Kardan
Co to jest gręplowanie?
oszustwa związanego z kartą kredytową, w której skradziona karta kredytowa jest używana do obciążania kart przedpłaconych lub zakupu kart podarunkowych. Carding zazwyczaj polega na tym, że posiadacz skradzionej karty lub informacji o karcie kupuje karty upominkowe marki sklepu, które następnie można sprzedać innym lub wykorzystać do zakupu innych towarów, które można sprzedać za gotówkę. Złodzieje kart kredytowych, którzy są zaangażowani w tego rodzaju oszustwa, nazywani są „karterami”.
Stany Zjednoczone są ważnym celem oszustw związanych z kartami kredytowymi, ponieważ są to duży rynek, na którym korzystanie z kart kredytowych i debetowych jest powszechne, a także ponieważ rodzaje kart używanych w Stanach Zjednoczonych zawierają tylko pasek magnetyczny lub wykorzystują technologia chipa i podpisu,. a nie technologia chipa i osobistego numeru identyfikacyjnego (PIN) stosowana w większości krajów Europy.
Kluczowe drogi
- Carding to forma oszustwa związanego z kartami kredytowymi, w której skradziona karta kredytowa jest wykorzystywana do obciążania kart przedpłaconych.
- Fora kart to miejsca zakupów online, w których można znaleźć informacje o skradzionych kartach kredytowych i debetowych oraz techniki przestępcze.
- Carding to atak strony trzeciej na informacje finansowe danej osoby.
- Fora kart to miejsca zakupów online, w których można znaleźć informacje o skradzionych kartach kredytowych i debetowych oraz techniki przestępcze.
- Nowsze technologie, takie jak CVV, CAPTCHA i uwierzytelnianie wieloskładnikowe, są skuteczne przeciwko carderom.
Jak działa gręplowanie
Carding zazwyczaj zaczyna się od uzyskania przez hakera dostępu do systemu przetwarzania kart kredytowych sklepu lub witryny internetowej, a haker uzyskuje listę kart kredytowych lub debetowych, które zostały ostatnio użyte do dokonania zakupu. Hakerzy mogą wykorzystywać słabości oprogramowania zabezpieczającego i technologii służących do ochrony kont kart kredytowych. Mogą również uzyskać informacje o karcie kredytowej za pomocą skanerów do kopiowania kodu z pasków magnetycznych.
Informacje o karcie kredytowej mogą również zostać naruszone, uzyskując dostęp do innych danych osobowych posiadacza konta , takich jak konta bankowe, na które haker już uzyskał dostęp, kierując informacje do źródła. Haker sprzedaje następnie listę numerów kart kredytowych lub debetowych stronie trzeciej — karterowi — która wykorzystuje skradzione informacje do zakupu karty podarunkowej.
Większość firm wydających karty kredytowe oferuje posiadaczom kart ochronę przed opłatami w przypadku zgłoszenia kradzieży karty kredytowej lub debetowej, ale zanim karty zostaną anulowane, posiadacz karty często już dokonał zakupu. Karty podarunkowe służą do zakupu towarów o wysokiej wartości, takich jak telefony komórkowe, telewizory i komputery, ponieważ towary te nie wymagają rejestracji i można je później odsprzedać. Jeśli karter kupi kartę podarunkową dla sprzedawcy elektroniki, takiego jak Amazon, może skorzystać z usług strony trzeciej, aby odebrać towary, a następnie wysłać je do innych lokalizacji. Ogranicza to ryzyko zwrócenia uwagi grającego. Karter może również sprzedawać towary na stronach internetowych oferujących pewien stopień anonimowości.
Ponieważ karty kredytowe są często anulowane szybko po ich zgubieniu, główna część kartowania polega na testowaniu skradzionych informacji o karcie, aby sprawdzić, czy nadal działają. Może to obejmować przesyłanie przez Internet żądań zakupu bez karty.
Uwagi specjalne
Oszuści z kart kredytowych używają specjalnego języka i specjalnych stron internetowych. Niektóre z nich omówiono poniżej.
Forum Cardingowe
Fora kartingowe to strony internetowe służące do wymiany informacji i umiejętności technicznych na temat nielegalnego handlu skradzionymi kartami kredytowymi lub informacjami o koncie karty debetowej. Oszuści wykorzystują te strony do kupowania i sprzedawania nielegalnie uzyskanych informacji. Nowe działania ochronne, takie jak kody PIN i chipy, utrudniły korzystanie z skradzionych kart w transakcjach w punktach sprzedaży, ale sprzedaż kart bez obecności karty pozostaje podstawą złodziei kart i jest często omawiana na forach kartingowych.
