Кардеры кто такие: Кто такие кардеры и как они могут помешать интернет-магазину

Содержание

кардер рассказывает об интернет-мошенничестве. «Бумага»

Кто и как ворует деньги с банковских карт и как обезопасить себя в интернете? «Бумага» поговорила с бывшим кардером — человеком, который занимался интернет-мошенничеством с банковскими картами.

Допустим, человек оформил карту в банке, чтобы платить через интернет и сразу пошёл покупать всякий хлам. Он идёт в сомнительный магазин по продаже духов, покупает их, они благополучно приехали — и вроде бы всё хорошо. Но магазин может оказаться не очень безопасным и сохранить все данные карты. Дальше есть два пути. Либо сайт взломают и получат доступ к базе данных карт, либо её продадут или сольют сами работники магазина.

Среднестатистическая цена на кредитную карту колеблется: для американских карт — от 1 до 2 долларов, для европейцев — от 2 до 5, если какие-то редкие страны — от 5 до 10

Цена растёт в зависимости от того, какие данные ты получаешь. Чем больше информации о пользователе, тем сильнее можно эксплуатировать чужую карту. Обычно у злоумышленника есть специальные электронные системы: виртуальные машины или арендованные серверы в других странах. То есть, если карта принадлежит американцу, используются американские серверы, чтобы симулировать, что человек что-то покупает в Штатах.

Банковские карты, как правило, используются для мелкого мошенничества: от 10 до 200 долларов

Имея данные карты, в интернете можно оплачивать счета, пополнять телефон и покупать практически всё. Банковские карты, как правило, используются для мелкого мошенничества: от 10 до 200 долларов, но иногда «скупают» с одной карты больше чем на 1000 долларов.

Самый опасный и прибыльный тип кардинга — тот, что работает с реальными картами

Чтобы совершать больше покупок и обналичивать деньги, создаются группировки так называемых «дропов»: это люди, которые неосознанно участвуют в мошенничестве. Их находят на зарубежных сайтах по поиску работы или через спам и рекламу в интернете. Им говорят что-нибудь вроде: «Мы представители компании из Зимбабве и хотим открыть филиал в вашем городе — для бедных детей будут приходить телефоны и ноутбуки».

Ноутбук, который стоит 1000 долларов, обойдётся кардеру в 300-400 долларов, а продаст он его по рыночной цене

По условиям дропы могут оставить себе один ноутбук, а все остальные они должны отправлять, куда им скажут. На их адреса заказывают технику и другие товары с краденых кредитных карт. Потом пересылают через сеть таких же подставных лиц. Например, ноутбук, который стоит 1000 долларов, обойдётся кардеру в 300–400 долларов, а продаст он его по рыночной цене.

Я покупал карты — 10 штук за 10 долларов — и предлагал русским пользователям, которые не могли покупать игры в сети цифровой дистрибуции игр Steam. Одна игра, c учётом потраченных на неё ресурсов, обходилась долларов в 10 при реальной цене от 20 и выше.

Кто и как ворует деньги?

Для работы с банковскими аккаунтами используют вредоносные программы. Существуют трояны двух видов: грабберы и формграбберы. Трояны-грабберы просто крадут все сохраненные пароли. Постепенно система безопасности начала эволюционировать: появились секретные вопросы, нужно было вводить дополнительные данные — получить доступ к аккаунтам стало довольно сложно. Но умные люди придумали феноменальную вещь — формграбберы: вирус крадет не только то, что сохранено, но и то, что ты вводишь.

Формграбберы крадут не только то, что сохранено, но и то, что ты вводишь

Ещё проще стало, когда появилась возможность заставлять пользователя вводить то, что нужно. Допустим, у тебя есть банковский аккаунт с онлайн-доступом. Два раза в неделю ты туда заходишь, чтобы пополнить телефон или заплатить за квартиру. Это не очень большие платежи, которые не опустошают твой счёт.

В некоторых банках (в основном в Европе) действует система безопасности TANITAN. При выпуске карты и регистрации в онлайн-банкинге клиент получает лист, на котором от десяти до сотни паролей. В каждом из них — от 4 до 8 символов. Всякий раз, когда он заходит в банк или проводит любую финансовую операцию, система просит ввести, например, 53-й пароль или первый (четвертый, пятый, седьмой) символ 22-го пароля. Первое время система работала очень хорошо: банки просто кипятком писали от того, что никто не может ничего украсть.

Политика банков такова, что они не ищут преступника, если списания составляют до 5000 долларов с одного счета. Им дешевле возместить потерю, чем искать, кто украл деньги

Но всё-таки появился способ обмануть и эту систему. Троян просто залезал в браузер и встраивал свой код в конечную страницу. Когда все данные введены, появляется огромный поп-ап, который говорит: «Ошибка безопасности, вы ввели неправильный код, повторите попытку». Пользователь, конечно, вводит пароль еще раз, потому что внешне это тот же сайт с тем же дизайном. Потом благополучно заходит в личный кабинет, а там всё на месте. Но за это время половина денег ушла, а он даже не заметил.

Как это работает?

Когда появился поп-ап, настоящая страница с банковским аккаунтом уже загрузилась. По сути, клиента везде уже пустили, но из-за вредоносного кода страничка показывает, что он не вошёл. На самом деле уже сгенерирован перевод, уже подставлены нужные имена и вирус ждёт только подтверждения кода. Пользователь его вводит, и осуществляется перевод. На экране что-то крутится, якобы грузится страница. За это время обычными математическими формулами система высчитывает, сколько человек тратит в неделю и сколько ему желательно оставить, чтобы в ближайшие два-три дня он не заметил кражи и можно было спокойно всё обналичить. Когда клиент возвращается, таким же способом изменения страницы из списков транзакций удаляются переводы, а баланс выглядит нетронутым.

Кардеров ловят из-за жадности, неосторожности и глупости или человеческого фактора. Главная причина — жадность. Чем больше ты хочешь украсть, тем лучше тебя будут искать. Политика банков такова, что они не ищут преступника, если списания составляют до 5000 долларов с одного счета. Им дешевле возместить потерю, чем искать, кто украл деньги.

Не заходите на сомнительные сайты и верьте предупреждениям Google Chrome и FireFox

Самый опасный и прибыльный тип кардинга — тот, что использует не виртуальные данные, а работает с реальными картами. Например, у посетителя в кафе берут карту и несут платить. Во-первых, злоумышленникам ничего не мешает переписать данные и заплатить в интернете. Во-вторых, им ничего не мешает использовать скиммер — устройство, которое сохраняет данные с магнитных лент. Его ставят на банкомат или собирают ручные модели. Преступники покупают чистые карты и специальный аппарат, который программирует и записывает новые карты. К слову, в обналичивании с кредитных карт все дропы осознанные, они знают, что делают.

Как себя обезопасить?

 Не ставить сомнительное программное обеспечение, пользоваться лицензионным софтом.

 Не заходить на сомнительные сайты и верить предупреждениям Google Chrome и FireFox. Предупреждения говорят о том, что у странички есть фрейм (то есть дополнительная страница) с вредоносным содержимым и можно заразиться вирусом. В среднем из всех посетителей заражаются от 5 до 30 %.

 Завести отдельную карту для оплаты в интернете и пополнять её по мере необходимости.

 Не расплачиваться банковской картой в сомнительных заведениях. Стараться не выпускать свою карту из поля зрения.

Читайте также:

Кардинг (Carding)

Кардинг (carding) — один из видов мошенничества, в результате которого злоумышленники получают нелегальный доступ к счетам и денежным средствам жертвы через платежную карту и ее реквизиты. Нужные им данные киберпреступники добывают с помощью скиммеров, POS-терминалов. Также для кражи данных банковских карт используются и вредоносные программы — вирусы, бекдоры, трояны, сетевые черви.

