Что такое кардинг и как можно обезопасить себя от него?
Кардинг – это вид мошенничества, при котором злоумышленники, заполучив обманным путем ваши конфиденциальные данные, в частности полные реквизиты платежной карты, снимают деньги со счетов без вашего ведома.
Чтобы попасть в зону интересов кардеров, достаточно просто пользоваться банковской картой.
Один из способов, который используют мошенники для получения доступа к данным карты, – это взлом серверов интернет-магазина, платежных и расчетных систем. С помощью программ удаленного доступа и различного вредоносного ПО (программного обеспечения) хакеры могут завладеть важной персональной информацией о вас и данными вашей платежной карты.
По данным Комитета по правовой статистике и специальным учетам Генеральной прокуратуры РК, в Казахстане за январь-сентябрь 2021 года зарегистрировано свыше 16,6 тыс. случаев интернет-мошенничества, что составляет 52% от общего числа правонарушений.
Каким бывает кардинг?
Кардеры, то есть мошенники, ведущие охоту на чужие платежные карты, могут применять атаки на своих потенциальных жертв с использованием различных считывающих устройств на банкоматах, либо дистанционные атаки – фишинг, вишинг и другие.
В первом случае применяется прибор для скимминга – это такое миниатюрное устройство, которое крепится к банкомату, и с помощью которого можно считать информацию с платежной карты. Банки, в свою очередь, постоянно повышают уровень системы своих банкоматов и ставят на них электронные средства для защиты и обнаружения скиммеров. Поэтому краж с использование скиммеров становится все меньше – из-за улучшения технической оснащенности банков. Взамен им приходит моделирование различных ситуаций с социальной инженерией, когда мошенники пытаются получить необходимый доступ к конфиденциальной информации, основанный на психологии людей.
Мошенники проявляют изобретательность, поэтому не стоит поддаваться на провокации, сохраняйте критическое мышление в любых ситуациях.
Какие методы используют мошенники на дистанции?
Что касается дистанционной атаки, то мошенники придумывают различные способы для получения данных платежных карточек и активно используют в этих целях современные технологии.
Им достаточно узнать номер карты и трехзначный код на ее обороте (CVV/CVC-код), чтобы оставить владельца «пластика» без средств. Мошенники могут выкрасть вашу карточку, использовать ее фотоснимок, который вы когда-то выложили на различных сайтах, в соцсетях или мессенджерах, с помощью фишингового сайта, то есть сайта-клона, к примеру, онлайн-магазина, где вы сами указали полные реквизиты карты для покупки товара. Злоумышленники могут применить для дистанционной атаки на пользователя карты также банковские трояны, заражая таким образом компьютеры и гаджеты и проникая в веб-браузер для кражи паролей мобильных банковских приложений, номеров привязанных карт и другой личной конфиденциальной информации. Для минимизации рисков кражи паролей вышеуказанным способом лучше не использовать функцию автосохранения паролей в браузере гаджетов (смартфонах, компьютерах и т.д.), при необходимости проверьте текущие настройки браузера и отключите данную функцию.
Если вы заметили, что с вашей карты списаны деньги, обратитесь с заявлениями в банк и правоохранительные органы.
Как еще работают кардеры?
Представляясь банковскими сотрудниками, представителями службы безопасности финансовой организации, правоохранительных органов, к вам могут позвонить злоумышленники и под разными предлогами попытаться заставить вас сообщить данные платежной карты. К примеру, они могут сказать, что на вас в настоящее время совершена хакерская атака, и для того, чтобы банк принял меры, нужно срочно продиктовать три цифры на оборотной стороне карты и код подтверждения из SMS.
С началом пандемии мошенники также активно эксплуатируют тему коронавируса, будь то бесплатная диагностика, медицинская помощь, пособия, компенсации, возврат средств за авиабилеты и многое другое. Пожилые люди чаще всего доверяют подобной информации, особенно о различных социальных выплатах, и могут передать звонящим всю информацию по своим картам.
Мошенники могут не только угрожать, они умеют также дарить положительные эмоции, чтобы вы прониклись к ним доверием.
Для этого они применяют методы социальной инженерии. К примеру, они могут сообщить, что вы выиграли в розыгрыше, который проводит их банк или организация, или каким-то иным путем вы стали счастливым обладателем ценного приза. Либо они могут сказать, что банк перевел вас в категорию VIP-клиентов, и у вас будет самое лучшее обслуживание, вам начислен высокий кешбэк и многое другое.
