Traducido del inglés al español - www.onlinedoctranslator.

com

POR BAILOPAN

BAILOPAN@EXPLOIT.IM
El fraude es algo que he estado haciendo durante muchos años, incluso antes de que existiera el fraude en Internet. Así que puedo

decir con seguridad que tengo un vasto conocimiento y experiencia en este negocio. He escrito este tutorial con la intención de ayudar

a los estafadores principiantes e incluso avanzados a llevar sus operaciones al siguiente nivel absoluto. He incluido la mayor parte, si

no todo, de mi conocimiento de esta parte del negocio en esta guía. Para muchos de ustedes que han leído mis tutoriales anteriores,

estoy seguro de que ya están familiarizados con mi tendencia a profundizar mucho en todo y planeo mantener el mismo nivel de

calidad en este tutorial también. Esta guía es increíble para los estafadores avanzados que quieren ganar mucho más dinero. Los

principiantes que recién comienzan en el negocio del fraude en línea también encontrarán esta guía extremadamente útil para iniciar

su viaje, ya que muchas de las cosas que repasaré se usan todos los días durante diferentes operaciones de fraude y serán válidas

durante muchos años. Le recomiendo que NO se salte ningún capítulo de esta guía, incluso si ya está familiarizado con el tema que se

está tratando. Cada capítulo tiene su propia importancia y saltarse capítulos es para gente perezosa que no quiere aprender. Si no

aprendes en este negocio, fracasarás. El éxito requiere paciencia y perseverancia, así que tenlo en cuenta. incluso si ya está

familiarizado con el tema que se está discutiendo. Cada capítulo tiene su propia importancia y saltarse capítulos es para gente

perezosa que no quiere aprender. Si no aprendes en este negocio, fracasarás. El éxito requiere paciencia y perseverancia, así que tenlo

en cuenta. incluso si ya está familiarizado con el tema que se está discutiendo. Cada capítulo tiene su propia importancia y saltarse

capítulos es para gente perezosa que no quiere aprender. Si no aprendes en este negocio, fracasarás. El éxito requiere paciencia y

perseverancia, así que tenlo en cuenta.

DICCIONARIO DE FRAUDE

FULLZ: Este es el conjunto completo de datos de alguien y es lo que se usa para crear cuentas
bancarias y para configurar procesadores de pago en tiendas en línea falsas. Esto también podría
usarse para muchas cosas diferentes, como realizar un ATO (Account-Take-Over) en la cuenta
bancaria de alguien, abrir nuevas líneas de crédito a su nombre y mucho más. Fullz son
información extremadamente valiosa para nosotros y, de hecho, una NECESIDAD para poder abrir
cuentas bancarias. Fullz generalmente comprende verificaciones de antecedentes, informes de
crédito, puntajes de crédito, nombres completos, direcciones, número de seguro social (SSN), fecha
de nacimiento (DOB), números de licencia de conducir y más.

BAILOPAN@EXPLOIT.IM 1
CVV: Pueden ser los datos completos de la tarjeta de crédito de alguien o los detalles completos de la tarjeta
de débito de alguien. CVV es simplemente una jerga de fraude para los detalles de la tarjeta de crédito/
débito, no hay mucho que decir. Podemos usar estos detalles para "tarjetar" información sobre alguien en
línea, como antecedentes o informes crediticios que se pueden usar para varios propósitos, como abrir
depósitos bancarios y realizar un ATO (Adquisición de cuenta) en la cuenta bancaria de la víctima, o podemos
usar estos detalles de CVV para pedir productos físicos/digitales que se enviarán a una dirección postal.

VUELCOS CVV: Un volcado de tarjeta de crédito, es una copia digital no autorizada de toda la
información contenida en la banda magnética de una tarjeta de crédito activa, creada con la intención de
fabricar ilegalmente una tarjeta de crédito falsa que pueda ser utilizada por ciberdelincuentes para
realizar compras. Los estafadores utilizan los volcados de tarjetas de crédito para capturar datos valiosos
de la tarjeta, como el número de tarjeta y la fecha de vencimiento. Estos se pueden obtener de varias
maneras. El método más popular hoy en día es el “skimming”, un proceso en el que se utiliza un lector de
tarjetas ilegal para copiar los datos de una tarjeta de crédito. Otros métodos incluyen la piratería en la
red de un minorista o cuando un minorista utiliza involuntariamente un dispositivo de punto de venta
infectado con malware, enviando la información a los delincuentes.

CÓDIGO DE SERVICIO DE DESCARGAS: Muchos estafadores piensan que solo hay 2 tipos de
vertederos, el 101 y el 201. La verdad es que hay muchos otros tipos de vertederos. Los cardadores
suelen trabajar con el 101 o el 201, pero la mayoría prefiere el 101. Esto se conoce como el CÓDIGO DE
SERVICIO de un vertedero. El código de servicio contiene 3 caracteres y puede encontrar un código de
servicio de volcado simplemente mirando un volcado, independientemente de si tiene TRACK1+TRACK2
o solo TRACK2. Ejemplo, digamos que estamos viendo el volcado 4256
746500930321=1402101700102054. El código de servicio de este volcado es el 101, que se encuentra
justo después de la fecha de caducidad de la tarjeta, que en este caso es el 1402 (FEB 2014). El valor del
código de servicio determina dónde se pueden utilizar las tarjetas y de qué manera. A continuación se
muestra una explicación detallada de cada código de servicio disponible en la actualidad.

Primer dígito (variables de uso):

- 1xx: uso mundial, por lo general no tiene un chip inteligente.

BAILOPAN@EXPLOIT.IM 2
- 2xx: Uso en todo el mundo, tiene un chip inteligente y requiere usar chip inteligente si el
lector de tarjetas lee el chip
- 5xx: uso nacional, el banco puede permitir una lista de regiones (a menudo llamados bloqueos de
región).
- 6xx: uso nacional, el banco puede permitir una lista de regiones, pero se requiere el uso de un
chip inteligente si el lector de tarjetas lee el chip
- 7xx: Solo utilizable según lo acordado con el banco

Segundo dígito (autorización)

- x0x: Autorización normal, uso normal.
- x2x: Contactar banco emisor.
- x4x: Contactar banco emisor, excepciones reglas por banco.

Tercer dígito (servicios para los que se puede utilizar la tarjeta):

- xx0: Puede usarse para cualquier cosa, requiere PIN.
- xx1: Se puede usar para cualquier cosa sin PIN.
- xx2: se puede usar para comprar bienes o pagar un servicio, no se puede recuperar efectivo, no se
requiere PIN.
- xx3: solo cajero automático, se requiere PIN.

- xx4: solo efectivo, no se requiere PIN.

- xx5: se puede usar para comprar bienes o pagar un servicio, no se puede recuperar dinero en efectivo. PIN

requerido

- xx6: Sin restricciones de uso, solicitará el PIN cuando sea posible.

- xx7: se puede usar para comprar bienes o pagar un servicio, no se puede recuperar dinero en efectivo. Se

requiere PIN cuando sea posible.

DATOS DE PISTA1+PISTA2: Hay hasta tres pistas en las tarjetas magnéticas conocidas como pistas 1, 2
y 3. La pista 3 prácticamente no se utiliza en las principales redes mundiales y, a menudo, ni siquiera
está físicamente presente en la tarjeta en virtud de una banda magnética más estrecha. Los lectores de
tarjetas de punto de venta casi siempre leen la pista 1 o la pista 2 y, a veces, ambas, en caso de que
una pista sea ilegible. La información mínima de la cuenta del titular de la tarjeta necesaria para
completar una transacción está presente en ambas pistas. La pista 1 tiene una mayor densidad de bits,
es la única pista que puede contener texto alfabético,

BAILOPAN@EXPLOIT.IM 3
y por lo tanto es la única pista que contiene el nombre del titular de la tarjeta. La
información de la pista 1 de las tarjetas financieras está contenida en varios formatos que
van de la A a la M. La “A” solo la utiliza el propio banco, por lo que no debemos prestarle
mucha atención. La “B” es donde se almacena la información financiera del titular, la sección
más importante de la banda magnética. C a M, se usa para el subcomité ANSI X3B10, y N a Z
es la información que está disponible para el uso de emisores de tarjetas individuales. Así es
como se ve la pista 1.

%B5XXXXXXXXXXXXXXX2 ĜEORGENULL/MAX 1̂10310100000000100000000300000 0?;

• %para iniciar centinela

• B para tarjeta de crédito tipo banco

• 5XXXXXXXXXXXXXX2 es el número de cuenta principal, que en la mayoría de los casos es el

número impreso en el anverso de la tarjeta, pero no siempre.
• es el separador
• GEORGENULL es el apellido del titular de la tarjeta
• /es el separador
• MAX es el nombre del titular de la tarjeta
• otro separador
• 11 año de vencimiento, 03 mes de vencimiento
• 101 CÓDIGO DE SERVICIO

• 0000000010000000003000000 son los datos discrecionales

• ?es el fin

Entonces, ahora que ha visto la información almacenada en la pista 1 y los contenedores de cartas, ya
debería haberse dado cuenta de que los volcados de tarjetas de crédito son principalmente las
primeras 2 pistas.

Los datos de Track 2 son utilizados por cajeros automáticos, procesadores de pagos físicos y en cualquier sitio
web en línea. Hay muchos componentes en esta pista, el diseño se muestra a continuación.

BAILOPAN@EXPLOIT.IM 4
| CENTINELA DE INICIO | NÚMERO DE CUENTA PRINCIPAL | SEPARADOR DE CAMPO | DATOS
ADICIONALES | CENTINELA FINAL | COMPROBACIÓN DE REDUNDANCIA DE LONGITUD |

Con un examen más profundo de los datos, puede ver cómo se almacena un número de
tarjeta de crédito y la información principal del titular en los datos de la pista 2.

5XXXXXXXXXXXXX2=1103200XXXX00000000?* ||_ NUMERO DE TARJETA

|| | |_ ENCRIPTADO||_ LRC |_ START SENTINEL|| | PIN*** |_ FINALIZAR CENTINELA || |_ SEPARADOR
DE CAMPO DE CÓDIGO DE SERVICIO _||_ VENCIMIENTO
Ahora vamos a desglosarlo.