В случае утери или кражи платежной карты владелец должен незамедлительно оповестить кредитную организацию во избежание потери денежных средств.

Карты, полученные злоумышленниками в результате кражи или утери, чаще всего используют в магазинах самообслуживания, на автомобильных заправочных станциях. PIN-код записывается при помощи небольших видеокамер.

Классификация и способы кардинга

Мошенники могут нелегально воспользоваться и расплатиться картой в любом интернет–магазине. Этот способ наиболее популярен, потому что введение PIN-кода в таком случае не предусмотрено: достаточно только номера карты, фамилии и имени держателя, а также трехзначного кода на оборотной стороне карты. Часто сервисы онлайн-коммерции (особенно зарубежные) обходятся и без ввода одноразовых паролей.

Получить данные платежных карт можно следующими способами:

Анализ угроз

Чтобы не стать жертвой мошенников и не потерять денежные средства, нужно соблюдать меры предосторожности при пользовании картой.

  • Не отдавайте никому карту, не выпускайте ее из рук в точках оплаты.
  • Посмотрите, есть ли в верхней части банкомата, под козырьком, дополнительные камеры. Они могут быть замаскированы под рекламные элементы.
  • Старайтесь снимать средства только в одном банке.
  • Прикрывайте ладонью руку при вводе PIN-кода.
  • Подпишитесь в банке на SMS-информирование при списании средств с карты.
  • В связи с тем, что заражению могут подвергнуться POS-терминалы, данные вашей карты могут быть украдены при оплате товаров в магазине. Для защиты можно установить лимит дневных переводов. В случае попытки кражи средств срочно поставьте в известность банковское отделение.
  • Зараженные банкоматы, к сожалению, уже не редкость. Не снимайте денежные средства в незнакомых местах. Пользуйтесь банкоматами, расположенными в отделениях банков.
  • Не отвечайте на подозрительные сообщения, полученные по почте, и, конечно, ни в коем случае не отсылайте никому платежные данные банковских карт.

Только бдительность и продуманная осторожность помогут держателю платежной карты избежать случаев кардинга и сохранить свои денежные средства.

 

Как действуют кардеры и как уберечься от их деятельности

В первой части этого материала мы рассмотрели новые технологии и устройства, которые берут на вооружение кардеры — «ловцы» банковских карт. Теперь же поговорим о самых опасных для данной категории преступников манипуляциях, а в конце обязательно дадим советы, как снизить риск оказаться жертвой этих нехороших людей.

Ставка на аутсорсинг

Большая часть работы кардера не требует высокой квалификации. При этом некоторые операции, например установка оборудования, несут в себе значительный риск. Поэтому нередко эти функции отдаются на аутсорсинг соответствующим специалистам.

Опытный человек тратит на установку в банкомат криминальной аппаратуры около 30 секунд. Разумеется, это делается только после тщательной разведки, анализа расположения камер безопасности, выбора оптимального «тихого часа» и с помощью ассистента, контролирующего подступы к объекту.

Преступник устанавливает скиммер. Фото: wtsp.com

Грамотного «установщика» не так-то просто поймать за руку. Спокойный, респектабельно одетый господин будет утверждать, что всего лишь заметил на банкомате некую странную штуку и хотел проверить свои подозрения, перед тем как позвонить в полицию. Поди докажи обратное, особенно если тюбик с клеем и прочий специальный инструментарий уже сброшены. В частности, по этой причине все банковские инструкции предписывают действительно добропорядочным гражданам ничего подозрительного не трогать, а сразу бить тревогу.

Помимо банкоматов заслуженным вниманием кардеров пользуются и другие терминалы, принимающие банковские карты. Это автоматы на бензозаправках, киоски для продажи билетов на транспорт, вендинговые машины и так далее. За подобными устройствами, как правило, присматривают меньше, чем за банкоматами. Да и обычные люди от них подвоха не ждут — отсутствие манипуляций с наличными действует расслабляюще.

Криминальная жатва

После установки аппаратуры для преступников наступает горячая пора «жатвы». Им необходимо успеть клонировать как можно больше карт, пока закладка не обнаружена, — после обнаружения возрастает риск блокировки банком уже «пойманных» карточек. Чтобы оперативно отслеживать ситуацию, невдалеке от банкомата — в машине или в кафе напротив — нередко размещают наблюдателя.

«Кардер» Хорохорин получил в США семь лет тюрьмы http://t.co/L7399uTrCT

— bbcrussian (@bbcrussian) April 9, 2013

Если никто не обратил внимание на «усовершенствованный» банкомат и не сработала банковская служба безопасности, то криминальная система работает до истощения заряда аккумуляторных батарей — а это до тысячи украденных карт.

Самые жадные кардеры после этого снимают оборудование для перезарядки, а самые умные просто бросают — меньше риска. Стоимость аппаратуры все равно многократно оправдывается уловом, который может достигать многих десятков тысяч долларов.

Получение денег по клонированным картам — это отдельный высокорисковый бизнес, и его часто также отдают на аутсорсинг. Как правило, в процессе участвуют несколько человек — на криминальном жаргоне их называют «мулами».

Известный кардер KIlobit получил таки заслуженный отдых после стольких лет «работы». Отдыхать будет почти 10 лет: http://t.co/4JlsGg2D3X

— Kaspersky Lab (@Kaspersky_ru) November 17, 2014

Иногда мулы работают непосредственно на кардера, сдавая ему выручку и получая свой процент. Иногда они просто покупают через Интернет пакет украденных магнитных дорожек и действуют полностью автономно, часто уже совсем в другой стране.

Простота хуже воровства

Легкость умыкания денег с банковских карт во многом связана с примитивностью технологии защиты. Первые платежные карты с магнитной полосой появились совсем в другую эпоху — почти полвека назад, когда о доступности устройств для считывания и клонирования карт не могло быть и речи.

Легкость умыкания денег с банковских карт во многом связана с примитивностью технологии защиты

Записанная на магнитной дорожке информация, по сути, ничем не защищена, а главным секретом, удостоверяющим законность транзакции, является достаточно уязвимый, очень короткий PIN-код. Существует несколько более поздних усовершенствований технологии защиты, но они до сих пор остаются опциональными.

Разумеется, платежные системы и банки задумались об этой проблеме не сегодня. Куда более защищенные карты стандарта EMV, которые помимо магнитной полосы включают также специализированный чип, в Европе получили распространение уже больше 20 лет назад.

Отличие здесь в том, что чип нельзя просто скопировать, как магнитную полосу. По запросу терминала микросхема каждый раз создает уникальный одноразовый ключ. Этот ключ можно перехватить, но он уже не будет действителен для следующей транзакции.

Исследователи безопасности обнаружили ряд уязвимостей EMV-карт, но использовать их на практике весьма непросто. Так что сидеть бы специализирующимся на скиммерах преступникам без дела, если бы не одно «но». Переход на карты с чипом — это очень долгий, сложный и дорогой процесс, который включает множество различных сторон.

Как паранойя может помочь не испортить НГ-праздники из-за украденной кредитки https://t.co/Mcynw7BsMM

— Евгений Касперский (@e_kaspersky_ru) December 18, 2014

Ведь перейти должны все: платежные системы, банки, бизнесы, принимающие карты, производители платежных терминалов, банкоматы и так далее. Поэтому во многих странах мира, даже вполне развитых, до сих пор используется множество карт и терминалов без поддержки EMV.

А стало быть, даже если ваша карта оснащена чипом, это совсем не значит, что с нее нельзя украсть деньги. Чтобы обеспечить совместимость со старыми терминалами (а также повысить отказоустойчивость), транзакция с EMV-картой может быть проведена без использования чипа, по данным магнитной полосы.

