Im Zentrum der Flare-Auswertung steht ein deutlicher Wandel bei der Bewertung von Residential Proxys. Kartenbetrüger unterscheiden demnach nicht mehr einfach zwischen Residential und Nicht-Residential, sondern zwischen „sauberen“ und „verschmutzten“ Pools. Ein in Untergrundforen vielfach weiterverbreiteter Leitfaden mit dem Titel „Die saubersten möglichen IPs für Carding bekommen“ argumentiert laut Flare, dass selbst Residential-Pools mit der Zeit an Qualität verlieren, wenn Adressen wiederholt für Missbrauch eingesetzt werden.
Ein weiterer Leitfaden stellte laut Analyse nicht die Frage in den Vordergrund, ob eine IP-Adresse aus einem privaten Internetanschluss stammt, sondern ob sie zuvor gegen Banken, Zahlungsabwickler oder andere betrugssensible Dienste verwendet wurde. Auch in Hilfefäden zu Problemen zeigt sich dieses Denken: Nutzer vergleichen Betrugsbewertungsdienste, beklagen stark voneinander abweichende Reputationswerte für dieselbe Adresse und berichten, dass eine anfangs als sauber eingestufte IP nach kurzer Aktivität als Hochrisiko-Adresse gelten kann.
Flare zufolge zeigt das einen zentralen Punkt: Kartenbetrüger betrachten die Reputation eines Proxys zunehmend als dynamisch und als beeinflusst durch andere Kunden, die dieselbe Infrastruktur nutzen. Ältere Hinweise zum Carding konzentrierten sich oft darauf, eine IP im selben Land wie die gestohlene Karte zu wählen. Neuere Beiträge beschreiben dagegen deutlich engere Anforderungen.
So befasste sich ein Diskussionsfaden vom Januar 2026 mit „Geokonsistenz“. Dort ging es laut Flare darum, den ungefähren Standort einer IP mit der Postleitzahl der Rechnungsadresse, der Zeitzone des Geräts, der Sprache des Betriebssystems und Browser-Merkmalen abzugleichen. In einer anderen Diskussion beschwerte sich ein Nutzer darüber, dass große Residential-Proxy-Anbieter keine Auswahl nach Postleitzahl mehr erlaubten, sondern nur noch nach Land, Bundesstaat und Stadt. Der Akteur befürchtete, dass eine Eingrenzung auf Stadtebene nicht mehr präzise genug sei, um Betrugskontrollen zu umgehen.
Die Beiträge verbinden Residential Proxys laut Datensatz regelmäßig mit Antidetect-Browsern, isolierten Geräten, Cookie-Historien, WebRTC-Konfigurationen sowie Canvas- und WebGL-Fingerabdrücken und konsistenten User-Agents. Ein Leitfaden vom April 2026 warnte, dass selbst ein „perfekter Residential Proxy“ scheitern werde, wenn das Browser-Profil widersprüchliche Informationen preisgibt. Ein anderer Einrichtungsleitfaden argumentierte, dass das Kopieren einer festen Konfiguration wirkungslos sei, weil Gerät, Proxy, Kontohistorie, Zahlungsinformationen und Zielhändler gemeinsam bewertet werden müssten.
Als Einordnung verweist Flare auf die Dokumentation von Stripe. Dort werden Kontrollen beschrieben, die Transaktions-, Identitäts-, Karten- und Verlaufssignale kombinieren, statt sich auf einen einzelnen Indikator zu verlassen. Stripes Hinweise zum Testen von Karten nennen außerdem Geschwindigkeit von Versuchen, wiederholte Ablehnungen, widersprüchliche Abrechnungsinformationen und die Wiederverwendung von Karten oder Kundendaten.
Mehrere Forenbeiträge beklagen zudem, dass etablierte Proxy-Anbieter den Zugriff auf Banken, Zahlungsabwickler, Regierungsportale und andere betrugssensible Dienste einschränken. Für Kartenbetrüger entsteht damit laut Flare ein praktisches Problem: Eine IP kann nach außen wie ein privater Anschluss wirken und einen niedrigen Betrugswert haben, zugleich aber für das eigentliche Ziel unbrauchbar sein. Manche Akteure deuten solche Sperren als Versuch der Anbieter, ihre Adresspools vor Missbrauch zu schützen. Ein viel verbreiteter Leitfaden vertrat sogar die These, eingeschränkte Residential-Pools könnten gerade deshalb sauberere IPs enthalten, weil sie nicht wiederholt gegen Finanzinstitute eingesetzt wurden.
Parallel dazu entstehe ein Markt für Dienste, die als „für Finanzdienste freigeschaltet“, „bankkompatibel“ oder als geeignet für bestimmte Zahlungsplattformen beworben werden. Nutzer in Untergrundforen tauschen Empfehlungen zu Anbietern und Methoden zum Testen der Erreichbarkeit aus; Flare weist aber darauf hin, dass die Verlässlichkeit solcher Angebote schwer zu überprüfen ist und es sich teils auch um Betrug handeln könnte.
Die Suche nach nutzbarer Residential-Infrastruktur spielt sich laut dem Bericht in einem größeren und umkämpften Proxy-Ökosystem ab. Im Juli 2026 beschlagnahmten das FBI und Industriepartner Hunderte Domains, die mit der Residential-Proxy-Plattform NetNut und dem Popa-Botnetz in Verbindung standen. Forscher brachten das Netzwerk mit mindestens zwei Millionen kompromittierten Geräten in Verbindung, darunter Smart-TVs und Streaming-Boxen, die zu Residential-Proxy-Knoten umgebaut worden seien. Die Infrastruktur wurde Berichten zufolge für Werbebetrug, Kontoübernahmen und weiteren missbräuchlichen Verkehr genutzt.
Bereits eine FBI-Warnung vom März 2026 hatte darauf hingewiesen, dass Kriminelle Residential-Proxy-Adressen bis auf Ebene von Bundesstaat und Stadt auswählen können. Die Behörde nannte dabei ausdrücklich den Einsatz für Kontoübernahmen, einschließlich des Abgleichs einer IP-Adresse mit der Stadt des Opfers, um geobasierte Kontrollen einer Bank seltener auszulösen. Für Flare ergibt sich daraus: In Carding-Foren zählt nicht mehr nur irgendeine Residential-Adresse, sondern eine, die zugleich sauber genug, präzise lokalisiert und für Finanzdienste nutzbar ist.
