Cardage
Qu'est-ce que le carding ?
Le carding est une forme de fraude par carte de crĂ©dit dans laquelle une carte de crĂ©dit volĂ©e est utilisĂ©e pour dĂ©biter des cartes prĂ©payĂ©es ou acheter des cartes-cadeaux. Le carding implique gĂ©nĂ©ralement que le dĂ©tenteur de la carte volĂ©e ou des informations de la carte achĂšte des cartes-cadeaux de marque de magasin, qui peuvent ensuite ĂȘtre vendues Ă d'autres ou utilisĂ©es pour acheter d'autres biens qui peuvent ĂȘtre vendus contre de l'argent. Les voleurs de cartes de crĂ©dit qui sont impliquĂ©s dans ce type de fraude sont appelĂ©s « cardeurs ».
Les Ătats-Unis sont une cible importante pour la fraude par carte de crĂ©dit parce qu'il s'agit d'un vaste marchĂ© dans lequel l'utilisation des cartes de crĂ©dit et de dĂ©bit est courante, et parce que les types de cartes utilisĂ©es aux Ătats-Unis ne contiennent qu'une bande magnĂ©tique ou emploient un technologie de la puce et de la signature,. plutĂŽt que la technologie de la puce et du numĂ©ro d'identification personnel (PIN) que l'on trouve dans la majeure partie de l'Europe.
Principaux points Ă retenir
- Le carding est une forme de fraude par carte de crédit dans laquelle une carte de crédit volée est utilisée pour débiter des cartes prépayées.
- Les forums de cartes sont des sites d'achat en ligne pour les informations volées sur les cartes de crédit et de débit et les techniques criminelles.
- Le carding est une attaque de tiers sur les informations financiĂšres d'un individu.
- Les forums de cartes sont des sites d'achat en ligne pour les informations volées sur les cartes de crédit et de débit et les techniques criminelles.
- Les nouvelles technologies comme les CVV, CAPTCHA et l'authentification multifactorielle ont été efficaces contre les cardeurs.
Comment fonctionne le cardage
Le cardage commence généralement par l'accÚs d'un pirate au systÚme de traitement des cartes de crédit d'un magasin ou d'un site Web, le pirate obtenant une liste des cartes de crédit ou de débit récemment utilisées pour effectuer un achat. Les pirates peuvent exploiter les faiblesses des logiciels et technologies de sécurité destinés à protéger les comptes de carte de crédit. Ils peuvent également obtenir des informations sur les cartes de crédit en utilisant des scanners pour copier le codage des bandes magnétiques.
Les informations de carte de crĂ©dit peuvent Ă©galement ĂȘtre compromises en accĂ©dant aux autres informations personnelles du titulaire du compte,. telles que les comptes bancaires auxquels le pirate a dĂ©jĂ eu accĂšs, en ciblant les informations Ă leur source. Le pirate vend ensuite la liste des numĂ©ros de carte de crĂ©dit ou de dĂ©bit Ă un tiers, un cardeur, qui utilise les informations volĂ©es pour acheter une carte-cadeau.
La plupart des sociĂ©tĂ©s de cartes de crĂ©dit offrent aux titulaires de cartes une protection contre les frais facturĂ©s si une carte de crĂ©dit ou de dĂ©bit est dĂ©clarĂ©e volĂ©e, mais au moment oĂč les cartes sont annulĂ©es, le dĂ©biteur a souvent dĂ©jĂ effectuĂ© un achat. Les cartes-cadeaux sont utilisĂ©es pour acheter des biens de grande valeur, tels que des tĂ©lĂ©phones portables, des tĂ©lĂ©viseurs et des ordinateurs, car ces biens ne nĂ©cessitent pas d'enregistrement et peuvent ĂȘtre revendus plus tard. Si le cardeur achĂšte une carte-cadeau pour un dĂ©taillant d'Ă©lectronique, tel qu'Amazon, il peut faire appel Ă un tiers pour recevoir les marchandises, puis les expĂ©dier vers d'autres endroits. Cela limite le risque pour le cardeur d'attirer l'attention. Le cardeur peut Ă©galement vendre la marchandise sur des sites Internet offrant un certain anonymat.