• ; :Iniciar centinela
• 5XXXXXXXXXXXXXX2: Número de cuenta principal, el PAN. Este sería el número de
tarjeta de crédito que siempre ves impreso en el frente del plástico.
• 1103: Fecha de caducidad. Siempre primero el año y luego el mes.

• 200: código de servicio.

• XXXX00000000: Datos discrecionales, que incluyen la verificación del PIN, el valor de verificación de
la tarjeta y los últimos 3 dígitos en el reverso de la tarjeta, también conocido como el código CSC/
CVV2.
• ?:El centinela final
• Con ^ comienza la pista de datos 3, que como se dijo anteriormente es
completamente inutil.

La mayoría de los cardadores y piratas informáticos solo buscarán los datos TR1 y TR2. De
ahí viene el término volcados de CVV.

CARTERAS WEB/ONLINE: Este es un programa o servicio web que permite a los usuarios almacenar
y controlar su información de compras en línea, como inicios de sesión, contraseñas, dirección de
envío y tarjeta de crédito/datos bancarios, en un lugar central. También proporciona un método
conveniente y tecnológicamente rápido para que los consumidores compren productos de
cualquier persona o tienda en todo el mundo. Tales ejemplos de billeteras web son PayPal, Google
Wallet y Venmo. Podemos usar tales billeteras para muchos propósitos que se discutirán en guías
adicionales.

BAILOPAN@EXPLOIT.IM 5
DESNATADORA: Este es un dispositivo hecho para colocarse en la boca de un cajero automático y deslizar en
secreto la información de la tarjeta de crédito y débito cuando los clientes del banco deslizan sus tarjetas en
las máquinas para sacar dinero. Los skimmers existen desde hace años, por supuesto, pero los estafadores
los mejoran constantemente. El robo de tarjetas representa más del 80 por ciento de los fraudes en cajeros
automáticos. Algunos skimmers sofisticados incluso pueden transmitir datos robados a través de mensajes
de texto.

IMPRESORA: Un dispositivo que sella las tarjetas para producir letras en relieve donde está el
nombre del titular del CVV, número de tarjeta, etc.

VOLQUETE: Un dispositivo que agrega detalles en oro/plata a los caracteres en relieve.

MSR (LECTOR/GRABADOR DE BANDA MAGNÉTICA): Utilizado por los estafadores para escribir
vertederos en tarjetas físicas en blanco o tarjetas de regalo (y licencias de conducir, identificaciones de
estudiantes, etc.). Si desea usar tarjetas blancas en blanco, necesitará una impresora para la plantilla de
la tarjeta, la impresora y el volcador, que pueden ser bastante costosos, sin embargo, vale la pena si
sabe cómo usar correctamente estas cosas.

SISTEMA POS (PUNTO DE VENTA): Este es el momento y el lugar donde se completa una
transacción minorista. En el punto de venta, el comerciante calcula el monto adeudado por
el cliente, indica ese monto, puede preparar una factura para el cliente (que puede ser una
copia impresa de la caja registradora) e indica las opciones para que el cliente realice el
pago. También es el punto en el que un cliente realiza un pago al comerciante a cambio de
bienes o después de la prestación de un servicio. Después de recibir el pago, el comerciante
puede emitir un recibo por la transacción.

CCA: Son las siglas de Automated Clearing House, que es una red electrónica para transacciones
financieras en los Estados Unidos. ACH procesa grandes volúmenes de transacciones de crédito y
débito en lotes. Las transferencias de crédito ACH incluyen depósito directo, nómina y pagos a
proveedores. La transferencia de dinero e información de una cuenta bancaria a otra se realiza a
través de depósito directo o mediante transacciones ACH, crédito o débito. Los estafadores lo
utilizan mucho para desviar dinero de las cuentas bancarias de víctimas desprevenidas, lo cual es
extremadamente fácil.

BAILOPAN@EXPLOIT.IM 6
PROCESADORES DE PAGO: Un procesador de pagos es una empresa (a menudo un tercero) designada por un comerciante para manejar transacciones de varios canales, como

tarjetas de crédito y tarjetas de débito para bancos adquirentes de comerciantes. Por lo general, se dividen en dos tipos: front-end y back-end. Los procesadores frontales tienen

conexiones con varias asociaciones de tarjetas y brindan servicios de autorización y liquidación a los comerciantes de los bancos comerciales. Los procesadores de back-end

aceptan liquidaciones de los procesadores de front-end y, a través del Banco de la Reserva Federal, por ejemplo, mueven el dinero del banco emisor al banco comercial. En una

operación que generalmente demorará unos segundos, el procesador de pagos verificará los detalles recibidos y los enviará al banco emisor de la tarjeta respectiva o a la

asociación de la tarjeta para su verificación, y también llevar a cabo una serie de medidas antifraude contra la transacción. También se utilizan parámetros adicionales, incluido el

país de emisión de la tarjeta y su historial de pago anterior, para medir la probabilidad de que se apruebe la transacción. Una vez que el procesador de pagos haya recibido la

confirmación de que se han verificado los detalles de la tarjeta de crédito, la información se retransmitirá a través de la pasarela de pago al comerciante, quien luego completará

la transacción de pago. Si la asociación de la tarjeta niega la verificación, el procesador de pagos transmitirá la información al comerciante, quien luego rechazará la transacción.

Tales ejemplos de procesadores de pago son Square, PayPal, Stripe y Flint también se utilizan para medir la probabilidad de que la transacción sea aprobada. Una vez que el

procesador de pagos haya recibido la confirmación de que se han verificado los detalles de la tarjeta de crédito, la información se retransmitirá a través de la pasarela de pago al

comerciante, quien luego completará la transacción de pago. Si la asociación de la tarjeta niega la verificación, el procesador de pagos transmitirá la información al comerciante,

quien luego rechazará la transacción. Tales ejemplos de procesadores de pago son Square, PayPal, Stripe y Flint también se utilizan para medir la probabilidad de que la

transacción sea aprobada. Una vez que el procesador de pagos haya recibido la confirmación de que se han verificado los detalles de la tarjeta de crédito, la información se

retransmitirá a través de la pasarela de pago al comerciante, quien luego completará la transacción de pago. Si la asociación de la tarjeta niega la verificación, el procesador de

pagos transmitirá la información al comerciante, quien luego rechazará la transacción. Tales ejemplos de procesadores de pago son Square, PayPal, Stripe y Flint el procesador

de pagos transmitirá la información al comerciante, quien luego rechazará la transacción. Tales ejemplos de procesadores de pago son Square, PayPal, Stripe y Flint el

procesador de pagos transmitirá la información al comerciante, quien luego rechazará la transacción. Tales ejemplos de procesadores de pago son Square, PayPal, Stripe y Flint

VIA DE PAGO: Este es un servicio comercial proporcionado por un sitio web de comercio electrónico que
autoriza el procesamiento de tarjetas de crédito o pagos directos para negocios electrónicos, minoristas
en línea o tiendas físicas tradicionales. La pasarela de pago puede ser proporcionada por un banco a sus
clientes, pero también puede ser proporcionada por un proveedor de servicios financieros especializado
como un servicio independiente. Facilita una transacción de pago mediante la transferencia de
información entre un portal de pago (como un sitio web, un teléfono móvil o un servicio de respuesta de
voz interactivo) y el procesador front-end o el banco adquirente. Así es como se desarrolla una
transacción típica.

BAILOPAN@EXPLOIT.IM 7
1. Un cliente realiza un pedido en un sitio web presionando el botón "Enviar pedido" o
equivalente, o tal vez ingresa los detalles de su tarjeta utilizando un servicio de
contestador telefónico automático.
2. Si el pedido se realiza a través de un sitio web, el navegador web del cliente cifra la
información que se enviará entre el navegador y el servidor web del comerciante. Entre
otros métodos, esto se puede hacer a través del cifrado SSL. La pasarela de pago puede
asignar datos de transacciones para que se envíen directamente desde el navegador del
cliente a la pasarela, sin pasar por los sistemas del comerciante. Esto reduce las
obligaciones de cumplimiento del estándar de seguridad de datos de la industria de tarjetas
de pago del comerciante sin redirigir al cliente fuera del sitio web.

3. El comerciante luego reenvía los detalles de la transacción a su pasarela de

pago.
4. La pasarela de pago convierte el mensaje de XML a ISO 8583 oa un formato de
mensaje variante y luego reenvía la información de la transacción al procesador de
pago utilizado por el banco adquirente del comerciante.
5. El procesador de pagos envía la información de la transacción a la asociación de la tarjeta
(por ejemplo, Visa/Mastercard/AMEX). Si se utilizó una tarjeta American Express o
Discover, la asociación de la tarjeta también actúa como banco emisor y proporciona
directamente una respuesta de aprobación o rechazo a la pasarela de pago. De lo
contrario, la asociación de la tarjeta dirige la transacción al banco emisor de la tarjeta
correcto.
6. El banco emisor de la tarjeta de crédito recibe la solicitud de autorización, verifica el
crédito o débito disponible y luego envía una respuesta al procesador con un código de
respuesta (aprobado o denegado). Además de comunicar el destino de la solicitud de
autorización, el código de respuesta también se utiliza para definir el motivo por el cual
la transacción falló (por ejemplo, fondos insuficientes o enlace bancario no disponible).
Mientras tanto, el emisor de la tarjeta de crédito tiene una autorización asociada con ese
comerciante y consumidor por el monto aprobado. Esto puede afectar la capacidad del
consumidor para gastar más (porque reduce la línea de crédito disponible o retiene una
parte de los fondos en una cuenta de débito).

7. El procesador reenvía la respuesta de autorización a la pasarela de pago.

BAILOPAN@EXPLOIT.IM 8
 8. La pasarela de pago recibe la respuesta y la reenvía al sitio web (o la interfaz
utilizada para procesar el pago), donde se interpreta como una respuesta
relevante y luego se transmite al comerciante y al titular de la tarjeta. Esto
se conoce como la Autorización o “Auth”
9. Este proceso completo suele tardar entre 2 y 3 segundos.

