SI, tendremos que probar
con otro sock.
-Nunca copies y pegues los datos de la tarjeta. Gracias al Javascript se darán cuenta de
cuando escribimos. Lo normal sería que una persona saque su tarjeta y empiece a copiar
los número uno a uno, si empezamos a copiar y pegar tendremos al sistema antifraude
alerta y esto realmente, no nos conviene. Recordemos que nuestro trabajo es emular al
titular de la CC. Así que prestemos mucha atención a los pequeños detalles.

*De todos modos si tienes alguna duda, puedes preguntarme y yo te ayudaré encantado a
resolverla.

Ahora pasamos a la parte donde veremos dónde y de quien vamos a adquirir las CCs.

¿Dónde conseguiremos nuestras CCs?

Los mercados, así como los vendedores van y vienen. El mayor mercado y punto de
concentración actual de Carding es en la Deep web, OJO: ALTENEN es la mayor página de
estafas que existe en la web normal así que mucho cuidado si van a comprar allí. Si lo suyo
no es el surfweb pueden comprarme a mi directamente las CC. USA a 15 USD.

Recuerda tampoco confiar en los checkers de CC que se da por la mayoría de las webs, son SCAMS,
de todos modos siempre puedes verficar si la tarjeta está viva haciendo uso de páginas
como Netflix o Spotify, si te aceptan la suscripción el fallo es tuyo, algún error habrás
cometido y hay que revisar nuevamente.

¿Dónde daremos nuestros primeros pasos?

Como te mencione anteriormente, esto es cosa de hacer mucho research, cualquier

tienda donde puedas pagar con tarjeta y no tenga 3D Secure nos sirve. En lo personal he
usado mucho las tiendas de Victoria Secret, Zara. Podrías empezar por ahí, a pesar de ser
empresas muy grandes y reconocidas su seguridad es nula.

¿Cuánto debe ser el promedio de cada compra?

De cada card se puede obtener entre 400 y 600 USD, podremos obtener un poco más en
cuanto cojamos algo de experiencia. Te preguntaras por qúe tan poco, si las tarjetas
tienen mucho mas crédito. Pues es debido a que no queremos levantar las alarmas
antifraude. ¿Te imaginas que alguien se vuelva loco y de la noche a la mañana empiece a
gastar como un loco 3000 USD en gift cards, televisores y todo esto siendo enviado a una
dirección que no es la de facturación? ¿Un poco sospechoso no? .
*Al realizar una compra no intentes realizar otra, hasta recibir el track number (número de
seguimiento) o en su defecto hasta que recibas el producto. No queremos que nos
cancelen el primer pedido por un error que podemos cometer en el segundo ¿cierto?

Quiero cardear un PS4 ¿A dónde lo envio?

Como lo dije al principio nuestra herramienta más importante es el sentido común. Lo

últimos que queremos es vernos vinculado a algo ilícito, por eso es que contratamos un
servicio de Drop en caso de cardear cosas físicas. ¿Qué es un drop?, es un dirección
brindada por un tercero (también puede ser nuestra propia) en la cúal se reciben nuestros
productos. En Alphaby y Cebolla( PAGINAS DE LA DEEPWEB) hay muchas personas
ofreciéndose para esto. *Mi recomendación es que sea alguien desconocido totalmente,
el factor de que pierdas tu mercancía es más que claro, sin embargo usa tu lógica y trata
de condicionarlo, diciendo que si trabaja bien le enviarás más cosas y más caras, etc. No te
dejes estafar, tus eres el LOBO y no la OVEJA.

Puedes ofrecer tus productos en markets con un % de descuento y enviarlos directamente

(un ejemplo de esto es el usuario SmoothCriminal, en la sección de mercado de cebolla
puedes ver su post). Se creativo, deja volar tu imaginación y las ideas más simples y que
piensas que son demasiado obvias, son las que verdaderamente funcionan.

Otra opción, son las e gift cards(las mencione anteriormente), no hace falta un drop y
pues son bastante rápidas de vender.

En conclusión trata de cardear productos que puedas vender rápido y a personas que no
te vinculen de ninguna manera.