Мошенники могут попросить вас установить «специальное» программное обеспечение для «защиты средств». На деле это могут быть программы-шпионы, с помощью которых злоумышленники могут выведать данные вашей карты, завладеть вашими средствами и с легкостью оформить на вас кредит.
Главная цель злоумышленников – сбить вас с толку, вызвать сильные эмоции: страх или радость, восторг. Как известно, людьми в таком состоянии легче управлять.
Если к вам звонят неизвестные и заводят разговоры о деньгах, лучше завершить разговор и перезвонить по официальным номерам в ту организацию, чей представитель к вам звонил.
Что делать, если мошенники получили нужные данные?
Незамедлительно обратитесь в банк с просьбой заблокировать карту, заявив о мошеннических действиях. Карточку вам перевыпустят. Смените также пароль в мобильном банковском приложении.
Подайте заявление о краже денег с карты в правоохранительные органы. Обязательно сохраните копию заявления с регистрационным номером, так как если мошенники попытаются оформить на вас кредит, вы сможете доказать свою непричастность к нему.
Можно ли вернуть деньги, которые мошенники успели снять или перевести на другой счет?
С 2016 года в Казахстане действует Закон РК «О платежах и платежных системах», согласно которому возврат средств при денежном переводе осуществляется в ряде случаев, один из которых – установление факта несанкционированности платежа, осуществляемого путем перевода денег. Данный факт устанавливается после тщательного расследования, которое проводят банк и правоохранительные органы.
Возврат денег по несанкционированному платежу или переводу осуществляется банком бенефициара, то есть лица, в пользу которого осуществляется платеж или перевод денег, через изъятие денег с банковского счета бенефициара, на который были зачислены указанные деньги. Причем согласия данного лица не требуется. И банк бенефициара осуществляет возврат средств не позднее следующего операционного дня со дня обнаружения данного факта за счет имеющихся денег на банковском счете бенефициара.
Как не стать жертвой кардинга?
1. Используйте антивирусные программы, полученные с официальных источников, которым можно доверять. Чтобы украсть номер вашей банковской карты с помощью вирусного программного обеспечения, мошенники будут использовать различные варианты: скидывать фишинговые ссылки на ваш электронный адрес, присылать SMS-сообщения.
2. Своевременно обновляйте программное обеспечение устройства. Обновления повышают уровень его защищенности от взлома.
3.
4. Распознавайте фишинг. Не переходите по подозрительным ссылкам и не загружайте прикрепленные файлы от неизвестных источников, потому что вирус может находиться в архиве формата ZIP.
5. Настройте SMS- или PUSH-уведомления для мобильных банковских приложений, чтобы отслеживать все свои операции.
Подписывайтесь на Telegram-канал Atameken Business и первыми получайте актуальную информацию!
Мнение редакции может не совпадать с мнением автора
Кардинг: Как крадут деньги с карт?
Онлайн-покупки и интернет-платежи – удобный вариант осуществления финансовых операций. Ведь таким образом можно приобретать товары или оплачивать услуги не выходя из дома, находясь в путешествии или командировки, без личного визита в магазин или отделение банка. Но с развитием мошенничества в сфере банковских карт и счетов интернет-платежи перестают быть безопасными.
Все больше людей становятся жертвами злоумышленников, похищающих данные пластиковых карт из интернет-магазинов и банковских терминалов. Кардинг – что это такое, и в чем особенность данного вида мошенничества, расскажем в этой статье.
Что такое кардинг?
Под термином «кардинг» понимают широкий спектр мошеннических действий, связанных с похищением данных банковской карты с целью последующего их неправомерного использования. Снять деньги при помощи кардинга удается не всегда, но совершать покупки и оплачивать услуги вполне можно.
По сути кардинг – это обычное мошенничество в интернете. При этом для похищения данных о карте могут использоваться самые разные способы. Чаще всего хакеры просто взламывают базы данных, где хранится информация о картах. Получив ее, злоумышленники смогут осуществлять различные операции, оплачивая товары и услуги средствами держателя карты.
Как работает кардинг?
Помимо взлома могут применяться иные технологии. Например, создание фишинговых сайтов интернет-магазинов.