DOMINIO WEB: Esto se conoce tradicionalmente como el nombre o URL de un sitio web y, a veces,
se denomina nombre de host. El nombre de host es un nombre más memorable para reemplazar la
dirección IP numérica y difícil de recordar de un sitio web. Esto permite a los visitantes del sitio web
encontrar y volver a una página web más fácilmente. También permite a los anunciantes la
capacidad de dar a un sitio web un nombre memorable que los visitantes recordarán y visitarán,
con la esperanza de generar conversiones para la página web. La flexibilidad de los dominios de
sitios web permite vincular varias direcciones IP al mismo dominio de sitio web, lo que le da a un
sitio web varias páginas diferentes mientras permanece en la dirección fácil de recordar.

TARJETA VIRTUAL: Este es el proceso de comprar bienes físicos o digitales en línea utilizando los
detalles de la tarjeta de crédito/débito de otra persona.

CARDADO FÍSICO: Este es el proceso de comprar bienes físicos yendo a una tienda
física real en persona y usando tarjetas de crédito prefabricadas con vertederos
perforados para realizar transacciones fraudulentas. También es posible realizar
transacciones con un teléfono Android utilizando pagos NFC con datos TR1+TR2.

CARDADURA: Término utilizado cuando se hace referencia al uso de los datos del CVV de otra persona para
realizar una compra fraudulenta en un sitio web en línea o físicamente en persona en una tienda utilizando
DUMPS. Por ejemplo, podemos CARGAR un teléfono celular usando los datos de otra persona a través de
Amazon, o CARGAR un cinturón de $ 400 en una tienda Gucci usando vertederos que se perforaron en una tarjeta
en blanco usando dispositivos hechos específicamente para tales propósitos.

TARJETERO: El propietario del CVV que estamos utilizando para realizar la transacción
fraudulenta.

BAILOPAN@EXPLOIT.IM 9
DIRECCIÓN DE ENVIO: Una dirección adjunta directamente a un CVV. Aquí es donde el banco del titular
de la tarjeta envía sus facturas, de ahí el nombre FACTURACIÓN.

DIRECCIÓN DE ENVÍO/CORREO: Una dirección utilizada exclusivamente para recibir correo. La mayoría de
los sitios web no permiten que se acepten transacciones si la dirección de facturación en una tarjeta de
crédito y la dirección de envío proporcionada al sitio web son diferentes.

AVS Y NO AVS: AVS significa Sistema de Verificación de Dirección. Este es un sistema utilizado para
verificar la dirección de una persona que dice tener una tarjeta de crédito. El sistema verificará la
dirección de facturación de la tarjeta de crédito proporcionada por el usuario con la dirección registrada
en la compañía de la tarjeta de crédito. AVS es utilizado por la mayoría de los comerciantes en los EE.
UU., Canadá y el Reino Unido. Debido a que AVS solo verifica la parte numérica de la dirección, ciertas
anomalías, como los números de apartamento, pueden causar rechazos falsos; sin embargo, se informa
que es una ocurrencia rara. AVS verifica las partes numéricas de la dirección de facturación del titular de
la tarjeta. Por ejemplo, si la dirección es 101 Main Street, Highland, CA 92346, Estados Unidos, AVS
verificará 101 y 92346. Los titulares de tarjetas pueden recibir falsos negativos o rechazos parciales de
AVS de los sistemas de verificación de comercio electrónico, lo que puede requerir anulaciones
manuales. autorización de voz, o reprogramación de las entradas AVS por parte del banco emisor de la
tarjeta. Los titulares de tarjetas con un banco que no admite AVS pueden recibir un error de las tiendas
de Internet debido a la falta de datos. Todos los países, además del Reino Unido, EE. UU. y Canadá, NO
son AVS.

VBV y NO VBV: Este es un protocolo basado en XML diseñado para ser una capa de seguridad
adicional para transacciones en línea con tarjetas de crédito y débito. VBV significa Verificado
por Visa. Esto se utiliza para validar la identidad del titular de la tarjeta y evitar transacciones
fraudulentas. Funciona solicitando información adicional directamente al titular de la tarjeta o
analizando datos detrás de escena para ver si la compra se ajusta al comportamiento de pago
habitual. Cuando un sitio web y una tarjeta han sido verificados por Visa, aparece un cuadro de
mensaje en la pantalla después de haber ingresado los detalles de la tarjeta Visa. Luego se le
pide que se identifique con su contraseña de Verified by Visa o un código enviado a su teléfono.
Lo que debe hacer en esta etapa varía, pero su banco le informará sobre el método que utilizan
y lo que esperan de usted. si no te das cuenta

BAILOPAN@EXPLOIT.IM 10
aparece el cuadro de mensaje de VBV, pero en su lugar se ve una rueda giratoria, toda la
seguridad asociada con VBV sigue ocurriendo, pero en segundo plano. Y no necesitas hacer
nada. El banco está verificando la compra haciendo verificaciones de antecedentes para ver
que todo esté en su lugar. Cualquier tarjeta Visa que no tenga la función anterior, se conoce
como NON-VBV y, en última instancia, debe buscar tarjetas NON-VBV en lugar de VBV,
porque, como puede ver, este proceso de verificación es una gran molestia.

CÓDIGO DE SEGURIDAD DE MASTERCARD (MCSC): MasterCard SecureCode es muy similar al VBV

de Visa. Es un código privado para una cuenta de MasterCard que brinda al titular de la tarjeta una
capa adicional de seguridad para compras en línea. Solo el titular de la tarjeta y la institución
financiera saben cuál es el código, los comerciantes no pueden verlo. Afortunadamente, la mayoría
de las tarjetas MasterCard no cuentan con esta seguridad.

LLAVE DE SEGURIDAD AMERICAN EXPRESS: Esta es una de las medidas de seguridad

menos utilizadas, y ni siquiera está disponible en los Estados Unidos. Sin embargo, es lo
mismo que MasterCard SecureCode y Visa VBV.

COMUNICACIÓN DE CAMPO CERCANO (NFC): La tecnología NFC permite que los teléfonos inteligentes y
otros dispositivos habilitados se comuniquen con otros dispositivos que contengan una etiqueta NFC. Es
ampliamente utilizado como método de pago, todo lo que tiene que hacer es deslizar su teléfono inteligente
en la caja de cualquier tienda, y la mayoría de las tiendas admiten NFC. Apple Pay, por ejemplo, usa NFC.

Número de Seguro Social: Número de seguro social. Este es un número de nueve dígitos emitido a
ciudadanos estadounidenses, residentes permanentes y residentes temporales (que trabajan) en los
Estados Unidos. Si bien su propósito principal es rastrear a las personas a efectos de la Seguridad Social, el
número de la Seguridad Social se ha convertido en el número de identificación nacional a efectos fiscales y
de otro tipo. Las personas involucradas en el robo de identidad utilizan con frecuencia el SSN, ya que está
interconectado con muchas otras formas de identificación y porque las personas que lo solicitan lo tratan
como un autenticador. Las instituciones financieras generalmente requieren un SSN para configurar
cuentas bancarias, tarjetas de crédito y préstamos, en parte porque asumen que nadie excepto la persona
a quien se le emitió lo sabe.

BAILOPAN@EXPLOIT.IM 11
mmn: Nombre de soltera de la madre. Este es el nombre de la madre de alguien
ANTES de casarse, es decir, su nombre con su apellido original (o “apellido”), el
nombre que usaba cuando era niña y joven. “Doncella” aquí significa “mujer soltera”.
Así que “apellido de soltera” se refiere al nombre de una mujer cuando aún era una
mujer soltera. En muchas culturas, cuando una mujer se casa, toma el apellido de la
familia de su esposo, por lo que su nombre cambia. Ejemplo, digamos que el nombre
de su madre era Mary y ella nació en la familia Smith. Su apellido de soltera sería
"Mary Smith". Luego, digamos, se casó con tu padre, cuyo nombre era Tom Jones.
Cuando se casó con él, se convirtió en Mary Jones.
Ese es su apellido de casada, pero su apellido de soltera siempre será Mary Smith. Este es uno de
los aspectos más importantes para realizar transacciones exitosas en línea para productos de alto
valor, ya que la mayoría de los bancos lo hacen como una pregunta de seguridad para realizar
cambios en la cuenta.

fecha de nacimiento: Fecha de nacimiento. Esta es una de las piezas de información más importantes que
puede obtener sobre su víctima. La razón de esto es que con la fecha de nacimiento, el nombre completo y
la ciudad de origen, puede encontrar fácilmente el SSN de la persona. Y también porque necesitas esta
información si el banco alguna vez te la pide.

BUZÓN DE CORREO: Una entrega de correo es un lugar donde puede recibir libremente
productos ilegales que fueron cargados con tarjetas o drogas. Nunca querrá usar su propia
casa para estos fines, ya que le traerá muchos dolores de cabeza en el futuro. Con una
entrega de correo, puede usarla, digamos un mes, y nunca volver a mostrar su rostro allí.
Esto hará que sea extremadamente difícil para cualquier oficial de la ley rastrearlo y
arrestarlo o realizar una investigación sobre su vida.

COMPARTIMIENTO: Número de Identificación Bancaria. Estos son los primeros cuatro a seis números que
aparecen en una tarjeta de crédito. El número de identificación bancaria identifica de manera única a la institución
emisora de la tarjeta. El BIN es clave en el proceso de hacer coincidir las transacciones con el emisor de la tarjeta
de crédito. Este sistema de numeración también se aplica a tarjetas de cargo, tarjetas de regalo, tarjetas de débito,
tarjetas de prepago e incluso tarjetas electrónicas de beneficios. Este sistema de numeración ayuda a identificar el
robo de identidad o posibles infracciones de seguridad comparando

BAILOPAN@EXPLOIT.IM 12
datos, tales como la dirección de la institución emisora de la tarjeta y la dirección del titular de la
tarjeta. El primer dígito del BIN especifica el identificador de la industria principal, como aerolínea,
banca o viajes, y los siguientes cinco dígitos especifican la institución emisora o el banco. Por ejemplo,
el MII para una tarjeta de crédito Visa comienza con un 4. El BIN ayuda a los comerciantes a evaluar y
evaluar sus transacciones con tarjetas de pago. Después de enviar los primeros cuatro a seis dígitos de
la tarjeta, el minorista en línea puede detectar qué institución emitió la tarjeta del cliente, la marca de la
tarjeta (como Visa o MasterCard), el nivel de la tarjeta (como corporativa o platino), el tipo de tarjeta
( como una tarjeta de débito o una tarjeta de crédito) y el país del banco emisor. Los BIN se pueden
consultar a través de los sitios web a continuación.