Ătant donnĂ© que les cartes de crĂ©dit sont souvent annulĂ©es rapidement aprĂšs avoir Ă©tĂ© perdues, une grande partie du cardage consiste Ă tester les informations de la carte volĂ©e pour voir si elle fonctionne toujours. Cela peut impliquer de soumettre des demandes d'achat sans carte sur Internet.
Considérations particuliÚres
Il existe un langage spécial et des sites Web spéciaux utilisés par les fraudeurs de cartes de crédit. Certains d'entre eux sont discutés ci-dessous.
Forum de cardage
Les forums de cardage sont des sites Web utilisés pour l'échange d'informations et de compétences techniques sur le commerce illicite de cartes de crédit volées ou d'informations sur les comptes de cartes de débit. Les fraudeurs utilisent ces sites pour acheter et vendre leurs informations obtenues illégalement. De nouveaux efforts de protection tels que les codes PIN et les puces ont rendu plus difficile l'utilisation de cartes volées dans les transactions au point de vente, mais les ventes sans carte restent le pilier des voleurs de cartes et font l'objet de nombreuses discussions sur les forums de cardage.
Fullz
Fullz est un terme d'argot pour "informations complÚtes" et est utilisé par les criminels qui volent des informations de carte de crédit. Il fait référence à la trousse d'information contenant le vrai nom, l'adresse et la forme d'identification d'une personne. Les informations sont utilisées pour le vol d'identité et la fraude financiÚre. La personne dont le "fullz" est vendu n'est pas partie aux transactions.
Vidage de carte de crédit
Un vidage de carte de crédit se produit lorsqu'un criminel fait une copie numérique non autorisée d'une carte de crédit. Elle est réalisée en copiant physiquement les informations de la carte ou en piratant le réseau de paiement de l'émetteur. Bien que la technique ne soit pas nouvelle, son ampleur s'est considérablement élargie ces derniÚres années, avec certaines attaques faisant des millions de victimes.
Comment les entreprises préviennent la fraude par carte
Les entreprises mettent en Ćuvre diverses techniques pour garder une longueur d'avance sur les cardeurs. Certains des changements rĂ©cents les plus intĂ©ressants incluent l'exigence de plus d'informations de la part de l'utilisateur qui ne sont pas aussi facilement disponibles pour le cardeur.
SystÚme de vérification d'adresse (AVS)
Un systĂšme AVS compare l'adresse de facturation fournie Ă la caisse lors d'un achat en ligne Ă l'adresse d'enregistrement de la sociĂ©tĂ© de carte de crĂ©dit. Les rĂ©sultats sont immĂ©diatement renvoyĂ©s au vendeur avec une correspondance complĂšte, une correspondance d'adresse, une correspondance de code postal et aucune correspondance. Un systĂšme AVS fonctionnant correctement peut arrĂȘter les transactions sans correspondance si la carte est dĂ©clarĂ©e perdue ou volĂ©e. Pour les correspondances d'adresse uniquement ou de code postal uniquement, le vendeur a le pouvoir discrĂ©tionnaire d'accepter ou non. AVS est actuellement utilisĂ© aux Ătats-Unis, au Canada et au Royaume-Uni.
Vérification de la géolocalisation IP
Un systĂšme de gĂ©olocalisation IP compare l'emplacement IP de l'ordinateur de l'utilisateur Ă l'adresse de facturation saisie sur la page de paiement. S'ils ne correspondent pas, une fraude peut ĂȘtre indiquĂ©e. Il existe des raisons lĂ©gitimes, telles que le voyage, pour un Ă©chec de correspondance, mais elles justifient gĂ©nĂ©ralement une enquĂȘte plus approfondie.
