25-1-2016 Manual de uso Avanzado de NamsoCCGen v5 Por: Namso John FKennedy Derechos Reservados 2016 SE PROHIBE SU MAL USO Introducción Pág. 2 Generador Pág. 4 Descargas Pág. 7 Guardar Bin Pág. 8 Buscador Bin Pág. 14 Convertir CC a Bin Pág. 15 Checker’s Pág. 16 Proxys Pág. 21 Correo Temporal Pág. 22 Generador Identidad Pág. 24 Whois Pág. 25 Tarjeta Presentación Pág. 26 YouTube Download Pág. 27 Dorks Pág. 28 Mi Cuenta Pág. 30 1 Bienvenidos sean a NamsoCCGen v5, esta ccgen pretende ser la solución óptima a las necesidades actuales. Permítanme contarles cómo nació mi ccgen, ya que muchos acaban de entrar a este mundo y les sea de ayuda. Todo comenzó cerca de 6 años atrás, quizá algunos recuerden a Namso como un desarrollador de ovpn para OpenVpn y configuraciones para DroidVpn, eran las mejores alternativas para tener Internet gratis. En esos días, un usuario me mando un imbox, solicitado mi ayuda para encontrar una vulnerabilidad en un servicio de Música Streaming relativamente nuevo, su nombre era Spotify. Así que me puse a estudiar la página para encontrar vulnerabilidades que nos permitieran inyectar usuarios Premium, tarde cerca de 4 días sin lograr buenos resultados, así que la única alternativa era burlar al sistema de pagos. No podíamos poner números al azar, pues en principio consideraba que no era la mejor panera de vulnerarla, así que me cuestioné si se podía generar de alguna manera esos dígitos, así que a través de Google descubrí material muy interesante sobre algoritmos que utilizaban los bancos para dicho fin. No sabía exactamente como identificar una Visa de una MasterCard, pero cuando me entro la duda no dude en investigarlo. Supe gracias a Wikipedia sobre el termino Bin, y para mi suerte ese sito albergaba unos ejemplos de Bins de bancos ‘más famosos’. Con el algoritmo explicado en una página extranjera me puse manos a la obra a realizar esas operaciones en una libreta para obtener los dígitos, pero se volvía un poco tediosos porque habría que inventar algunos números y después comprobarlos. Cuando tuve un poco de más colmillo me entro la curiosidad de poder programarlo, ya que en esos días estaba estudiando programación web. Tarde una semana en mis ratos libres para poder lograr que funcionara el script en JavaScript y HTML, pero era gratificante saber que un motor inteligente me ayudaba a generar más que solo números. Me puse a probar al azar los Bins que estaban en Wikipedia sobre el sistema de pagos de Spotify. Fueron cerca de 50 intentos, hasta que di con una serie peculiar de números del banco Chase que comenzaba con 414720. Spotify conoció por primera vez a su mayor enemigo, el bin 414720, tenía un grupo de amigos en fb a los que le conté lo que había logrado, mis compañeros se emocionaron y cuestionamos la seguridad de todas las páginas que tuvieran sistemas de pagos en línea. Era un juego de niños, pues sin mucho esfuerzo lograban caer sistemas con el bin de Chase, y nos encontramos una app para Android llamada Clonardo CCGen, resultaba que alguien más había tenido la inquietud que yo y ya había desarrollado una herramienta y para Android, solo que tenía una desventaja para muchos… solo se activaba por IMEI dando un código a el Sr. Clonardo para que te la activará. Yo ya tenía mi herramienta que me costó desarrollar, así que con pocos conocimientos de Bases de Datos y PHP adapte mi generador para que funcionase como un albergue de Bins que mis compañeros y yo obteníamos. Logramos obtener cerca de 210 páginas distintas en donde teníamos diferentes Bins, pero uno predominante, al que observamos que funcionaba mejor si 2 se aplicaba la extrapolación 41472021xxxxxxx9. Resulta que el 9 nos servía de comodín en la hora de la verificación. Al mismo tiempo en que realizábamos esto, un usuario de nuestro team informaba sobre nuestros descubrimientos a Frank Castle. Era un buen tipo, pero la ambición lo conllevo a la desconfianza, pues el señor Frank supo de nuestra ccgen, y como nuestros Bins se parecían, pensó que había