Так называют ресурсы, «выдающие» себя за известные торговые площадки, «маскирующиеся» под них. С учетом того, что сегодня популярность интернет-торговли растет, обмануть людей таким образом становится все проще. Особенно тех, кто совершает покупки в интернет-магазинах относительно недавно. Покупатель думает, что он находится на официальном сайте интернет-магазина, и смело совершает покупки, указывая платежную информацию – номер карты и ее защитный код. Злоумышленники получают возможность при помощи полученных данных также оплатить какую-то покупку или обменять средства на валюту или электронные деньги, чтобы «замести следы».
Для аналогичного мошенничества могут использоваться также сайты настоящих, но малоизвестных интернет-магазинов. Поначалу они торгуют честно, чтобы заслужить репутацию и набрать клиентов, которые оставят положительные отзывы на сторонних ресурсах. А потом начинают активно пользоваться доверчивостью и платежными средствами своих клиентов.
Впрочем, опасность может подстерегать и на вполне серьезных проверенных сайтах.
Еще один вариант кардинга – это вишинг. Заключается эта методика в том, что незнакомый человек звонит держателю и представляется сотрудником банка. Далее следует диалог, в ходе которого лже-сотрудник пытается выведать данные карты под различными предлогами – например, проверка или разблокировка якобы заблокированной карты.
Многие держатели карт, даже если они не совершают интернет-покупок, хранят свои данные на компьютере или в телефоне. Злоумышленники часто используют разные шпионские программы или вирусы, маскирующиеся под безобидные приложения или медиафайлы. Это программное обеспечение применяется для сбора информации о платежных средствах.
Например, в последнее время все чаще в сети встречаются вакансии «тестировщика приложений».
Соискателю предлагает установить на свой смартфон программку и проверить ее работоспособность. Сразу после инсталляции программа собирает данные и отправляет их создателю, который таким образом может получить доступ к важной информации о банковских картах, интернет-кошельках и т.д.
Чем опасен кардинг?
Как и в случае со скиммингом, заметить хищение средств с карты удается далеко не сразу. Зачастую злоумышленники сразу же используют средства, переводимые покупателем, и тот получает отчет об успешно прошедшем платеже и ждет своего заказа, как ни в чем не бывало. В случае отсутствия СМС-оповещения и интернет-банкинга для контроля операций по карте заметить траты до определенного момента и вовсе невозможно.
Как обезопасить себя от мошенничества?
Зная, что такое кардинг, нетрудно предусмотреть способы обхода подобных мошеннических схем. Во-первых, откажитесь от интернет-покупок в подозрительных и малоизвестных магазинах. Используйте только проверенные интернет-ресурсы и обязательно убедитесь перед оплатой, что вы находитесь на официальном сайте, а не на его подделке.
Во-вторых, проводите оплату через специализированные платежные системы, а не напрямую интернет-магазину. Сегодня большинство проверенных официальных торговых площадок использует платежные системы ПриватБанка, Сбербанка, Альфа-Банка и также других МФО организаций таких как MyWallet .
В-третьих, никому не сообщайте код и пин от своей банковской карты. Помните, что сотрудники банка никогда не интересуются подобной информацией. Каждый, кто под любым предлогом хочет выведать эти данные, является злоумышленником.
В-четвертых, обезопасьте свой компьютер от вирусов и шпионских программ. Если защитить данные, хранящиеся на стороне, вы не в силах, то сделайте максимально возможное, чтобы ваша личная информация с компьютера, ноутбука или смартфона не попала в руки злоумышленников.
Обезопасить себя от кардинга в интернете также можно отказавшись от оплаты картой и перейдя, например, на электронные деньги. Также можно использовать наличные, переводя их через платежные терминалы и банкоматы.
Получить кредит
Что такое кардинг? Как это работает, методы предотвращения и примеры
Что такое кардинг?
Кардинг — это форма мошенничества с кредитными картами, при которой украденная кредитная карта используется для списания средств с предоплаченных карт или покупки подарочных карт. Кардинг обычно предполагает, что держатель украденной карты или информации о карте покупает подарочные карты с торговой маркой магазина, которые затем могут быть проданы другим или использованы для покупки других товаров, которые можно продать за наличные. Воры кредитных карт, которые участвуют в этом виде мошенничества, называются «кардерами».