Valeur de vérification de la carte (CVV)
Un code de valeur de vĂ©rification de carte (CVV) est un numĂ©ro Ă trois ou quatre chiffres sur une carte de crĂ©dit qui ajoute une couche de sĂ©curitĂ© supplĂ©mentaire pour effectuer des achats lorsque l'acheteur n'est pas physiquement prĂ©sent. Puisqu'il se trouve sur la carte elle-mĂȘme, il vĂ©rifie que la personne effectuant un achat par tĂ©lĂ©phone ou en ligne possĂšde bien une copie physique de la carte.
Si votre numĂ©ro de carte est volĂ©, un voleur sans le CVV aura du mal Ă l'utiliser. Le CVV peut ĂȘtre stockĂ© dans la bande magnĂ©tique de la carte ou dans la puce de la carte. Le vendeur soumet le CVV avec toutes les autres donnĂ©es dans le cadre de la demande d'autorisation de transaction. L'Ă©metteur peut approuver, renvoyer ou refuser les transactions qui Ă©chouent Ă la validation CVV, selon les procĂ©dures de l'Ă©metteur.
Authentification multifacteur (MFA)
L'authentification multifacteur est une technologie de sécurité qui nécessite plusieurs méthodes d'authentification à partir d'informations d'identification indépendantes pour vérifier la connexion d'un utilisateur ou une autre transaction. Il peut utiliser deux ou plusieurs bits d'information indépendants, provenant de la connaissance de l'utilisateur (par exemple, un mot de passe), de la possession de l'utilisateur (par exemple, un jeton d'authentification) ou de ce qu'est l'utilisateur (données biométriques). L'utilisation de MFA crée un processus en couches qui rend plus difficile pour une personne non autorisée d'accéder à sa cible, car l'attaquant ne piratera probablement pas toutes les couches. L'AMF n'utilisait à l'origine que deux facteurs, mais d'autres facteurs ne sont plus rares.
CAPTCHA
Le CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) est une mesure de sécurité de type authentification challenge-response. Il protÚge les utilisateurs contre le déchiffrement du mot de passe en demandant à l'utilisateur de passer un test qui prouve que le candidat est humain et non un ordinateur tentant de pénétrer dans le compte.
CAPTCHA utilise une série aléatoire de chiffres et de lettres dans une image déformée et oblige l'utilisateur à les répertorier dans l'ordre. Tous les systÚmes de chiffres/lettres ont été vaincus par des pirates à un moment ou à un autre. En conséquence, les versions alternatives utilisent désormais des systÚmes de détection d'anomalies (trouver les carrés avec des navires) qui sont faciles pour les humains mais moins pour les ordinateurs.
VĂ©rifications de la vitesse
Les vĂ©rifications de vĂ©locitĂ© examinent le nombre de transactions tentĂ©es par la mĂȘme carte ou le mĂȘme visiteur du site Ă un certain nombre de secondes ou de minutes d'intervalle. En rĂšgle gĂ©nĂ©rale, les utilisateurs n'effectuent pas plusieurs paiements en succession rapide, en particulier des paiements si rapides qu'ils dĂ©passent la capacitĂ© d'un ĂȘtre humain. La vĂ©locitĂ© peut ĂȘtre surveillĂ©e par le montant en dollars, l'adresse IP de l'utilisateur, l'adresse de facturation, le numĂ©ro d'identification bancaire (BIN) et l'appareil.
Exemples de cardage
Le cardage implique gĂ©nĂ©ralement l'achat de cartes-cadeaux qui sont ensuite utilisĂ©es pour acheter des cartes-cadeaux qui peuvent ensuite ĂȘtre dĂ©pensĂ©es pour des marchandises relativement difficiles Ă retracer. Souvent, les marchandises sont ensuite revendues en ligne ou ailleurs. Les informations obtenues lors du cardage sont Ă©galement utilisĂ©es pour le vol d'identitĂ© et le blanchiment d'argent.
