מה זה קרדינג?
מה זה קרדינג? כרטיס אשראי הוא סוג של הונאה בכרטיסי אשראי שכרטיס אשראי גנוב משמש לחיוב כרטיסים משולמים מראש או רכישת כרטיסי מתנה. כרטיס כרטיס כרוך בדרך כלל ברכישת הכרטיס הגנוב או פרטי הכרטיס שרוכש כרטיסי מתנה ממותגי חנות, שאותם ניתן למכור לאחרים או להשתמש בהם לרכישת מוצרים אחרים שניתן למכור במזומן. גנבי כרטיסי אשראי המעורבים בסוג זה של הונאה נקראים "קלפים". ארה"ב היא יעד משמעותי להונאת כרטיסי אשראי מכיוון שהיא שוק גדול שבו השימוש בכרטיסי אשראי וכרטיסי חיוב נפוץ, ומכיוון שסוגי הכרטיסים הנמצאים בשימוש בארה"ב מכילים רק פס מגנטי או משתמשים בשבב וחתימה טכנולוגיה, במקום טכנולוגיית שבב ומספר זיהוי אישי (PIN) שנמצאת ברוב אירופה.
מה זה קרדינג? – ארה"ב היא יעד משמעותי להונאת כרטיסי אשראי מכיוון שהיא שוק גדול שבו השימוש בכרטיסי אשראי וכרטיסי חיוב נפוץ, ומכיוון שסוגי הכרטיסים הנמצאים בשימוש בארה"ב מכילים רק פס מגנטי או משתמשים בשבב וחתימה טכנולוגיה, במקום טכנולוגיית שבב ומספר זיהוי אישי (PIN) שנמצאת ברוב אירופה.
מה זה קרדינג? – נקודות פתיחה מרכזיות
איך קרדינג עובד
קלפים מתחילים בדרך כלל בהאקר שמקבל גישה למערכת עיבוד כרטיסי האשראי של החנות או האתר, כשההאקר משיג רשימה של כרטיסי אשראי או חיוב ששימשו לאחרונה לביצוע רכישה. האקרים עשויים לנצל חולשות בתוכנת האבטחה ובטכנולוגיה שנועדה להגן על חשבונות כרטיסי אשראי. הם עשויים גם לרכוש פרטי כרטיס אשראי באמצעות סורקים כדי להעתיק את הקידוד מהרצועות המגנטיות.
פרטי כרטיס האשראי עלולים להיפגע גם על ידי גישה למידע אישי אחר של בעל החשבון, כגון חשבונות בנק שההאקר כבר הכניס אליהם, תוך מיקוד המידע למקורו. לאחר מכן, ההאקר מוכר את רשימת מספרי כרטיסי האשראי או החיוב לצד שלישי – כרטיסן – שמשתמש במידע הגנוב כדי לרכוש כרטיס מתנה.
רוב חברות כרטיסי האשראי מציעות למחזיקי הכרטיס הגנה מפני חיובים שנעשו אם דווח על גניבה של כרטיס אשראי או כרטיס חיוב, אך עד שהכרטיסים מבוטלים, הכרטיסן כבר ביצע רכישה. כרטיסי המתנה משמשים לרכישת מוצרים בעלי ערך גבוה, כגון טלפונים סלולריים, טלוויזיות ומחשבים, שכן מוצרים אלה אינם דורשים רישום וניתן למכור אותם מחדש מאוחר יותר. אם הכרטיס רוכש כרטיס מתנה מקמעונאי אלקטרוניקה, כגון אמזון, הם עשויים להשתמש בצד שלישי כדי לקבל את הסחורה ולאחר מכן לשלוח אותם למיקומים אחרים. זה מגביל את הסיכון של הקלף למשוך תשומת לב. הכרטיסן עשוי גם למכור את הסחורה באתרי אינטרנט המציעים מידה של אנונימיות.
מכיוון שלעתים קרובות כרטיסי אשראי מבוטלים במהירות לאחר אובדן, חלק עיקרי בכרטיס כרוך בבדיקת פרטי הכרטיס הגנוב כדי לראות אם הוא עדיין עובד. זה עשוי להיות כרוך בהגשת בקשות רכישה ללא כרטיס באינטרנט.
נסיבות ייחודיות
יש שפה מיוחדת ואתרים מיוחדים המשמשים את רמאי כרטיסי האשראי. חלק מהם נדון להלן.
פורום קרדינג
פורומי כרטיסים הם אתרי אינטרנט המשמשים להחלפת מידע וכישורים טכניים על הסחר הבלתי חוקי בכרטיסי אשראי או פרטי חשבון כרטיס חיוב גנובים. רמאים משתמשים באתרים אלה כדי לקנות ולמכור את המידע שנצברו באופן לא חוקי. מאמצי הגנה חדשים כמו קוד PIN ושבבים הקשו על השימוש בכרטיסים גנובים בעסקאות של נקודות מכירה, אך מכירות כרטיס לא נוכחות נותרו עמוד התווך של גנבי הכרטיסים ונידונים רבות בפורומים של כרטיסים.
