Окно в платежи от буржуев (компания-прослойка в ОАЭ)

На второй день я решил, наконец, заняться работой и побежал обзванивать всех местных консалтеров на предмет открытия юр. лица. Когда речь заходит о сделке, то все предложения «полторы тыщи баксов – счет под ключ» рассыпаются. Фактически разброс цен за услуги открытия юр. лица и банковского счета «под ключ» оказались в вилке от $10,000 до $35,000. Можно, конечно, упороться и попробовать все организовать самостоятельно – цена вопроса в этом случае будет в районе $5,000.

Но мы же с вами бичи? И вот для таких бичей я нашел вариант за $300. Но это лотерея, ИТ-стартапы могут попробовать заскочить в Dubai Internet City (dic.ae) через акселератор infive.ae. Но этот вариант прокатит только в случае, если ты понравишься местным шейхам. Собственно, этим вопросом я и задался, и мы начали в поте лица готовить презентацию нашего сервиса для подачи заявки в in5.

В ходе изучения вопроса по открытию иностранного юр. лица я нарыл довольно много информации. Возможно, кому-то это будет полезно.

1. Не смотря на цены, открытие компании в ОАЭ остается одним из самых выгодных вариантов, потому что другие юрисдикции ничуть не дешевле. При этом отношение к русскому паспорту руководителя компании в ОАЭ довольно лояльное. Плюс в ОАЭ есть возможность открыть компанию в специальных экономических зонах и не платить налоги.

2. Как я упомянул выше – в ОАЭ по мимо стандартных компаний, которые могут работать с местным населением и которые платят налоги – существуют специальные экономические зоны (Free Zones), которые не могут оказывать услуги для местного населения, но могут спокойно работать с зарубежными клиентами и не платить налоги, а также существуют офшоры.

3. Самая сложная часть – открытие банковского счета. Проблем с открытием юр. лица нет никаких – приходишь, платишь ~$2,000, получаешь лицензию. Тебе даже ВНЖ дадут на 10 лет только лишь за то, что ты открыл такую компанию (это, кстати, неплохой вариант для получения дешевого ВНЖ – пользуйтесь). Только после этого ты идешь в банк за открытием расчетного счета – и вот тут начинаются проблемы, особенно для держателей российского паспорта. Если ты не готов держать по $200,000 на балансе постоянно – будь готов к расспросам и проверкам: где офис? сколько людей работает? какое у них гражданство? чем занимаетесь? на чем зарабатываете? сколько зарабатываете? И, в итоге, банк все равно может тебя развернуть без объяснения причин.

Резюмируем

- если у тебя есть свободные $200,000 чтобы держать на балансе в банке, не снимая, а также $10,000 на открытие юр. лица для тебя не большая сумма – юр. лицо в ОАЭ будет отличным способом принимать бабки от буржуев и выходить на глобальный рынок

- для бичей типа меня есть дешевый вариант получения лицензии в Dubai Internet City под «стартап», но без каких-либо гарантий: повезет/не повезёт

Две крайности. К сожалению, среднего варианта не дано (или я о нем просто не заню)

День 3
На третий день я решил немного отдохнуть от работы и ощутить местный колорит. В туристических местах я еще успею побывать, а вот пока я в ебенях – стоит поглядеть как живёт местный рабочий класс.

Сначала мы сгоняли на местный пляж Al Mamzal, где тусят местные индусы и пакистанцы. Очень даже приличный – все культурно, куча раздевалок, прямо на пляже куча душей, чтобы смыть соль с тела после купания, мусора на песке нет от слова совсем, для проёбков – раздают в аренду полотенца по 10 AED (200 руб.), а для зажиточных граждан – лежаки по 20 AED (400 руб.). По мимо самого пляжа – огромный парк, где на каждом углу натыканы зоны барбекю и, естественно, основной движ происходит именно там. Но без алкоголя (который здесь запрещен) выглядит всё это крайне скучно.

После пляжа я решил покурить кальян, нашел через 2ГИС кальяху в еще больших ебенях, и мы поехали туда. Приехали в самый типичный спальный район плотной застройки как в любом городе-миллионнике РФ и тут все стало уже значительно веселее.