• https://www.bincodes.com/bin-checker/
• http://binchecker.com/
• https://bincheck.org/
• https://binlists.com/

SERVIDOR PROXY: Cada vez que accede a un sitio web o se conecta con alguien en línea,
su conexión en línea le da a su computadora la "dirección" del sitio o la persona con la que
se está conectando. Esto es para que el otro extremo sepa cómo enviar información a su
computadora. Esa dirección es su dirección IP pública. IP significa Protocolo de Internet y
puede verificar el suyo en whoer.net. Sin una dirección IP, no podría realizar ninguna
actividad en Internet/en línea y otras personas en línea no podrían comunicarse con usted.
Es cómo te conectas con el mundo. Su dirección IP proviene de su proveedor de servicios
de Internet (ISP). Desafortunadamente, existen muchos problemas de privacidad cuando
se trata de direcciones IP públicas como

• Su dirección IP identifica dónde se encuentra en el mundo, a veces a pie

de calle.
• Puede ser utilizado por sitios web para bloquear el acceso a su contenido.
• En última instancia, vincula su nombre y la dirección de su casa con su dirección IP, porque
alguien está pagando por una conexión a Internet en una ubicación específica.

BAILOPAN@EXPLOIT.IM 13
Un proxy le permite conectarse en línea con una identidad de dirección IP diferente. No cambia su
proveedor de Internet; simplemente obtienes un servidor proxy. Un servidor proxy es una computadora
en la web que redirige su actividad de navegación web. Esto es lo que eso significa.

• Normalmente, cuando ingresa el nombre de un sitio web (Amazon.com o cualquier

otro), su proveedor de servicios de Internet (ISP) hace la solicitud por usted y lo conecta
con el destino, y revela su dirección IP real, como se mencionó anteriormente.

• Cuando usa un proxy, sus solicitudes en línea se redirigen.

• Mientras usa un proxy, su solicitud de Internet va desde su computadora a su ISP
como de costumbre, pero luego se envía al servidor proxy y luego al sitio web/
destino. En el camino, el proxy usa la dirección IP que eligió en su configuración,
enmascarando su dirección IP real.

Los ladrones de identidad suelen utilizar servidores proxy para falsificar su ubicación en la
dirección de facturación del titular de la tarjeta. Esto se debe a que algunos sitios web no
permitirán que se acepte una transacción si la compra se realiza desde una ubicación mucho más
lejana que la dirección de facturación del titular de la tarjeta.

GOTAS BANCARIAS: Las cuentas bancarias son cuentas bancarias que se abren específicamente con el
propósito de almacenar sus fondos sucios. Una vez que los abre, puede decidir si desea retirar los
fondos directamente de la cuenta como efectivo yendo al cajero automático del banco, o posiblemente
limpiarlos con métodos específicos, y solo después de limpiarlos, cobrarlos (mi método preferido y
mucho más seguro). También es importante mencionar que todas las cuentas bancarias se abren
SOLAMENTE con la información de otra persona (también conocida como FULLZ), por lo que no hay
absolutamente ninguna posibilidad de que estos fondos sucios se puedan rastrear hasta su verdadera
identidad. Para abrir una de estas cuentas bancarias, generalmente necesitará el DOB + SSN + DL +
VERIFICACIÓN DE ANTECEDENTES + INFORME DE CRÉDITO COMPLETO + MVR / REGISTRO DE
CONDUCCIÓN de la persona para obtener el máximo éxito.

BAILOPAN@EXPLOIT.IM 14
PUNTUACIÓN PROXY: Cuando se trata de detección de fraude, encontrar proxies es un gran tema. La detección de fraude comienza pensando inteligentemente en la dirección

IP asociada con una transacción. ¿Dónde está esa dirección IP y cómo se relaciona esa ubicación con otros datos de transacciones? Mientras que la mayoría de las direcciones IP

inspiran confianza, las asociadas a un proxy generan sospechas. Como sugiere el nombre, un proxy actúa como intermediario, pasando solicitudes de una computadora a otros

servidores. Pero aunque hay usos legítimos de proxies, los estafadores son bien conocidos por usar proxies. La detección de proxies presenta dos desafíos. El primero es cómo

reconocer una dirección IP como proxy. El segundo es cómo distinguir un proxy “bueno” de uno “malo”; dado que, por definición, un proxy es simplemente un intermediario, un

proxy no es de alto riesgo en sí mismo. Para considerar la mejor manera de abordar estos desafíos, es útil observar el objetivo principal de la detección de fraudes en el

comercio electrónico: pensar inteligentemente en la dirección IP asociada con una transacción para evaluar el riesgo. La detección de fraudes utiliza los datos de las

transacciones como base para este análisis y evaluación de riesgos. Usando estos datos y análisis, pueden obtener información sobre el tipo de tráfico en una dirección IP en

particular. El Proxy Score es un resumen del riesgo asociado con una dirección IP. Desea que esto sea lo más bajo posible (0.80 MAX). Cualquier valor por encima de 0,80, debe

seguir adelante y buscar otro proxy, ya que eso conducirá a una transacción rechazada el 70-80% de las veces. Puede verificar su puntaje de proxy en los sitios web a

continuación. Idealmente, desea el puntaje de proxy más bajo que pueda encontrar, he usado RDP con un puntaje de proxy de 0.01 muchas veces. es útil fijarse en el objetivo

principal de la detección de fraudes en el comercio electrónico: pensar inteligentemente en la dirección IP asociada con una transacción para evaluar el riesgo. La detección de

fraudes utiliza los datos de las transacciones como base para este análisis y evaluación de riesgos. Usando estos datos y análisis, pueden obtener información sobre el tipo de

tráfico en una dirección IP en particular. El Proxy Score es un resumen del riesgo asociado con una dirección IP. Desea que esto sea lo más bajo posible (0.80 MAX). Cualquier

valor por encima de 0,80, debe seguir adelante y buscar otro proxy, ya que eso conducirá a una transacción rechazada el 70-80% de las veces. Puede verificar su puntaje de

proxy en los sitios web a continuación. Idealmente, desea el puntaje de proxy más bajo que pueda encontrar, he usado RDP con un puntaje de proxy de 0.01 muchas veces. es

útil fijarse en el objetivo principal de la detección de fraudes en el comercio electrónico: pensar inteligentemente en la dirección IP asociada con una transacción para evaluar el

riesgo. La detección de fraudes utiliza los datos de las transacciones como base para este análisis y evaluación de riesgos. Usando estos datos y análisis, pueden obtener

información sobre el tipo de tráfico en una dirección IP en particular. El Proxy Score es un resumen del riesgo asociado con una dirección IP. Desea que esto sea lo más bajo

posible (0.80 MAX). Cualquier valor por encima de 0,80, debe seguir adelante y buscar otro proxy, ya que eso conducirá a una transacción rechazada el 70-80% de las veces.

Puede verificar su puntaje de proxy en los sitios web a continuación. Idealmente, desea el puntaje de proxy más bajo que pueda encontrar, he usado RDP con un puntaje de proxy de 0.01 m

• https://getipintel.net/
• https://www.maxmind.com/en/request-service-trial?service_minfraud=1 (PRUEBA
GRATIS)
• xdedicvhnguh5s6k.onion (sitio web privado del proveedor de RDP, pero el mejor para verificar
este tipo de cosas, envíame un mensaje privado y te enviaré una invitación)

PUNTAJE DE FRAUDE: A cada transacción en línea se le asigna lo que se denomina una "puntuación de
fraude". Este es un número que oscila entre 0 y 999. Le da al comerciante un número a partir del cual
puede determinar si una determinada transacción es fraudulenta o no. Las transacciones que reciben
puntajes altos de fraude (más de 300), se colocan bajo verificación manual por parte de un agente, quien
decidirá si contacta al titular de la tarjeta o lo deja pasar. Puntuaciones

BAILOPAN@EXPLOIT.IM 15
más de 500 con rechazo automático, bloqueará la tarjeta y un agente se comunicará inmediatamente con el
titular de la tarjeta. Algunos bancos tienen diferentes criterios, pero ciertas cosas que pueden afectar el
puntaje de fraude son:

• Comparación con el patrón de gasto habitual del titular de la tarjeta

• Ubicación del cargo
• Monto
• Factor de riesgo asociado al comerciante

Por ejemplo, un cargo de $15.56 en el Walmart local del titular de la tarjeta no activará nada, mientras que
una compra de $2000 en Newegg tendrá un puntaje de fraude extremadamente alto y probablemente se
rechazará automáticamente si el titular de la tarjeta rara vez realiza compras en línea.

PUNTUACIÓN DE RIESGO: Este es un porcentaje dado a cada transacción que va desde 0.00% a
100.00%. Los factores que determinan esta puntuación son si la dirección IP, el correo electrónico, el
dispositivo y el proxy utilizados son de alto o bajo riesgo. Esto está determinado por los sistemas de
fraude que tienen los sitios web, como MaxMind, que establece la reputación de las direcciones IP,
correos electrónicos, geolocalización y otros parámetros. Esto siempre debe verificarse antes de
comprar un RDP. Cualquier valor por encima del 1,00 % dará lugar a transacciones rechazadas la mayor
parte del tiempo.

DIRECCIÓN MAC: Ya sea que trabaje en una red cableada o inalámbrica, una cosa es común para
ambos entornos. Se necesita software y hardware de red (cables, enrutadores, etc.) para transferir
datos de su computadora a otra, o de una computadora a miles de kilómetros de distancia a la
suya. Al final, para obtener los datos que desea directamente para USTED, todo se reduce a las
direcciones. Así que no sorprende que, junto con una dirección IP, también haya una dirección de
hardware. Por lo general, está vinculado a un dispositivo de conexión clave en su computadora
llamado tarjeta de interfaz de red o NIC. La NIC es esencialmente una tarjeta de circuito de
computadora que hace posible que su computadora se conecte a una red. Una NIC convierte los
datos en una señal eléctrica que se puede transmitir a través de la red.