Несколько правил, помогающих снизить риск стать жертвой скиммера #ATMskimmer

Tweet

Именно поэтому США, где система EMV масштабно внедряется только сейчас, уже многие годы лидируют в мире по числу случаев скимминга, отмечает European ATM Security Team. В числе других рисковых стран — Индонезия и Таиланд, а в Европе плохой репутацией пользуются Болгария и Румыния.

Украденные деньги банк может и возместить клиенту, особенно если по правилам ответственность за мошенническую операцию можно переложить на кого-то еще — платежную систему, владельца банкомата или страховую компанию. А может получиться совсем по-другому, и ответственность будет переложена на пользователя, таких историй масса.

Поэтому спасение утопающих, как обычно, прежде всего в руках самих утопающих.

Правила выживания

Стопроцентной гарантии от хищения денег с карты, к сожалению, не существует, но соблюдение нескольких простых правил может существенно снизить риск.

  1. Если карта не оснащена EMV-чипом, то от нее лучше отказаться. Скорее всего, банк заменит ее на чиповую по вашему требованию. Чип не гарантирует полную защиту, но немного снижает риск.
  2. Подпишитесь на SMS-уведомления об операциях по карте. Чем раньше вы обнаружите пропажу денег, тем выше вероятность, что их удастся вернуть.
  3. Если вы не заядлый путешественник, выясните в банке, есть ли возможность ограничить географию совершения транзакций (на время отпуска можно просто «включить» нужную страну). Это очень эффективная мера, уже доказавшая свою состоятельность в ряде европейских стран.
  4. Не стоит везде использовать карту, на которой у вас много денег. Чем меньше по ней будет платежей, особенно в новых незнакомых местах (например, зарубежных поездках), тем лучше. Для высокорисковых операций можно завести отдельную карту с небольшой суммой.

Пять уроков, которые я извлёк из взлома моей кредитной карты (не я лично, а автор статьи 🙂 https://t.co/tdX3dl2DFJ

— Евгений Касперский (@e_kaspersky_ru) November 12, 2014

  1. Выбирайте банкоматы в людных, хорошо освещенных и охраняемых местах — например, в помещении банка. И, наоборот, избегайте отдельно стоящих уличных терминалов и банкоматов в закоулках торговых центров.
  2. Когда набираете PIN-код, встаньте ближе к банкомату и прикрывайте клавиши рукой. Накладки на клавиатуру пока еще встречаются относительно редко, куда выше риск, что вас снимут на камеру или PIN подсмотрит наблюдатель за вашей спиной. Не забывайте периодически менять PIN-код (в офисе банка или в надежном банкомате), особенно после рискованных операций.
  3. Обращайте внимание на всякого рода странности в устройстве банкомата и окружающей его обстановке. Не все кардеры профессиональны, и не все пользуются безупречным оборудованием. И уж, безусловно, не стоит прокатывать вашу карту через размещенный рядом с банкоматом «аппарат для чистки магнитной полосы» — как ни странно, на эту простую уловку ведется очень много людей.
  4. Пересчитывайте выданные банкоматом деньги. Существуют специальные ловушки, которые помещаются в лоток для купюр и способны цеплять отдельные банкноты. Если банкомат отказывается вернуть карту, это также может быть признаком мошенничества — звоните в банк сразу, не отходя от терминала. Подобные криминальные схемы получили широкое распространение в Европе после внедрения EMV-защиты.
  5. Не выпускайте карту из вида при платежах в ресторанах и магазинах — существует множество компактных ручных сканеров, а ввод PIN-кода в таких местах несложно подсмотреть.

  1. Не демонстрируйте карту незнакомым людям и не выкладывайте ее фотографии, даже с одной стороны. Уйма интернет-сайтов позволяет провести платеж без кода CVV2 (он напечатан на обратной стороне карты), не говоря уже об отсутствии поддержки двухфакторной аутентификации (одноразовые SMS-пароли).

Будьте осмотрительны. Банковская карта — очень удобный инструмент, но бывают ситуации, когда легкость его использования оборачивается против нас. И помните: иногда лучше показаться смешным, чем потом сожалеть о собственном разгильдяйстве.

ЦРУ не в состоянии справится с российскими мошенниками

Белорус Валерий Петров четыре года назад уехал жить в США. Отправив на родину посылку с коньками, он понял, что на пересылке товаров из Америки в СНГ можно сделать неплохой бизнес. Сейчас Валерий – основатель одного из крупных сервисов доставки, и основная проблема таких компаний-посредников – кардеры, мошенники, оплачивающие покупки чужими кредитками. Справиться с ними не может ни ЦРУ, ни российское управление “К”, ни сам Валерий. Интервью Digital.Report с руководителем сервиса Pochtoy.com.

DR: С чего начинался ваш бизнес?

Валерий Петров: Я уехал по green-card в Америку, там из-за особенностей работы много сидел на форумах. Тогда таких сервисов было мало, по-моему, функционировал только англоязычный Shapito с какой-то сложной навороченной системой тарифов. И как-то я наткнулся на тему, где парень искал человека, который мог бы переслать ему коньки. Я отправлял посылки домой, был знаком с работой почты, не так как сейчас, конечно, но в целом понимал, как она работает. К тому времени я уже знал, как работает почта в Америке. И я промониторил тарифы, написал этому парню, предложил помочь за комиссию в 10%. Помню, что фотографии какие-то ему высылал, что я не мошенник и что я действительно в Штатах. Он перевел деньги, я выслал коньки, прошел первый заказ и все завертелось.

Я дал объявления, начал учиться на форумах e-bay. Открыл тему и стал принимать заказы через скайп, аську и почту. Со временем дело стало расти, начальство стало обращать внимание на посылки, когда их стало 30-40 и я стал забивать ими рабочую подсобку. В итоге я занимался поддержкой клиентов, переупаковывал посылки, потом, так как у меня тогда еще не было машины, нес их на автобусную остановку. Часто их было столько, что я не мог унести их за один раз. Приезжал автобус, я начинал грузить в него коробки, а водители, которые меня знали, – ржать. Говорили: «Всю Америку скоро вышлешь куда-нибудь, остановись».

Я начал искать людей, которые могут сделать мне сайт. Нашел ребят, которые согласились, это и было началом бизнеса. Позже сняли склад, потому что надоело в этом качестве использовать одну из комнат в квартире. Потом пришлось купить грузовик, оборудование на склад – те же сканеры. Потом я нанял одного человека, за ним второго, и так далее. Если говорить о pochtoy.com, как о стартапе – за первую версию сайта я отдал около $10 тысяч, а еще купил компьютер и принтер, и все это довольно быстро окупилось.

DR: С законодательством в штатах проблем не было?

Валерий Петров: Я сразу регистрировал компанию, там все это делается очень быстро и через интернет. Это, кстати, меня интересовало в первую очередь. В Америке есть проблемы с налогами, если их не платить – может аукнуться. Поэтому я сразу хотел, чтобы все было официально, чтобы даже если кто-то придет, я никого не боялся. Да и проще так.

DR: Сейчас много аналогов такого сервиса?

Валерий Петров: Сравнительно нет. Меньше, чем было в то время, о котором я говорил. Тогда всплыли такие посредники, как я, они занимались этим как подработкой. А после начал формироваться рынок, люди начали вкладывать в это деньги. Появилось где-то 5 крупных компаний и где-то 4-5 из тех, что на слуху, постоянно что-то предлагают, вводят новые доставки, оптимизируют тарифы и так далее. Короче, состоявшихся компаний сейчас где-то 10.

DR: Почему только с СНГ работаете?

Валерий Петров: Выходить на весь мир, возможно, просто нет смысла, поскольку для России, например, предложение удобно установленным для страны лимитом – 1000 евро. В странах Европы лимиты 10, 15, 50 евро в зависимости от страны. Добавляется и другая проблема: например, в Италии очень часто воруют посылки.