Во-первых, как оказалось, таксист меня привез совсем не туда. Выхожу из такси, захожу в заведение, спрашиваю «шиша?». В ответ получаю «но но но, массажи-массажи, гёрлс, гёрлс». Окей, видать ошибся, иду в следующую дврь через 2 метра – «шиша?», а в ответ уже знакомое «но но, массажи-массажи». Посмотрев под ноги я всё понял – весь тротуар завален бумажками с фотками тёлок и номерами телефонов. А абсолютно каждое заведение в этом районе имеет вывеску «massage salon», «man spa» и подобные. В общем, я понял, что мы приехали куда надо.

Минут через 25 всё-таки мне удалось добраться до кальяхи. С кальянами в ОАЭ всё очень печально, и это не проблема далёких спальных районах, в дорогих заведениях вокруг Dubai Mall ситуация ничем не отличается – старущие кальяны Khalil Mamoon (будто бы вернулся в 2010 год), про калауды они не слышали, а курят такой ненавистный в России Al Fakher. Зато цены в этом спальном районе очень порадовали: кальян – 700 рублей, чай – 100 рублей, да и еще нам нищукам притащили огромное ведро попкорна на халяву (видать по нам заметно, что дико устали и хотим жрать).

Покурив чахи я вернулся в отель под вечер чилить у бассейна на крыше и дразнить своих корешей, которые сейчас мёрзнут в -35. Еще одна цель моей поездки была в том, чтобы подтянуть язык, которым я лет 10 уже не пользовался, поэтому я стараюсь доебаться до каждого. В этот раз я доебался до уголька, который нам диджеил у бассейна. И в первые 5 минут я в очередной раз убедился в силе нетворкинга. Не смотря на мой ужасный английский с этим суданцем мы сразу нашли общий язык – не смотря на все проблемы с алкоголем в ОАЭ быстро нашелся вариант намутить литрушку вискарся всего-то за 500 рублей. Так и закончился мой третий день тут

Pyypl - еще один способ оплачивать буржуйские сервисы

Тусуясь в Дубае, я нашел еще один местный сервис, который позволяет оплачивать покупки за рубежом – будь то оплата на различных веб-сайтах или физическая оплата покупок за границей.

Pyypl – это очередной способ перевести «крипту» в «пластик», ну и также обходить санкции.

Ключевые моменты
- Выпуск карты: бесплатно
- Пополнение: баланс Binance, USDT, картами иностранных банков или наличными в ОАЭ
- Пополнение наличными или через крипту – без комиссий
- Комиссия за пополнение картами иностранных банков: $0.30 + 2.9%
- Комиссия за транзакцию: 2%
- Комиссия за снятие денег в банкоматах: 3%
- Комиссия за перевод на другую карту: 0.5%

Google Pay и Apple Pay, естественно не работают, но для того чтобы у тебя была возможность расплачиваться физически – ты можешь заказать бесплатную пластиковую карту, если находишься в ОАЭ. Стоимость доставки карты по ОАЭ – 30 AED.

Комиссия за транзакции, а также отсутствие возможности привязки к Google Pay и Apple Pay делает Pyypl менее интересным по сравнению с Bit Free. С другой стороны, у Pyypl тоже есть свои плюсы, а именно – отсутствие комиссии за выпуск карт и возможность осуществлять перевод средств на карты иностранных банков.

P.S. С отправкой денег на иностранные карты пока проблема, но обещают скоро починить.

Карточка подъехала

Штош, продолжу свои туристические заметки, сегодня мы поговорим о ценах в Дубае.

Продукты
Цены на продукты меня, на самом деле, приятно удивили
- Местная газировка в банках 0,33л – 40 руб.
- Бутилированная вода 0,5л – 20 руб.
- Coca Cola 2л – 150 руб.
- Рожок мороженного – 40 руб.
- Апельсины 3 кг – 320 руб.
- Шоколадка Ritter Sport – 90 руб.
- Конфеты, халва и подобное – 200 руб. за 100 гр.

Общепит
- Шавуха – 500 руб.
- Гамбургер в McDonalds – 100 руб.
- Комбо в Wendy's (большой бургер, большая картоха, большая кола) – 600 руб.
- Ужин в ресторане (CZN Burak: 2 основных блюда, 2 колы, кальян) – 7 500 руб.

Кальяны
- В ресторане: 2 400 руб.
- В кальянной: 700 руб.
Все курят Al Fakher и подобную дрянь, ни нормальных кальянов, ни нормальных табаков тут нет. Вот вам отличный бизнес-план – везёте кальяны от Мамая и табаки Dark Side, рубите бабло.

