о рынке торговли доступами

[Che]

Листаю торговую ветку и вопрос, это единственный рынок сбыта? Вот эта похабщина? Половина топиков под деп закрыты, но висят на виду, нет никакого стандарта описания товара, караул.

Вопрос, существуют ли ресурсы где продают и покупают корп доступы, площадка которая занимается именно этой веткой? Понимаю что форум информационный а не коммерческий, так что это не камень в огород, говорю что вижу.
ХЗ как можно найти состоятельного партнера\покупателя, когда ему нужно рыться в складе мертвых топиков с разношерстным описанием.
Если кто знает хорошие ресурсы, прошу подсказать где они находятся, спасибо

 

[IT-user]

Так это везде такое. Кидалы каждый день создают акки, темы и т.д. Как ты от этого убежишь - никак. Разовые продавцы, у них с деньгами не так сладко, поэтому и дэп внести не могут. И кидала где-то в этой же грядке ходит.
Анализируй рынок, понадобится не так много времени, чтобы понять кто шерсть, а кто толковый.
Соответственно пообщавшись, кого ты для себя выделил.

 

[Che]

Так это везде такое.

Согласен полностью, новичкам рынок закрыт ( если нет депозита, а депы нынче такие ставят что " не так уж и хотелось торговать") а покупателю выход один, держаться нескольких стабильных поставщиков. Монополия какая-то)))
Спрашивая о ресурсах я представлял себе шоп, в котором продавцы могут иметь репутацию\деп и.т.д. и выставлять товары в одной доске и честно конкурировать в цене, но я так понял, такого пока не создано, а жаль

 

[bablapoisk]

Согласен полностью, новичкам рынок закрыт ( если нет депозита, а депы нынче такие ставят что " не так уж и хотелось торговать") а покупателю выход один, держаться нескольких стабильных поставщиков. Монополия какая-то)))
Спрашивая о ресурсах я представлял себе шоп, в котором продавцы могут иметь репутацию\деп и.т.д. и выставлять товары в одной доске и честно конкурировать в цене, но я так понял, такого пока не создано, а жаль

Ты всегда можешь взять это дело в свои руки.

 

[xmpp]

эта тема полутра человек))))) остальные свои грошики царапают и молчат
мертвая тема собстно хоть и прибыльная на самом деле
подождем следующего большого цикла если доживем
интересно что будет там)

 

[admin]

Доступы - это один из этапов. Помните рынок icq номеров? Траффик, лоады? Ажиотаж вокруг связок с пробивом в IE 90%? Скупку чеков ukash и psc (Paysafecard)? На каждом временном отрезке популярные группы товаров привлекают очень разных людей. Вводить какие-то стандартны на не тематическом для этого рода деятельности форуме нет никакого смысла. А ещё и не коммерческом форуме по своей сути. Для этого есть отдельные форумы по направлениям (античат-соц.сети, доступы-рамп, игровые аккаунты-лолз и т.д.) Возможно, это стоит делать там. Поддерживаю xmpp, правильно сказал, в следующем цикле будут другие ажиотажные группы товаров. Кто заблаговременно угадает, тот молодец (если кому-то это нужно в финансовом смысле).

 

[bigheadguy]

в следующем цикле будут другие ажиотажные группы товаров. Кто заблаговременно угадает, тот молодец (если кому-то это нужно в финансовом смысле).

что будет дальше?

интересны предположения/гипотизы

 

[weaver]

Наверно стоит поискать не форум, а специализированный магазин. Я имею введу, вот как шоп цц и прочие на другие услуги. Время от времени такое появляется, но их закрывают соответствующие органы.

P.s.
Посоветовать такой шоп не могу, так как не знаю таких, да и безнадобности... Но как минимум такой шоп с доступами можно открыть самому... Я тут как то говорил, что при соответствующих навыках можно взять RCE уязвимость и сделать к ней эксплойт. Далее не зависимо от ценности доступа продавать каждый доступ по 50$, потому что если в сети условно 150к уязвимых таргетов, профит будет 7.500.000$ (150к * 50). И таким образом заполнить шоп товарами, так и отсортировать по гео.