Получается, с одной стороны, звучит красиво – выйти на мировой рынок. С другой – очень многие наши конкуренты работают только с СНГ, потому что Россия больше всей Европы и платежеспособность там высокая.

Есть еще один повод: человек живет в какой-нибудь Костроме, у него есть деньги, но негде их потратить. У нас вон люди из Челябинска хоккейную форму заказывали. Так что если хорошо подойти, то России – выше крыши. Есть еще Казахстан, где тоже часто заказывают, и Беларусь с Украиной в довесок.

DR: Столкнулись с проблемой кардеров?

Валерий Петров: Да, среди посредников распространена проблема, когда злоумышленники, владеющие данными чужой кредитки, оплачивают ими свои заказы. Их много, и они постоянно меняются. Они не рискуют вообще ничем, не боятся полиции и не боятся за чужие деньги.

Они могут подделать любые документы, нарисовать любой паспорт или кредитку. У них есть форумы, на которых предоставляются различные услуги, среди них есть люди, которые отлично владеют английским и могут позвонить в любой магазин. Более того, у них есть даже курсы! Недавно на одном форуме наткнулся на предложение: за $1300 любого человека берут в «клуб» и учат кардить, все по полкам раскладывают. Или есть у них услуга «гарант». Один кардер что-то крадет, он мошенник. Второй мошенник перекупает у него товар. А владелец сайта, на котором все это происходит, следит за переводом денег и выступает гарантом, тоже этим зарабатывая.

Это своеобразный бизнес, отдельная часть рынка, которая живет сама по себе. Есть люди, которые реально хотят зарабатывать на этом, а это провоцирует бойню – они досят друг друга до посинения (DoS – хакерская атака на вычислительную систему с целью довести её до отказа – прим. ред.). Иногда один ресурс открываешь – не работает, другой – тоже, и понимаешь: люди делят деньги. Интересные у них отношения.

DR: Есть какие-то методы борьбы?

Валерий Петров: Здесь вообще уникальная ситуация: сейчас можно очень просто найти и купить базу с кредитными аккаунтами, в том числе PayPal. Суть как раз в безнаказанности. Люди сидят в России, где этим вообще никто не занимается. Кардить в магазине по мелочи может любой школьник.

Проблема кардинга лично для нас – полиция. Если мошенники скардили какой-то товар, и магазин делает файлрепорт, или владелец карты идет в банк писать заявление, полицейский, конечно, приходит к посреднику, желая понять, замешан ли он в этой схеме. Помимо того, что у нас бывали и полиция, и инспекторы, и ФБР, мы еще и теряем деньги.

В какой-то момент мы поняли, что на это нельзя закрывать глаза. Начали ловить кардеров, придумывать различные инструменты для их отлова, анализировать их поведение. Могу сказать, что мы сейчас, наверное, одни из самых опытных в этой сфере, у нас для их поимки очень много инструментов. У нас для них самая неблагоприятная среда. Какие инструменты – не скажу, они мониторят эти способы.

DR: Мстят?

Валерий Петров: Конечно. Представьте, кто-то кардит товар и подсчитывает в голове, что заказанный ноутбук успешно продаст и заработает 2000 долларов. А в итоге мы его ловим и товар отправляем назад.

В ноябре у нас были проблемы: такие обиженные кардеры четыре месяца сильно досили сайт. Несколько раз его так валили, что приходилось подключать программистов. Защиту мы построили, так что сильно на нас это не сказывалось, но все равно неприятно. Некоторые почту спамят так, что gmail открываешь, а там тысяча писем в минуту приходит. Или телефон обрывали через какую-то программу. Он постоянно звонил, и с нами никто не мог связаться. Все это несложно обходить, но все же это проблема. Пришлось даже поменять имена во всех соцсетях. Начинают и там донимать обиженные господа.

Особенно наглые предлагают войти в долю. Ловим кардера, он понимает, что его поймали, и выдает: «Ребята, давайте вы закроете глаза, а я буду вам по сто долларов с посылки платить. Мы можем на вас хоть по 50 посылок присылать, вы будете хорошо зарабатывать» Понятно, что это тупик. Они ничем не рискуют, а мы рискуем всем.

DR: В Штатах пытались решать эти вопросы с помощью полиции?

Валерий Петров: Да, там всем по барабану. А что они могут сделать? Мы несколько человек ловили, знали даже адрес, на который была отправлена посылка, которая, кстати, была еще в пути. Мы делали файлрепорт, обращались в полицию и без толку. Что полиция США может сделать против мелкого кардера из России? Такие истории всплывают только тогда, когда берут какого-то хакера, взломавшего банк. А школьник какой-то, укравший нечто на 500 долларов или даже на 1000 никого не интересует.

У нас есть коллега, к которой по этому вопросу приходили из ЦРУ. Вроде бы подготовленный человек тогда начал ей объяснять, кто такие кардеры и как их надо ловить. Когда мы с ней пообщались, пришли к выводу, что я знаю больше, чем специалист из ЦРУ. Мы с этим сталкиваются каждый день, а здесь было впечатление, что он брошюру где-то прочитал и пришел рассказывать, как надо жить.
Сейчас есть и магазины прошаренные, которые уже сталкивались с этим и не хотят терять деньги. Они просто прекращают высылать на те компании посредников, где заметили случаи кардинга. Адреса посредников банят и не шлют туда. Apple, например, сразу почти заносит в черный список.

DR: В каких странах кардеров больше?

Валерий Петров: Больше всего кардят из России, на втором месте Украина. В России хотя бы понятно: если скардить ноутбук за 800 долларов, его хоть можно себе выслать. А в Украине вроде лимит на 150 евро, и даже это их не останавливает. Еще и так оформляют, чтобы налог не платить. Не сдаются, в общем.

Что примечательно, по моим личным наблюдениям в России этим занимаются люди до 25 лет. А вот в Украине можно чаще встретить кардера в возрасте около 35. Как-то разговариваю по телефону с человеком, слышу, что на том конце провода мужчина, который мне в отцы годится. Я задаю ему 3-4 вопроса, понимаю, что он кардер, а он понимает, что я понимаю. Я даже люблю поспрашивать: Вам не стыдно вообще? Вы, когда в школе учились, мечтали перчатки воровать?

DR: Российская полиция тоже помочь не в силах?

Валерий Петров: Я писал в Управление «К» (подразделение МВД, осуществляющее борьбу с преступлениями в сфере информационных технологий — прим. ред.) по Москве и по России – ничего.

Расскажу вам историю даже: у нас был кардер из Беларуси. Казалось бы, уж там человек с милицией шутить не будет. Я вышел на начальника отдела «К» по Беларуси. Он заинтересовался, я дал ему двоих стопроцентных кардеров, он мне – телефон зама. Тот, кстати, оказался человеком знающим, и резюмировал: «Мы-то их дернем, можно прийти и предупредить, мол, еще раз и проблемы будут, но, если делать все официально, надо идти в посольство, собирать кучу документов, через посольство пересылать обратно, делать запросы и далее по списку».

Когда спросил, что скардили, и я сказал «кроссовки», он засмеялся и сказал, что смысла нет. Выходит, что с этой бедой мы 1 на 1.

DR: А через ваш ресурс никакой утечки информации не может быть?

Валерий Петров: Нет, мы не храним никакие данные о кредитных картах, все происходит через платежные системы. Когда человек приходит на сайте в свой кошелек, его перекидывает в платежку, например, в PayPal. У них там куча отделов, которые занимаются безопасностью, а нам это зачем?

Если о рынке – сейчас можно наблюдать тенденцию снижения стоимости доставки.