BAILOPAN@EXPLOIT.IM dieciséis
Cada NIC tiene una dirección de hardware que se conoce como MAC, para Media Access
Control. Donde las direcciones IP están asociadas con TCP/IP (software de red), las direcciones
MAC están vinculadas al hardware de los adaptadores de red. Una dirección MAC se le da a un
adaptador de red cuando se fabrica. Está cableado o codificado en la tarjeta de interfaz de red
(NIC) de su computadora y es exclusivo de esta.

Desafortunadamente, las fuerzas del orden público pueden usar una dirección MAC en combinación con los
proveedores de servicios de Internet para encontrar la verdadera ubicación de alguien y, en consecuencia,
su identidad. Más adelante en esta guía explicaré cómo mitigar este riesgo.

RED PRIVADA VIRTUAL (VPN): Un paso esencial para realizar una transacción fraudulenta
exitosa es tener una VPN. La mayoría de ustedes ya saben qué es esto, pero para aquellos
que no lo saben, las VPN se usan para canalizar todo su tráfico a un túnel encriptado. De
esta manera, su ISP o un atacante no puede capturar nada de su tráfico y, en consecuencia,
olfatearlo. Tampoco se puede revelar su ubicación real si está utilizando una VPN buena y
confiable que evita las fugas de DNS. Esto se discutirá con más detalle más adelante en esta
guía.

PDR: Protocolo de escritorio remoto. Este es un protocolo desarrollado por Microsoft, que
proporciona al usuario una interfaz gráfica para conectarse a otra computadora a través de
una conexión de red. Por ejemplo, puede usar una máquina Linux y conectarse a un RDP de
Windows 7. Los RDP son absolutamente esenciales para realizar una transacción fraudulenta
exitosa, especialmente los RDP RESIDENCIALES HACKEADOS. La razón de esto es que estos
RDP son de una PERSONA REAL, con una UBICACIÓN/IP REAL, y una COMPUTADORA REAL y
HUELLA DACTILA DEL NAVEGADOR. Aumentarán exponencialmente su tasa de éxito. También
se discutirán con más detalle más adelante en esta guía.

CALCETINES5: Este es un servidor proxy que nos permite falsificar nuestra ubicación real. Esto es muy bueno
si, digamos, tenemos una tarjeta de crédito con una dirección de facturación en Miami, podemos usar un
SOCKS5 cerca de la dirección de facturación en Miami para que el sitio web en el que estamos realizando la
transacción fraudulenta no aumente nuestra puntuación de fraude porque la transacción

BAILOPAN@EXPLOIT.IM 17
se está realizando en otro estado/lejos de la dirección de facturación de la tarjeta de crédito, ya que
esto conducirá a una transacción rechazada la mayor parte del tiempo.

MÁQUINA VIRTUAL: Esta es una emulación de un sistema informático. Las máquinas virtuales
se basan en arquitecturas informáticas y proporcionan la funcionalidad de una computadora
física. Le permiten ejecutar un sistema operativo usando una ventana de aplicación en su
escritorio que se comporta como una computadora completa e independiente. Los software
más utilizados para máquinas virtuales son, respectivamente, Virtual Box y VMWare.
Desafortunadamente, no son tan confiables como usar un RDP, pero son muy buenos para
CONECTARSE a un RDP, para no dejar rastros en su computadora original. Windows y OS X
todavía no son lo suficientemente confiables en el aspecto de no dejar rastros, ya que la
máquina virtual en estos sistemas operativos filtrará información al sistema operativo host y,
en consecuencia, dejará muchas pruebas/rastros ilegales en su computadora que luego
podrían utilizarse como prueba potencial en una investigación. Sin embargo,

Este es el aspecto más importante de ser un estafador exitoso. La razón de

esto es que no tiene sentido hacer todo esto, si finalmente vamos a ser
atrapados y el gobierno confiscará todos sus activos. Desafortunadamente,
Estados Unidos no se toma estas cosas a la ligera y hará todo lo posible para
perseguir a los ciberdelincuentes y llevarlos a la cárcel, que la mayoría de las
veces reciben sentencias de más de 10 años de cárcel por delitos menores.
Son la nación más grande y poderosa del mundo entero, y sus recursos son
absolutamente infinitos. DEBEMOS tomar todas las precauciones posibles
para mitigar cualquiera de estos riesgos y asegurarnos de que dichos
gobiernos nunca nos quiten nuestro arduo trabajo. Incluso si no vive en los
Estados Unidos,

BAILOPAN@EXPLOIT.IM 18
He escrito una guía extensa de más de 100 páginas solo sobre el tema de OPSEC y la
creación de su configuración perfecta de experto en fraude para el máximo éxito y
seguridad contra tales adversarios, de los cuales actualmente estoy vendiendo SOLO por $
25 por tiempo limitado. Si se toma en serio este negocio y sigue mis instrucciones, le
recomiendo ENCARECIDAMENTE que compre mi guía y siga todos y cada uno de los pasos
descritos en ella para asegurarse al máximo. Recuerda, si quieres ser un criminal, entonces
haz tu tarea o no seas un criminal.

Dicho esto, en este capítulo no entraré en tantos detalles como lo hace mi guía OPSEC, ya que
hay muchas cosas a tener en cuenta y no sería capaz de encajar todo en un solo capítulo, esa
es la razón por la que hizo una guía específicamente con el propósito de explicar la privacidad
y la seguridad. Sin embargo, te daré una configuración perfecta en este tutorial.

En primer lugar, quiero presentarles el mejor sistema operativo disponible en la actualidad cuando se trata
de seguridad y privacidad. Se llama sistema operativo Qubes. Este sistema operativo nos permite ejecutar
entornos aislados. Es básicamente una caja virtual gigante. Puede ejecutar diferentes sistemas operativos en
Qubes como diferentes máquinas virtuales. Por ejemplo, tenemos una máquina virtual para el sistema
operativo Whonix, otra para Fedora, Debian, y esas son solo las máquinas virtuales que vienen preinstaladas
con el sistema operativo. Puede instalar Kali Linux en Qubes, Windows y todo tipo de sistemas operativos
diferentes. Si una de estas máquinas virtuales alguna vez se ve comprometida, estamos bien. Simplemente
borramos la VM y creamos una nueva. Si desea obtener más información sobre el sistema operativo Qubes,
navegue hasta el enlace a continuación, está lleno de tutoriales e incluso videos sobre el sistema operativo
para que pueda ver bien con qué trabajaremos.

https://www.qubes-os.org/doc/

Qubes tiene un rango de compatibilidad muy pequeño y, lamentablemente, no funcionará con la

mayoría de las computadoras. Sin embargo, si desea convertirse en un verdadero ciberdelincuente
profesional, le recomiendo que invierta en una computadora nueva. No seas perezoso ni tacaño
con la seguridad, ya que eso traerá problemas y mucho dolor de cabeza.

BAILOPAN@EXPLOIT.IM 19
para ti en el futuro, confía en mí en eso. A continuación se muestran las computadoras portátiles que
recomiendo, desde la mejor (la más cara) hasta la peor (la más barata). Todos ellos funcionan a la
perfección con el actual Qubes 4.0. Todos los precios se tomaron de Amazon en el momento de escribir
este artículo, así que tenga en cuenta que puede obtener más barato o más caro.

LENOVO THINKPAD X1 CARBONO 5JUGen ($1845): Esta computadora portátil es absolutamente

increíble, y si tiene dinero para comprarla, hágalo. Vale totalmente la pena, ya que te durará muchos
años. Esta fue votada como la mejor computadora portátil empresarial en CES 2018. El rendimiento de
esta computadora portátil es absolutamente increíble y hará que su trabajo sea increíblemente fluido
y fácil. Esta es la computadora portátil que uso actualmente y la que recomiendo a todos mis clientes
además de todas las demás.

LENOVO THINKPAD T460P ($1350): También funciona perfectamente con Qubes 4.0 y el
rendimiento es asombroso. El de arriba es mucho mejor, pero si quieres conseguir este y
ahorrar algo de dinero, te diría que adelante.

LENOVO THINKPAD T450S ($530): Esta computadora portátil también es muy buena, aunque el
rendimiento de la anterior es mucho mejor, esta cuenta con algunas características impresionantes.
Puedes conseguirlo en Amazon muy barato. Viene con procesador i7, 8 GB de RAM, SSD de 256 GB
(es posible que desee actualizar el SSD). He probado esta computadora con Qubes 4.0 y también
funciona perfectamente y sin problemas.

LENOVO THINKPAD X230 ($235): Este es un tipo de computadora portátil de último recurso, y solo
debe obtenerlo si tiene muy poco dinero. El rendimiento será terrible, pero definitivamente utilizable.
Qubes 4.0 funciona perfectamente con él, y todo funciona exactamente como debería, solo que muy
lento debido al procesador antiguo y la poca memoria. Si está pensando en comprar esta
computadora portátil, tenga en cuenta que lo más probable es que necesite actualizar algunos de los
componentes para que funcione sin problemas.

LA MEJOR CONFIGURACIÓN DE QUBES PARA ACTIVIDADES FRAUDULENTAS

Tener una configuración perfecta para sus actividades fraudulentas es uno de los aspectos más
importantes para tener éxito en este negocio. Si tiene una mala configuración, lo más probable es que

BAILOPAN@EXPLOIT.IM 20
probablemente tenga problemas y rechace transacciones a diario. Como expliqué
anteriormente en esta guía, Qubes OS es absolutamente el mejor sistema operativo para
nuestros propósitos, y es el sistema operativo que uso para mis actividades fraudulentas, de
hecho, es EL ÚNICO que uso. Qubes no solo lo protegerá en la mayor medida posible, para
garantizar que LE no pueda descubrir con éxito su verdadera identidad, sino que, para los sitios
web, se verá como un comprador más que busca algo costoso para comprar, lo que a su vez
nos hará extremadamente exitoso. A continuación, describiré la configuración perfecta para
Qubes OS. Toda la configuración descrita a continuación se explica con mucho más detalle en
mi guía OPSEC, por lo que le recomiendo que obtenga esa también.

