Investor's wiki

Cardadura

Cardadura

¿Qué es el cardado?

El carding es una forma de fraude con tarjetas de crédito en el que una tarjeta de crédito robada se usa para cargar tarjetas prepagas o comprar tarjetas de regalo. La creación de tarjetas generalmente implica que el titular de la tarjeta robada o la información de la tarjeta compre tarjetas de regalo con la marca de la tienda, que luego se pueden vender a otros o usar para comprar otros bienes que se pueden vender por dinero en efectivo. Los ladrones de tarjetas de crédito que están involucrados en este tipo de fraude se llaman “carders”.

Estados Unidos es un objetivo importante para el fraude con tarjetas de crédito porque es un mercado grande en el que el uso de tarjetas de crédito y débito es común, y porque los tipos de tarjetas que se usan en los Estados Unidos contienen solo una banda magnética o emplean una tecnología de chip y firma,. en lugar de la tecnología de chip y número de identificación personal (PIN) que se encuentra en la mayor parte de Europa.

Conclusiones clave

  • Carding es una forma de fraude con tarjeta de crédito en la que una tarjeta de crédito robada se usa para cargar tarjetas prepagas.
  • Los foros de tarjetas son lugares de compra en línea para información de tarjetas de crédito y débito robadas y técnicas criminales.
  • Carding es un ataque de terceros a la información financiera de un individuo.
  • Los foros de tarjetas son lugares de compra en línea para información de tarjetas de crédito y débito robadas y técnicas criminales.
  • Las tecnologías más nuevas como CVV, CAPTCHA y la autenticación multifactor han sido efectivas contra los carders.

Cómo funciona el cardado

La creación de tarjetas generalmente comienza cuando un pirata informático obtiene acceso al sistema de procesamiento de tarjetas de crédito de una tienda o sitio web, y el pirata informático obtiene una lista de tarjetas de crédito o débito que se usaron recientemente para realizar una compra. Los piratas informáticos pueden explotar las debilidades en el software y la tecnología de seguridad destinados a proteger las cuentas de tarjetas de crédito. También pueden obtener información de la tarjeta de crédito mediante el uso de escáneres para copiar la codificación de las bandas magnéticas.

información de la tarjeta de crédito también puede verse comprometida al acceder a otra información personal del titular de la cuenta,. como las cuentas bancarias a las que el pirata informático ya ha ingresado, apuntando la información a su fuente. Luego, el pirata informático vende la lista de números de tarjetas de crédito o débito a un tercero, un carder, que usa la información robada para comprar una tarjeta de regalo.

La mayoría de las compañías de tarjetas de crédito ofrecen protección a los titulares de las tarjetas contra los cargos realizados si se denuncia el robo de una tarjeta de crédito o débito, pero cuando se cancelan las tarjetas, el emisor de la tarjeta a menudo ya ha realizado una compra. Las tarjetas de regalo se utilizan para comprar bienes de alto valor, como teléfonos celulares, televisores y computadoras, ya que esos bienes no requieren registro y pueden revenderse más tarde. Si el carder compra una tarjeta de regalo para un minorista de productos electrónicos, como Amazon, puede usar un tercero para recibir los productos y luego enviarlos a otras ubicaciones. Esto limita el riesgo de que el cardador llame la atención. El cardador también puede vender los productos en sitios web que ofrecen cierto grado de anonimato.

Debido a que las tarjetas de crédito a menudo se cancelan rápidamente después de perderse, una parte importante de las tarjetas consiste en probar la información de la tarjeta robada para ver si aún funciona. Esto puede implicar el envío de solicitudes de compra sin tarjeta presente en Internet.

Consideraciones Especiales

Hay un lenguaje especial y sitios web especiales utilizados por los estafadores de tarjetas de crédito. Algunos de éstos se discuten a continuación.

Foro de cardado

Los foros de tarjetas son sitios web que se utilizan para el intercambio de información y habilidades tecnológicas sobre el comercio ilícito de tarjetas de crédito o información de cuentas de tarjetas de débito robadas. Los estafadores usan estos sitios para comprar y vender su información obtenida ilegalmente. Los nuevos esfuerzos de protección, como los PIN y los chips, han dificultado el uso de tarjetas robadas en transacciones en puntos de venta, pero las ventas sin tarjeta siguen siendo el pilar de los ladrones de tarjetas y se discuten mucho en los foros de tarjetas.