Такси
Город ОЧЕНЬ большой и все раскидано друг от друга на огромных расстояниях, поэтому на такси уходит довольно много денег. Всё, естественно, зависит от твоих маршрутов, но я за 7 дней в среднем тратил по 1 400 руб. за поездку.

Самое дешевое такси - Hala. Его можно словить на улице или заказать через приложение Careem.

Далее в рейтинге самых дешевых такси идёт Uber. В среднем, эконом стоит на 20% дороже, но и тачки приезжают в нём по-приятней.

Следующим по стоимости в нашем рейтинге будет XXRIDE, он стоит уже на 30% дороже, чем Hala. Смысла в нём нет никакого.

Ну и самое дорогое такси – это Яндекс Go и его заграничный клон YANGO. Цены в обоих приложениях одинаковые – эконом стоит на 50% дороже, чем в Hala. Если в YANGO я не вижу смысла, то вот родное Яндекс Такси может выручить некоторых туристов, т.к. в нём можно платить по карте МИР (и другими рублёвым картам). Это единственное преимущество Яндекса здесь.

Общественный транспорт
Поездки на метро и автобусах стоят по 100 рублей. Но общественный транспорт здесь вообще не развит - минимум автобусных маршрутов и 2 ветки метро. Поэтому поездки, которые на тачке укладываются в 15 минут, на общественном транспорте могут спокойно выходить до часу. Ну и не забывай, что ДО и ОТ остановки будешь еще пешком пилить по 15-30 минут по жаре. В общем, общественный транспорт здесь - самая крайняя мера.

Аренда авто
Стоимость аренды авто начинается от 1 500 руб. в сутки (или от 1 000 руб./сутки, если берешь на месяц). Естественно, за эти бабки ты получишь отнудь не Lamborghini, а какой-нибудь Nissan Micra или Hyundai Accent, зато по ценам аренды в РФ. Но не повторяй ошибок - заплати 1 600 руб. и сделай международные права перед поездкой, иначе тачку взять здесь ты не сможешь.

Пополнение виртуальных банковских карт Bit Free

Сегодняшний пост посвящен самым ленивым – тем, кто еще не разобрался с сервисами, позволяющими выпускать виртуальные и пластиковые карты для оплаты за рубежом.

О наиболее популярных таких сервисах я уже писал в своем канале – ищи «Bit Free» и «Pyppl».

Подавляющее большинство таких сервисов позволяют выпускать банковские карты зарубежных банков и пополнять их с помощью криптовалюты. Соответственно, поле регистрации в сервисе и выпуска карты нам потребуется крипта.

Пополнять Bit Free можно любой криптовалютой – при пополнении карты будет произведена автоматическая конвертация, но для удобства, я рекомендую использовать USDT, так как банковские карты Bit Free номинированы в USD.

Перво-на-перво, нам необходимо приобрести криптовалюту – это можно сделать множеством способов. В скобках, для удобства, будет приведен обменный курс USDT к рублю на момент написания поста.

1. Покупка на рынке Binance (71.90)
Binance – это самая крупная криптовалютная биржа на сегодняшний день. И самый выгодный обменный курс, естественно, находится на бирже. Так, на текущий момент 1 USDT стоит на бирже 68.48 руб. Но перед тем как ты сможешь купить USDT на бирже Binance тебе сначала нужно завести на Бинанс бабки. На текущий момент, россияне могут это сделать с помощью двух платежных систем: Advcash и Payyer. Adbcash не представляет для нас сейчас никакого интереса, так как возможность пополнения с помощью российских банковских карт на текущий момент недоступна. А других способов завести фиат Advcash не предлагают. Payeer же рубли готов принимать только через Qiwi с комиссией 4.99%. В итоге за 1 USD фактически с твоего Qiwi-счета (или рублёвой карты, тут как сам пожелаешь) будет списано 71.90 руб.

2. P2P (71.20)
Binance, как и любая уважающая себя криптобиржа имеет функционал peer-to-peer торговли, т.е. прямые операции между пользователями без каких-либо дополнительных комиссий биржи. При поиске предложений от продавцов обязательно обрати внимание на способ перевода, например продавец готов предложить хороший обменный курс, но бабки от тебя ждет на Payeer или Advcash. И, если у тебя баланс в этих платежных системах нулевой – ты попадешь на дополнительные комиссии при пополнении баланса в платежной системе. Также, при поиске наилучшего предложения – стоит помониторить и другие биржи, например, Bybit. Возможно, на другой бирже ты сможешь найти более выгодное предложение.