infiltrados en su grupo de vk.com bajo el seudónimo ‘Conocimiento Libre’, y mando hackear mi pobre sistema. Obtuvo gracias a un súbdito suyo nuestro avance de 210 páginas, y la ira lo llevo a un acto desesperado… publicar nuestro trabajo en fb. En pocos minutos todos nuestros meses de trabajo se los llevo un malentendido. Frank Castle saco a todos los usuarios de su grupo y hasta después me entere. Me puse a pensar que quizá lo que había salido a la luz no era tan malo, pues así muchos los podían utilizar para su propio beneficio. Y como ya tenía mi herramienta, le quite el sistema de usuarios y la mejore un poco para poder sacarla a la luz pública. Así nació NamsoCCGen v1 y desde ese momento surgió la era que ahora conocemos, el bin 41472021 ha prevalecido desde ese momento, y muchos le llaman chabelo por su tiempo de vida. Me arrepiento quizá de no haber puesto cuidado en mi sistema, y del malentendido con ese usuario, pero lo que ahora ustedes conocen no hubiera sido, de no ser por nuestros meses de esfuerzo y de la ira de Frank. Desde ese momento, NamsoCCGen ha sido una herramienta que ayuda a testear esos números para generar dígitos y combinaciones válidas. Y llevamos cerca de 5 años. Hemos pasado sinfín de DDoS de envidiosos que no soportan que NamsoCCGen tenga tanta fama. Inclusive hemos sido víctimas de acusaciones de hurtar los Bins que se usan en nuestro generador. Pero pónganse a pensar… nosotros para que queremos los Bins que usan, si nosotros de la nada obtuvimos cerca de 210 páginas, junto con extrapolaciones, y demás con nuestro esfuerzo y dedicación. Suena ilógico, pero para algunos nuevos usuarios que no conocen les suena lógico, a ellos les llaman RataKids, por su corta edad y su credulidad y la poca capacidad de tener propio juicio. Poco a poco hemos ido introduciendo nuevas herramientas, tratando de estar a la vanguardia día con día. Y todo en pro del conocimiento. Pues cada vez que alguien intenta hackearnos, nosotros aprendemos como defendernos y a desarrollar mejores scripts. Muchos nos cuestionan porque lo damos gratis… y es simplemente porque nos gusta y queremos demostrar que en México habemos buenos desarrolladores, y no solo en países extranjeros como EUA, RUSIA o la INDIA. …No somos todos, somos uno y damos soluciones. 3 Esta es su interfaz: En la parte de la Izquierda está el menú y en la parte derecha el contenido de cada sección. El generador tiene 7 campos personalizables y uno obligatorio [Inserte su Bin]: Agregar [Fecha] Agregar [CCV2] Agregar [Tipo de Banco] Cantidad a Generar CCV2 Mes Año 4 En Bin tiene que tener 15 dígitos si es American Express o Visa Premier, y 16 caracteres si es MasterCard, Visa, Discover, etc. Para que no tengan que insertar las {x} manualmente hemos incorporado un pequeño sistema que autocompleta su bin. Si escribe 41472021, solo tiene que dar clic afuera o esperar y de inmediato aparecerá 41472021xxxxxxxx, así estará seguro de que generara lo que desea sin mayor esfuerzo. La sección, de agregar es si usted desea que nuestro generador además de los dígitos le agregue Fecha o CCV2 o Tipo de Banco a los que ustedes genera. Cantidad a generar son el número de respuestas que recibirá con respecto a su bin, Los siguientes campos son relativos a las configuraciones de estas solicitudes. CCV2, funciona cuando está activo agregar CCv2, usted puede dejar {rnd} para indicarle al script que genere un ccv2 genérico, de lo contrario usted puede introducir los dígitos correspondientes al bin. Mes, funciona cuando agregar fecha está activo, y puede permanecer {Rnd} o seleccionar un mes en específico. Año, funciona de la misma manera que mes, puede estar {Rnd} para año genérico o seleccionar un año específico. La combinación de Mes y Año puede ser cualquiera, {Rnd}{Rnd}, {Especifico}{Rnd}, {Rnd}{Especifico}, {Especifico}{Especifico}. Una vez realizado este pequeño proceso de clic en el botón Generar, y en cuestión de segundos aparecerán sus resultados en la caja de texto debajo. 