*Recuerda mantenerte informado siempre www.deeptoweb.com también es un buen

lugar para fijarnos y estar al día con los últimos acontecimientos en la deepweb.*

Esto del carding, funciona como cualquier otra cosa en la vida, con mucho esfuerzo y
paciencia vas a ver cómo te lo montas re bien. La fase de ensayo y error es sumamente
importante y va a ser inevitable, de esa manera podrás ir fijándote en pequeños errores y
detalles que a la larga serán tu mayor herramienta.

Te voy a volver a repetir lo más importante del curso, TU HERRAMIENTA MAS

IMPORTANTE es TU SENTIDO COMÚN. Si notas que algo está mal y no debes seguir por
ese camino porque puede suceder algo, para, analízalo y toma un decisión.
Vamos a parar aquí, no te voy a llenar historias motivacionales porque lo que vinimos a
hacer aquí es aprender y pues si has prestado atención y sigues todo tal cúal, veras que en
poco tiempo vas a poder empezar a generar $$$.

BONUS EXTRA, porque te quiero <3

Al inicio quedamos en que te convertirías en un PRO, entonces un SETUP PRO, para un
Carder Pro (quiero aclarar que nuestro setup actual es bastante efectivo, sin embargo esta
bastante bien algo más elaborado)

Modem USB inalámbrico Máquina Real VPN Máquina

virtual Whonix (TOR) MV (Windows7) SOCKS5 ó RDP
Al mencionarte esto, parece que empezamos de 0 otra vez, ya verás que no. De momento
sería bueno irnos habituando al setup ya elaborado y planificado anteriormente, sin
embargo poco a poco seria bueno ir mudando a este otro. Te voy a explicar rápidamente
que es y para qué sirve cada termino que vez arriba.

Modem inalámbrico: El típico modem 3g o 4g que lleva un chip por dentro, con el cual
puedes conectarte a internet desde cualquier parte. Y como es obvio que chip que irá
dentro no será nuestro, ya somos anónimos al 1000% desde la primera capa.

Maquina real: Tu Ordenador

VPN: Esto ya lo vimos anteriormente.

Máquina virtual: Ya sabemos que es esto

*MV Whonix(TOR): Vamos a parar acá para ver cómo funciona y como nos va a servir
esto. Voy a hacer incapie en whonix Gateway, es como un túnel por el cual va a pasar la
conexión a internet, haciendo correr está a través de tor. Para que me entiendas, Whonix
( el paquete incluye Whonix Gateway y Wonix Workstation, Gateway tunelea las
conexiones, y en Workstation es donde navegamos, vamos a reemplazar Workstation por
nuestra PC-Copia con w7). Esta parte puede resultar un poco tediosa pero no te
preocupes tanto, si surge alguna duda yo te ayudo. Te voy a dejar unas imágenes para que
veas como vamos a configurar esto

Se verá algo así:

Vamos a configurar de la siguiente manera para que whonix tunelee nuestra conexión
cuando entremos a PC-Copia.

Vamos a seleccionar PC-Copia y luego clic en configuración

Luego vamos a “Red”, y colocamos tal cual se ve en la imagen

Ok, ya estamos corriendo nuestra conexión a través de whonix, al entrar a tu PC-Copia, te

vas a dar cuenta que no puedes entrar a internet desde tu MV, para poder solucionar
esto, vamos a hacer una configuración rápida. Vamos a colocar los datos de Whonix.

1) En la MV en la esquina inferior izquierda clic derecho al incono de conexión a

intenrnet abrir el centro de redes y recursos compartidos
2) Donde dice “conexión de área local” le damos clic y luego clic a propiedades.
3) Doble clic en “Protocolo de Internet vesión 4 (TCP/IPv4)
4) Clic en la pestaña de configuración alternativa y vamos a rellenar los datos igual
que la imagen de acá abajo.
 5) Ahora ya tendremos internet en la MV y correremos a través de Tor.

**Esta configuración reemplazará a la VPN en la MV. Es decir o usamos esta configuración

o usamos Mullvad en la MV, no ambas. ¿Por qué? No tendras internet si intentas hacerlo,
imagino que es porque tor conecta la red a través de otros puertos y tal, y hay conflictos
con el mullvad. En todo caso, te recomiendo usar esta configuración, es la que yo uso,
aunque mullvad resulta bastante útil.