Fullz
Fullz to slangowe określenie „pełne informacje” i jest używane przez przestępców, którzy kradną informacje o karcie kredytowej. Odnosi się do pakietu informacyjnego zawierającego prawdziwe imię i nazwisko osoby, adres i formę identyfikacji. Informacje są wykorzystywane do kradzieży tożsamości i oszustw finansowych. Osoba, której sprzedany jest „fullz”, nie jest stroną transakcji.
Zrzut karty kredytowej
Zrzut karty kredytowej ma miejsce, gdy przestępca tworzy nieautoryzowaną cyfrową kopię karty kredytowej. Odbywa się to poprzez fizyczne skopiowanie informacji z karty lub włamanie się do sieci płatniczej wydawcy. Chociaż technika ta nie jest nowa, jej skala znacznie wzrosła w ostatnich latach, a niektóre ataki obejmują miliony ofiar.
Jak firmy zapobiegają oszustwom związanym z kartami
Firmy wdrażają różne techniki, aby wyprzedzić gręplarzy. Niektóre z ciekawszych ostatnich zmian obejmują wymaganie od użytkownika większej ilości informacji, które nie są tak łatwo dostępne dla karty.
System weryfikacji adresu (AVS)
System AVS porównuje adres rozliczeniowy podany przy kasie w sklepie internetowym z adresem rejestracji w firmie obsługującej karty kredytowe. Wyniki są natychmiast zwracane do sprzedawcy z pełnym dopasowaniem, dopasowaniem adresu, dopasowaniem kodu pocztowego i brakiem dopasowania. Prawidłowo działający system AVS może zatrzymać transakcje bez dopasowania, jeśli karta zostanie zgłoszona jako zgubiona lub skradziona. W przypadku pasujących tylko adresów lub tylko ZIP sprzedawca może zaakceptować lub nie. AVS jest obecnie używany w Stanach Zjednoczonych, Kanadzie i Wielkiej Brytanii.
Kontrola geolokalizacji IP
System geolokalizacji IP porównuje lokalizację IP komputera użytkownika z adresem rachunku wprowadzonym na stronie kasy. Jeśli się nie zgadzają, może być wskazane oszustwo. Istnieją uzasadnione powody, takie jak podróż, dla braku dopasowania, ale generalnie uzasadniają one dalsze dochodzenie.
Wartość weryfikacji karty (CVV)
Kod weryfikacyjny karty (CVV) to trzy- lub czterocyfrowy numer karty kredytowej, który stanowi dodatkową warstwę bezpieczeństwa podczas zakupów, gdy kupujący nie jest fizycznie obecny. Ponieważ znajduje się na samej karcie, sprawdza, czy osoba dokonująca zakupu przez telefon lub online faktycznie ma fizyczną kopię karty.
Jeśli numer Twojej karty zostanie skradziony, złodziej bez CVV będzie miał trudności z jego użyciem. CVV może być przechowywany na pasku magnetycznym karty lub w chipie karty. Sprzedający przesyła CVV wraz ze wszystkimi innymi danymi w ramach żądania autoryzacji transakcji. Wystawca może zatwierdzać, odsyłać lub odrzucać transakcje, które nie przejdą weryfikacji CVV, w zależności od procedur emitenta.
Uwierzytelnianie wieloskładnikowe (MFA)
Uwierzytelnianie wieloskładnikowe to technologia zabezpieczeń, która wymaga więcej niż jednej metody uwierzytelniania na podstawie niezależnych poświadczeń w celu zweryfikowania logowania użytkownika lub innej transakcji. Może wykorzystywać dwa lub więcej niezależnych bitów informacji, pochodzących z wiedzy użytkownika (np. hasło), posiadanych przez użytkownika (np. token uwierzytelniający) lub tego, kim jest użytkownik (dane biometryczne). Korzystanie z usługi MFA tworzy warstwowy proces, utrudniając nieautoryzowanej osobie dostęp do jej celu, ponieważ osoba atakująca prawdopodobnie nie zhakuje wszystkich warstw. MFA pierwotnie używało tylko dwóch czynników, ale więcej czynników nie jest już rzadkością.
CAPTCHA
CAPTCHA (Completely Automated Public Turing test informujący Computers and Humans Apart) jest środkiem bezpieczeństwa typu uwierzytelniania typu wyzwanie-odpowiedź. Chroni użytkowników przed odszyfrowaniem hasła, prosząc użytkownika o wykonanie testu, który udowadnia, że osoba testująca jest człowiekiem, a nie komputerem próbującym włamać się na konto.
