Привет!
Сегодня я решил написать полный мануал по отработке одного из своих приватных запросов. Запрос - amenitiz.io.
Нашей целью будет добыча карт и последующая их продажа.
Коротко о платформе
Amenitiz - это клауд-платформа для управлением отелем/хостелом или просто арендой недвижимости. Попросту говоря CRMка для отеля. Она поддерживает интеграцию всех популярных сервисов аренды недвижки, такие как Booking, Airbnb, Expedia и т.д. У неё есть свой мерч, который принимает оплаты от клиентов, называется он Amenitiz Pay. Платформа позволяет принимать оплаты с последующим выводом на stripe. Главным минусом сервиса в плане безопасности, а для нас плюсом является то, что они сохраняют карты клиентов с CVV кодами. Это даже звучит глупо
, но да, они их сохраняют и их посмотреть может любой админ отеля.
В основном Amenitiz используют в ЕС (Франция, Италия, Испания, Португалия, Великобритания, Германия).
Поиск запроса, обход 2FA
Первым делом нам нужно найти emailass по запросу amenitiz.io.
Сразу скажу, то что было в паблике я уже отработал конечно же, но скупаю с личных логов или в каких-то приват клаудах вы всё равно сможете найти этот запрос.
На этом шаге сильно останавливаться не стоит, я думаю каждый из вас умеет искать и сортировать запросы.
Теперь нам нужно их чекнуть.
Предварительно я готовлю рабочий аккаунт на Prozone, мне понадобятся email flood, sms flood, call flood, использую я эти услуги там, потому что всё быстро и автоматически выполняется. Не нужно писать кому-то и ждать пока кто-то там запустит: нужно сейчас = запустил сейчас.
Начинаем перебирать mailass один за другим и пытаемся войти в аккаунт.
Нам нужно встретить вот такую вот форму 2FA.
Форма 2FA
Теперь нажимаем на логотип который ведёт на главную страницу, если мы попадём на страницу из спойлера ниже, поздравляю - вы обошли 2FA. Обход работает ТОЛЬКО для аккаунта создателя «отеля», если например вам попался аккаунт администратора, которого добавил создатель - войти не получится.
Страница успешного обхода
Альтернативным вариантом будет возвращение на страницу логина и красная табличка с ошибкой.
Вместо красного прямоугольника на моём скрине, будет само название отеля, скопируйте его и найдите отель в сети, найдите почты, номера телефонов и прочую инфу.
Далее всё просто, нажимаем Admin и попадаем в панель управления отелем.
Работа с платформой
При входе сразу же мы видим суммы, денежные суммы
Первая цифра говорит о количестве новых резерваций в этом месяце.
Вторая цифра указывает на валовую прибыль (приход денег) за текущий месяц.
Третья цифра указывает на валовую прибыль с начала текущего года.
Если суммы большие, больше 10к евро за месяц, рекомендую быстро переходить на prozone и запускать email flood на почту по которой мы заходили. Почему? Потому что 2FA отправила на почту хозяину сообщение с кодом и сообщением что кто-то пытается войти.
Надо обязательно это сообщение скрыть, путём флуда мы полностью его потеряем в массе других сообщений.
Теперь можно перейти к анализу аккаунта:
Переходим в списки резерваций, сортируем их по источнику (откуда именно совершена резервация).
Сортировка
Берём условно два или три месяца, указываем "по дате оформления резервации" (если указать Arrival date - в списке не будут люди у которых заселение через пол года, так можно потеряться).
*Если вы поставите большой период и резерваций будет много - платформа будет лагать, по этому выбирайте оптимально, чтобы вам было удобно обрабатывать информацию.
Сортировать по источнику лучше потому что иногда мы можем посмотреть карту клиента только из каких-то определённых источников.
Я сортирую изначально так, проверяю несколько клиентов из каждого источника, чтобы понять где я могу видеть карты.
Иногда встречается, что букинг даёт карты с CVV, иногда даёт без CVV, иногда не даёт вообще, а иногда даёт Booking Agent (это бесполезная карта, она была создана против таких как мы Условно это виртуальная карта букинга, на которую ложится ровно та сумма, которую должен заплатить клиент и она является одноразовой).
