Kardning
Hvad er kardning?
svindel med kreditkort, hvor et stjålet kreditkort bruges til at debitere forudbetalte kort eller købe gavekort. Kortlægning involverer typisk indehaveren af det stjålne kort eller kortoplysningerne, der køber butiksmærkede gavekort, som derefter kan sælges til andre eller bruges til at købe andre varer, der kan sælges kontant. Kreditkorttyve, der er involveret i denne type svindel, kaldes "kortere".
USA er et væsentligt mål for svindel med kreditkort, fordi det er et stort marked, hvor brug af kreditkort og debetkort er almindeligt, og fordi de korttyper, der bruges i USA, enten kun indeholder en magnetstribe eller anvender en chip- og signaturteknologi snarere end chip- og PIN-teknologien, der findes i det meste af Europa.
Nøglemuligheder
- Carding er en form for kreditkortsvindel, hvor et stjålet kreditkort bruges til at opkræve forudbetalte kort.
- Kortfora er online shoppingsteder for stjålne kredit- og betalingskortoplysninger og kriminelle teknikker.
- Carding er et tredjepartsangreb på en persons økonomiske oplysninger.
- Kortfora er online shoppingsteder for stjålne kredit- og betalingskortoplysninger og kriminelle teknikker.
- Nyere teknologier som CVV'er, CAPTCHA og multifaktorautentificering har været effektive mod kortere.
Sådan fungerer kardning
Kortlægning starter typisk med, at en hacker får adgang til en butiks eller hjemmesides kreditkortbehandlingssystem, hvor hackeren får en liste over kredit- eller betalingskort, der for nylig blev brugt til at foretage et køb. Hackere kan udnytte svagheder i sikkerhedssoftwaren og -teknologien, der er beregnet til at beskytte kreditkortkonti. De kan også skaffe kreditkortoplysninger ved at bruge scannere til at kopiere koden fra magnetstrimlerne.
Kreditkortoplysninger kan også blive kompromitteret ved at få adgang til kontohaverens andre personlige oplysninger, såsom bankkonti, som hackeren allerede har fået adgang til, og målrette oplysningerne mod kilden. Hackeren sælger derefter listen over kredit- eller betalingskortnumre til en tredjepart – en kortgiver – som bruger de stjålne oplysninger til at købe et gavekort.
De fleste kreditkortselskaber tilbyder kortholdere beskyttelse mod debiteringer, hvis et kredit- eller betalingskort bliver rapporteret stjålet, men på det tidspunkt, hvor kortene annulleres, har kortgiveren ofte allerede foretaget et køb. Gavekortene bruges til at købe varer af høj værdi, såsom mobiltelefoner, fjernsyn og computere, da disse varer ikke kræver registrering og kan videresælges senere. Hvis kortgiveren køber et gavekort til en elektronikforhandler, såsom Amazon, kan de bruge en tredjepart til at modtage varerne og derefter sende dem til andre lokationer. Dette begrænser karderens risiko for at tiltrække opmærksomhed. Kortgiveren kan også sælge varerne på websteder, der tilbyder en vis grad af anonymitet.
Fordi kreditkort ofte annulleres hurtigt, efter at de er gået tabt, involverer en stor del af kortlægningen at teste de stjålne kortoplysninger for at se, om de stadig virker. Dette kan involvere indsendelse af kort-ikke-tilstede-købsanmodninger på internettet.
Særlige overvejelser
Der er et særligt sprog og særlige websteder, der bruges af kreditkortsvindlere. Nogle af disse diskuteres nedenfor.
Carding Forum
Kortfora er websteder, der bruges til udveksling af information og tekniske færdigheder om ulovlig handel med stjålne kreditkort- eller betalingskortkontooplysninger. Svindlere bruger disse websteder til at købe og sælge deres ulovligt opnåede oplysninger. Nye beskyttelsesindsatser som pinkoder og chips har gjort det sværere at bruge stjålne kort i salgstransaktioner, men salg af kort, der ikke er til stede, forbliver grundpillen i korttyvene og diskuteres meget på kortfora.