Обидно, что наша работа только внутри склада, и клиенты понимают, что к проблемам доставки мы не имеем отношения, но с вопросами идут все равно к нам, к кому еще? Кардеры, конечно, совершенствуются, но мы совершенствуемся вместе с ними.

Суд в США ждет «кардера» Владислава Хорохорина

  • Владимир Козловский
  • Русская служба Би-би-си, Нью-Йорк

12 ноября прошлого года федеральное большое жюри, заседавшее, как всегда, за закрытыми дверями, возбудило уголовное дело против Владислава Хорохорина, обвинив его в мошенничестве и хищении личных данных.

Хорохорин, имеющий израильское и украинское гражданство, обычно проживает в Москве и был в тот момент недосягаем для американской юстиции, которая до поры до времени попросила суд засекретить обвинительное заключение по этому делу.

21 июля 2010 года прокуратура обратилась в суд с тайной просьбой рассекретить этот документ и ордер на арест Хорохорина, объяснив, что она намеревается ходатайствовать о его выдаче из Израиля, куда он часто летает из Москвы.

Кроме израильских властей, она собиралась предъявить оба документа потерпевшим, которые должны были подкрепить прошение об экстрадиции 27-летнего Хорохорина своими письменными показаниями. Суд удовлетворил просьбу прокуратуры и рассекретил документы для этой цели, хотя само дело против Хорохорина оставалось в секрете.

Две недели спустя прокуратура внезапно обнаружила, что израильский вариант ей не понадобится. Как явствует из имеющихся у меня судебных документов, она известила суд о том, что, по ее сведениям, Хорохорин находится в Монако «и в ближайшее время собирается вернуться в Россию через Францию и Польшу».

В связи с этим она попросила у суда разрешения предъявить обвинительный документ и ордер на арест Хорохорина властям этих стран, а также Интерполу. Суд согласился, и 7 августа Хорохорина арестовали в Ницце перед посадкой в самолет. Сейчас он ждет экстрадиции в США, где предстанет перед федеральным судом в Вашингтоне.

В случае признания виновным Хорохорину, которого власти США называют одним из крупнейших в мире «кардеров», то есть торговцев украденными номерами кредиток, теоретически грозят до 12 лет тюрьмы и штраф в полмиллиона долларов.

В связи с его арестом суд, наконец, рассекретил уголовное дело Хорохорина, который, по словам прокуратуры, орудовал на сетевом черном рынке под ником BadB, торгуя «дампами», то есть данными чужих кредитных карт.

Продавец «дампов»

Как говорится в обвинительном заключении, примерно 27 апреля 2007 года BadB поместил на форуме carder.su рекламное объявление, в котором представился как «продавец дампов».

Он сообщал в нем, что торгует дампами уже около восьми лет, «со времен CarderPlanet». Речь идет об одном из первых сайтов, на которых шла такая торговля. Хорохорина называют одним из основателей этого сайта, который открылся в мае 2001 г. и закрылся в 2004 г. В объявлении говорилось, что BadB является одним из крупнейших на рынке торговцев дампами и пользуется сайтами dumps.name и badb.biz. Связаться с ним предлагалось по ICQ, номер 49162552.

Подпись к фото,

Сайт Хорохорина badb.biz закрыт, но клипы с его интернет-ресурса остались в сети

По словам американских следователей, dump.name был первым в истории полностью автоматизированным сайтом, торговавшим крадеными данными кредиток.

Сейчас badb.biz закрыт, но, как отмечает Washington Post, раньше он встречал посетителей «грубоватым мультипликационным клипом, изображавшим, как российский премьер-министр Владимир Путин награждает киберпреступников золотыми медалями». Путин говорит при этом, что благодаря усилиям кардеров «у граждан (США) больше нет денег, чтобы расплатиться с долгами».

Клип завершался лозунгом на плохом английском: «Мы ждем вас, чтобы бороться с империализмом США. Таким образом мы инвестируем средства США в российскую экономику и способствуем ее росту».

В сети можно найти другой клип с этого сайта Хорохорина, на котором ушлый россиянин в тельняшке, ушанке с красной звездой и с толстой сигарой в зубах сидит на пляже с ноутбуком и похищает данные кредитки Visa у дородного американца в ковбойской шляпе и сапогах со шпорами. В конце клипа герой стоит на пляже со знойной гризеткой и швыряет в воздух пригорошни денег. Надпись гласит: «Российские кардеры готовятся к жаркому лету».

На сайте утверждалось, что он украл данные у одного миллиона американцев.

Из материалов дела

15 мая 2009 года сотрудники секретной службы США связались с BadB по ICQ с компьютера, находящегося в Вашингтоне. BadB сказал, чтобы они выслали деньги через фирму Western Union на Украину на имя Сергея Дубровских. Американцы открыли счет на сайте dumps.name. BadB заявил, что они смогут пользоваться им через 12 часов после получения денег.

Следователи перевели 1250 долларов, четыре дня спустя проверили с свой счет на dumps.name и обнаружили, что на нем имеется эта сумма. Заплатив 1160 долларов, они приобрели данные 58 кредитных карт. Компания Visa впоследствии подтвердила подлинность этих данных.

9 июля 2009 года следователи снова вышли на сайт dump.name и установили, что их незримый собеседник торгует на нем данными кредиток, выпущенных разными банками из нескольких стран мира. Когда они опять попытались приобрести несколько дампов, BadB сообщил им по IСQ, что он больше не принимает деньги через Western Union, и попросил переводить их через сетевую платежную систему WebMoney, базирующуюся в Москве.

На следующий день американцы вышли на сайт planetwm.com и перевели 1246 долларов в Россию на имя Валентина Владимировича Иванова. Впоследствии они приобрели данные 13 кредиток, истратив в общей сложности 1163 доллара.

На основании вышесказанного вашингтонское большое жюри возбудило против Хорохорина уголовное дело, которому сейчас присвоен номер 09-cr-305.

«Действуют безнаказанно»

Арест Хорохорина подвиг корреспондента New York Times Эндрю Креймера на написание пространной статьи о киберпреступности в России. По словам автора, Хорохорин был «неприкасаем, потому что он проживал в России». Он являлся «одним из самых разыскиваемых компьютерных преступников в мире, но на протяжении по крайней мере 9 месяцев открыто жил в Москве».

Как пишет Креймер, российские хакеры, которые «часто являются весьма образованными и иногда зловеще изобретательными программистами и представляют безусловную угрозу онлайновой коммерции», нередко «действуют относительно безнаказанно». По словам экспертов в области компьютерной безопасности, российские правоохранительные органы неохотно преследуют «этих талантливых сетевых мошенников по причине своей некомпетентности, коррумпированности или национальной гордости».

Недаром в России мало арестов за компьютерные преступления, даже тогда, когда живущие там хакеры были публично идентифицированы иностранными организациями, такими как Spamhaus, «базирующаяся в Женеве и Лондоне некоммерческая группа, которая занимается выявлением источников спама». Она говорит, что 7 из 10 главных спамеров в мире находятся в бывшем Советском Союзе: на Украине, в России и Эстонии.

В 2002 году ФБР охотилось за российским хакером Василием Горшковым, но не обратилось к властям России, а заманило его в США якобы на собеседование в мифической компании Invita, будто бы желавшей пригласить его на работу. Представительница российского бюро Интерпола Ольга Шклярова заявила New York Times, что американские правоохранители не обращались к россиянам и с просьбой арестовать Хорохорина.

Креймер цитирует Дмитрия Захарова, представителя Российской ассоциации электронных коммуникаций, который объясняет, что компьютерная преступность мало интересует российских правоохранителей, поскольку она обычно направлена против пользователей в Европе или США. «Это главная причина того, что спамеров не арестовывают», — говорит Захаров, чья организация являет собой лобби законных сетевых бизнесменов России.