5 Podrá observar que además un último campo aparece al generar los dígitos, es relativo a que usted puede descargar sus dígitos generados en un txt para su uso posterior. Solo tiene que introducir un nombre que quiere que su archivo txt tenga y dar clic en el Botón Guardar. Y a continuación dar clic en el botón que aparecerá en esa misma sección. Al dar clic un archivo será descargado con sus dígitos generados. 6 Esta es su interfaz: Desde aquí usted podrá descargar NamsoCCGen para PC en sus versiones vb.net, GNU/C++, Java, así mismo su versión de Android, y por último en su versión de extensión de Chrome. Todas funcionan de forma offline y no tienen ningún contacto con nuestros servidores. La forma de instalación y capturas están en los enlaces al dar clic en Descargar. 7 Esta es su interfaz si no ha ingresado a su cuenta: Para ello debe ir a la parte superior derecha y dar clic en registrar: Y a continuación rellenar el formulario de registro, el cual el nombre de usuario debe ser mayor a 3 caracteres y menor a 12 caracteres, la contraseña debe ser menor a 30 caracteres y mayor a 5 caracteres, el correo solo es permitido @hotmail, @gmail, @live y @outlook, ya que le enviaremos un correo de confirmación y finalmente la captcha que aparece en la imagen. 8 En cuestión de minutos en su bandeja de entrada le aparecerá un correo nuestro en Bandeja de Entrada o en Correo no deseado: Y le aparecerá sus datos de registro y un vínculo de confirmación. Es muy importante que confirme su cuenta o no podrá utilizar la sección Guardar Bin ni la sección Bot LSK. Y lo dirigirá a NamsoCCGen y tiene que aparecer: A de inmediato se le redirigirá a ‘Ingresar’, donde deberá de introducir sus credenciales: 9 Si son correctos le dará la bienvenida y lo redirigirá a la pagina principal. El paso de registro es único y gratuito, después solamente tendrá que ir a ‘Iniciar Sesión’, y listo. Regresando a la sección aparecerá esta pantalla: Al dar clic en agregar se le abrirá una ventana emergente, asegúrese que su navegador lo soporta, solo rellene los campos correctamente y no deje espacios en blanco. 10 En el campo Seguridad usted puede elegir entre tres niveles: Ninguna, Con su Contraseña, o una Contraseña Personalizada. Esto le asegura a usted que solamente usted tiene acceso a su bin, ya que todo lo que usted guarda llega a nuestros servidores de forma encriptada. Y UNICAMENTE usted podrá desencriptarlo con su nivel de seguridad correspondiente. Al dar clic en Agregar automáticamente se cerrará la ventana y aparecerá en su sección: Ahora usted vera su bin. Podrá observar en la sección Config que aparecen dos Iconos, el primero es para modificar su bin, y el segundo para Borrarlo. Demos clic en Configurar y ahora seleccionemos el nivel de Seguridad ‘Con mi Contraseña’. Y demos clic en guardar. Podrá observar que ahora su bin aparece la palabra ‘Encriptado’. Solamente podrá verlo si da clic sobre ‘Encriptado’ se le abrirá una ventana emergente donde deberá escribir la contraseña de desencriptacion, en este caso su contraseña de inicio. 11 Y automáticamente aparecerá su bin desencriptado. Así mismo si da clic sobre Modificar Bin tendrá que ingresar la contraseña de desencriptado. De igual manera con el Nivel de Seguridad ‘Contraseña personalizada’. Si usted desea usar su bin solamente tiene que dar clic sobre la página, para que el sistema lo pegue en el generador y genere automáticamente sobre su bin. Tiene que estar desencriptado el bin, de lo contrario aparecerá el PopUp Si lo hace correctamente aparecerá: 12 El ultimo botón referente a Borrar, si da clic le aparecerá una ventana emergente de confirmación: Al dar clic en Si automáticamente se eliminara su bin. 13 Esta es su interfaz: Contamos con 97% de los Bins del mundo con registros de 11015 bancos. Usted puede buscar un bin seleccionando solamente Vendor, o solamente Level, o solamente Country, o solamente Type, o solamente escribir el nombre del banco o solamente escribir el bin (6 dígitos), o una combinación de todos los campos o parcialmente. Por ejemplo: Obtiene: 14 Esta es su interfaz: Es muy sencilla, pero potente. Utilizando un nuevo algoritmo genera una Extrapolación recomendada y genéricas. 