То же самое с Expedia (у них тоже есть одноразовая Expedia VCC), одно что, никогда не видел карт AirBnb.
Есть такой источник как Amenitiz, это тот самый мерч этой платформы, прикрученный к сайту. Иногда он даёт посмотреть карту, иногда нет. Всё зависит от аккаунта, в настройках я ковырялся - найти как включить показ карт для Amenitiz не нашёл. Видимо это задавалось при создании аккаунта.
Взять карту можно открыв резервацию, перейдя на вторую вкладку «Client»
Забираем карту
*Бонус для тех кто дочитал до этого момента Бесплатная карта
Тут мы можем скопировать имя кх, и номер телефона, попадались и аккаунты где был заполнен биллинг адрес кх, но таких в меньшинстве к сожалению.
Советую прошерстить прошлые резервации 2023 года, на практике всё что старше года, уже будет с очень низким валидом, но всё же можно и их забрать. Если аккаунт без соседей и вы там первооткрыватель, то вот вам стата из личного опыта: свежие карты до двух месяцев - 80-90% валида, от трёх месяцев до года - 40-60% валида, старше года ещё меньше валид соответственно.
Теперь мы можем всё это благополучно продать на том же Prozone, создаём аккаунт продавца, сортируем все наши карты по одному формату и загружаем в панельку. Потом смотрим какие бины поставить подороже, какие подешевле и выставляем соответствующие цены.
Говоря об остальных вкладках, Stay info, Payments, Inbox - они бесполезны в случае Amenitiz.
Привязка своего доп. аккаунта
Если вы нашли хороший аккаунт на котором большое количество карт в день падает, необходимо привязать свой аккаунт к отелю. Это действие будет полезно если вы намереваетесь не один раз заходить и забирать карты, так как входя с аккаунта создателя ему всегда будут лететь письма. А вот если мы тихо добавим свой аккаунт, он может оставаться незамеченным достаточно долгое время.
Переходим в настройки, и выбираем раздел команда. И нажимаем добавить члена в команду.
Вписываем вашу почту, саморег, советую сделать почту похожую на какую-то из уже присутствующих, логика проста - создатель если зайдёт и увидит возможно не придаст этому значения, решив что это он когда-то создал или вообще так просто нужно Выставляем себе все права и добавляемся. Вам придёт сообщение на почту, и вы теперь в команде будете.
Тут тоже рекомендую запустить Email Flood на основную почту, чтобы потерять в массе сообщений те которые говорят о новом юзере)
Теперь вы сможете входить в панель со своего аккаунта, а обязательные коды 2FA будут лететь вам на почту. Уведомления о новых резервациях так же будут сыпаться на вашу почту.
Сыпятся
Дополнительная монетизация. Массовая рассылка.
Причин использовать аккаунт для пролива может быть несколько:
- Все карты вы уже собрали, а новые еле поступают. Теперь решено выжать последние соки из аккаунта.
- Нет возможности забирать карты.
Мы можем использовать аккаунт под пролив.
В настройках мы можем найти раздел «Шаблоны» - это шаблоны отправки писем, там же можем устроить массовую рассылку вашего оффера.
Шаблоны
Тут есть такой нюанс, нам нужно посмотреть откуда наибольшее количество клиентов пришло.
- Booking
Клиенты с букинга имеют свою почту, @guest.booking.com, раньше на эту почту поступало сообщение и переадресовывалось в приложение booking.com в чат клиента с вашим отелем. Сейчас никакие сообщения не проходят. Так же не проходят OTR сообщения в букинг.
Поэтому, если ваши клиенты в основном с букинга - лучше не лить вовсе, а использовать акк для других целей или же просто оставить полежать. Так же, если вы попробуете открыть «чат» с клиентом в последней вкладке резервации, вы можете успешно написать ему сообщение (там будет написано мол оно доставлено), но клиент его не получит.
- AirBnb
История такая же как с букингом, но сообщения OTR (в чат приложения) отправляются, в некоторых случаях могут фильтроваться сообщения содержащие https://.
- Expedia
Иногда отправляются, иногда нет, я почему-то реже всего встречаю этот сервис, хотя он популярен, почта клиента так же как в букинге @expedia.