Revente des Informations
L'un des moyens les plus simples d'utiliser les informations obtenues lors du fichage est de les revendre Ă d'autres qui les utiliseront ensuite dans divers stratagĂšmes illicites.
Blanchiment d'argent
En 2004, un forum de cardage populaire et un systĂšme de paiement en ligne souvent utilisĂ© par les cardeurs se sont avĂ©rĂ©s ĂȘtre devenus un systĂšme bancaire et de transfert permettant le blanchiment d'argent et le traitement de fonds criminels. PressĂ©s de faire volte-face, les individus qui dirigeaient le site de paiement ont renoncĂ© Ă de nombreux noms et activitĂ©s criminels, mais ont finalement Ă©tĂ© eux-mĂȘmes reconnus coupables de blanchiment d'argent.
L'essentiel
Ă long terme, le carding ne peut ĂȘtre empĂȘchĂ© que si les titulaires de carte et ceux qui acceptent les cartes profitent agressivement de toutes les mĂ©thodes disponibles pour empĂȘcher le cardage. Les vendeurs devraient exiger autant d'aides Ă la prĂ©vention qu'ils peuvent se le permettre, tandis que les titulaires de carte devraient surveiller les signes physiques de falsification chaque fois qu'ils utilisent une carte dans un guichet automatique ou une pompe Ă vide.
FAQ sur les cartes
FAQ
Quelle est la punition pour le carding ?
Dans la plupart des Ătats, l'utilisation d'une carte de crĂ©dit ou de dĂ©bit volĂ©e pour des transactions d'un montant supĂ©rieur Ă la limite de dĂ©lit est un crime. En plus d'une restitution potentielle, les cardeurs condamnĂ©s peuvent encourir jusqu'Ă 15 ans de prison et des amendes pouvant aller jusqu'Ă 25 000 $. Si le fichage est liĂ© au blanchiment d'argent, les sanctions potentielles augmentent fortement.
Qu'est-ce qu'une attaque par cardage ?
Une attaque par carding est une tentative de passer rapidement plusieurs commandes frauduleuses sur un site en ligne. Il peut gĂ©nĂ©ralement ĂȘtre reconnu par une forte augmentation soudaine des commandes passĂ©es, gĂ©nĂ©ralement avec la mĂȘme adresse de livraison. Souvent, les informations client fournies seront clairement frauduleuses.
Qu'est-ce qu'un skimmer de carte de crédit ?
Un écumeur de cartes de crédit est un instrument ou un dispositif frauduleux placé à l'intérieur d'un lecteur légitime, tel qu'un guichet automatique ou une pompe à essence pour copier les données des cartes utilisées dans ce guichet automatique ou cette pompe.
Comment les criminels volent-ils les informations de carte de crédit ?
Les fraudeurs volent les informations de carte de crĂ©dit de diverses maniĂšres. Ils utilisent des Ă©cumeurs, qui volent les informations des cartes de crĂ©dit et de dĂ©bit des distributeurs automatiques de billets et des pompes Ă essence dans lesquels ils ont Ă©tĂ© installĂ©s. Ils obtiennent Ă©galement des informations par le biais d'escroqueries par hameçonnage, de compromissions de sites ou mĂȘme en achetant des informations sur des forums de carder.
Comment pouvez-vous vous protéger du carding ?
En tant que vendeur, vous pouvez vous protĂ©ger contre le carding en utilisant une ou plusieurs des nouvelles mĂ©thodes de prĂ©vention de la fraude telles que les exigences CAPTCHA et CVV. Les particuliers doivent ĂȘtre prudents avec leurs cartes et ĂȘtre Ă l'affĂ»t des signes de falsification lorsqu'ils utilisent des guichets automatiques et des pompes Ă essence.
