Статья Уникальный способ добычи трафика.

[KGMT_LorD]

Подскажите где хорошие базы искать?)
Нужны же и логины и пароли. Откуда начать

 

[KGMT_LorD]

С этим разобрался, а какие вообще шаблоны люди используют под фиш ба?
А в моем случае я даже не буду знать с какой они страны например и что у них за банк)

 

[24cracked]

Источник: xss.pro
Автор c43amg

Приветствую тебя, читатель!
Это моя первая авторская статья на данном форуме, в ней я поведаю вам о уникальном способе добычи бесплатного трафика. Рассмотрим так же возможные методы монетизации этого трафика. Способ мой личный и я работаю по нему уже длительное время.

- Суть моего способа и его возможности​

Мы будем искать доступы в различные CRM системы, анализировать системы, анализировать жертву, осуществлять пролив по клиентам жертвы от её имени.

Возможностей невероятное множество - все они зависят от функционала системы в которую нам удалось проникнуть. Мы можем встретить возможность рассылки SMS-сообщений, сообщений в мессенджеры, сообщений в другие сопутствующие приложения, сообщений на электронную почту.

Самое важное тут то, что такая рассылка будет иметь высокий траст скор, в связи с тем что она не рассылается с левых номеров и почт.

Если вас заинтересовала статья, рекомендую её дочитать до конца, так как я буду разбирать все шаги по порядку.

- Шаг 1 Поиск доступов​

Итак, начинаем поиск наших жертв. Первым делом нам нужно обратиться к поисковику и попросить выдать нам CRM системы. Не стоит кидаться на самые крупные, так как там уже давно ввели 2FA (не на всех). Начинать я бы советовал с систем среднего размера. Могу посоветовать сервис Capterra - это список всех ПО, с возможностью сортировки по популярности. В этом сервисе мы сможем увидеть сразу доступен ли нужный на функционал.

Посмотреть вложение 82397

Тут мы видим сразу, что присутствует функция отправки писем, списки контактов и т.п.
Выбрав несколько платформ, мы переходим к их первичному анализу.

Переходим на главную страницу и ищем кнопку входа.
К слову, иногда её нет, но страницу логина можно найти через гугл запросом «nazvaniesaita login»
Посмотреть вложение 82398


После мы можем наблюдать четыре варианта развития событий:

Введите лог/емэйл:пасс - это нам подходит, можем переходить к поиску запросов.
Введите лог/емэйл:пасс:код компании - это нам не подходит, потому что узнать код компании скорее всего у нас не выйдет без доступа к почте.
Введите лог/емэйл:пасс:домен компании - это нам может подойти, так как в URL:LOG:PASS базе может быть в поле URL именно тот самый домен.
Перейдите на домен компании чтобы зайти - то же самое, просто для страницы входа мы используем URL компании из базы.

Теперь мы берём собственно наш запрос с этой страницы и идём его искать при помощи ПО в базах url:log:pass.
В моём случае такой запрос получился (выделен):
Посмотреть вложение 82399

После сорта софтом получаю результаты и проверяю их.

Необходимо перебрать все найденные результаты и получить доступ к каким-то аккаунтам. На этом этапе мы сможем понять, возможно ли вообще работать с этим запросом или нет.

В процессе перебора, если удалось войти в аккаунт, значит платформа нам подходит, будут встречаться платформы где обязательная 2FA всегда, в таком случае платформа нам не подойдёт.
* Можно потыкать на все линки на странице 2FA, пытаясь её обойти, мне однажды удалось обойти таким образом её на одной платформе.
** Если один раз выбило 2FA, пробуйте другие аккаунты, бывало такое, что на 10 акках 2FA, и один открыт.

Шаг 2 - Анализ платформы​

Вот мы и нашли наши аккаунты, зашли на них, и видим различные картины, в зависимости от типов деятельности наших жертв.

Первым делом в процессе сорта я бы создал отдельный файл для каждой платформы и записал доступ и краткое описание по нему (сколько клиентов/чем занимаются/уровень прав пользователя). У нас будут встречаться обычные работники и админы, понять можно сразу, у обычного много функций урезано и нет доступа к управлению настройками CRMки, а у админа всё есть.

Предположим у вас есть два доступа : 1000 клиентов и 100к клиентов.
Берём маленького и идём изучать систему.

Спойлер: Что нужно понять - Чеклист :

Есть ли возможность отправлять клиентам смс.
Есть ли возможность отправлять клиентам сообщения в приложения связанные если такие есть (например, вам может попасться црм с интеграцией airbnb).
Есть ли возможность отправлять с корпоративной почты сообщения на почты клиентов и партнёров.
Смотрим какие данные есть о клиентах, выгружаем все списки, проверяем на наличие фотографий документов клиентов и наличие платёжных данных.
В зависимости от специфики смотрим есть ли любая другая ценная инфа, которую можем продать.

Краткое пояснение.
В 99% случаев, CRM позволяет слать с корп почты и корп телефонов смс и письма, но это может быть ограничено действующей подпиской или же просто может не быть привязанной корп почты.
В некоторых случаях вы можете вытащить большую базу клиентов, где-то можно вытащить их фото документов, где-то можно даже получить доступ к кредитным картам.
Если вам показалось что это фантастика, то я вас удивлю, я такого нашёл очень много.