Fullz
Fullzis הוא כינוי סלנג ל"מידע מלא" ומשמש פושעים שגונבים פרטי כרטיס אשראי. זה מתייחס לחבילת המידע המכילה את שמו האמיתי, כתובתו וצורת הזיהוי של אדם. המידע משמש לגניבת זהות והונאה כספית. מי שה"מלאץ" שלו נמכר אינו צד לעסקאות.
dump כרטיסי אשראי
כרטיס אשראי מתרחש כאשר פושע יוצר עותק דיגיטלי לא מורשה של כרטיס אשראי. זה מבוצע על ידי העתקה פיזית של מידע מהכרטיס או פריצה לרשת התשלומים של המנפיק. למרות שהטכניקה אינה חדשה, קנה המידה שלה התרחב מאוד בשנים האחרונות, עם כמה התקפות הכוללות מיליוני קורבנות.
כיצד חברות מונעות הונאת כרטיסים
חברות מיישמות טכניקות שונות כדי להקדים את המקלפים. חלק מהשינויים היותר מעניינים לאחרונה כוללים דרישה למידע נוסף מהמשתמש שאינו זמין באותה קלות לכרטיסן.
מערכת אימות כתובות (AVS)
מערכת AVS משווה את כתובת החיוב שסופקה בקופה ברכישה מקוונת לכתובת הרשומה בחברת האשראי. התוצאות מוחזרות מיד למוכר עם התאמה מלאה, התאמת כתובת, התאמת מיקוד, וללא התאמה כלל. מערכת AVS הפועלת כהלכה יכולה לעצור עסקאות ללא התאמה אם הכרטיס מדווח אבד או נגנב. עבור התאמת כתובת בלבד או ZIP בלבד, למוכר יש שיקול דעת לקבל או לא. AVS נמצא כיום בשימוש בארצות הברית, קנדה ובריטניה.
בדיקת מיקום גיאוגרפי של IP
מערכת מיקום גיאוגרפי IP משווה את מיקום ה-IP של מחשב המשתמש לכתובת החשבון שהוזנה בעמוד התשלום. אם הם לא תואמים, ייתכן שיופיע הונאה. ישנן סיבות לגיטימיות, כגון נסיעות, לאי התאמה, אך הן בדרך כלל מצדיקות חקירה נוספת.
ערך אימות כרטיס (CVV)
קוד אימות כרטיס (CVV) הוא מספר שלוש או ארבע ספרות בכרטיס אשראי המוסיף שכבת אבטחה נוספת לביצוע רכישות כאשר הקונה אינו נוכח פיזית. מכיוון שהוא נמצא בכרטיס עצמו, הוא מוודא שלאדם שמבצע רכישה בטלפון או באינטרנט יש למעשה עותק פיזי של הכרטיס.
אם מספר הכרטיס שלך נגנב, גנב ללא CVV יתקשה להשתמש בו. ניתן לאחסן את ה-CVV ברצועה המגנטית של הכרטיס או בצ'יפ של הכרטיס. המוכר מגיש את ה- CVV עם כל שאר הנתונים כחלק מבקשת הרשאת העסקה. המנפיק יכול לאשר, להפנות או לדחות עסקאות שנכשלות באימות CVV, בהתאם לנהלים של המנפיק.
אימות רב גורמים (MFA)
אימות רב-גורמי היא טכנולוגיית אבטחה הדורשת יותר משיטה אחת של אימות מאישורים עצמאיים כדי לאמת את הכניסה של המשתמש או עסקה אחרת. זה יכול להשתמש בשני סיביות מידע עצמאיות או יותר, המגיעות מהידע של המשתמש (למשל, סיסמה), מהחזקת המשתמש (למשל, אסימון מאמת), או מה המשתמש (נתונים ביומטריים). השימוש ב-MFA יוצר תהליך שכבות המקשה על אדם לא מורשה לגשת ליעד שלו, מכיוון שהתוקף כנראה לא יפרצה את כל השכבות. MFA במקור השתמש רק בשני גורמים, אך גורמים נוספים אינם נדירים עוד.
CAPTCHA
CAPTCHA (מבחן טיורינג ציבורי אוטומטי לחלוטין להבדיל בין מחשבים לבני אדם) הוא אמצעי אבטחה מסוג אימות אתגר-תגובה. זה מגן על המשתמשים מפענוח סיסמה על ידי בקשה מהמשתמש להשלים בדיקה שמוכיחה שהנבחן הוא אנושי ולא מחשב שמנסה לפרוץ לחשבון.