15 Esta es su interfaz: Usted puede recibir notificaciones si tiene navegador de Chrome. Solo de clic en ‘Enviarme Notificación Al Encontrar Vivas’. Le aparecerá este PopUp: Solo de clic en Permitir. Si llega a equivocarse o reconsiderar su decisión, podrá dar clic en el seguro y en la sección permisos dar clic en su nueva elección. La próxima vez ya no aparecerá el botón de elección. Actualmente tenemos 3 Api, pero solamente dos están disponibles. Ya que nuestros proveedores de pago o nos cancelan o suspenden temporalmente, pero siempre buscamos otros. Los colores representan: Verde -> Disponible, Gris -> En desarrollo, Rojo -> En Mantenimiento/No disponible. 16 Solamente el Api de Stripe requiere LSK, los otros dos no la requieren. Por ejemplo, la Api HSBC. Solo debe generar las CC con Fecha y CCV2 desde el generador. Y después en esta sección dar clic en el botón ‘Copiar desde generador’ y automáticamente aparecerán en la sección. Después observará esta parte. Puede dejarla vacía, pero le recomiendo que no lo haga. Ya que si nuestra IP interna esta Baneada en la API todas les saldrán DIE, utilizar un proxy SSL le asegura un 50% de probabilidad de que le salga una LIVE, y además no nos banean de la API, ya que el sistema detecta muchas solicitudes desde una misma IP procede a bloquear el sistema, y tendremos que buscar otro o esperar a que nos desbaneen, así que para evitar esto, mejor use 17 un Proxy, que puede conseguir gratuitamente desde la sección ‘Proxys’. Para ello diríjase a la página correspondiente a la guía de Proxys. O también puede buscar algún otro en Google, pero asegúrese que sea bajo el protocolo SSL o HTTPS. Una vez hecho esto comenzamos dando clic en Comenzar. Y nuestro sistema comenzara a testear sus CC. Apenas se encuentre una LIVE le aparecerá este Mensaje de parte de Chrome: Y nuestros resultados, al parecer tuvimos suerte. Pero habrá ocasiones que tengamos que probar hasta 1000 CC de un bin. Les explicare. Para determinar si una CC está viva y es correcta se hace un pequeño cargo, nosotros solamente aplicamos 0.01 centavos de testeo. Si los aprueba esta Viva y a continuación solicitamos rembolso para no quemar la CC, si la rechaza la marcamos como Die, si sale bloqueada saldrá como error. Mucho cuidado, ya que las CC estándar solo aceptan máximo dos pagos online sin la autorización de su dueño, si usted vuelve a ingresarla puede correr el riesgo de bloquearla y que la mande como DIE, mejor aprovéchela en algún sitio. También cuide los sistemas de pagos, tenemos diferentes Apis, porque cada Api tiene tu propia vulnerabilidad, no quiera que una CC viva de HSBC funcione en por ejemplo una pasarela Banamex, simplemente 18 porque la Api de HSBC tiene la vulnerabilidad sobre ese bin y Banamex no. Encuentre la pasarela de pago en que pase la CC viva y busque en google a través de un dork otras páginas (puede verlo en la sección Dorks de esta misma guía). También considere que no todos los Bins son vulnerables, no quiera obtener una CC viva de un bin que tiene demasiada seguridad. Le aconsejamos ser muy paciente y preciso. Continuando ahora veamos la Api de Stripe, ya que las otras Api se parecerán o serán idénticas a HSBC, esta es su interfaz: De igual manera puede copiar, las cc generadas, y la sección Proxy, que aquí es vital que lo ponga pues aumenta en un 70% la posibilidad. A los usuarios registrados le aparecerá un botón Extra que en el [Bot] de LSK automático. El cual a través de nuestro poderoso sistema le generara 3 LSK, solo espere un intervalo de 3 minutos a que termine todo el proceso, el cual puede visualizar gráficamente al dar clic, ya que en tiempo real crea la cuenta, la activa, la verifica y obtiene la LSK de esa cuenta y lo repite 3 veces seguidas, así usted no tiene que mover ni un solo dedo, solamente está a un clic de obtenerlas. Usted puede introducir opcionalmente en el mismo campo un Proxy. Una vez terminado aparecerán en la sección correspondiente. 