Эксперты не исключают и более зловещее объяснение: что российские спецслужбы используют преступные компьютерные группировки в своих целях. Впрочем, Москва неоднократно отрицала, что она имеет какое-то отношение к компьютерным атакам.

фишинг, скимминг и другие методы кардеров

Когда в наших кошельках начали появляться пластиковые карты, многим казалось – ну вот оно, счастье. Теперь ваша зарплата всегда под рукой и точно от вас никуда не денется. А о каких проблемах может идти речь, если карточку вы бережете, кому попало в руки ее не даете, ПИН-код держите в секрете, и расплачиваетесь ею только в надежных местах? Если вдруг с картой случилась проблема – банкомат съел, украли или вы ее потеряли, то и здесь все просто – достаточно позвонить в банк и ваша проблема вскоре будет решена. Ее заблокируют, и даже если воры смогли узнать ваш ПИН-код, им не удастся обналичить ваши кровные денежки.

Эта прекрасная утопия по совместному бытию человека и пластиковой карты способна разрушиться в один миг. Думаете – не так? Просто вам еще везло, и на вашем пути не попадались кардеры, а по-простому, взломщики карточных счетов.

Кто такие кардеры

Новая разновидность мошенничества – кардерство, появилось в странах Европы и Америки сравнительно недавно, и, похозяйничав там, пришло завоевывать просторы СНГ. Если верить нерадостным данным статистики, жертвами кардеров ежегодно становятся тысячи человек, а суммы, похищенные с их банковских счетов, исчисляются миллионами долларов. Только в Великобритании в 2011 году с банковских карт сняли порядка пяти миллионов евро. А ведь это воспитанная страна, где каждый второй – джентльмен, а за соблюдение порядка отвечают вышколенные копы из Скотланд-Ярда. Разумеется, у жителей постсоветского пространства денег на счетах не так много, как у англичан, зато концентрация кардеров на территории бывших союзных республик сегодня самая высокая в мире.

Но не нужно опускать руки раньше срока, ведь на каждую уловку кардеров у нас найдется свое противодействие. Поэтому давайте сначала поближе познакомимся с самыми распространенными способами снятия средств с чужих счетов.

Как воруют деньги с банковских карт

Простейшая форма мошенничества с кредитными картами – это их кража. Многие люди настолько уверены, что если деньги лежат на их карте, а не в кошельке, то им ничто не угрожает. И поэтому они смело пишут номер пин-кода на карте (да-да, и такие есть), и в памяти мобильного телефона, не слишком это пряча, или хранят номер в кошельке по соседству с картой. И эти они дают шанс мошенникам обналичить средства с карты, пока вы в запарке будете искать помощи у полиции, заявляя о пропаже сумки или кошелька, и напрочь забудете позвонить в банк, чтобы попросить заблокировать вашу карту. А за это время вся ваша наличность с карты становится чужой.

Но настоящие кардеры подобными примитивными способами не пользуются, ведь им даже не нужна ваша карта. А таким образом пусть вас обкрадывают обычные мелкие воришки.

Вишинг — самый популярный способ мошенничества

Самый популярный сегодня способ кардеров опустошить ваш банковский счет без карты – это вишинг. Суть его проста – к вам поступает звонок, якобы из банка, в котором у вас открыт банковский счет с прикрепленной к нему картой, и псевдо-банкир просит в тоновом режиме ввести на вашем телефоне данные для восстановления работы системы. Вы, не задумываясь, отправляете им номер карты и пин-код. Так как времени на раздумья вам не дается (на кон-то поставлены ваши деньги) то на удочку мошенников ловятся даже самые подозрительные владельцы карт. Ведь на кону их состояние. А вдруг и правда произошел сбой системы и вы теперь не сможете обналичить свои деньги, если промедлите или вообще откажетесь.

Звонок делается не простым аферистом, а специалистом своего дела, способным наговорить с три короба любому. Итак, вы раскрываете ему все свои секретные данные, мнимый «сотрудник банка» прощается с вами, а вы после этого можете смело прощаться со своими накоплениями. Все концы обрублены, а шанс поймать мошенников минимальный.

Фишинг на сайтах мошенников

Еще один вид мошенничества с картами – фишинг. В нем задействованы служащие разнообразных интернет-магазинов и прочих учреждений, предоставляющие услуги населению, и имеющих базу данных клиентов. Процедура здесь проста. Вы используете карту для приобретения товаров в Интернет-магазине. Некий паренек, работающий там, пользуется полученными данными и создает собственный фиктивный интернет-портал. А вскоре вас «радует» новость о том, что с вашего счета была произведена оплата несуществующего товара (вагон веников или грузовик зубочисток) в этой фиктивной фирме. Не стоит и говорить о том, что вы не только этот несуществующий товар никогда не увидите, но и никогда не вернете свои деньги, а виновные не будут наказаны. И не надейтесь, что правосудие одержит победу, и мошенников найдут.

Но, даже не обладая прямым доступом к базам интернет-магазинов, мошенники могут получить необходимую им информацию. Для этого они создают абсолютную копию сервера авторизации, на котором клиент вводит данные своей карты при оплате покупки. Вместо подлинного сайта вы попадаете на поддельный, и доступ к вашей карте у них есть. Дальше они могут спокойно совершать покупки вместо вас. Сегодня подобный вариант кражи данных встречается уже гораздо реже – большинство уважающих себя браузеров оснащены анти-фишинговой программой.

Скимминг — чтение данных с банкоматов

Еще один способ обчистить вашу карту – скимминг. Для этого кардеры прикрепляют к банкоматам специальное оборудование. Оно занимается считыванием информации с карт клиентов, что позволяет мошенникам получить доступ к их счетам. К примеру, они создают насадки на кнопки, которые невооруженным взглядом не отличишь от настоящих. Человек вел карту, отстучал пин-код, снял деньги и ушел, а устройство запомнило введенный им набор цифр.

Способ попроще – установить около банкомата миниатюрную видеокамеру. Мошенники наблюдают за вами, пока вы вводите пин-код, и получают доступ к вашей карте.

Это всего лишь несколько способов разорить владельцев банковских карт. Есть и более хитрые, пока не слишком распространенные в нашей стране. К примеру, способ прямого подключения. Для мошенников он идеален, ведь гарантирует стопроцентный успех. Суть его в том, что кардеры незаметно подключаются к кабелю, посредством которого информация от банкомата идет в банк. После этого они получают всю информацию по картам, которые вводились в этот банкомат.

Огромный минус для пользователей банковских карт, что согласно законодательству, банк не несет ответственности за подобные потери своих клиентов. И у нас остается всего два пути – хранить деньги в банках (стеклянных, дома под кроватью) или же проявлять максимальную бдительность при использовании карты. Потеряв ее, вы можете потерять нечто гораздо более ценное.

Кто такие кардеры и как мы с ними боремся | Блог

Компания Esyxpress работает уже более 6 лет на рынке Украины. За это время мы доставили сотни тысяч посылок из США и обслужили десятки тысяч клиентов. К сожалению иногда в процессе работы мы сталкиваемся с мошенниками, так называемыми кардерами.

Кто такие кардеры?

Мошенники, которые незаконным путем завладевают чужими банковскими картами или денежными средствами. Часто с помощью этих банковских карт они делают покупки в американских интернет магазинах. Таким образом они “обналичивают” незаконные средства и косвенно втягивают в это компанию-форвардера.

Есть еще один распространенный тип мошенничества, когда взламывают личный кабинет американцев на определенном сайте и на средства, которые находятся на балансе покупают товары, после чего доставляют их с помощью компании-форвардера.

Как мы с этим боремся?