 

[bablapoisk]

что будет дальше?

интересны предположения/гипотизы

про доступы начали говорить в чате и о том что не обязательно их самому добывать можно и скупать в чате у мака, так что нужно ловить вот такие темки когда они только только выплывают на ружу в чатах, мне даже о заливах как то рассказали задолго до того как тема вышла в паблик! обычно через общение с умными людьми можно темки вылавливать шикарные которые ещё в привате, так же можно смотреть кто что скупать только только начинает, мне вот по доступам уже очень давно писали что нужны вот такие то линки (я тогда даже не знал для чего они и зачем), вот так и ищешь новые темы по которым уже работают но они ещё только только начинают ебаца

 

[dedascrooge]

про доступы начали говорить в чате и о том что не обязательно их самому добывать можно и скупать в чате у мака, так что нужно ловить вот такие темки когда они только только выплывают на ружу в чатах, мне даже о заливах как то рассказали задолго до того как тема вышла в паблик! обычно через общение с умными людьми можно темки вылавливать шикарные которые ещё в привате, так же можно смотреть кто что скупать только только начинает, мне вот по доступам уже очень давно писали что нужны вот такие то линки (я тогда даже не знал для чего они и зачем), вот так и ищешь новые темы по которым уже работают но они ещё только только начинают ебаца

вылавливать то можно, да и собссно если ты честный и делишься профитом/выхлопом с тем кто тебя тянет и тоскает в это. но не все такие, каждый старается в чем то да наебать.
те же самые шопы на просторах - взять селлера который трулюет свой мат в несколько рук, и те же самые продавцы в шопах которые сами отрабатывают мат и всё равно его продают - вот это сейчас самый пиздец который творится на постой. взять старый добрый HTA который ушёл в закат в котором валид мата был неебическим, у всего есть начало и конец либо хороший либо со скамом. раньше был кпро и ксу и всего хватало, снесли, появился никому непонятный ввх - какието платные обучаторы которые по сути то сами ни*уя не умеют - дерут бабки за воздух.. и пошло и поехало... много примеров как хороших - так и плохих. что будет далее...

 

[bablapoisk]

вылавливать то можно, да и собссно если ты честный и делишься профитом/выхлопом с тем кто тебя тянет и тоскает в это. но не все такие, каждый старается в чем то да наебать.
те же самые шопы на просторах - взять селлера который трулюет свой мат в несколько рук, и те же самые продавцы в шопах которые сами отрабатывают мат и всё равно его продают - вот это сейчас самый пиздец который творится на постой. взять старый добрый HTA который ушёл в закат в котором валид мата был неебическим, у всего есть начало и конец либо хороший либо со скамом. раньше был кпро и ксу и всего хватало, снесли, появился никому непонятный ввх - какието платные обучаторы которые по сути то сами ни*уя не умеют - дерут бабки за воздух.. и пошло и поехало... много примеров как хороших - так и плохих. что будет далее...

старый добрый мемчик про HTA

а вот и про ввх

 

[qazwsx123]

никому из состоятельных не нужно нигде рыться. запостили тему, залили депозит 10к+ и ждут. вы им сами нужные доступы бесплатно занесете.

 

[bablapoisk]

никому из состоятельных не нужно нигде рыться. запостили тему, залили депозит 10к+ и ждут. вы им сами нужные доступы бесплатно занесете.

а потом отнесут эти доступы обработчикам

 

[lisa99]

можно взять RCE уязвимость и сделать к ней эксплойт. Далее не зависимо от ценности доступа продавать каждый доступ по 50$, потому что если в сети условно 150к уязвимых таргетов, профит будет 7.500.000$ (150к * 50).

не поняла -разве это так работает?
как только что-то можно получать в промышленных масштабах, цена падает до плинтуса - по моим наблюдениям.
Например, .........ну вот те же админки ВП - по 0,5-1 баксу, списки доменов, уязвимых роутеров и проч. копеечное.
Покупатели недовольны, ибо много шлака.