19 Si ya tiene LSK usted puede introducirlas manualmente y es MUY NECESARIO introducir al menos una. Desafortudamente por el potencial que tiene esta herramienta solo se permite 3 LSK cada 2 horas por usuario. Si encontramos una viva aparecerá: Vaya, hemos tardado cerca de una hora a que procesara 346 CC para que solo nos arroje 4 LIVE, aquí que la paciencia juega un papel importante. Considere que un bin que a usted le ‘pase’ otro usuario tendrá cada vez menos posibilidades de obtener LIVES porque como explicamos anteriormente queman las CC y después culpan a nuestros Checker’s de quemarlas cuando realmente o no las saben usar o ya fueron quemadas, pero por otros usuarios. Así que considere más de dos veces hacer estos comentarios impertinentes. De igual manera queremos que considere más de tres veces su opinión sobre que nuestro Checker es un SCAM, ya que como explicamos la vida útil no es mucha, si ya tienen un uso la CC y usted le agrega un cargo, esta se bloquea, nosotros no nos interesan sus LIVE, son solamente suyas y su trabajo les costó, si ve a otros usuarios hablando mal por favor considere compartir este mensaje para que no haya mentirosos sin quehacer envidiosos que son solo niño ratas que no han cambiado su pañal y solo quieren llamar la atención. 20 Esta es su interfaz: Se divide en dos, un verificador de Proxy y un buscador de Proxy propio. Actualmente contamos con 31265 proxys de todos los tipos incluidos Socks5. Solamente Elija el límite de Resultados. Y si lo requiere elija un puerto o un protocolo HTTPS o un País. Si es para uso del Checker por favor elija que sea HTTPS. Al dar clic en Obtener Proxys obtendrá una pantalla así: Para comprobar que está vivo copie la IP:Puerto y péguelo en el verificador que está arriba de la siguiente manera y de clic en Verificar. Es proxy aún está vivo y funciona en Namso Checker, habrá algunos que no estén vivos, o que lo estén, pero no funcionen en Namso Checker. 21 Esta es su interfaz inicial: Solo introduzca un Nick no muy largo para su correo temporal y de clic en Crear. Y ahora aparecerá esta pantalla. Ahora puede registrarte en algún servicio utilizando esa dirección de correo, por ejemplo, enviare un correo desde mi hotmail a ese correo. Antes daré clic en Copiar correo para que automáticamente se vaya a mi portapapeles. Solo dar clic en refrescar para obtener los últimos correos. Observemos que ya lo obtuvimos: Solo se tiene que dar clic en el botón abrir y se abrirá el mensaje: 22 Puede descargar el mensaje, borrarlo o regresar a la bandeja, Si damos clic en Descargar nos aparecerá: Si lo borramos solamente se borrará el mensaje y ya no aparecerá más. 23 Esta es su interfaz: Usted puede seleccionar algún estado de EUA para generar específicamente una identidad o aleatoriamente. Al dar clic en Generar le aparecerán todos los datos referentes a ese registro: Genero Dirección Ciudad Estado Código Postal País Correo Nombre Usuario Contraseña Número Telefónico Fecha Nacimiento SSN Profesión Empresa 24 Sangre Peso Altura Esta es su interfaz: El whois es un protocolo TCP basado en petición/respuesta que se utiliza para efectuar consultas en una base de datos que permite determinar el propietario de un nombre de dominio o una dirección IP en Internet. Solo debemos de introducir el link en ‘Link’ y de clic en ¿Quién es? Y aparecerá la siguiente pantalla: Donde encontrará información sobre la página web junto con algunos datos de su propietario. 25 Esta es su interfaz: Es muy NECESARIO que introduzca todos los datos y que no deje nada en blanco. Ya que nosotros generamos algorítmicamente dos datos muy importantes como lo es la CURP y la Clave de Elector. Puede opcionalmente subir una foto personalizada que de preferencia tenga fondo blanco, o de lo contrario dejar ese único espacio vacío. Ya que contamos con una API de imágenes nuestro script lo asignara automáticamente. Solo tiene que esperar aproximadamente 1 minuto y nuestro sistema le dará en formato PDF una tarjeta de presentación siendo lo más fiel posible a las originales. Por favor úsese para fines educativos y de superación personal. Este es un ejemplo de cómo obtendrá su tarjeta de presentación: No nos hacemos responsables por los usos que el usuario de a esta herramienta. 