CAPTCHA wykorzystuje losową serię cyfr i liter w zniekształconym obrazie i wymaga od użytkownika podania ich w kolejności. Wszystkie systemy cyfr/liter zostały w pewnym momencie pokonane przez hakerów. W rezultacie alternatywne wersje używają teraz systemów wykrywania anomalii (znajdź kwadraty ze statkami), które są łatwe dla ludzi, ale mniej dla komputerów.
Kontrole prędkości
Kontrole prędkości sprawdzają liczbę transakcji próbowanych przez tę samą kartę lub odwiedzającego witrynę w ciągu określonej liczby sekund lub minut od siebie. Zazwyczaj użytkownicy nie dokonują wielu płatności w krótkich odstępach czasu, zwłaszcza płatności tak szybkich, że przekraczają możliwości człowieka. Prędkość można monitorować według kwoty w dolarach, adresu IP użytkownika, adresu rozliczeniowego, numeru identyfikacyjnego banku (BIN) i urządzenia.
Przykłady Cardingu
Carding zazwyczaj wiąże się z zakupem kart podarunkowych, które są następnie wykorzystywane do zakupu kart podarunkowych, które można następnie wydać na stosunkowo trudne do śledzenia towary. Często towary są następnie odsprzedawane online lub w innym miejscu. Informacje uzyskane w kartingu są również wykorzystywane do kradzieży tożsamości i prania pieniędzy.
Odsprzedaż informacji
Jednym z najłatwiejszych sposobów wykorzystania informacji uzyskanych podczas grywania jest odsprzedanie ich innym, którzy następnie wykorzystają je w różnych nielegalnych programach.
Pranie pieniędzy
W 2004 r. okazało się, że popularne forum kartingowe i system płatności online, często używany przez karterów, stał się systemem bankowym i transferowym umożliwiającym pranie pieniędzy i przetwarzanie pieniędzy pochodzących z przestępstw. Zmuszeni do odwrócenia, osoby prowadzące stronę płatniczą zrezygnowały z wielu nazwisk i działań przestępczych, ale ostatecznie same zostały skazane za pranie brudnych pieniędzy.
Podsumowanie
Na dłuższą metę, kartingowi można zapobiec tylko wtedy, gdy posiadacze kart i ci, którzy agresywnie akceptują karty, wykorzystają każdą dostępną metodę, aby zapobiec kartowaniu. Sprzedawcy powinni wymagać tylu środków zapobiegawczych, na jakie praktycznie mogą sobie pozwolić, podczas gdy posiadacze kart powinni zwracać uwagę na fizyczne oznaki manipulacji za każdym razem, gdy korzystają z karty w bankomacie lub pompce.
Najczęściej zadawane pytania dotyczące kartingu
FAQ
Jaka jest kara za gręplowanie?
W większości stanów używanie skradzionej karty kredytowej lub debetowej do transakcji przekraczających limit wykroczeń jest przestępstwem. Oprócz potencjalnej rekompensaty, skazanym karterom grozi do 15 lat więzienia i grzywna do 25 000 USD. Jeśli gręplowanie jest powiązane z praniem brudnych pieniędzy, potencjalne kary gwałtownie rosną.
Co to jest atak kartingowy?
Atak cardingowy to próba szybkiego złożenia wielu fałszywych zamówień w witrynie internetowej. Zwykle można to rozpoznać po nagłym nagłym skoku w składanych zamówieniach, zwykle z tym samym adresem wysyłki. Często podane informacje o kliencie będą wyraźnie fałszywe.
Co to jest odpieniacz kart kredytowych?
Skimmer kart kredytowych to oszukańczy instrument lub urządzenie umieszczone w legalnym czytniku, takim jak bankomat lub pompa gazu, w celu skopiowania danych z kart używanych w tym bankomacie lub pompie.
Jak przestępcy kradną informacje o karcie kredytowej?
Oszuści kradną informacje o kartach kredytowych na różne sposoby. Używają skimmerów, które kradną informacje o kartach kredytowych i debetowych z bankomatów i dystrybutorów gazu, w których zostały zainstalowane. Uzyskują również informacje poprzez oszustwa phishingowe, włamania do witryn, a nawet kupując informacje na forach Cardera.
Jak możesz się zabezpieczyć przed gręplowaniem?
Możesz chronić siebie jako sprzedawcę przed kartowaniem, korzystając z jednej lub kilku nowo opracowanych metod zapobiegania oszustwom, takich jak wymagania CAPTCHA i CVV. Osoby fizyczne powinny uważać na swoje karty i zwracać uwagę na oznaki manipulacji podczas korzystania z bankomatów i dystrybutorów gazu.