- Amenitiz и ручные резервации.
Вот тут у нас реальные почты людей, по которым мы можем рассылать оффер.
Давайте создадим нашу рассылку. Тут рассылка создаётся путём добавления нового шаблона. Потому как писать клиентам в чате, та самая вкладка «Inbox» из резервации, мы не можем. Эту функцию вероятно отключили, боятся рассылок подобных и всячески защищаются, но я всё же придумал выход.
Тыкаем на кнопку.
Дальше выставляем email, так же можем создавать и с OTR сообщениями, но как я говорил выше - они могут не доходить. Можно создавать два отдельных шаблона OTR и Email.
Теперь мы выбираем наше время X, например 16:00, составляем наше письмо, копируем наше письмо в буфер. Выставляем время 16:00 и выбираем например after departure, в поле дней выставляем 1. К слову, при составлении письма можем использовать вариации, имя клиента и т.д.
Можно конечно и файлик прикрепить, pdf или картинку.
Теперь повторяем эту манипуляцию множество раз и создаём множество шаблонов с разными значениями в поле «дней», таким образом у нас получается множество шаблонов, которые сработают в 16:00 с разными условиями, например: 1 день после выезда, 2 дня после выезда, 3 дня после выезда, и так далее.
Придётся помудохаться, но есть большой плюс, всё разошлётся сразу и всем. А кто сказал что будет легко? Однозначно от Ctrl+V, никто не умирал, но можно и на басе софт написать.
Рекомендую на время рассылки включать флуд на номер, смс, емэйл, чтоб клиенты не могли связываться с администрацией, и сама администрация узнала о рассылке как можно позже. Так как при получении подозрительных писем, особенно если ваш оффер заставляет клиента сделать что-то «а иначе вам будет плохо», они сразу же пытаются связаться с отелем. Всё это можно запустить одновременно на prozone, по демократичной цене.
Даже если отель узнает, конечно же они там будут долго думать, что с этим делать, чесать голову, писать всем или не писать, а письма то уже доставлены и траф идёт. Но скажу вам так, бывают ребята, которые быстро ориентируются.
Ситуация:
Во время пролива на другой подобной платформе отель сообщил администрации платформы о взломе, и мне за час: убили домен, убили линк из шортера, отобрали доступ, ввели обязательное 2FA для всех, сделали масс. рассылку всем пользователям о скаме.
Варианты офферов по теме
Оффер на фиш карт (предстоящие резервации):
Dear Guest.
We inform you that in accordance with changes to the user agreement dated January 1, 2024, you need to verify your bank card in advance of check-in. This procedure is mandatory for all occupancies after January 1, 2024. Verification allows us to avoid increasing cases of fraud and theft, as well as prevent payment problems.
To confirm your payment method, follow the link and follow the instructions.
We remind you that violation of the user agreement may lead to the cancellation of all your upcoming reservations and the complete blocking of your account.
Best regards, service team.
Оффер на фиш карт (прошедшие заселения):
Dear Guest.
Unfortunately, your payment has been flagged as suspicious by the bank. According to the service rules that you agreed upon registration, you need to verify your payment method and confirm ownership of the bank card with which you made the payment.
To confirm your payment method, follow the link and follow the instructions.
We remind you that violation of the user agreement may lead to the cancellation of all your upcoming reservations and the complete blocking of your account.
Best regards, service team.
Ниже оффер на оплату определённой суммы, его прелесть в том, что многие не захотят заморачиваться и им проще оплатить 30$. Так же тему оффера можно поменять на "причинён ущерб жилому помещению". Туристический налог тоже работает, во многих странах он действительно есть. Валюту необходимо указывать в соответствии с гео отеля.
Оффер на оплату определённого инвойса (условно 30$):
Dear Guest!
We have received a request from hotel *Hotel Name* to collect a debt from you in the amount of $30.
The hotel indicated that you had not paid the mandatory tourist fee.
Please follow the link to pay your debt.
We remind you that if you refuse to pay the debt, your account may be blocked in accordance with the user agreement of the service.
Под дрейнер ниже оффер накидал примерный.