• Primero, anonimizaremos nuestra dirección MAC siguiendo este tutorial

(https://www.qubes-os.org/doc/anonimizar-su-direccion-mac/ ) para nuestra
NetVM.
• Una vez que hayamos anonimizado completamente nuestra dirección MAC, enrutaremos nuestra
NetVM a FirewallVM. A partir de ahí, enrutaremos el tráfico a la máquina virtual VPN.
• Ahora necesitamos configurar nuestra VM VPN para enrutar todo el tráfico al túnel VPN y
restringir todas las conexiones que no sean VPN con las reglas de iptables. Si está
ejecutando Qubes 4.0, siga este tutorial (https://github.com/tasket/Qubes-vpnsupport ).
Si está en Qubes 3.2, siga este tutorial
(https://www.reddit.com/r/Qubes/comments/6h4ue2/
guide_setting_up_a_vpn_with_mullvad_on_qubes/ ). No dude en enviarme un
mensaje si tiene algún problema. Verifique que todo esté bien y que no haya
fugas en su conexión navegando a whoer.net y dnsleaktest.com y realizando
pruebas. Incluso con webRTC habilitado, debería tener 0 fugas debido a las
reglas de iptables.
• Una vez que hayamos configurado nuestra VM VPN, crearemos otra VM VPN y
enrutaremos nuestro tráfico a los 2Dakota del NorteTúnel VPN. Esto es extremadamente
importante, ya que agregará una increíble capa adicional de seguridad a su
configuración. Debe usar 2 proveedores de VPN diferentes. Los que recomiendo son,
respectivamente, de mejor a peor, NordVPN, TorGuard y Mullvad. Debes seguir los
mismos pasos que el 1S tVPN VM para crear los 2Dakota del Norte. Comprueba que todo esté
bien y que no haya fugas en tu conexión navegando a whoer.net y dnsleaktest.com y

BAILOPAN@EXPLOIT.IM 21
 realización de pruebas. Incluso con webRTC habilitado, debería tener 0 fugas
debido a las reglas de iptables.
• de los 2Dakota del NorteVPN VM, enviaremos nuestro tráfico a nuestra red Tor VM (generalmente
llamada sys-whonix).
• En sys-whonix, editaremos el archivo de configuración torrc y nos aseguraremos de que
estamos usando puentes obfs4 para conectarnos. Esto hará que sea mucho más difícil para
cualquiera que husmee en nuestro tráfico ver que estamos usando Tor (aunque dudo
seriamente que alguien pueda hacerlo si siguió los pasos anteriores correctamente).
Puede hacerlo siguiendo este tutorial
(https://www.whonix.org/wiki/Bridges).
• Ahora que tenemos nuestra red completamente configurada, pasaremos a conectarnos a
nuestro RDP para realizar nuestro trabajo. Para hacer eso, simplemente cree una nueva
AppVM, asígnele el nombre que desee, use la Plantilla WHONIX-WS para ella, déle acceso
a la red a través de sys-whonix y abra una nueva Terminal en ella. Una vez que haya
hecho eso, ejecute el siguiente comando en esa Terminal: sudo apt-get install remmina

• Ese comando instalará un programa llamado “remmina” que nos permitirá

conectarnos a nuestros RDP de forma anónima con la red Tor.
• Para el RDP, le recomiendo que compre uno de Windows 7 de xDedic (si no
tiene una cuenta allí, envíeme un mensaje y le venderé un RDP desde allí, o
también puede comprar una invitación al sitio web de conmigo si lo prefiere,
de esa manera no confiará en mí ni en nadie más para comprar sus RDP,
simplemente puede iniciar sesión en el sitio web y comprarlos usted mismo).
xDedic es el mejor sitio web para RDP, y la razón es que vende RDP limpios y
pirateados, que pertenecen a una persona real, con una huella digital real y
con una IP/ubicación real. La razón por la que queremos esto es para que el
sitio web en el que estamos realizando nuestro trabajo no se dé cuenta de
que somos un estafador y rechace nuestra transacción. Prefiero no usar
Socks5 ya que están lejos de ser confiables como lo son los RDP, y POR
FAVOR,

• Una vez que tenga toda esta configuración, todo lo que necesita hacer es elegir un sitio web que
desee agregar, obtener un CVV cercano al código postal de su RDP (algunos sitios web

BAILOPAN@EXPLOIT.IM 22
 rechace su transacción si está realizando un pedido demasiado lejos
de la dirección de envío/facturación de CVV) y haga su magia. Esta
"magia" variará de un sitio web a otro, y una cosa que debe tener en
cuenta es que la mayoría de los sitios web requerirán que llame al
banco del titular de la tarjeta utilizando un quemador falsificado al
número del titular de la tarjeta para cambiar su dirección de
facturación. Esto se debe a que, como se mencionó anteriormente, los
sitios web en Canadá, Estados Unidos y el Reino Unido cuentan con
sistemas AVS que verificarán su dirección de facturación con el banco
del titular de la tarjeta. Si utiliza una dirección de envío que difiere de
la dirección de facturación, especialmente una dirección de envío
demasiado alejada de la dirección del titular de la tarjeta, obtendrá
una transacción rechazada.

• Si está comprando algo por encima de $ 600 dólares, es probable que deba realizar lo que se
conoce como ATO en la cuenta del titular de la tarjeta. ATO significa Account-Take-Over. Este
es un proceso en el que llamará al banco, cambiará el número de teléfono del titular de la
tarjeta, luego esperará de 5 a 7 días y volverá a llamar para cambiar su dirección de
facturación, también puede agregar una dirección temporal si lo prefiere, que es mucho
mejor en mi opinión (Bank of America no permite direcciones temporales
desafortunadamente, Chase es el mejor para esto). La razón de esto es que la mayoría de los
sitios web requerirán que coloque el número de teléfono de facturación del titular de la
tarjeta en el check-out y para pedidos superiores a $ 600, llamarán al titular de la tarjeta para
confirmar la transacción. Sin mencionar que el banco puede encontrar todo esto muy
sospechoso, especialmente si el titular de la tarjeta no ha hecho una compra tan grande en
meses y los llamará para confirmar. Y también existe la posibilidad de que el titular de la
tarjeta tenga lo que se conoce como "actualizaciones/alertas de texto" para cargos tan
grandes en su cuenta. Todas esas cosas pueden conducir a una transacción rechazada y una
tarjeta quemada.
• También le recomiendo que use un correo electrónico .edu, .org o .gov con el nombre del
titular de la tarjeta para realizar transacciones fraudulentas de alto valor. Esto reducirá
significativamente su puntaje de fraude y lo ayudará mucho a obtener la aprobación.

BAILOPAN@EXPLOIT.IM 23
 • Asegúrate de actuar como un verdadero comprador. Espere de 2 a 3 días antes de
comprar y, mientras tanto, coloque los productos en su carrito, busque en el sitio web y
haga que parezca LEGIT. Haz que parezca que te importa cuánto estás gastando, porque
a la gente sí le importa eso. Si registra una cuenta y luego, de inmediato, compra una
computadora portátil con un valor de $ 1500, no puede esperar que lo aprueben.
Explicaré más detalladamente todo esto en esta guía.

CONFIGURACIÓN DE VIRTUALBOX EN WINDOWS Y MAC OS X

Me doy cuenta de que la mayoría de las personas no llegarán tan lejos como lo requiere la configuración
anterior. Y aunque eso es muy lamentable, es un hecho que no puedo pasar por alto. A continuación,
describiré una configuración buena, pero mucho más fallida e insegura. Desafortunadamente, OS X y
Windows son sistemas operativos de código cerrado y, en particular, Windows está lleno de exploits y
vulnerabilidades de día cero que los agentes del orden pueden explotar fácilmente. Sin mencionar que estos
sistemas operativos están llenos de puertas traseras de la NSA/FBI/CIA y simplemente no son seguros desde
el punto de vista de la privacidad, proceda con precaución y, lo que es más importante, ATENCIÓN a los
detalles. No te saltes ningún paso.

Ahora, cuando se trata de la configuración de Virtual Box, lo primero que debe hacer
es, obviamente, descargar Virtual Box (https://www.virtualbox.org/wiki/Downloads),
luego descargar VeraCrypt (https://www .veracrypt.fr/en/Downloads.html) y cree un
volumen cifrado oculto con al menos 30 GB de espacio, luego monte ese volumen
cifrado oculto. Luego, descarga WinISO
(http://www.winiso.com/download.html), y busque en Google "Número de serie de WinISO"
para que pueda completar el siguiente paso. A continuación, descargue MagicISO (http://
www.magiciso.com/download.htm), obtenga un .iso de Windows 7 y grábelo en un medio de
arranque en un CD en blanco usando WinISO. Luego monte el .iso en la unidad virtual usando
MagicISO.

Luego, cree una nueva máquina virtual en Virtual Box y asígnele el nombre que desee. Vaya a
la configuración y en "Sistema" use al menos 2 GB de RAM para la memoria base. En el orden
de arranque, use HDD y CD/DVD. Luego, vaya al almacenamiento y agregue la letra de su
unidad virtual donde montó el .iso en el controlador: IDE. En "Red", elija

BAILOPAN@EXPLOIT.IM 24
NAT y actualice la dirección MAC (actualice cada vez que inicie la
máquina). Luego, instale Windows 7 en la máquina virtual.

Una vez que haya hecho todo eso, mueva los archivos .vdi al volumen oculto cifrado
de VeraCrypt. Luego, en la máquina virtual de Windows 7, instale TMAC para
cambiar la dirección MAC cada vez que se conecte a Internet.
(https://technitium.com/tmac/ ), CCleaner y Bleachbit para limpiar sus cookies y datos
temporales.

Luego, cada vez que inicie la máquina, vaya al CMD de Windows 7 y escriba estos
comandos:

ipconfig /liberar
ipconfig/renovar
ipconfig /flushdns

Una vez que haya completado todos estos pasos, descargue la VPN de su elección e instálela
en su máquina virtual recién creada. También puede obtener otra VPN e instalarla en su
sistema operativo principal, de esa manera tiene 2 VPN para mayor seguridad. Recomiendo 2
proveedores diferentes, y asegúrese de usar un correo electrónico anónimo que no se pueda
rastrear hasta usted, y solo pague con BTC limpios.