Ну и конкуренты. "Шодан уже задрочен" - популярная нехитрая мысль
Все не так шоколадно, как ты рисуешь в циферках (да, они мне нравятся).

И кстати, продавцы всяких размых доступов в хулиардерах почему то не ходят...

 

[weaver]

не поняла -разве это так работает?
как только что-то можно получать в промышленных масштабах, цена падает до плинтуса - по моим наблюдениям.
Например, .........ну вот те же админки ВП - по 0,5-1 баксу, списки доменов, уязвимых роутеров и проч. копеечное.
Покупатели недовольны, ибо много шлака.

Ну и конкуренты. "Шодан уже задрочен" - популярная нехитрая мысль

А что шодан? Тебе он нужен только для получения списков. Не у всех будет эксплойт, который ты сделал.

Все не так шоколадно, как ты рисуешь в циферках (да, они мне нравятся).

И кстати, продавцы всяких размых доступов в хулиардерах почему то не ходят...

Тут принцип скорее всего в том, что когда ты сделал сплойт и начинаешь его реализовывать ты берешь на себя риск в место того чтобы его продать. Плюс в том, что тут больше профит, нежели когда ты его продаешь. Я просто смотрел как-то отчет какой-то там... И там говорилось про рынок доступов и что самые дешевые доступы можно купить в районе где-то 50$. Всё как я и описал оно в принципи так и работает. Можно незаморачиваться с проверкой доступов, т.е. непроверять трастовый он или нет, чтобы не продать его еще дороже, скажем в место 50$ за те же 50.000$. Поэтому тут "такая же низкая цена", как и с шеллами будет, можно даже чуть поболее. теже 100$ почему так? Потому что сплойт, ты написал, и соответственно его в паблике нет. Отсюда и "уникальные доступы" уникальные они потому, что с твоего личного инструмента получены, доступ может и шлаком быть. Но это выгодно. Условно вместо того чтобы покупать доступ за 100.000$ за часть от этой суммы можно купить кучу доступов за 50$ и там могут попасться такие же жирные доступы. Да это рулетка. Но это гарантирует, что тебе не продадут дубли. Потому как при таком раскладе нет смысла продавать в несколько рук. Пока другие брутят, у тебя всё автоматизировано и получаешь всё в пару кликов.

______________________________________________________________________________

Ладно если не нравится такая схема, мы то люди хитрые. Можем поступить иначе. Берем опять делаем сплойт. Только на этот раз мы его будем продавать, в место того чтобы получать с него доступы.... Но при этом мы делаем ограничения в эксплойте. Чтобы он стрелял к примеру 250, 500 и 1000 раз. Когда он N-число отсрелял он перестает работать. И покупатеть к тебе снова обратится. Ну а цифры тут самому уже можно придумать более менее разумные. Сам сплойт будет бинарником, обмазанный всякими анти-реверсерскими штуками с привязками к железу. Это будет как раз таки модель о которых говорится в отчетах "эксплойт в аренду" (EaaS).

 

[LongNight]

А что шодан? Тебе он нужен только для получения списков. Не у всех будет эксплойт, который ты сделал.

Тут принцип скорее всего в том, что когда ты сделал сплойт и начинаешь его реализовывать ты берешь на себя риск в место того чтобы его продать. Плюс в том, что тут больше профит, нежели когда ты его продаешь. Я просто смотрел как-то отчет какой-то там... И там говорилось про рынок доступов и что самые дешевые доступы можно купить в районе где-то 50$. Всё как я и описал оно в принципи так и работает. Можно незаморачиваться с проверкой доступов, т.е. непроверять трастовый он или нет, чтобы не продать его еще дороже, скажем в место 50$ за те же 50.000$. Поэтому тут "такая же низкая цена", как и с шеллами будет, можно даже чуть поболее. теже 100$ почему так? Потому что сплойт, ты написал, и соответственно его в паблике нет. Отсюда и "уникальные доступы" уникальные они потому, что с твоего личного инструмента получены, доступ может и шлаком быть. Но это выгодно. Условно вместо того чтобы покупать доступ за 100.000$ за часть от этой суммы можно купить кучу доступов за 50$ и там могут попасться такие же жирные доступы. Да это рулетка. Но это гарантирует, что тебе не продадут дубли. Потому как при таком раскладе нет смысла продавать в несколько рук. Пока другие брутят, у тебя всё автоматизировано и получаешь всё в пару кликов.