Соединенные Штаты являются серьезной мишенью для мошенничества с кредитными картами, потому что это большой рынок, на котором широко распространено использование кредитных и дебетовых карт, а также потому, что типы карт, которые используются в Соединенных Штатах, либо содержат только магнитную полосу, либо используют технология чипа и подписи, а не технология чипа и персонального идентификационного номера (PIN), используемая в большинстве стран Европы.
Key Takeways
- Кардинг — это форма мошенничества с кредитными картами, при которой украденная кредитная карта используется для списания средств с предоплаченных карт.
- Карточные форумы — это интернет-магазины, где можно найти украденную информацию о кредитных и дебетовых картах и преступные приемы.
- Кардинг — это атака третьих лиц на финансовую информацию физического лица.
- Карточные форумы — это места онлайн-покупок для информации об украденных кредитных и дебетовых картах и криминальных методов.
- Новые технологии, такие как CVV, CAPTCHA и многофакторная аутентификация, оказались эффективными против кардеров.
Как работает кардочесание
Кардинг обычно начинается с того, что хакер получает доступ к системе обработки кредитных карт магазина или веб-сайта, при этом хакер получает список кредитных или дебетовых карт, которые недавно использовались для совершения покупки. Хакеры могут использовать уязвимости в защитном программном обеспечении и технологиях, предназначенных для защиты учетных записей кредитных карт.
Они также могут получить информацию о кредитной карте, используя сканеры для копирования кодов с магнитных полос.
Информация о кредитной карте также может быть скомпрометирована путем доступа к другой личной информации владельца учетной записи, такой как банковские счета, к которым хакер уже получил доступ, нацеливая информацию на ее источник. Затем хакер продает список номеров кредитных или дебетовых карт третьему лицу — кардеру, — который использует украденную информацию для покупки подарочной карты.
Большинство компаний, выпускающих кредитные карты, предлагают держателям карт защиту от списаний в случае кражи кредитной или дебетовой карты, но к моменту аннулирования карт кардер часто уже совершил покупку. Подарочные карты используются для покупки дорогостоящих товаров, таких как мобильные телефоны, телевизоры и компьютеры, поскольку эти товары не требуют регистрации и могут быть перепроданы позже. Если кардер покупает подарочную карту для розничного продавца электроники, такого как Amazon, он может использовать третье лицо для получения товаров, а затем отправить их в другие места.
Это ограничивает риск кардера привлечь внимание. Кардер также может продавать товары на веб-сайтах, обеспечивающих определенную степень анонимности.
Поскольку кредитные карты часто быстро аннулируются после их потери, основная часть кардинга включает проверку информации об украденной карте, чтобы убедиться, что она все еще работает. Это может включать отправку запросов на покупку без карты в Интернете.
Особые указания
Мошенники с кредитными картами используют специальный язык и специальные веб-сайты. Некоторые из них обсуждаются ниже.
Кардочесальный форум
Карточные форумы — это веб-сайты, используемые для обмена информацией и техническими навыками о незаконной торговле украденными кредитными картами или информацией о счетах дебетовых карт. Мошенники используют эти сайты для покупки и продажи незаконно полученной информации. Новые меры защиты, такие как PIN-коды и чипы, усложнили использование украденных карт в торговых точках, но продажи карт без предъявления остаются опорой для воров карт и широко обсуждаются на кардинговых форумах.
Фуллз
Fullz — это жаргонный термин, обозначающий «полную информацию», который используется преступниками для кражи информации о кредитных картах. Это относится к информационному пакету, содержащему настоящее имя человека, адрес и форму идентификации. Информация используется для кражи личных данных и финансового мошенничества. Лицо, чей «фулз» продается, стороной в сделках не является.
Дамп кредитных карт
Дамп кредитной карты происходит, когда преступник делает несанкционированную цифровую копию кредитной карты. Осуществляется путем физического копирования информации с карты или взлома платежной сети эмитента. Хотя этот метод не нов, его масштабы значительно расширились за последние годы, а некоторые атаки включали миллионы жертв.
Как компании предотвращают карточное мошенничество
Компании внедряют различные методы, чтобы оставаться впереди кардеров. Некоторые из наиболее интересных недавних изменений включают в себя требование дополнительной информации от пользователя, которая не так легко доступна кардеру.