26 Esta es su interfaz: Le genera links de descarga para videos y así mismo su opción para descargar solo el audio en mp3, algunas ocasiones el video no se podrá descargar porque estará protegido por derechos de autor, pero el mp3 siempre se podrá descargar. Solo tiene que copiar el link del video de YouTube que desea: Y de clic en descargar, espere cerca de 1 minuto para que nuestro sistema le genere los enlaces. Para corroborar si esta es su canción/video que desea, le mostramos una previsualización arriba de los links: Solo de clic en la calidad de su elección y automáticamente se descargará. 27 Esta es la interfaz: Los Dorks son búsquedas avanzadas para encontrar específicamente lo que buscamos a través de palabras comodín, un ejemplo es si queremos una página que en su contenido tenga la palabra Namso solo debemos en Google buscar {insite:’Namso’}, con lo que obtendremos sitios específicos donde tengan ese nombre. Los Dorks son una herramienta avanzada que tiene grandes usos, uno de ellos encontrar paginas vulnerables a inyecciones SQL, por ejemplo. Un dork puede ser extenso, lo que hará una búsqueda muy específica como por ejemplo {intext:"/DigiCert SSL/" inurl:"shop" -digicert.com}, no son muy difíciles de entender ni de adaptar a nuestras necesidades. Nosotros poseemos una extensa variedad de Dorks para proponerle a usted. Para acceder a ellos solo debe introducir una palabra en ‘introduzca el dork’ y en cuestión de milisegundos aparecerán sugerencias, usted solo debe de dar clic sobre el para que se auto coloqué en la sección correspondiente. 28 Si no desea ninguna sugerencia solo de clic en el botón ‘Cerrar Sugerencias’. Una vez escrito/elegido su Dork seleccione el número de peticiones, considere que cada petición arroja cerca de 10 resultados, por favor no abuse o habrá una restricción de solicitudes y por tanto no podrá realizar Dorks con velocidad, fiabilidad y eficiencia. Una vez terminado el proceso al cabo de algunos minutos dependiendo de su conexión de internet, obtendrá una pantalla como esta: Donde nos indica las páginas que fueron encontradas con su Dork, y en la parte posterior las Url que son vulnerables a inyecciones. Estas son testeadas por nuestro sistema de tres maneras diferentes, cada prueba aumenta en un 33% la posibilidad de que sea totalmente vulnerable, el porcentaje obtenido aparecerá al principio de cada URL vulnerable, considere que no todas las paginas son vulnerables, por lo que podría inclusive no tener ninguna página vulnerable. 29 Esta es su interfaz: Y se divide en dos secciones, una que es la personalización de contraseña, donde podrá cambiar su contraseña actual. Pero tenga mucho cuidado, ya que una vez cambiada su contraseña no es posible acceder o recuperar su contraseña anterior. La segunda parte es referente a la personalización de la Ccgen en cuanto a colores y fondo. Usted puede elegir un color de su elección y dar clic en Personalizar. Puede inclusive subir una imagen propia para tenerla de fondo en NamsoCCGen, solo debe reunir los siguientes requisitos: Debe tener una resolución igual o mayor a 1280x800 Tamaño menor o igual a 1MB. Debe ser JPG o JPEG Cualquier imagen que no tenga estas características no será procesada. Si desea cambiar el color, pero conservar su imagen solo seleccione: Si desea subir una nueva imagen seleccione: 30 Y selecciónela desde su disco duro con el botón ‘Subir Imagen’. Si desea las 10 imágenes random por default de NamsoCCGen solo seleccione: Estas configuraciones son guardas en su perfil para que siempre que ingrese desde su cuenta se sienta cómodo y a gusto de estar utilizando nuestra CCGen. 31