MV W7: Sabemos que esto, y como va a funcionar ahora a través de tor.

Socks 5: Le dedicamos un capítulo entero.

RDP: Vamos a parar acá para ver cómo funciona esto.

Vamos a ver si debemos usar un Socks5 o un RDP. Con la página que te he

recomendado y los filtros a realizar para saber cuál socks nos va a ser útil debería ser
suficiente. Sin embargo estos socks presentan un periodo muy corto de vida, y si
nosotros queremos explotar al máximo una CC (tomemos el caso de las World Cards),
necesitaremos mucho más que un día, para esto un RDP nos viene de maravillas. Un
RDP (Remote Destok protocole), funciona de manera muy similar a Teamviwer. Es
decir vamos a conectarnos a un escritorio dedicado, el cual tiene una IP real, y de esa
manera aprovechar al máximo la CC. También podríamos verla como otra capa de
seguridad y sobre esta, añadir el sock5. Como ves hay un sinfín de usos a cada
herramienta presentada, como te dije al principio poco a poco te acomodaras a una
más que a otra.

Muchos de estos servidores RDP son hackeados y los verás a la venta en AB, algunos
son bastante confiables, y puedes encontrar de casi todos los países y todas las
ubicaciones. Te voy a dejar el link de algunos buenos vendedores:

Somecvvvendor: http://pwoah7foa6au2pul.onion/listing.php?id=11098

MisterBiggles: http://pwoah7foa6au2pul.onion/listing.php?id=625

Y pues en la surfweb, hay otros, que no son presisamente hackeados, pero el servicio es igual:

http://9rdp.com
https://www.rdpzone.com

https://www.rdpzone.com

*Puedes preguntarme sobre esto cada vez que quieras, sin embargo estaría bien que
hicieras un poco de research antes.Vamos a ver un poquito sobre fraudfox,
anteriormente ya tocamos este tema y sabemos para qué sirve, quedaría por decir que
es un software diseñado por el usuario Hugo Chavez, está a la venta la suscripción
mensual por un costo de 99$. Emula el sistema operativo, el user agent, plugins,
idioma del soft y sistema. Échale un ojo acá:
http://pwoah7foa6au2pul.onion/listing.php?id=1942 Puedes comprar la suscripción acá:
http://palantirbhqyufyu.onion/entry/signin.Te estarás preguntando si es necesario tener
fraudfox o el antidetect para poder cardear, pues NO. Realmente de momento como lo
dijimos anteriormente, no necesitas ninguno de estos soft para cardear alguna página, sin
embargo si quieres cardear muchas veces la misma página estas herramientas te van a venir
de maravilla para evitar el fingerprinteo (hablamos de esto más arriba).

El antidetect funciona de la misma manera, su precio original es de 400$. Yo te traigo la

versión crackeada (tranquilo no es un troyano y está libre de virus)+ Guía que te la mandaré en
otro archivo. (Ambos productos los compre a un usuario en Alphaby bastante confiable y con
muy buenos feedback.)

Antidetectv5: https://www.sendspace.com/file/nyfha9

Guía para usarlo: https://www.sendspace.com/file/dxglqp

De momento puedes echarle un ojo e ir viéndolo, no te mates con esto, como te dije por
ahora no es necesario. Sin embargo si más adelante puedes pagar la suscripción a Fraudfox,
hazlo, te va a ser muy útil.

¿Ves? No resulto tan difícil no, ahora ya tenemos una setup confiable, una idea de cómo
vamos a trabajar y de la mano con quienes proveedores, las herramientas necesarias y demás.

Si tenemos correctamente configurado nuestro OPSEC, de la mano con fraudfox o antidetect y

falla nuestra compra. Creeme que puedes ir a decirle al vendedor que te haga un reemplazo a
la card.

Sé que han sido varios días, pero esto no termina aquí repasa esta información para que
puedas asimilarla al 100%, no dejes de leer e investigar y como siempre me tienes en ICQ, para
echarte una mano.

MILTON JIMENEZ “ EL CABO” ICQ 665868362