Система проверки адреса (AVS)
Система AVS сравнивает адрес для выставления счетов, указанный при оформлении онлайн-покупки, с адресом, зарегистрированным в компании-эмитенте кредитных карт. Результаты немедленно возвращаются продавцу с полным совпадением, совпадением адреса, совпадением почтового индекса и полным отсутствием совпадения. Правильно функционирующая система AVS может остановить несоответствие транзакций, если карта будет утеряна или украдена. При совпадении только адреса или только ZIP продавец может по своему усмотрению принять или нет. В настоящее время AVS используется в США, Канаде и Великобритании.
Проверка геолокации IP
Система IP-геолокации сравнивает IP-адрес компьютера пользователя с адресом счета, введенным на странице оформления заказа. Если они не совпадают, это может свидетельствовать о мошенничестве. Существуют законные причины, такие как командировка, для несоответствия, но обычно они требуют дальнейшего расследования.
Значение проверки карты (CVV)
Код подтверждения карты (CVV) — это трех- или четырехзначный номер на кредитной карте, который добавляет дополнительный уровень безопасности для совершения покупок, когда покупатель физически не присутствует. Поскольку он находится на самой карте, он подтверждает, что человек, совершающий покупку по телефону или в Интернете, действительно имеет физическую копию карты.
Если номер вашей карты будет украден, у вора без CVV возникнут трудности с ее использованием. CVV может храниться на магнитной полосе карты или в чипе карты. Продавец отправляет CVV со всеми остальными данными в рамках запроса на авторизацию транзакции. Эмитент может одобрить, передать или отклонить транзакции, не прошедшие проверку CVV, в зависимости от процедур эмитента.
Многофакторная аутентификация (MFA)
Многофакторная проверка подлинности — это технология безопасности, которая требует более одного метода проверки подлинности из независимых учетных данных для проверки входа пользователя или другой транзакции.
Он может использовать два или более независимых информационных бита, исходя из знаний пользователя (например, пароль), владения пользователя (например, токен аутентификатора) или того, что представляет собой пользователь (биометрические данные). Использование MFA создает многоуровневый процесс, что затрудняет доступ неавторизованного лица к своей цели, поскольку злоумышленник, вероятно, не сможет взломать все уровни. Первоначально MFA использовал только два фактора, но больше факторов уже не редкость.
CAPTCHA
CAPTCHA (полностью автоматизированный публичный тест Тьюринга, позволяющий различать компьютеры и людей) — это мера безопасности типа аутентификации «вызов-ответ». Он защищает пользователей от расшифровки пароля, предлагая пользователю пройти тест, который доказывает, что испытуемый является человеком, а не компьютером, пытающимся взломать учетную запись.
CAPTCHA использует случайный ряд цифр и букв в искаженном изображении и требует, чтобы пользователь перечислил их по порядку.
Все числовые/буквенные системы были побеждены хакерами в тот или иной момент. В результате в альтернативных версиях теперь используются системы обнаружения аномалий (найдите квадраты с кораблями), которые просты для людей, но в меньшей степени для компьютеров.
Проверка скорости
Проверки скорости рассматривают количество транзакций, предпринятых одной и той же картой или посетителем сайта в течение заданного количества секунд или минут друг от друга. Как правило, пользователи не совершают несколько платежей в быстрой последовательности, особенно платежи настолько быстрые, что это выходит за рамки возможностей человека. Скорость можно отслеживать по сумме в долларах, IP-адресу пользователя, платежному адресу, банковскому идентификационному номеру (BIN) и устройству.
Примеры чесания
Кардинг обычно включает покупку подарочных карт, которые затем используются для покупки подарочных карт, которые затем можно потратить на относительно трудно отслеживаемые товары.
Часто товары затем перепродаются через Интернет или где-либо еще. Информация, полученная при кардинге, также используется для кражи личных данных и отмывания денег.
Перепродажа информации
Один из самых простых способов использовать информацию, полученную при кардинге, — перепродать ее другим, которые затем будут использовать ее в различных незаконных схемах.
Отмывание денег
В 2004 году было обнаружено, что популярный кардинговый форум и система онлайн-платежей, часто используемые кардерами, превратились в систему банков и переводов, позволяющую отмывать деньги и обрабатывать преступные средства. Под давлением людей, управляющих платежным сайтом, было раскрыто множество криминальных имен и видов деятельности, но в конечном итоге они сами были осуждены за отмывание денег.
Практический результат
В долгосрочной перспективе кардинг можно предотвратить только в том случае, если держатели карт и те, кто принимает карты, активно используют все доступные методы для предотвращения карт.