Работая с Angel Drainer можете просто склонировать в их боте сайт жертвы, и прикрутить дрейнер, проще некуда.
Оффер под дрейнер:
Woohoo, it's done, now you can pay with cryptocurrency!
We accept ETH, for every transaction you will receive 1 JIOX token cashback!
In honor of this event, *Hotel Name* announcing today 70% discounts on any bookings paid with cryptocurrency.
Hurry up, it`s only today deal!
Claim your JIOX, if you`re not a JIOX.
Другие методы монетизации
В Amenitiz мы не найдём фото документов клиентов, и в принципе связанная с этим монетизация не очень эффективна.
На практике, если вы свяжетесь с хозяином отеля и скажете ему, что мол вот, у меня есть все твои клиенты и их карты - им фиолетово.
Здесь может сработать СИ триггер давления психологического, то есть необходимо давить на возможную потерю репутации этой компании, которая имеет место быть в результате слива данных.
Простыми словами - вряд ли кто-то захочет к ним заехать, если появится информация, что все данные пользователей включая кредитки утекли в сеть.
Amenitiz Pay
Я подробно ознакомился с работой этого мерча, и вычислил опытным путём, что мы можем перевязать свой stripe. Я не попробовал выполнить эту махинацию, так как у меня нет в наличии EU страйпа сейчас, да и не сильно было желание с этим заморачиваться, но в теории это очень интересно. Скажем если сделать перевяз на крупном доступе, можно забирать всю выручку отеля за какой-то период. Пока не увидят и не поменяют.
Перевяз страйпа
Из возможностей, последним могу добавить, что можно вкорячить свой JavaScript код на сайт.
Для этого есть специальный плагин. Переходим в MarketPlace и устанавливаем плагин.
JavaScript
Не знаю что можно при помощи него реализовать, но возможно кому-то будет полезно.
На этом всё, мы разобрали эту платформу от А до Я, пишите комментарии если остались вопросы.
По мере вашей заинтересованности, буду продолжать знакомить вас и с другими запросами.
Источник: XSS.IS
Автор: c43amg
Сегодня я решил написать полный мануал по отработке одного из своих приватных запросов. Запрос - amenitiz.io.
Нашей целью будет добыча карт и последующая их продажа.
Коротко о платформе
Amenitiz - это клауд-платформа для управлением отелем/хостелом или просто арендой недвижимости. Попросту говоря CRMка для отеля. Она поддерживает интеграцию всех популярных сервисов аренды недвижки, такие как Booking, Airbnb, Expedia и т.д. У неё есть свой мерч, который принимает оплаты от клиентов, называется он Amenitiz Pay. Платформа позволяет принимать оплаты с последующим выводом на stripe. Главным минусом сервиса в плане безопасности, а для нас плюсом является то, что они сохраняют карты клиентов с CVV кодами. Это даже звучит глупо
, но да, они их сохраняют и их посмотреть может любой админ отеля.В основном Amenitiz используют в ЕС (Франция, Италия, Испания, Португалия, Великобритания, Германия).
Поиск запроса, обход 2FA
Первым делом нам нужно найти email
ass по запросу amenitiz.io.Сразу скажу, то что было в паблике я уже отработал конечно же, но скупаю с личных логов или в каких-то приват клаудах вы всё равно сможете найти этот запрос.
На этом шаге сильно останавливаться не стоит, я думаю каждый из вас умеет искать и сортировать запросы.
Теперь нам нужно их чекнуть.
Предварительно я готовлю рабочий аккаунт на Prozone, мне понадобятся email flood, sms flood, call flood, использую я эти услуги там, потому что всё быстро и автоматически выполняется. Не нужно писать кому-то и ждать пока кто-то там запустит: нужно сейчас = запустил сейчас.
Начинаем перебирать mail
ass один за другим и пытаемся войти в аккаунт.Нам нужно встретить вот такую вот форму 2FA.
Форма 2FA
Теперь нажимаем на логотип который ведёт на главную страницу, если мы попадём на страницу из спойлера ниже, поздравляю - вы обошли 2FA. Обход работает ТОЛЬКО для аккаунта создателя «отеля», если например вам попался аккаунт администратора, которого добавил создатель - войти не получится.