Completoz

Fullz es un término del argot para "información completa" y lo utilizan los delincuentes que roban información de tarjetas de crédito. Se refiere al paquete de información que contiene el nombre real, la dirección y la forma de identificación de una persona. La información se utiliza para el robo de identidad y el fraude financiero. La persona cuyo "fullz" se vende no es parte de las transacciones.

Volcado de tarjeta de crédito

Un volcado de tarjeta de crédito ocurre cuando un delincuente hace una copia digital no autorizada de una tarjeta de crédito. Se realiza copiando físicamente la información de la tarjeta o pirateando la red de pagos del emisor. Aunque la técnica no es nueva, su escala se ha expandido enormemente en los últimos años, con algunos ataques que incluyen millones de víctimas.

Cómo previenen las empresas el fraude con las tarjetas

Las empresas están implementando varias técnicas para adelantarse a los cardadores. Algunos de los cambios recientes más interesantes incluyen requerir más información del usuario que no está tan fácilmente disponible para el cardador.

Sistema de verificación de direcciones (AVS)

Un sistema AVS compara la dirección de facturación proporcionada al finalizar la compra en línea con la dirección registrada en la compañía de la tarjeta de crédito. Los resultados se devuelven inmediatamente al vendedor con una coincidencia completa, una coincidencia de dirección, una coincidencia de código postal y ninguna coincidencia. Un sistema AVS que funcione correctamente puede detener las transacciones sin coincidencias si se denuncia la pérdida o el robo de la tarjeta. Para las coincidencias solo de dirección o código postal, el vendedor tiene la discreción de aceptar o no. AVS se utiliza actualmente en los Estados Unidos, Canadá y el Reino Unido.

Comprobación de geolocalización de IP

Un sistema de geolocalización IP compara la ubicación IP de la computadora del usuario con la dirección de facturación ingresada en la página de pago. Si no coinciden, es posible que se indique fraude. Hay razones legítimas, como un viaje, por las que no se puede coincidir, pero generalmente justifican una mayor investigación.

Valor de verificación de la tarjeta (CVV)

Un código de valor de verificación de tarjeta (CVV) es un número de tres o cuatro dígitos en una tarjeta de crédito que agrega una capa adicional de seguridad para realizar compras cuando el comprador no está físicamente presente. Dado que está en la propia tarjeta, verifica que la persona que realiza una compra por teléfono o en línea realmente tiene una copia física de la tarjeta.

Si te roban el número de tu tarjeta, un ladrón sin el CVV tendrá dificultades para usarlo. El CVV se puede almacenar en la banda magnética de la tarjeta o en el chip de la tarjeta. El vendedor envía el CVV con todos los demás datos como parte de la solicitud de autorización de la transacción. El emisor puede aprobar, recomendar o rechazar transacciones que no superen la validación de CVV, según los procedimientos del emisor.

Autenticación multifactor (MFA)

La autenticación multifactor es una tecnología de seguridad que requiere más de un método de autenticación a partir de credenciales independientes para verificar el inicio de sesión de un usuario u otra transacción. Puede utilizar dos o más bits de información independientes, provenientes del conocimiento del usuario (p. ej., una contraseña), la posesión del usuario (p. ej., token de autenticación) o lo que es el usuario (datos biométricos). El uso de MFA crea un proceso en capas que dificulta que una persona no autorizada acceda a su objetivo, porque el atacante probablemente no pirateará todas las capas. MFA originalmente usó solo dos factores, pero más factores ya no son infrecuentes.

CAPTCHA

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) es una medida de seguridad del tipo de autenticación desafío-respuesta. Protege a los usuarios del descifrado de contraseñas al pedirles que completen una prueba que demuestre que el examinado es humano y no una computadora que intenta ingresar a la cuenta.