Продавцы должны требовать столько профилактических средств, сколько они могут себе позволить, в то время как держатели карт должны следить за физическими признаками несанкционированного доступа каждый раз, когда они используют карту в банкомате или помпе.
Часто задаваемые вопросы о кардинге
Что такое кардинг-атака?
Кардинговая атака — это попытка быстрого размещения нескольких мошеннических заказов на онлайн-сайте. Обычно это можно распознать по резкому скачку количества размещаемых заказов, как правило, с одним и тем же адресом доставки. Часто предоставленная информация о клиенте будет явно мошеннической.
Как защитить себя от кардинга?
Вы можете защитить себя как продавца от кардинга, используя один или несколько недавно разработанных методов предотвращения мошенничества, таких как требования CAPTCHA и CVV. Люди должны быть осторожны со своими картами и следить за признаками несанкционированного доступа при использовании банкоматов и бензоколонок.
Как преступники крадут информацию о кредитных картах?
Мошенники разными способами крадут информацию о кредитных картах. Они используют скиммеры, которые крадут информацию о кредитных и дебетовых картах из банкоматов и заправочных станций, в которых они установлены. Они также получают информацию с помощью фишинга, компрометации сайтов или даже путем покупки информации на кардерных форумах.
Что такое скиммер для кредитных карт?
Скиммер для кредитных карт — это мошеннический инструмент или устройство, помещаемое внутрь законного считывающего устройства, такого как банкомат или газовая колонка, для копирования данных с карт, используемых в этом банкомате или колонке.
Какое наказание за кардование?
В большинстве штатов использование украденной кредитной или дебетовой карты для транзакций на сумму, превышающую установленный лимит, является уголовным преступлением. В дополнение к возможной реституции, осужденным кардерам может грозить до 15 лет тюрьмы и штраф в размере до 25 000 долларов.
Если кардинг связан с отмыванием денег, потенциальные штрафы резко возрастают.
Кардочесание: что это такое и как его предотвратить?
Что такое кардочесание?
Кардинг, также известный как вброс кредитных карт, представляет собой тип киберпреступления, при котором преступники, известные как «кардеры», приобретают украденные номера кредитных карт, проверяют, действительны ли они, и используют их для покупки товаров или перепродажи их другим преступникам для эксплуатации. .
Украденная информация может включать некоторую комбинацию имени владельца учетной записи, номера кредитной карты, даты истечения срока действия, кода CVV, почтового индекса и даты рождения.
Кардер затем аутентифицирует каждый номер счета, развертывая бот-сеть, чтобы совершать небольшие покупки на нескольких сайтах онлайн-платежей, используя различные комбинации номеров кредитных карт, сроков действия и кодов CVV. Эти боты могут совершать тысячи транзакций за короткий промежуток времени, чтобы идентифицировать допустимые комбинации.
Например, если у кардера есть номер карты и срок действия, но нет 3-значного CVV-кода, бот может очень быстро попытаться провести транзакции, используя все 999 возможных кодов, пока не будет определен правильный.
После проверки подлинности информации о карте кардер может приобрести подарочные карты в Интернете, клонировать физическую карту или перепродать их в даркнете для получения быстрой прибыли.
Как работают кардинги?
Типичные этапы атаки с использованием карт:
- Кардер получает список номеров кредитных карт, часто с помощью фишинга, компрометации сайта или путем покупки списков украденных номеров в темной сети. Затем
- Кардеры используют ботов для проверки списков украденной информации о кредитных или дебетовых картах с онлайн-покупками на небольшие суммы, чтобы убедиться, что информация об учетной записи действительна и не была заявлена украденной. Этот процесс может занять тысячи попыток, прежде чем он выдаст действующую кредитную карту, но, учитывая, что боты делают это намного быстрее, чем человек, этот процесс проверки обычно довольно быстр.
- Затем преступники составляют список действительной информации о карте, которую они используют для прямого извлечения средств со связанных счетов, покупки подарочных карт, покупки дорогостоящих товаров или продажи проверенного списка другим преступникам для использования.
Почему кардеры используют ботов для проведения кардинговых атак?
Боты, которые представляют собой программы, предназначенные для автоматического выполнения набора инструкций, позволяют кардерам значительно увеличить скорость и, следовательно, масштаб кардинговой атаки.