3. Обменники (71.44)
Я уже ни раз писал в своем канале о достаточно удобном агрегаторе крипообменников – Bestchange. В правом столбце выбираешь USDT, а в левом Сбербанк/Тинькофф/Qiwi и другие доступные тебе способы пополнения и ищешь наиболее выгодный курс.

Также, обрати внимание, что через обменник ты можешь пополнить напрямую USDT-кошелёк Bit Free, а в случае с Binance – ты сначала пополняешь крипто-кошелек Binance, а уже из него делаешь перевод в кошелек Bit Free и соответственно, платишь от 0.30 до 3.5 USDT (в зависимости от сети) комиссию за перевод. Для небольших пополнений – дополнительная комиссия за перевод из Binance на Bit Free может быть заметна, обрати на это внимание.

Резюмируем
Для небольших операций (до $100) я рекомендую использовать криптообменники и искать наиболее выгодный курс среди обменников с помощью агрегаторов, таких как Bestchange. Для более крупных операций (от $100) я рекомендую использовать p2p-торговлю на Binance, Bybit и других биржах, мониторя наиболее выгодные предложения.

Пополнение банковских карт Pyypl

Еще один сервис, который позволяет выпускать карты, которые работают за рубежом и о котором я рассказывал – Pyypl. Процесс пополнения Pyypl очень похож на процесс пополнения Bit Free. Ты также можешь пополнить баланс Pyypl с помощью любой криптовалюты. Все операции с криптовалютой Pyypl выполняет через Binance Pay, который производит конвертацию выбранной тобой криптовалюты для оплаты в BUSD, поэтому, чтобы не попадать на невыгодный курс обмена выбранной тобой крипты на BUSD - для пополнения Pyypl я рекомендую сразу приобретать BUSD.

Важно! Именно «BUSD». Несмотря на то, что Pyypl в своём приложении везде пишут, что основная криптовалюта для проведения операций в приложении – это USDT, фактически все операции производятся в Бинансовском BUSD.

Особенности покупки BUSD за рубли, в принципе, такие же как для USDT (которые я описал в предыдущем посте) - наиболее выгодный курс ты сможешь получить при p2p-торговле. Использование обменников здесь также возможно, но далеко не для всех способов оплаты. Монета BUSD куда менее популярная, чем USDT, предложений для обмена меньше, поэтому разница в обменном курсе между p2p и обменниками значительно более заметная.

Также, я обратил внимание, что Pyypl берет скрытую комиссию в размере 1% при конвертации твоих BUSD в USD-баланс банковской карты.

Карты для оплат услуг за рубежом

Я уже много писал о том какие карты для зарубежных оплат существуют, как ими пользоваться, как их пополнять, какие комиссии у них и с какими проблемами можно столкнуться. Информации об этом в моём канале предостаточно. Сегодня я лишь хочу финализировать всё, после боевого испытания этих карт в другой стране и подвести некий итог, что уже не возвращаться к этой теме.

И одновременно использую карты от трёх поставщиков, а именно: Capitalist, Bit Free и Pyypl.

Нужно понимать, что все эти карты – потенциальный СКАМ и в любой момент эти карты могут перестать работать, а ты останешься без доступа к средствам, которых находились на этих картах (не забывай об этом).

Bit Free
- Виртуальная карта: есть, от $100
- Физическая карта: есть, от $200 (поддержка говорит, что есть доставка в РФ, но я не проверял)
- Google Pay, Apple Pay: есть
- Ежемесячное обслуживание: бесплатно
- Комиссия за пополнение: нет
- Комиссия за операции: нет
Bit Free – это наиболее простой и удобный способ платить за рубежом и пополнять карту с помощью криптовалюты.

Pyypl
- Виртуальная карта: есть, бесплатно
- Физическая карта: есть, бесплатно, доставка только по ОАЭ
- Google Pay, Apple Pay: нет
- Ежемесячное обслуживание: бесплатно
- Комиссия за пополнение: 1%
- Комиссия за операции: 2%
Pyypl я рассматриваю как обязательную альтернативу для Bit Free, потому что в первый же мой день в Дубае платежи по карте перестали проходить. Первый платеж прошел без проблем, а дальше – declined. Техподдержка Bit Free тупила сутки, но все же бесплатно выпустила мне новую карту на следующий день, и дальнейшие платежи проходили без проблем. Тем не менее, остаться без платежного средства за границей – так себе ситуация, поэтому обязательно нужна альтернатива.