______________________________________________________________________________

Ладно если не нравится такая схема, мы то люди хитрые. Можем поступить иначе. Берем опять делаем сплойт. Только на этот раз мы его будем продавать, в место того чтобы получать с него доступы.... Но при этом мы делаем ограничения в эксплойте. Чтобы он стрелял к примеру 250, 500 и 1000 раз. Когда он N-число отсрелял он перестает работать. И покупатеть к тебе снова обратится. Ну а цифры тут самому уже можно придумать более менее разумные. Сам сплойт будет бинарником, обмазанный всякими анти-реверсерскими штуками с привязками к железу. Это будет как раз таки модель о которых говорится в отчетах "эксплойт в аренду" (EaaS).

Cудя по тому как ломают софт, долго такой eaas не проживет

 

[weaver]

Cудя по тому как ломают софт, долго такой eaas не проживет

Так а смысл реверсить ? и тратить время, когда проще самому сделать?. Эксплойт может быть размещен на собственном сервере, а не у клиента. Получит прова где можно только запускать один бинарник и всё. А прова будут урезаны. Или веб-админка будет.

 

[lisa99]

Ладно если не нравится такая схема, мы то люди хитрые.

хитрые, канешн...
спасибо за развернутый ответ, но ты пояснил свои доводы, а не опроверг, или развеял мои сомнения =)

Немного поясню. Пытаюсь анализировать рынок даркнета, смотрю как люди зарабатывают. Ищу свою нишу - чтоб и морально приемлема, и по зубам была.
И если я найду, то займусь плотно.
Поэтому в данном случае я не от скуки продолжаю беседу, а для своего понимания, т.е. мои вопросы всерьез.

Еще раз. Что меня смущает.

если в сети условно 150к уязвимых таргетов, профит будет 7.500.000$ (150к * 50).

Не верится в это. Почему? Есть понятие "емкость рынка". То есть на сколько готовы выкупить товар потенциальные потребители в сумме. Турбины для электростанций, элитные квартиры/ноуты или доступы к шопам.

Уник эксплойт+автоматизация --> выхлоп по 50 зел. оптом - это все понятно и обосновано.
Непонятен процесс выкупа этих доступов.

1) Из личной беседы: юзер, у которого свои эксплойты, продает доступы (или бд), видимо, избранные. Не в паблике. Но я так поняла что эти самые лярды рублей он не получил.
Жаловался, что проблемы с покупателями. Хочется постоянных и оптом, чтобы поставить на поток. А это у него не всегда бывает.

2) даже за 50 баксов оптом в массмаркете будут скандалы. Таковы люди. Можно не пояснять, да?

3) За то время пока ты продаешь пачками по 50, успеет появится кто-то, кто продает по 30. Или по 500, но отборные. Ну оооочень крупные...

4) за то время пока тебе капает с продаж по 50, успели пропатчить уязвимость 50%, остальные 30% сменили софт, железо, админов и проч.

Пример. Появился продавец доступов к админке Мадженто старших версий. Вроде, по 300 баксов на заказ, насколько помню. Это ближе к твоей "хитрой" версии.
Очень интересно, сколько млн баксов он уже заработал? =)

то есть 7,5 лм - это очень оптимистично. или вообще нереально.
Поправьте, пож-та, что в моей логике не так?

 

[weaver]

1) Из личной беседы: юзер, у которого свои эксплойты, продает доступы (или бд), видимо, избранные. Не в паблике. Но я так поняла что эти самые лярды рублей он не получил.
Жаловался, что проблемы с покупателями. Хочется постоянных и оптом, чтобы поставить на поток. А это у него не всегда бывает.