Без автоматизации кардеру пришлось бы вручную вводить номер карты и каждую возможную комбинацию кода безопасности и срока действия, чтобы идентифицировать действующую карту. Боты автоматизируют этот процесс, поэтому кардер может тестировать большое количество карт и поддерживать атаку 24 часа в сутки.
Боты также позволяют кардеру быстро менять IP-адрес, с которого они атакуют, что значительно затрудняет идентификацию и блокировку атаки традиционными технологиями защиты от мошенничества.
С какими рисками и санкциями сталкивается продавец при внесении карт?
Кардинговая атака затрагивает не только человека, чья карта была скомпрометирована, онлайн-торговцы также могут в конечном итоге заплатить высокую цену, когда они подвергаются кардинговой атаке.
Розничные продавцы несут ответственность за контроль уровней возвратных платежей и отсутствия платежной карты (CNP). Платежные сети, такие как Visa и Mastercard, продолжают снижать пороги для возвратных платежей и мошенничества с кредитными картами CNP и привлекают продавцов к ответственности, увеличивая штрафы и пени. И платежные системы могут заблокировать все транзакции, если атаки с использованием карт не будут обработаны быстро, что может привести к потере дохода для розничного продавца.
Розничному продавцу придется бороться не только с возвратными платежами и упущенной выгодой, но и с потенциальным ущербом, нанесенным репутации бренда и лояльности покупателей, который может сохраняться годами.
Что такое взлом карт?
Взлом — это разновидность кардинга, при которой злоумышленники используют управляемую ботами автоматизацию для систематической проверки больших объемов возможных кодов подарочных карт на сайте продавца с целью выявления допустимых комбинаций. Украденные подарочные карты затем перепродаются в даркнете или используются для покупки товаров, которые перепродаются за наличные.
Мошенничество с подарочными картами в Интернете особенно привлекательно для киберпреступников, поскольку подарочные карты не имеют никаких имен, адресов или почтовых индексов, связанных с ними, что означает, что их можно использовать анонимно более легко, чем кредитные карты.
Кроме того, многие интернет-магазины предоставляют специальную веб-страницу для проверки баланса подарочной карты, которая обычно не имеет такого же уровня защиты, как страницы кредитных карт, и может быть легко использована ботами для взлома карт.
Карточное мошенничество — растущая угроза
В Соединенных Штатах социально-экономические последствия Covid-19 значительно увеличили онлайн-торговлю и использование электронных подарочных карт.
Министерство торговли сообщило о росте электронной коммерции в США более чем на 30% в годовом исчислении с 2019 по 2020 год, а KPMG сообщила о росте продаж подарочных карт и электронных ваучеров на 117% за тот же период. Согласно предварительным исследованиям, этот рост расходов сохранится и в 2021 году. Кроме того, согласно последним прогнозам, к концу 2027 года мировой рынок подарочных карт достигнет 440,7 млрд долларов9.0005
Огромный рост электронной коммерции сделал онлайн-мошенничество все более привлекательным для организованных преступных групп и кардеров. Только потери электронных подарочных карт, связанные с мошенничеством, оцениваются в 950 миллионов долларов в 2020 году на основе данных Mercator Advisory Group. Добавьте к этому гораздо больший объем мошенничества с кредитными и дебетовыми картами, и вы получите существенные убытки.
С увеличением размера цели киберпреступники активизируют свою игру. Исследователи безопасности обнаруживают более сложных ботов, которые способны точно отражать поведение человека, что делает их очень сложными для обнаружения традиционными технологиями безопасности.
Общие тактики борьбы с мошенничеством
В то время как киберпреступники становятся все более изощренными в своих атаках, многие интернет-магазины не последовали их примеру, продолжая полагаться на традиционные или неэффективные тактики безопасности. Многие сайты пытаются блокировать атаки ботов, просто применяя методы CAPTCHA, но CAPTCHA часто расстраивает реальных пользователей и приводит к отказу от них.
Другой подход включает создание черных списков известных операторов вредоносных ботов и подозрительных IP-адресов и доменов, но киберпреступники достаточно сообразительны, чтобы избежать обнаружения путем создания новых комбинаций доменов и имен хостов.
Некоторые сайты пытаются ограничить количество раз, когда отдельный пользователь может повторить действие на веб-странице, например, проверить баланс подарочной карты в течение определенного периода времени. Это известно как ограничение скорости. К сожалению, ограничение скорости часто неэффективно против гиперраспределенных атак с использованием ботов.