CAPTCHA usa una serie aleatoria de números y letras en una imagen distorsionada y requiere que el usuario los enumere en orden. Todos los sistemas de números/letras han sido derrotados por piratas informáticos en un momento u otro. Como resultado, las versiones alternativas ahora usan sistemas de detección de anomalías (encuentra los cuadrados con barcos) que son fáciles para los humanos pero menos para las computadoras.

Comprobaciones de velocidad

Los controles de velocidad analizan la cantidad de transacciones intentadas por la misma tarjeta o visitante del sitio dentro de una cantidad determinada de segundos o minutos entre sí. Por lo general, los usuarios no realizan pagos múltiples en rápida sucesión, especialmente pagos tan rápidos que superan la capacidad de un ser humano. La velocidad se puede monitorear por monto en dólares, dirección IP del usuario, dirección de facturación, número de identificación bancaria (BIN) y dispositivo.

Ejemplos de cardado

El cardado generalmente implica la compra de tarjetas de regalo que luego se utilizan para comprar tarjetas de regalo que luego se pueden gastar en productos relativamente difíciles de rastrear. A menudo, los productos se revenden en línea o en otro lugar. La información obtenida en las tarjetas también se usa para el robo de identidad y el lavado de dinero.

Reventa de la Información

Una de las formas más fáciles de hacer uso de la información obtenida en carding es revenderla a otros que luego la utilizarán en varios esquemas ilícitos.

Lavado de dinero

En 2004, se descubrió que un popular foro de tarjetas y un sistema de pago en línea utilizado a menudo por los usuarios de tarjetas se habían convertido en un sistema bancario y de transferencia que permitía el lavado de dinero y el procesamiento de fondos delictivos. Presionados para cambiar, las personas que administran el sitio de pago dieron muchos nombres y actividades criminales, pero finalmente fueron condenados por lavado de dinero.

La línea de fondo

A la larga, el uso de tarjetas solo puede evitarse si los titulares de las tarjetas y quienes las aceptan agresivamente aprovechan todos los métodos disponibles para evitar el uso de tarjetas. Los vendedores deben exigir tantas ayudas de prevención como puedan pagar en la práctica, mientras que los titulares de tarjetas deben estar atentos a los signos físicos de manipulación cada vez que usan una tarjeta en un cajero automático o bomba de vacío.

Preguntas frecuentes sobre cardado

PREGUNTAS MÁS FRECUENTES

¿Cuál es el castigo por cardar?

En la mayoría de los estados, el uso de una tarjeta de crédito o débito robada para transacciones por un monto superior al límite de delito menor es un delito grave. Además de la restitución potencial, los carders condenados pueden enfrentar hasta 15 años de prisión y multas de hasta $25,000. Si la tarjeta está relacionada con el lavado de dinero, las sanciones potenciales aumentan considerablemente.

¿Qué es un ataque de cardado?

Un ataque de carding es un intento de realizar múltiples pedidos fraudulentos rápidos en un sitio en línea. Por lo general, se puede reconocer por un aumento repentino y agudo en los pedidos que se realizan, generalmente con la misma dirección de envío. A menudo, la información del cliente proporcionada será claramente fraudulenta.

¿Qué es un skimmer de tarjetas de crédito?

Un skimmer de tarjetas de crédito es un instrumento o dispositivo fraudulento colocado dentro de un lector legítimo, como un cajero automático o una bomba de gasolina para copiar los datos de las tarjetas utilizadas en ese cajero automático o bomba.

¿Cómo roban los delincuentes la información de las tarjetas de crédito?

Los estafadores roban información de tarjetas de crédito de varias maneras. Utilizan skimmers, que roban información de tarjetas de crédito y débito de cajeros automáticos y surtidores de gasolina en los que han sido instalados. También obtienen información a través de estafas de phishing, compromisos del sitio o incluso comprando la información en foros de carder.

¿Cómo puede protegerse del cardado?

Puede protegerse como vendedor de las tarjetas utilizando uno o más de los métodos de prevención de fraude recientemente desarrollados, como los requisitos de CAPTCHA y CVV. Las personas deben tener cuidado con sus tarjetas y estar atentos a signos de manipulación al usar cajeros automáticos y surtidores de gasolina.