Если ему хочется много и сразу. Пусть тогда чекает доступы какие трастовые , а какие нет.

2) даже за 50 баксов оптом в массмаркете будут скандалы. Таковы люди. Можно не пояснять, да?

Замена неликвида, манибек решают всё. Обговаривать надо всё до заключение сделки. Всё должно быть прозрачно.

3) За то время пока ты продаешь пачками по 50, успеет появится кто-то, кто продает по 30. Или по 500, но отборные. Ну оооочень крупные...

Да пускай появляются. Хоть по 25$. У тебя свой товар и стоит он будет столько сколько ты установишь. Можешь корректировать цену под рынок. А может нет. Я бы не корректировал. Можно в обще не обращать на конкурентов внимание, а можно выкупить у них товар как это делают некоторые.

4) за то время пока тебе капает с продаж по 50, успели пропатчить уязвимость 50%, остальные 30% сменили софт, железо, админов и проч.

+ такое может быть. Но ведь ты не будешь сидеть и ждать пока всё продашь верно? Стаф есть. Реклама есть, депозит есть, топик есть? Прозрачное описание товара и услуг есть есть? Всё. Одним глазом смотришь как тебе стучат покупатели, другим смотришь уже на новую уязвимость с которой будешь делать новый стафф.

Пример. Появился продавец доступов к админке Мадженто старших версий. Вроде, по 300 баксов на заказ, насколько помню. Это ближе к твоей "хитрой" версии.
Очень интересно, сколько млн баксов он уже заработал? =)

Не знаю. Но это ведь относится к тем кто работает с платежками. Не под масс рынок. А мы же говорим про пентестеров

Поправьте, пож-та, что в моей логике не так?

Логика тут в том, что не нужно забивать голову, смогут ли купить? будут ли покупать? Как часто будут покупать. Для этого есть "менеджеры продаж". Другими словами, как ты себя зарекомендуешь так и будут у тебя покупать. Можно встать еще на раздачу бесплатных доступов и тем самым еще больше себя зарекомендовать. Тут можно вспомнить чувака который написал бота, это был 2016 год около того. Вполне функциональный бот, а продать он его не смог. А потому, что у него нет этой жилки предпринимателя и плохо он прорекламировал свой продукт (в итоге он выкинул его в паблик вместе с исходниками, вместо того чтобы торговать им). В конце концов каждый сам решает как вести свои дела. Банально пример из жизни один фермер хорошо продает молоко, а другой плохо. Всё потому, что нужно понимать как продавать.

 

[Desoxyn]

при соответствующих навыках можно взять RCE уязвимость и сделать к ней эксплойт.

Была бы хорошая cve и poc под нее, достаточный (рентабельный) обьем таргетов, понимание цели\результата и умение это хоть как-то сформулировать для промпта - там и дипсик справится, даже не особо его задрачивая.

Далее не зависимо от ценности доступа продавать каждый доступ по 50$

Сервис носков\тоннелей, не для широкого паблика (по ограниченным инвайтам напр.) или "для своих" и по подписке - окупится в разы быстрее и будет гораздо профитнее для тебя, как овнера. Нежели продавать в розницу и "в ассортименте" ))) Достаточно глянуть прайсы на preauth rce\exp или high risk level под роутеры\ios

потому что если в сети условно 150к уязвимых таргетов, профит будет 7.500.000$ (150к * 50).

А еще если зарабатывать в месяц 100к то в конце года у тебя будет 1 200 000! Я так в детстве рассуждал

Desoxyn в конце года (в моем представлении):

____________
Ну а если без сарказма, то это вполне рабочая модель, многие по ней двигаются и weaver прав. Именно про этот подход я перед НГ квейку рассказывал (не даст соврать), правда доступов было мало, но вышло профитно ... Если бы еще партнер совими "прямыми" руками большую пачку таргетов не заруинил - было бы ваще шоколадно. Так что некий опыт есть, и он результативен.