Страница успешного обхода
Альтернативным вариантом будет возвращение на страницу логина и красная табличка с ошибкой.
Вместо красного прямоугольника на моём скрине, будет само название отеля, скопируйте его и найдите отель в сети, найдите почты, номера телефонов и прочую инфу.
Далее всё просто, нажимаем Admin и попадаем в панель управления отелем.
Работа с платформой
При входе сразу же мы видим суммы, денежные суммы
Первая цифра говорит о количестве новых резерваций в этом месяце.
Вторая цифра указывает на валовую прибыль (приход денег) за текущий месяц.
Третья цифра указывает на валовую прибыль с начала текущего года.
Если суммы большие, больше 10к евро за месяц, рекомендую быстро переходить на prozone и запускать email flood на почту по которой мы заходили. Почему? Потому что 2FA отправила на почту хозяину сообщение с кодом и сообщением что кто-то пытается войти.
Надо обязательно это сообщение скрыть, путём флуда мы полностью его потеряем в массе других сообщений.
Теперь можно перейти к анализу аккаунта:
Переходим в списки резерваций, сортируем их по источнику (откуда именно совершена резервация).
Сортировка
Берём условно два или три месяца, указываем "по дате оформления резервации" (если указать Arrival date - в списке не будут люди у которых заселение через пол года, так можно потеряться).
*Если вы поставите большой период и резерваций будет много - платформа будет лагать, по этому выбирайте оптимально, чтобы вам было удобно обрабатывать информацию.
Сортировать по источнику лучше потому что иногда мы можем посмотреть карту клиента только из каких-то определённых источников.
Я сортирую изначально так, проверяю несколько клиентов из каждого источника, чтобы понять где я могу видеть карты.
Иногда встречается, что букинг даёт карты с CVV, иногда даёт без CVV, иногда не даёт вообще, а иногда даёт Booking Agent (это бесполезная карта, она была создана против таких как мы
Условно это виртуальная карта букинга, на которую ложится ровно та сумма, которую должен заплатить клиент и она является одноразовой).То же самое с Expedia (у них тоже есть одноразовая Expedia VCC), одно что, никогда не видел карт AirBnb.
Есть такой источник как Amenitiz, это тот самый мерч этой платформы, прикрученный к сайту. Иногда он даёт посмотреть карту, иногда нет. Всё зависит от аккаунта, в настройках я ковырялся - найти как включить показ карт для Amenitiz не нашёл. Видимо это задавалось при создании аккаунта.
Взять карту можно открыв резервацию, перейдя на вторую вкладку «Client»
Забираем карту
*Бонус для тех кто дочитал до этого момента
Бесплатная карта Тут мы можем скопировать имя кх, и номер телефона, попадались и аккаунты где был заполнен биллинг адрес кх, но таких в меньшинстве к сожалению.
Советую прошерстить прошлые резервации 2023 года, на практике всё что старше года, уже будет с очень низким валидом, но всё же можно и их забрать. Если аккаунт без соседей и вы там первооткрыватель, то вот вам стата из личного опыта: свежие карты до двух месяцев - 80-90% валида, от трёх месяцев до года - 40-60% валида, старше года ещё меньше валид соответственно.
Теперь мы можем всё это благополучно продать на том же Prozone, создаём аккаунт продавца, сортируем все наши карты по одному формату и загружаем в панельку. Потом смотрим какие бины поставить подороже, какие подешевле и выставляем соответствующие цены.
Говоря об остальных вкладках, Stay info, Payments, Inbox - они бесполезны в случае Amenitiz.
Привязка своего доп. аккаунта
Если вы нашли хороший аккаунт на котором большое количество карт в день падает, необходимо привязать свой аккаунт к отелю. Это действие будет полезно если вы намереваетесь не один раз заходить и забирать карты, так как входя с аккаунта создателя ему всегда будут лететь письма. А вот если мы тихо добавим свой аккаунт, он может оставаться незамеченным достаточно долгое время.
Переходим в настройки, и выбираем раздел команда. И нажимаем добавить члена в команду.