Fuldz
Fullz er et slangudtryk for "fuld information" og bruges af kriminelle, der stjæler kreditkortoplysninger. Det henviser til informationspakken, der indeholder en persons rigtige navn, adresse og form for identifikation. Oplysningerne bruges til identitetstyveri og økonomisk bedrageri. Den person, hvis "fullz" er solgt, er ikke part i transaktionerne.
Kreditkortdump
Et kreditkortdump opstår, når en kriminel laver en uautoriseret digital kopi af et kreditkort. Det udføres ved fysisk at kopiere oplysninger fra kortet eller hacke udstederens betalingsnetværk. Selvom teknikken ikke er ny, er dens omfang udvidet enormt i de seneste år, med nogle angreb, der omfatter millioner af ofre.
Hvordan virksomheder forhindrer svindel med kort
Virksomheder implementerer forskellige teknikker for at være på forkant med korterne. Nogle af de mere interessante nyere ændringer inkluderer at kræve mere information fra brugeren, som ikke er så let tilgængelig for kortgiveren.
Adressebekræftelsessystem (AVS)
Et AVS-system sammenligner den faktureringsadresse, der er angivet ved kassen i et onlinekøb, med den registrerede adresse hos kreditkortselskabet. Resultaterne returneres straks til sælgeren med fuld match, adressematch, postnummermatch og slet ingen match. Et korrekt fungerende AVS-system kan stoppe no-match-transaktioner, hvis kortet meldes tabt eller stjålet. For adressen kun eller ZIP matches, har sælgeren skøn om at acceptere eller ej. AVS bruges i øjeblikket i USA, Canada og Storbritannien.
IP Geolocation Check
Et IP-geolokaliseringssystem sammenligner IP-placeringen af brugerens computer med den fakturaadresse, der er indtastet på betalingssiden. Hvis de ikke matcher, kan svindel være indikeret. Der er legitime grunde, såsom rejser, til, at det ikke stemmer overens, men de berettiger generelt til yderligere undersøgelse.
Kortbekræftelsesværdi (CVV)
En kortverifikationsværdi (CVV)-kode er et tre- eller firecifret tal på et kreditkort, der tilføjer et ekstra lag af sikkerhed for at foretage køb, når køberen ikke er fysisk til stede. Da det er på selve kortet, verificerer det, at den person, der foretager et telefon- eller onlinekøb, faktisk har en fysisk kopi af kortet.
Hvis dit kortnummer bliver stjålet, vil en tyv uden CVV have svært ved at bruge det. CVV'et kan opbevares i kortets magnetstribe eller i kortets chip. Sælgeren indsender CVV'et med alle andre data som en del af anmodningen om transaktionsgodkendelse. Udstederen kan godkende, henvise eller afvise transaktioner, der mislykkes med CVV-validering, afhængigt af udstederens procedurer.
Multifaktorgodkendelse (MFA)
Multifaktorgodkendelse er en sikkerhedsteknologi, der kræver mere end én metode til godkendelse fra uafhængige legitimationsoplysninger for at bekræfte en brugers login eller anden transaktion. Det kan bruge to eller flere uafhængige informationsbits, der kommer fra brugerens viden (f.eks. et kodeord), brugerens besiddelse (f.eks. autentificeringstoken) eller hvad brugeren er (biometriske data). Brug af MFA skaber en lagdelt proces, der gør det sværere for en uautoriseret person at få adgang til sit mål, fordi angriberen sandsynligvis ikke vil hacke alle lagene. Udenrigsministeriet brugte oprindeligt kun to faktorer, men flere faktorer er ikke længere ualmindelige.
CAPTCHA
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) er en sikkerhedsforanstaltning af typen challenge-response authentication. Det beskytter brugere mod adgangskodedekryptering ved at bede brugeren om at gennemføre en test, der beviser, at testpersonen er et menneske og ikke en computer, der forsøger at bryde ind på kontoen.