CAPTCHA משתמש בסדרה אקראית של מספרים ואותיות בתמונה מעוותת ודורש מהמשתמש לרשום אותם לפי הסדר. כל מערכות המספרים/אותיות הובסו על ידי האקרים בשלב זה או אחר. כתוצאה מכך, גרסאות חלופיות משתמשות כעת במערכות איתור חריגות (מצאו את הריבועים עם ספינות) שהן קלות לבני אדם אך פחות עבור מחשבים.
בדיקות מהירות
בדיקות מהירות מסתכלות על מספר העסקאות שניסו אותו כרטיס או מבקר באתר תוך מספר נתון של שניות או דקות אחד מהשני. בדרך כלל, משתמשים לא מבצעים תשלומים מרובים ברצף מהיר, במיוחד תשלומים כל כך מהירים שהם מעבר ליכולת של אדם. ניתן לנטר את המהירות לפי סכום דולר, כתובת IP של משתמש, כתובת חיוב, מספר זיהוי בנק (BIN) ומכשיר.
דוגמאות לקארדינג
כרטיסים כרוכים בדרך כלל ברכישת כרטיסי מתנה המשמשים לאחר מכן לרכישת כרטיסי מתנה אשר לאחר מכן ניתן לבזבז על סחורה שקשה יחסית לאתר. לעתים קרובות המוצרים נמכרים מחדש באינטרנט או במקום אחר. המידע שנרכש בכרטיסייה משמש גם לגניבת זהות ולהלבנת הון.
מכירה חוזרת של המידע
אחת הדרכים הקלות ביותר לעשות שימוש במידע שהושג בכרטיסינג היא למכור אותו מחדש לאחרים שישתמשו בו במזימות בלתי חוקיות שונות.
הלבנת כספים
בשנת 2004, נמצא כי פורום כרטיסים פופולרי ומערכת תשלומים מקוונת המשמשת לעתים קרובות כרטיסים הפכו למערכת בנקאות והעברה המאפשרת הלבנת הון ועיבוד כספים פליליים. בלחץ להתהפך, האנשים שמנהלים את אתר התשלומים ויתרו על הרבה שמות פליליים ופעילויות, אך בסופו של דבר הורשעו בעצמם בהלבנת הון.
סיכום ומסקנות
בטווח הארוך, ניתן למנוע כרטיס רק אם מחזיקי כרטיס ומי שמקבל כרטיסים מנצלים באגרסיביות כל שיטה זמינה למניעת כרטיס. מוכרים צריכים לדרוש כמה שיותר עזרי מניעה שהם יכולים להרשות לעצמם, בעוד שמחזיקי כרטיס צריכים לשים לב לסימנים פיזיים של חבלה בכל פעם שהם משתמשים בכרטיס בכספומט או במשאבת פערים.
שאלות נפוצות בנושא כרטיסים
מהי מתקפת קרדינג?
מתקפת Acarding היא ניסיון לבצע מספר מהיר של הזמנות הונאה באתר מקוון. בדרך כלל ניתן לזהות אותו על ידי זינוק פתאומי חד בהזמנות המבוצעות, בדרך כלל עם אותה כתובת למשלוח. לעתים קרובות מידע הלקוח שניתן יהיה הונאה ברור.
איך אתה יכול להגן על עצמך מפני קלפים?
אתה יכול להגן על עצמך כמוכר מכרטיסים על ידי שימוש באחת או יותר מהשיטות החדשות שפותחו למניעת הונאה כמו דרישות CAPTCHA ו-CVV. אנשים צריכים להיות זהירים עם הכרטיסים שלהם ולהיזהר אחר סימני חבלה בעת שימוש בכספומטים ובמשאבות דלק.
כיצד פושעים גונבים מידע על כרטיס אשראי?
רמאים גונבים פרטי כרטיס אשראי בדרכים שונות. הם משתמשים ברחפנים, שגונבים פרטי כרטיסי אשראי וכרטיסי חיוב מכספומטים ומשאבות דלק שבהם הם הותקנו. הם גם משיגים מידע באמצעות הונאות דיוג, פשרות באתר, או אפילו על ידי רכישת המידע בפורומים של Carder.
מהו רחפן לכרטיס אשראי?
רחפן כרטיס אשראי הוא מכשיר או מכשיר הונאה המוצבים בתוך קורא חוקי, כגון מכשיר כספומט או משאבת דלק כדי להעתיק את כרטיסי הנתונים המשמשים בכספומט או במשאבה זו.
מה העונש על קלף?
ברוב המדינות, שימוש בכרטיס אשראי או כרטיס חיוב גנוב עבור עסקאות בסכום העולה על מגבלת העבירה היא עבירה פלילית. בנוסף להחזר פוטנציאלי, קלפים מורשעים עלולים לעמוד בפני עד 15 שנות מאסר וקנסות של עד 25,000 דולר. אם הקלפים קשורים להלבנת הון, העונשים הפוטנציאליים מסלימים בחדות.