Вписываем вашу почту, саморег, советую сделать почту похожую на какую-то из уже присутствующих, логика проста - создатель если зайдёт и увидит возможно не придаст этому значения, решив что это он когда-то создал или вообще так просто нужно
Выставляем себе все права и добавляемся. Вам придёт сообщение на почту, и вы теперь в команде будете.Тут тоже рекомендую запустить Email Flood на основную почту, чтобы потерять в массе сообщений те которые говорят о новом юзере)
Теперь вы сможете входить в панель со своего аккаунта, а обязательные коды 2FA будут лететь вам на почту. Уведомления о новых резервациях так же будут сыпаться на вашу почту.
Сыпятся
Дополнительная монетизация. Массовая рассылка.
Причин использовать аккаунт для пролива может быть несколько:
- Все карты вы уже собрали, а новые еле поступают. Теперь решено выжать последние соки из аккаунта.
- Нет возможности забирать карты.
Мы можем использовать аккаунт под пролив.
В настройках мы можем найти раздел «Шаблоны» - это шаблоны отправки писем, там же можем устроить массовую рассылку вашего оффера.
Шаблоны
Тут есть такой нюанс, нам нужно посмотреть откуда наибольшее количество клиентов пришло.
- Booking
Клиенты с букинга имеют свою почту, @guest.booking.com, раньше на эту почту поступало сообщение и переадресовывалось в приложение booking.com в чат клиента с вашим отелем. Сейчас никакие сообщения не проходят. Так же не проходят OTR сообщения в букинг.
Поэтому, если ваши клиенты в основном с букинга - лучше не лить вовсе, а использовать акк для других целей или же просто оставить полежать. Так же, если вы попробуете открыть «чат» с клиентом в последней вкладке резервации, вы можете успешно написать ему сообщение (там будет написано мол оно доставлено), но клиент его не получит.
- AirBnb
История такая же как с букингом, но сообщения OTR (в чат приложения) отправляются, в некоторых случаях могут фильтроваться сообщения содержащие https://.
- Expedia
Иногда отправляются, иногда нет, я почему-то реже всего встречаю этот сервис, хотя он популярен, почта клиента так же как в букинге @expedia.
- Amenitiz и ручные резервации.
Вот тут у нас реальные почты людей, по которым мы можем рассылать оффер.
Давайте создадим нашу рассылку. Тут рассылка создаётся путём добавления нового шаблона. Потому как писать клиентам в чате, та самая вкладка «Inbox» из резервации, мы не можем. Эту функцию вероятно отключили, боятся рассылок подобных и всячески защищаются, но я всё же придумал выход.
Тыкаем на кнопку.
Дальше выставляем email, так же можем создавать и с OTR сообщениями, но как я говорил выше - они могут не доходить. Можно создавать два отдельных шаблона OTR и Email.
Теперь мы выбираем наше время X, например 16:00, составляем наше письмо, копируем наше письмо в буфер. Выставляем время 16:00 и выбираем например after departure, в поле дней выставляем 1. К слову, при составлении письма можем использовать вариации, имя клиента и т.д.
Можно конечно и файлик прикрепить, pdf или картинку.
Теперь повторяем эту манипуляцию множество раз и создаём множество шаблонов с разными значениями в поле «дней», таким образом у нас получается множество шаблонов, которые сработают в 16:00 с разными условиями, например: 1 день после выезда, 2 дня после выезда, 3 дня после выезда, и так далее.
Придётся помудохаться, но есть большой плюс, всё разошлётся сразу и всем. А кто сказал что будет легко?
Однозначно от Ctrl+V, никто не умирал, но можно и на басе софт написать.Рекомендую на время рассылки включать флуд на номер, смс, емэйл, чтоб клиенты не могли связываться с администрацией, и сама администрация узнала о рассылке как можно позже. Так как при получении подозрительных писем, особенно если ваш оффер заставляет клиента сделать что-то «а иначе вам будет плохо», они сразу же пытаются связаться с отелем. Всё это можно запустить одновременно на prozone, по демократичной цене.
Даже если отель узнает, конечно же они там будут долго думать, что с этим делать, чесать голову, писать всем или не писать, а письма то уже доставлены и траф идёт. Но скажу вам так, бывают ребята, которые быстро ориентируются.