В отделе логистики Easyxpress есть специальное подразделение, которое отслеживает подозрительную активность клиентов. В случае обнаружения сомнительного действия, мы можем запросить дополнительные сведения у клиента, которые проходят детальный аудит, права на это нам дает договор, который подписывает каждый клиент, при регистрации в нашей системе. При подачи недостоверных данных или если обнаружены следы мошенничества, мы отказываем ему в обслуживании, блокируем его личный кабинет, полученные на его имя посылки отправляем обратно магазинам, а зачисленные средства — обратно на карту. Если клиент отказывается выходить на связь или делать возврат, его данные передаются в правоохранительные органы Украины и США для дальнейшего расследования.

Мы гордимся тем, что на сегодняшний день предотвратили десятки случаев мошенничества и при совместной работе киберполиции Украины и федеральной службы США были расследованы и раскрыты множество из этих дел.

Почему это важно?

Важно понимать, что мы, как форвардинговая компания, обязаны в соответствии с законами США и Украины контролировать и предотвращать любые незаконные действия, которые могут иметь место при получении и отправке посылок. Если мы транспортируем незаконно приобретенные товары, могут возникнуть проблемы не только в законодательном плане, но и с адресом нашего склада в США, поскольку многие продавцы могут отказаться отправлять нам посылки. Так же мы абсолютно уверены, что нет ничего важнее , чем репутация компании. Поэтому мы всегда будем бороться с недобросовестными пользователями наших услуг.

В случае, если у вас есть информация о мошеннических действиях с использованием адреса нашего склада в США: Address — 26A Parkway Circle, CO EasyXpress 78141, City — New Castle, State — Delaware, Zip- 19720-4077, Country — UNITED STATES — обращайтесь на почту [email protected] и мы сделаем все возможное, чтобы предотвратить их реализацию.

Who are carders and how we deal with them.

Easyxpress started operating on Ukrainian market more than 6 years ago. Since then, we have delivered hundreds of thousands of parcels from USA and served tens of thousands of customers. Unfortunately, sometimes during the working process we face scammers, the so-called carders

Who are carders?

Scammers who illegally take possession of someone else’s bank cards or money. Often they do purchases at American online stores, using these bank cards. This way they “cash out” illegal funds and indirectly drag a forwarder into the process.

Besides that, there is another common type of fraud when scammers hack personal accounts of U.S. citizens at online stores and buy goods using funds on the balance. Afterwards they deliver purchased items to Ukraine using a freight-forwarding company.

How do we deal with this?

We have got a special unit at our logistic department that monitors suspicious activities of customers. In case of detecting a suspicious action, clients are requested additional information and documents, that are further audited. The right of doing that is given to us by the contract that is signed by every client, when registering on our web-page. In case if wrong data is provided, or traces of fraud are found, the client is refused to be served, his personal account is blocked, parcels are returned back to the stores and cards are refunded. If the client refuses to collaborate or make a return, his data, together with the parcels, is transmitted to the law enforcement agencies of Ukraine and the USA for further investigation.

We are proud to announce that we have prevented dozens of attempts of fraud and together with the Ukrainian cyber police and the US federal service, many of these cases were investigated and disclosed.

Why is it important?

It’s important to understand that we, as a freight forwarding company, are obliged by US and Ukrainian laws, to control and prevent any illegal activities that may take place, while receiving and shipping parcels. if we transport illegally purchased goods, problems may occur not only in legislative aspects, but also with our US warehouse address as many sellers may refuse to send parcels to us. We deeply believe that there is nothing more important than the reputation of a company and confidence towards us. Therefore, we will always fight with unscrupulous users of our services!

In case if you have any information about fraudulent activities using the address of our warehouse in the USA: Address — 26A Parkway Circle, CO EasyXpress 78141, City — New Castle, State — Delaware, Zip- 19720-4077, Country — UNITED STATES, please contact us by e-mail: [email protected] and we will do our best in order to prevent all the attempts.

Определение кардочесания

Что такое кардинг?

Картирование — это форма мошенничества с кредитными картами, при которой украденная кредитная карта используется для оплаты предоплаченных карт. Карточки обычно вовлекают держателя украденной карты, покупающего подарочные карты магазина, которые затем могут быть проданы другим или использованы для покупки других товаров, которые могут быть проданы за наличные. Воры кредитных карт, которые причастны к этому виду мошенничества, называются кардерами.

Соединенные Штаты являются важной мишенью для мошенничества с кредитными картами, потому что это большой рынок, на котором широко используются кредитные и дебетовые карты, а также потому, что используемые типы карт либо содержат только магнитную полосу, либо используют технологию чипа и подписи. , а не технологии чипа и персонального идентификационного номера (PIN), применяемые в большинстве стран Европы.

Как работает кардочесание

Картирование обычно начинается с того, что хакер получает доступ к системе обработки кредитных карт магазина или веб-сайта, а хакер получает список кредитных или дебетовых карт, которые недавно использовались для совершения покупок. Хакеры могут использовать слабые места в программном обеспечении и технологиях безопасности, предназначенных для защиты счетов кредитных карт. Они также могут получить информацию о кредитной карте, используя сканеры для копирования кодировки с магнитных полос.

Кардинг — это форма мошенничества с кредитными картами, при которой украденная кредитная карта используется для оплаты предоплаченных карт.

Информация о кредитной карте также может быть скомпрометирована путем доступа к другой личной информации владельца учетной записи, например, к банковским счетам, к которым хакер уже получил доступ, с нацеливанием информации на ее источник. Затем хакер продает список номеров кредитных или дебетовых карт третьей стороне — кардеру, — который использует украденную информацию для покупки подарочной карты.

Большинство компаний, выпускающих кредитные карты, предлагают защиту держателей карт от обвинений в случае, если кредитная или дебетовая карта будет заявлена ​​как украденная, но к моменту аннулирования карты кардер часто совершает покупку.Подарочные карты используются для покупки дорогостоящих товаров, таких как сотовые телефоны, телевизоры и компьютеры, поскольку эти товары не требуют регистрации и могут быть перепроданы позже. Если кардер покупает подарочную карту для розничного продавца электроники, такого как Amazon, он может использовать третью сторону для получения товаров, а затем отправить их в другие места. Это ограничивает риск кардера привлечь внимание. Кардер также может продавать товары на веб-сайтах, предлагающих определенную степень анонимности.

Поскольку кредитные карты часто быстро аннулируются после утери, основная часть кардинга включает в себя проверку информации о украденных картах, чтобы убедиться, что они все еще работают.Это может включать отправку запросов на покупку в Интернете.

Спикер

SecTor показывает, как поймают воров кредитных карт

ТОРОНТО. Кража кредитных карт продолжает оставаться одной из самых распространенных и широко распространенных форм цифровых преступлений. Выступая здесь 22 октября на конференции по безопасности SecTor, Грейсон Леник, главный консультант по безопасности в Nuix, рассказал, как эти похитители кредитных карт, известные как «кардеры», действуют и как их в конечном итоге поймают.

Мир кардеров — это очень иерархический мир кардинговых форумов и кардинговых групп. Бизнес кражи кредитных карт обсуждается и преподается на этих карточных форумах онлайн, которые представляют собой сайты, которые предоставляют пользователям информацию и инструменты о том, как украсть номера кредитных карт. Леник отметил, что одним из самых популярных форумов по кардингу является сайт Carding Mafia, хотя он подозревает, что большинство посетителей сайта — это сотрудники правоохранительных органов, которые ищут воров и собирают информацию.

«Вероятно, 70 процентов пользователей на данный момент являются правоохранительными органами», — сказал Леник.

С точки зрения того, как работают кардинговые группы, существует организационная иерархия. На вершине находится руководство — люди, которые на самом деле владеют кардинговыми форумами и пишут вредоносные программы, которые используются для кражи пользовательской информации. Леник сказал, что маловероятно, что руководство кардинговыми группами является спонсируемой государством деятельностью, хотя он отметил, что в некоторых странах, таких как Россия, например, государство вполне может попустительствовать кардингу.