Capitalist
- Виртуальная карта: есть, $2.95
- Физическая карта: нет
- Google Pay, Apple Pay: нет
- Ежемесячное обслуживание: $2.7
- Комиссия за пополнение: 4.7%
- Комиссия за операции: 0.5%
Capitalist – достаточно старый сервис, который появился задолго до всей этой движухи с отказом принимать оплаты по российским картам, поэтому доверия к нему у меня больше, чем у предыдущих. Но так как у Capitalist нет физических карт и возможности привязки к Google Pay / Apple Pay – его я использую исключительно для онлайн-покупок (например, для продления подписок на зарубежные сервисы).

Если ты до сих пор не можешь разобраться с этими картами самостоятельно – могу порекомендовать друзей из сервиса rupayment.org, которые ответят на все интересующие тебя вопросы по поводу использования описанных в посте платежных сервисов.

А если ты знаешь какой-то другой способ оплаты за рубежом – милости прошу в комментарии

Это я в Дубаях кушаю у Бурака (щяс уже дома)

Ну, с косариком меня что ли 🍾

Подглядываем в чужие админки

Куда интересней сама технология, Blind XSS – это тип атаки, при котором пользователь (без админ-прав, естественно) размещает в веб-приложении в каком-то из полей javascript-код, который срабатывает в момент, когда администратор натыкается на эту информацию (например, просматривает список пользователей).

В этот момент, javascript-код, размещенный удалённо:
- формирует скриншот страницы, на которой находится администратор (можно посмотреть, как выглядит админ-панель и какой функционал в неё заложен)
- сохраняет HTML-код этой страницы
- сохраняет куки пользователя
и отправляет всю эту информацию на почту злоумышленника.

И если первые два пункта могут быть просто неприятны тем, что кто-то увидит дизайн твоей админки, то вот последний пункт несет реальную угрозу, при которой злоумышленник сможет получить доступ к твоей административной части.

Куки – это локальное хранилище браузера, в которое сайт может записывать любую необходимую для его работы информации, например:

1. Идентификатор сессии
В момент успешной авторизации пользователя, в браузере сохраняется идентификатор его сессии и до разрыва соединения с сайтом, браузер использует этот идентификатор для того, чтобы сервер понимал какой пользователь сейчас взаимодействует с приложением. Если злоумышленник успеет отреагировать быстро, то подменив идентификатор сессии в своём браузере – сможет получить доступ к сайту или приложению с правами администратора.

2. Токен авторизации
Многие сайты и приложения имеют галочку «запомнить меня». В этом случае, при авторизации с активной такой галочкой в куках браузера сохраняется некий токен, который позволит пройти процесс авторизации автоматически, даже после окончания сессии. Вот это куда более опасный вариант, потому что злоумышленнику не потребуется в таком случае оперативно реагировать на уведомления Blind XSS. В этом случае, злоумышленник сможет получить доступ к сайту/приложению практически в любой момент.

Как использовать?
Самый простой способ провести подобный пентест – воспользоваться сервисом xsshunter.com. Регистрируемся, указываем почту для уведомлений о срабатывании атаки и начинаем тестировать различные пэйлоады, которые доступны в личном кабинете XSS Hunter.

XSS Payload – это различные примеры HTML-кода, которые должны запустить атакующий Javascript. Наличие разных XSS Payload-ов обусловлено различными способами обхода защиты атакуемых сервисов от подобных уязвимостей. И, если сервис защищен от одной вариации уязвимости – это совершенно не значит, что он защищен от всех типов атак.

Размещаем эти самые XSS Payload-ы везде, где только можно – в имени пользователя и в других настройках пользователя.

В момент, когда администратор наткнётся на страницу, где удалось разместить наш вредоносный скрипт – мы получим уведомление от XSS Hunter вида: https://ipic.su/img/img7/fs/100.1675750366.png
- скриншот страницы
- HTML-код страницы
- URL страницы
- Реферер
- ip-адрес администратора
- User-agent администратора
- COOKIES администратора

Бандиты, кто-то знает как эту парашу отключить?