Desde esa máquina virtual, conéctese a un RDP yendo al menú Inicio y escribiendo "Escritorio remoto"
en el cuadro de búsqueda. Cuando aparezca "Conexión de escritorio remoto" en los resultados de
búsqueda, haga clic en él. Luego, ingrese la dirección IP de la computadora de destino y presione
conectar. Ingrese las credenciales de inicio de sesión, haga clic en Aceptar y debería estar dentro del
RDP.

Ahora que ha configurado su OPSEC, le enseñaré cómo realizar una tarjeta

con éxito.

BAILOPAN@EXPLOIT.IM 25
Como mencioné anteriormente en la sección del diccionario de fraude de esta guía, la tarjeta
virtual es el proceso de comprar bienes físicos o digitales en línea usando los detalles de la
tarjeta de crédito/débito de otra persona. Sin embargo, hay MUCHO más. No puede
simplemente obtener los detalles CVV de alguien e ir de compras, eso no funcionará y solo
conducirá a tarjetas quemadas y transacciones rechazadas. Hay muchas cosas que debe tener
en cuenta y en este capítulo entraré en detalles sobre cómo funciona exactamente todo esto.

El objetivo principal de un carder es engañar a los sitios web para que piensen que es el propietario
legítimo de un CVV. Este es el aspecto más importante del cardado, porque si no puedes hacer eso,
nada más funcionará. Para poder engañar al sitio web, hay un par de cosas que debemos tener en
cuenta.

• Necesitamos usar un Windows 7 residencial pirateado extra limpio RDP (disponible en

xDedic, nuevamente, si no tiene una cuenta allí, solo envíeme un mensaje y podemos
resolver algo). Windows 7 es el 2Dakota del Nortesistema operativo más usado que existe hoy
en día, justo detrás de Windows 10, por eso lo estamos usando. Queremos aparecer lo
más genéricos posible en el sitio web, y nunca parecer un usuario "único", ya que eso
aumentará nuestra puntuación de fraude. Un RDP RESIDENCIAL es esencial, porque ya
tiene una huella digital de un usuario legítimo, lo que le dirá al sitio web que somos una
persona real, desde una ubicación real, con una computadora real, y no un estafador
usando un servidor proxy en un máquina virtual.

• Deberíamos usar Firefox o Chrome para transacciones fraudulentas dentro de nuestro

RDP pirateado. La razón de ello es que, una vez más, queremos que el sitio web parezca
lo más genérico posible, y esos navegadores son actualmente los navegadores más
utilizados que existen. Es importante tener en cuenta que no se deben realizar cambios
en esos navegadores, y no se deben instalar complementos, debe usarlos COMO ESTÁN
POR DEFECTO.

BAILOPAN@EXPLOIT.IM 26
• Con Firefox o Chrome dentro de su RDP, navegue a dnsleaktest.com e ipleak.net, luego
realice pruebas para ver si su ubicación real tiene fugas. Luego navegue a whoer.net y
verifique su puntaje de anonimato, debe ser del 100%. A veces no será debido a la
diferencia de zona horaria entre su ubicación de IP y la hora del sistema, si eso sucede,
simplemente cambie la hora del sistema para que coincida con su ubicación de IP y
vuelva a realizar una prueba, entonces debería decir 100% en tu puntuación. Debe hacer
esto cada vez que desee realizar una transacción fraudulenta.

• Ahora obtenemos un CVV que está cerca de la CIUDAD y el ESTADO en el que se encuentra
nuestro RDP. Ejemplo, si tenemos un RDP ubicado en MIAMI FL, queremos un CVV de MIAMI
FL. El nivel del CVV que necesita obtener dependerá mucho del valor de la transacción que
desea realizar. Una tarjeta que se usaría para comprar boletos de cine/entrega de alimentos
en línea no es la misma tarjeta que usaría para comprar una computadora portátil de $1000.
Sin embargo, una tarjeta que se puede usar para comprar una computadora portátil de $
1000 aprobaría fácilmente una pequeña transacción de compra de boletos de cine / entrega
de alimentos, pero nunca usaría una tarjeta como esa para tales fines a menos que no sepa
lo que está haciendo. .
• Si va a realizar una tarjeta con un valor de $500 o más, deberá obtener una tarjeta gratis.
. edu email registrado a nombre del titular del CVV navegando al sitio webhttp://
home.ccapply.org y seleccionando Cuesta College en el menú desplegable (esto cambia
de vez en cuando, por lo que es posible que Cuesta no funcione para usted, si no prueba
con otras universidades y una de ellas eventualmente funcionará). Desde allí, solicita
ingreso a la universidad y, para obtener el Número de Seguro Social (SSN), navega a
http://generadordenombresfalsos.com/ , seleccione MASCULINO/MUJER y luego presione
GENERAR. Esto generará una nueva identidad, a partir de la cual solo necesita el SSN, que
se verá así 427-70-XXXX. Simplemente sustituya el XXXX por cualquier número y eso
debería funcionar bien. Complete todo el resto con la información falsa (teléfono,
dirección, etc.), solo proporcione el sexo correcto. Si tiene su SSN, también puede usarlo y
será una GRAN ventaja. Para el correo electrónico, puede usar disroot.org, navegar a su
sitio web, crear una nueva cuenta con el nombre del titular del CVV y usarla para
registrarse en la universidad. Pronto recibirá en ese correo electrónico los detalles de su
dirección de correo electrónico @.my.smccd.edu recién creada.

BAILOPAN@EXPLOIT.IM 27
• Si el método de correo electrónico .edu no parece funcionar para usted, simplemente puede
registrar un dominio con ipage.com y usar un correo electrónico .org que el proveedor del
dominio le permitirá generar. También puede generar tantos correos electrónicos .org como
desee con su dominio, simplemente haga que el nombre del dominio sea legítimo, comohttps://
nmnenterprises.org ohttps://pierceandassociates.com/ . Para registrar el dominio, siga los
mismos pasos descritos anteriormente y regístrese con el proveedor del dominio con un correo
electrónico de Yahoo a nombre del titular del CVV.
• Una vez que tenga listo el correo electrónico, finalmente estará listo para realizar la
transacción fraudulenta. Navegue hasta el sitio web que desea registrar. Si está
comprando algo que vale $200 o más, primero debe crear una cuenta en el sitio web
usando el correo electrónico .edu/.org, navegar por el sitio web para parecer un
comprador real, esperar 2 días y navegar por el sitio web durante esos 2 días durante al
menos 30-40 minutos mirando productos, poniendo cosas en su carrito, etc. Después de
haber hecho eso, puede continuar con la transacción.
• Tenga en cuenta que, como mencioné anteriormente, algunos sitios web no aceptarán
transacciones en las que las direcciones de facturación y envío estén demasiado alejadas
entre sí (30 millas ya es demasiado). Si obtiene una tarjeta con una dirección de
facturación a menos de 30 millas de su dirección de entrega, tiene mucha suerte y puede
continuar. De lo contrario, deberá llamar al banco utilizando un número de registro
falsificado (suplantación del número del titular del CVV) y pedirles que agreguen una
dirección de envío temporal/una dirección de facturación adicional a la cuenta. Deberían
poder hacer eso por usted, a menos que sea Bank of America, he tenido problemas antes
de hacer eso con BoA. Le pedirán que cambie la dirección de facturación por completo.

• Para el teléfono desechable, depende completamente de usted comprar un teléfono

por $ 40 dólares en algún lugar como Wal-Mart o ir a Amazon y comprar un teléfono
como este (https://www.amazon.com/Phone-4-5mm-Ultra-Pocket-Black/dp/
B00JN82EFO ) que puede usar durante un mes y destruirlo por completo cuando
termine con carding para algunos sitios web/CVV. Para la tarjeta SIM, puedes ir a T-
Mobile y pedirles el plan mensual de $30 (asegúrate de mostrarles tu teléfono para
que te den la tarjeta SIM correcta y SIEMPRE pagues en efectivo, incluso puedes ir un
paso más allá y use una sudadera con capucha cuando vaya a la tienda para mitigar
la amenaza de las cámaras).

BAILOPAN@EXPLOIT.IM 28
 • Para suplantar su número de teléfono, puede utilizar el servicio https://
www.spoofmyphone.com/ te permiten pagar con BTC y son muy confiables.

• Antes de comprar su RDP, SIEMPRE verifique su puntaje PROXY, RIESGO y

FRAUDE. Puede consultar todo eso a través del sitio web de xDedic (si no tiene
una cuenta allí, contácteme y podemos resolver algo).

CVV

Hay muchos sitios web hoy en día en la web que le venderán CVV robados. Sin
embargo, el problema con estos sitios web es que la mayoría de las veces te venderán
CVV que están muertos o que son una completa mierda. Lo sé por mi propia
experiencia personal con estos sitios web, por lo que me he rendido por completo con
ellos. El único que actualmente puedo recomendar con buena conciencia es Yale Lodge
(https://yalelodge.cm/ ), sin embargo, el registro está cerrado en este momento, y he
hablado con el propietario, actualmente no está vendiendo registros, pero lo hará muy
pronto por 300-400 dólares (ese dinero se agregará a su saldo en el sitio web ).
Entonces, si desea comprar el registro, siga revisando el sitio web.

Soy un hacker experimentado y me he aprovechado muchas veces de las fallas en los sistemas
de seguridad de los sitios web para piratear sus bases de datos. Dicho esto, actualmente tengo
en mi poder más de 70k CVV y más de 50k volcados a la venta de diferentes bases de datos en
línea. Verifico la validez de mis CVV cada vez antes de enviarlos a mis compradores, para que
pueda estar seguro de que obtendrá tarjetas válidas de mí.

Para consultar el saldo de una tarjeta y verificar su validez, simplemente puede llamar al banco al
que pertenece la tarjeta usando su teléfono desechable. Digamos que es Chase, llamas al banco
Chase y usas el aviso automático escribiendo tu número CVV y tu código postal. A partir de ahí, el
indicador automático le indicará el saldo de la tarjeta, su línea de acceso al crédito, el monto de las
autorizaciones de transacciones pendientes y las transacciones recientes. Debe tomar nota de las 8
transacciones más recientes en caso de que lo necesite. También es bueno conocer los patrones de
gasto del titular de CVV para que podamos imitarlo. Esto hará que las cosas parezcan mucho menos
sospechosas para el banco.