CAPTCHA bruger en tilfældig række af tal og bogstaver i et forvrænget billede og kræver, at brugeren angiver dem i rækkefølge. Alle tal/bogstavsystemer er blevet besejret af hackere på et eller andet tidspunkt. Som et resultat bruger alternative versioner nu anomali-spotting-systemer (find firkanterne med skibe), som er nemme for mennesker, men mindre for computere.
Hastighedstjek
Hastighedstjek ser på antallet af transaktioner forsøgt af det samme kort eller webstedsbesøg inden for et givet antal sekunder eller minutter fra hinanden. Typisk foretager brugere ikke flere betalinger i hurtig rækkefølge, især betalinger så hurtige, at de overgår et menneskes kapacitet. Hastighed kan overvåges efter dollarbeløb, brugerens IP-adresse, faktureringsadresse, Bank Identification Number (BIN) og enhed.
Eksempler på kardning
Carding involverer generelt køb af gavekort, som derefter bruges til at købe gavekort, som derefter kan bruges på relativt svære at spore varer. Ofte sælges varerne så videre online eller andre steder. Oplysningerne opnået ved kortlægning bruges også til identitetstyveri og hvidvaskning af penge.
Videresalg af oplysningerne
En af de nemmeste måder at gøre brug af de oplysninger, der er opnået ved kortlægning, er at videresælge dem til andre, som derefter vil bruge dem i forskellige ulovlige ordninger.
Hvidvaskning
I 2004 blev et populært kortforum og et onlinebetalingssystem, der ofte bruges af kortgivere, blevet til et bank- og overførselssystem, der tillader hvidvaskning af penge og behandling af kriminelle midler. Presset til at vende, opgav de personer, der driver betalingssiden, en masse kriminelle navne og aktiviteter, men blev til sidst selv dømt for hvidvaskning af penge.
Bundlinjen
I det lange løb kan kortlægning kun forhindres, hvis kortholdere og dem, der accepterer kort aggressivt udnytter alle tilgængelige metoder til at forhindre kortlægning. Sælgere bør kræve så mange forebyggende hjælpemidler, som de praktisk talt har råd til, mens kortholdere bør holde øje med fysiske tegn på manipulation, hver gang de bruger et kort i en hæveautomat eller gap-pumpe.
Ofte stillede spørgsmål om carding
Ofte stillede spørgsmål
Hvad er straffen for kardning?
I de fleste stater er det en forbrydelse at bruge et stjålet kredit- eller betalingskort til transaktioner med et beløb over forseelsesgrænsen. Ud over potentiel tilbagebetaling kan dømte kortere risikere op til 15 års fængsel og bøder på op til $25.000. Hvis kortlægningen er forbundet med hvidvask, eskalerer de potentielle sanktioner kraftigt.
Hvad er et carding-angreb?
Et carding-angreb er et forsøg på at placere hurtige flere svigagtige ordrer på et online-websted. Det kan normalt genkendes på en skarp pludselig stigning i ordrer, der afgives, normalt med samme leveringsadresse. Ofte vil de afgivne kundeoplysninger være klart svigagtige.
Hvad er en kreditkortskimmer?
En kreditkortskimmer er et svigagtigt instrument eller en svigagtig enhed, der er placeret inde i en legitim læser, såsom en pengeautomat eller en benzinpumpe til at kopiere data fra kort, der bruges i den pågældende pengeautomat eller pumpe.
Hvordan stjæler kriminelle kreditkortoplysninger?
Svindlere stjæler kreditkortoplysninger på forskellige måder. De bruger skimmere, som stjæler kredit- og betalingskortoplysninger fra pengeautomater og benzinpumper, som de er installeret i. De får også information gennem phishing-svindel, kompromittering af websteder eller endda ved at købe oplysningerne på carder-fora.
Hvordan kan du beskytte dig selv mod kardning?
Du kan beskytte dig selv som sælger mod kortlægning ved at bruge en eller flere af de nyudviklede metoder til forebyggelse af svindel som CAPTCHA og CVV-krav. Enkeltpersoner bør være forsigtige med deres kort og være på udkig efter tegn på manipulation, når de bruger pengeautomater og benzinpumper.