Ситуация:
Во время пролива на другой подобной платформе отель сообщил администрации платформы о взломе, и мне за час: убили домен, убили линк из шортера, отобрали доступ, ввели обязательное 2FA для всех, сделали масс. рассылку всем пользователям о скаме.
Варианты офферов по теме
Оффер на фиш карт (предстоящие резервации):
Dear Guest.
We inform you that in accordance with changes to the user agreement dated January 1, 2024, you need to verify your bank card in advance of check-in. This procedure is mandatory for all occupancies after January 1, 2024. Verification allows us to avoid increasing cases of fraud and theft, as well as prevent payment problems.
To confirm your payment method, follow the link and follow the instructions.
We remind you that violation of the user agreement may lead to the cancellation of all your upcoming reservations and the complete blocking of your account.
Best regards, service team.
Оффер на фиш карт (прошедшие заселения):
Dear Guest.
Unfortunately, your payment has been flagged as suspicious by the bank. According to the service rules that you agreed upon registration, you need to verify your payment method and confirm ownership of the bank card with which you made the payment.
To confirm your payment method, follow the link and follow the instructions.
We remind you that violation of the user agreement may lead to the cancellation of all your upcoming reservations and the complete blocking of your account.
Best regards, service team.
Ниже оффер на оплату определённой суммы, его прелесть в том, что многие не захотят заморачиваться и им проще оплатить 30$. Так же тему оффера можно поменять на "причинён ущерб жилому помещению". Туристический налог тоже работает, во многих странах он действительно есть. Валюту необходимо указывать в соответствии с гео отеля.
Оффер на оплату определённого инвойса (условно 30$):
Dear Guest!
We have received a request from hotel *Hotel Name* to collect a debt from you in the amount of $30.
The hotel indicated that you had not paid the mandatory tourist fee.
Please follow the link to pay your debt.
We remind you that if you refuse to pay the debt, your account may be blocked in accordance with the user agreement of the service.
Под дрейнер ниже оффер накидал примерный.
Работая с Angel Drainer можете просто склонировать в их боте сайт жертвы, и прикрутить дрейнер, проще некуда.
Оффер под дрейнер:
Woohoo, it's done, now you can pay with cryptocurrency!
We accept ETH, for every transaction you will receive 1 JIOX token cashback!
In honor of this event, *Hotel Name* announcing today 70% discounts on any bookings paid with cryptocurrency.
Hurry up, it`s only today deal!
Claim your JIOX, if you`re not a JIOX.
Другие методы монетизации
В Amenitiz мы не найдём фото документов клиентов, и в принципе связанная с этим монетизация не очень эффективна.
На практике, если вы свяжетесь с хозяином отеля и скажете ему, что мол вот, у меня есть все твои клиенты и их карты - им фиолетово.
Здесь может сработать СИ триггер давления психологического, то есть необходимо давить на возможную потерю репутации этой компании, которая имеет место быть в результате слива данных.
Простыми словами - вряд ли кто-то захочет к ним заехать, если появится информация, что все данные пользователей включая кредитки утекли в сеть.
Amenitiz Pay
Я подробно ознакомился с работой этого мерча, и вычислил опытным путём, что мы можем перевязать свой stripe. Я не попробовал выполнить эту махинацию, так как у меня нет в наличии EU страйпа сейчас, да и не сильно было желание с этим заморачиваться, но в теории это очень интересно. Скажем если сделать перевяз на крупном доступе, можно забирать всю выручку отеля за какой-то период. Пока не увидят и не поменяют.
Перевяз страйпа
Из возможностей, последним могу добавить, что можно вкорячить свой JavaScript код на сайт.
Для этого есть специальный плагин. Переходим в MarketPlace и устанавливаем плагин.
JavaScript
Не знаю что можно при помощи него реализовать, но возможно кому-то будет полезно.
На этом всё, мы разобрали эту платформу от А до Я, пишите комментарии если остались вопросы.
По мере вашей заинтересованности, буду продолжать знакомить вас и с другими запросами.
Источник: XSS.IS
Автор: c43amg