BAILOPAN@EXPLOIT.IM 29
NIVELES DE TARJETA

Cuando se trata de cardar, hay 3 niveles diferentes. Cada uno de ellos se describe y
explica a continuación.

CARDADO NIVEL 1: Este es el punto de entrada para la mayoría de los carders, incluye pedidos de
pizza, entradas para el cine y compras pequeñas por menos de $50. Esto se considera una tarjeta
muy fácil y, por lo general, solo necesitará los detalles del CVV, junto con la dirección de facturación
completa del CVV.

CARDADO NIVEL 2: Esto sería una tarjeta intermedia e incluye cosas tales como informes de
antecedentes de tarjetas, informes de crédito o productos físicos con un valor inferior a $200.
Para esto requerirá los mismos datos que CARDING NIVEL 1. Sin embargo, variará dependiendo
del sitio web que estés cardando. Diferentes sitios web tienen diferentes medidas de seguridad
para frenar las transacciones fraudulentas y requerirán estrategias específicas.

CARDADO NIVEL 3: Este es un cardado avanzado y no se recomienda para principiantes. Las

cosas que entran en esta categoría son, por ejemplo, productos físicos de alto valor por
encima de $ 400 y todo lo que se encuentra en sitios web de alta seguridad como Amazon,
Newegg, TigerDirect, etc. Todos estos sitios web requerirán que realice un ATO (Account -Take-
Over) en la cuenta del titular de CVV. Esto requerirá que tenga los detalles de CVV, la dirección
de facturación completa, junto con el DOB, MMN, SSN de la víctima y el informe de
antecedentes. Para ello siempre es bueno obtener la mayor información posible sobre la
víctima, ya que tendremos que llamar al banco y realizar cambios en la cuenta del titular para
hacerse cargo. Esto se explicará con mucho detalle más adelante en esta guía.

BAILOPAN@EXPLOIT.IM 30
NIVELES CVV

Como se mencionó anteriormente en esta guía, se utilizan diferentes tarjetas para diferentes
propósitos. Nunca usaría una Signature Visa, con una línea de acceso de crédito de $30,000 para
tarjetas de entradas de cine o pizza. A continuación, describiré todos los niveles de cartas que existen en
la actualidad. Es importante mencionar, que para compras de alto valor SIEMPRE debe buscar TARJETAS
DE CRÉDITO. Las tarjetas de débito no son buenas para realizar estas compras de alto valor en línea. Sin
embargo, aún podrían tener muchos usos, como la compra de informes de antecedentes, informes de
crédito y todas las compras por debajo de $200.

CLÁSICO–Las tarjetas clásicas son reconocidas y aceptadas por una gran cantidad de
comerciantes en todo el mundo, incluido Internet. Esta tarjeta suele ser utilizada por
estudiantes, parejas jóvenes o personas que intentan establecer un crédito. Los límites de estas
tarjetas suelen rondar los $1000.

ORO–Una tarjeta premium utilizada por personas de todo el mundo. Con límites de gasto más altos
y mayor poder adquisitivo, la tarjeta Visa Gold es la elección de los consumidores que quieren más
de sus tarjetas. El límite promedio de este tipo de tarjeta es de $3000.

PLATINO–Platinum es una de las mejores cartas que existen. El límite promedio podría ser de
alrededor de $ 8000.

NEGOCIO–Límites muy altos, a menudo alrededor de $15,000

CORPORATIVO–Esto es utilizado por las grandes corporaciones. Los límites también suelen rondar
los $ 15,000.

FIRMA–El 2Dakota del Nortemejor tarjeta alrededor. Recibí muchas tarjetas de firma con un límite
de $30,000.

PRIMER MINISTRO–Igual que Firma. Los límites suelen ser de $30,000.

BAILOPAN@EXPLOIT.IM 31
INFINITO–Esta es absolutamente la mejor tarjeta que existe. Sin embargo, es increíblemente
difícil de encontrar. Si consigues hacerte con uno de estos, tienes mucha suerte. Por lo general,
no hay límites para tales tarjetas.

Es importante tener en cuenta que todos estos números están sujetos a cambios según el
puntaje crediticio, el historial y el patrón de gastos del sujeto.

BAILOPAN@EXPLOIT.IM 32
Como se mencionó anteriormente en esta guía, la TARJETA DE NIVEL 1 incluye cosas como
pedir comida en línea, comprar boletos de cine y tarjetas de productos con un valor inferior a
$50. En este capítulo, le mostraré el proceso por el que paso cuando realizo una transacción
de nivel 1. Para esto, estaré cardando 2 boletos de cine en el sitio web https://
www.fandango.com/ .

1. En primer lugar, nos dirigiremos al sitio web de correo de Yahoo para crear un nuevo correo
electrónico a nombre del titular del CVV. Tenga en cuenta que ya estoy dentro del RDP
residencial pirateado limpio cerca de la dirección del titular de CVV en este momento. Y revisé
mi configuración en whoer.net y dnsleaktest.com según las instrucciones (algunas partes de
las imágenes se han borrado para proteger mi privacidad). Amplíe las imágenes si es
necesario.

BAILOPAN@EXPLOIT.IM 33
BAILOPAN@EXPLOIT.IM 34
2. Ahora nos dirigiremos a lahttps://www.fandango.com/ web para conseguir
nuestras entradas. Asegúrese de "permitir ubicación" en el navegador. El resto
es bastante sencillo, solo busque boletos para la película en particular que
desea en el ZIP en el que desea verla y vaya a pagar.

BAILOPAN@EXPLOIT.IM 35
3. Una vez que estemos en la caja, debemos completar la transacción dentro de los 7 minutos
(fandango tiene un temporizador, como puede ver en la imagen). Asegúrate de NO copiar y
pegar los detalles del CVV, escríbelos como lo harías como un comprador normal. Lo mismo para
el nombre, la fecha de vencimiento y todos los demás detalles. Por cierto, para esta transacción
específica utilicé una TARJETA DE CRÉDITO VISA CLASSIC.

BAILOPAN@EXPLOIT.IM 36
4. Como puede ver, mi transacción ha sido exitosa, ¡y la suya también! Si recibe
una transacción rechazada, hizo algo mal. Vuelve atrás, vuelve sobre tus
pasos y comprueba dónde te has resbalado. Si tuviste éxito, ¡diviértete en el
cine!

BAILOPAN@EXPLOIT.IM 37
Ahora que hemos dejado de lado los conceptos básicos, podemos pasar al NIVEL 2 DE
TARJETAS, que como se mencionó anteriormente involucra cosas tales como informes de
antecedentes, informes de crédito y productos físicos en el rango de $ 100- $ 200 dólares. En
este tutorial, demostraré 2 transacciones exitosas del INFORME DE ANTECEDENTES y una
transacción exitosa de $100 dólares en el sitio web. https://www.jcrew.com/ . Nuevamente,
algunas partes de las imágenes fueron borrosas para proteger mi privacidad.

1. Vamos a comenzar con el informe de antecedentes. Entonces, antes que nada, verificaremos
nuestra configuración yendo a whoer.net y dnsleaktest.com y realizando las pruebas como
se indicó anteriormente.

2. Una vez que esté fuera del camino, navegaremos al sitio web en el que queremos registrar el
informe de antecedentes. En mi caso, este sitio web es
https://www.peoplefinders.com/ yhttps://www.infotracer.com/ . A continuación, buscaremos
el nombre de nuestro objetivo y compraremos su informe de antecedentes.

BAILOPAN@EXPLOIT.IM 38
BAILOPAN@EXPLOIT.IM 39
BAILOPAN@EXPLOIT.IM 40
1. Ahora pasemos a la siguiente transacción exitosa en el sitio web https://jcrew.com/ . Primero,
navegaremos al sitio web y crearemos una cuenta allí con un correo electrónico
@yahoo.com. Una vez hecho esto, navegaremos a la página de detalles de la cuenta y
agregaremos los detalles CVV y la dirección de facturación de la víctima a la página de pago
y lo guardaremos en la cuenta como método de pago predeterminado. Recuerde hacer todo
esto y los pasos a continuación en su RDP pirateado real, o no funcionará. Estos sitios web
registran su dirección IP y aumentarán su puntaje de fraude, lo que conducirá a una
transacción rechazada si la cambia constantemente o incluso una vez.

2. A continuación, buscaremos en el sitio web algo que queramos comprar. Necesitamos actuar
como un comprador real para engañar al sitio web para que piense que somos un
comprador real, por lo que pasaremos 1-2 horas mirando el sitio web, agregando cosas a
nuestro carrito, eliminándolas y luego dejaremos 1-3 productos. en nuestro carrito,
preferiblemente lo que queremos comprar y dejar reposar la cuenta por 1 día.
3. Al día siguiente, realizaremos nuestra compra. Navegue al sitio web, mire a su alrededor
durante unos 30 minutos a 1 hora y luego haga su compra, tal como se muestra en la
imagen a continuación. Debería haber tenido éxito, y este tipo de transacción no requerirá
que la dirección de facturación sea la misma que la del envío, ya que no estamos haciendo
una compra de más de $200 dólares. NUNCA copie y pegue los detalles del CVV, ya que el
sitio web puede decirle fácilmente que lo ha hecho y aumentará su puntaje de fraude.
Siempre escriba todo como lo haría un comprador normal con un CVV en su mano. No
recomiendo hacer sus compras durante la noche o en el horario de la mañana a menos que
sean las 8 AM o más tarde EN LA ZONA HORARIA DEL TARJETAHABIENTE, la razón de esto es
porque estos sistemas de fraude analizan literalmente todo y las personas rara vez compran
durante estas horas. Además, absténgase de hacer compras durante el fin de semana,
hágalo SOLO EN LOS DÍAS DE LA SEMANA (lunes a viernes). Un pequeño desliz podría hacer
que lo rechacen. Siempre hay que estar diez pasos por delante de los sistemas de fraude de
sitios web. Y asegúrese de elegir siempre el método de envío más rápido disponible. Para
este pedido de Jcrew, elegí la noche a la mañana y llegó al día siguiente a mi entrega.

BAILOPAN@EXPLOIT.IM 41
BAILOPAN@EXPLOIT.IM 42
BAILOPAN@EXPLOIT.IM 43
BAILOPAN@EXPLOIT.IM 44