! Не анализируйте платформу с большого аккаунта, чтобы он вдруг не отлетел, изучайте и тестируйте с маленьких аккаунтов. Не рекомендую регистрировать бесплатные триалки для теста, так как если вы не можете найти доступы валидные для теста, то и впринципе добывать вам их будет сложно, переходите к другому сайту.

В некоторых случаях не будет возможности разослать всем и сразу одно сообщение, и может придётся тыкаться с каждым, это уже зависит от платформы.

Шаг 3 - Анализ жертвы​

Я надеюсь, вы нашли свои доступы и уже готовы проливать, но вот тут возникает вопрос, что проливать чтобы конверсия была максимальной?
Я вам скажу так, при наличии фантазии и энтузиазма можно залить всё что угодно.

Первым делом, давайте изучать жертву:
Найдите его сайт в сети, погуляйте, посмотрите что он продаёт
Вычислите его гео
Узнайте что он продаёт больше всего или какие его услуги пользуются наибольшей популярностью

Собрали информацию? Теперь дело за малым - придумать оффер.

Шаг 4 - Методы монетизации​

Монетизировать трафик можно разными путями, и я советую ознакомиться с каждым из них, чтобы иметь полный арсенал. Так как не все сферы деятельности жертв подойдут под определённый метод монетизации.

Однозначно - нам нужны деньги

Поехали:

- Drainer​

You can get quite a lot of accesses suitable for the drainer.
From real life examples, I came across access to the CRM of a company engaged in blockchain projects, this is actually a gold mine for an offer for a drainer, but due to inexperience, access died before I could spill it.

You need to think over your offer in great detail, present everything very well, and make a high-quality landing page specifically for one channel.

After the company analysis you did in the last step, you should already understand whether your audience fits the crypto offer.


I would recommend choosing Virtisfjrosd. A plus for you will be a large number of landing pages that can be quickly adjusted to your offer.
In detail how to work with Virtisfjrosd I considered duk, whose articles I really like, the information is presented clearly and I have nothing to add here. /threads/111409/

Let's talk more about offers. In fact, if you really want to, you can screw any topic under the drainer, for example, if your victim is selling something.

As an example, the offer will look like this:

Dear friends!
We are pleased to inform you that we now accept payments in cryptocurrency!
In honor of this event, today there are 70% discounts on all products paid with cryptocurrency.
Go to the store.

Again, I'm just writing a text, your offer should be high-quality and thoughtful.
Keep in mind that such an offer will have a lower conversion, since it will be of interest only to those who know what crypto is, and there may not be so many of them in such a store.

- Bank card phishing​

Almost every access is suitable for this topic, an offer can be invented for absolutely every project.

Since everyone is suitable here, you can complicate the psychology a little.
After analyzing your victim, try to come up with an offer that will put psychological pressure on the victim.

Your offer should have visible consequences in case of refusal, for example, problems with the law, blocking of cards. In this case, the conversion will be much higher.
Depending on the offer, you can add different custom fields that can then be useful in the drive-in, such as address, zip, etc.

What to do about it? There are different teams, people who are currently looking for a card with an otp (SMS code or push notification). You can negotiate with them, and drive traffic to the fish, in live mode they will hammer cards with otp.

I recommend selling the collected CC+CVV cards in the Authorize shop, which is present on this forum. There are many advantages of working with it, specifically in this case, the shop is suitable because you can load a different amount of mat, stuff 20 pcs. - pour 20 pcs.

- Database collection​

Any valuable information you gather may be of interest to competitors or authorities. First of all, you can try to offer to buy all the information to the victim himself, hinting at how it will result in him. If not, you can try to sell to competitors. If not, you can sell the database on the forum or in the dark.

Conclusion​

Using this method, you can upload hundreds of thousands of emails and messages in one click, with a very high trust speed.
You may have noticed that I did not give you a single relevant link to the CRM I work with, there are plenty of them, search yourself, try and test.

As for ULP databases - there are many of them in the public domain, as soon as your request ends, you can buy it from personal logs for a conditional couple of dollars.

Ask questions, I will be happy to answer.

Спойлер: Small addon

There are a few more nuances that I did not tell.

About the bandage:
I do not recommend relinking accounts, since sometimes after a spill access to them is preserved, and this is good, you can spill again or use the account for other purposes.

Additional. monetization:
Just yesterday I came across an account where it is possible to bulk email with the addition of a file in the attachment, you can distribute any malware, in fact, under any pretexts.

About the neighbors:
In the entire history of my work, I have not met a single neighbor, perhaps because accounts in 60% of cases die after working with them. Perhaps after the publication the neighbors will appear, but as I said above - I do not recommend changing access and linking the account, since it will 100% die when a legitimate user cannot get into the panel. Neighbors can be identified by mailing logs, letters delivered to customers.

About other accesses:
Having taken access to one account, do not be lazy to comb through all the databases for other requests from the same user. It is also good for searching for new CRM systems or similar systems, since the user uses at least two different systems in practice.

Infection of corp. System:
It all depends on the individual case, I didn't do it, but it's possible.

hi i am working on pay per install