Под руководством кардинга находятся посредники, которые наполняют форумы кардинга свежими свалками информации о кредитных картах и ​​учетных данных. Посредники, в свою очередь, пользуются услугами так называемых «денежных мулов», которые, по сути, являются обычными преступниками в мире кардинга.

«Денежные мулы — это люди, которые хотят быстро заработать», — сказал Леник.

Поймать

Когда кардеров все-таки поймают, на это могут повлиять несколько общих причин, почему и как, сказал Леник.

Первая причина — лень. По словам Леника, некоторые кардеры ошибочно полагают, что их не поймают, и это ложное чувство безопасности приводит к тому, что они не принимают необходимых мер предосторожности, чтобы скрыть свое местонахождение или личность. Ленивые действия, которые приводят к поимке кардеров, включают взлом из дома, отказ от использования какой-либо формы анонимной службы и жесткое кодирование их IP-адресов с помощью вредоносного ПО.

Кардеры также могут быть пойманы из-за невезения. Например, кардер может быть остановлен сотрудником полиции за нарушение правил дорожного движения, и он увидит в машине кардочесальное оборудование.Леник также сказал, что кардеры, которых часто поймали, откажутся от своих сообщников и других членов своей группы, чтобы получить более выгодную сделку от правоохранительных органов.

Использование социальных сетей — еще один способ поймать кардеров. Леник сказал, что видел, как кардеры публикуют в своих учетных записях в Facebook или Twitter информацию о том, куда они направляются. Эта информация иногда может быть использована сотрудниками правоохранительных органов для отслеживания кардера.

Кардер, который меня любил

Один особенно интересный случай задержания кардера связан с профессиональным сотрудником правоохранительных органов, который под прикрытием работал в мире кардинга.Женщина-агент подружилась с кардером и со временем завязала отношения. Когда отношения стали более зрелыми, женщина-агент убедила кардера приехать в Лас-Вегас, чтобы жениться на ней.

Когда кардер прибыл в США, его задержали. Однако на этом история не закончилась. Агент отвезла своего кардера «жениха» в разные места Лас-Вегаса и сфотографировала их обоих на разных достопримечательностях, а затем разместила фотографии в социальных сетях. Затем агент пригласил друзей кардера приехать на свадьбу в Лас-Вегас.Всего, по словам Леника, четыре человека были арестованы после поездки в Лас-Вегас на свадьбу.

Шон Майкл Кернер — старший редактор eWEEK и InternetNews.com. Следуйте за ним в Twitter @TechJournalist

carder — Викисловарь

Определение из Викисловаря, бесплатный словарь

Перейти к навигации
Перейти к поиску

Английский [править]

XIX в. двойная чесальная машина

Этимология [править]

карта + -er

Произношение [править]

Существительное [править]

кардеры ( множественное число кардеры )

  1. Человек, занятый кардочесанием шерсти.
  2. Кардочесальная машина.
  3. Преступник, крадущий информацию с кредитных карт.
  4. (сленг) Человек, раздающий карточки с пирожными.
Переводы [править]

чел. Занятых кардочесанием

Анаграммы [править]


Этимология [править]

carde + -er

Произношение [править]

Глагол [править]

кардер

  1. на карту (используйте кардочесальную машину)
Спряжение [править]
инфинитив простой кардер
соединение эвер + причастие прошедшего времени
причастие настоящего или герундий 1 простой кардан
/ ка.dɑ̃ /
соединение аят + причастие прошедшего времени
причастие прошедшего времени cardé
/kaʁ.de/
единственное число множественное число
первый секунд третий первый секунд третий
ориентировочный je (j ’) вт il, elle ноус vous ils, elles
(простые
времен)
настоящее время carde
/ kaʁd /
карты
/ кад /
carde
/ kaʁd /
картоны
/ ка.dɔ̃ /
cardez
/kaʁ.de/
cardent
/ kaʁd /
несовершенный карта
/kaʁ.dɛ/
карта
/kaʁ.dɛ/
карточка
/kaʁ.dɛ/
кардион
/kaʁ.djɔ̃/
cardiez
/kaʁ.dje/
cardaient
/kaʁ.dɛ/
прошлое историческое 2 кардай
/kaʁ.de/
карты
/kaʁ.da/
carda
/ kaʁ.да /
карты
/kaʁ.dam/
карт
/kaʁ.dat/
cardèrent
/kaʁ.dɛʁ/
будущее carderai
/kaʁ.də.ʁe/
кардерас
/kaʁ.də.ʁa/
cardera
/kaʁ.də.ʁa/
carderons
/kaʁ.də.ʁɔ̃/
carderez
/kaʁ.də.ʁe/
кардеронт
/kaʁ.də.ʁɔ̃/
условно carderais
/kaʁ.də.ʁɛ/
carderais
/ kaʁ.də.ʁɛ /
carderait
/kaʁ.də.ʁɛ/
кардерионов
/kaʁ.də.ʁjɔ̃/
carderiez
/kaʁ.də.ʁje/
кардераент
/kaʁ.də.ʁɛ/
(составное
времен)
настоящее идеальное настоящее указывает на эуаров + причастие прошедшего времени
pluperfect несовершенный показатель эров + причастие прошедшего времени
переднее переднее 2 прошлое историческое из эров + причастие прошедшего времени
совершенное будущее будущее эров + причастие прошедшего времени
условно идеальный условное от эров + причастие прошедшего времени
сослагательное наклонение que je (j ’) que tu qu’il, qu’elle que nous que vous qu’ils, qu’elles
(простые
времен)
настоящее время carde
/ kaʁd /
карты
/ кад /
carde
/ kaʁd /
кардионы
/ ка.djɔ̃ /
cardiez
/kaʁ.dje/
cardent
/ kaʁd /
несовершенное 2 кардассе
/kaʁ.das/
картонные коробки
/kaʁ.das/
cardât
/kaʁ.da/
cardassions
/kaʁ.da.sjɔ̃/
cardassiez
/kaʁ.da.sje/
cardassent
/kaʁ.das/
(составное
времен)
прошлое сослагательное наклонение настоящего времени шоир + причастие прошедшего времени
pluperfect 2 несовершенное сослагательное наклонение шорир + причастие прошедшего времени
императивный ту ноус vous
простой carde
/ kaʁd /
картоны
/ ка.dɔ̃ /
cardez
/kaʁ.de/
соединение простой повелительный наклон эвер + причастие прошедшего времени простой повелительный наклон эвер + причастие прошедшего времени простой повелительный наклон эвер + причастие прошедшего времени
1 Французский герундий можно использовать только с предлогом en .
2 В менее формальном письме или речи прошлые исторические, прошедшие передние, несовершенные сослагательные наклонения и плюсоверштенные сослагательные наклонения могут быть заменены указательным совершенным настоящим, указательным плюсовершенным, настоящим сослагательным наклонением и прошедшим сослагательным наклонением соответственно (Кристофер Кендрис [1995], Освойте основы: французский , стр.77, 78, 79, 81).
Производные термины [править]

Дополнительная литература [править]

Как кардеры торгуют вашей украденной личной информацией

Дебетовые карты и ПИН-коды в наши дни являются горячими темами на форумах преступного подполья, сказал Том Русин во время недавнего посещения CNET.Русин является президентом североамериканского подразделения Affinion Group, компании, которая отслеживает преступное подполье нескольких тысяч банковских учреждений, скрываясь в чатах кардеров.

«Кардеры» — это люди, которые покупают, продают и обменивают в Интернете данные кредитных карт, украденные с фишинговых сайтов или в результате крупных утечек данных в розничных магазинах. Affinion — одна из крупнейших в мире компаний по защите личных данных с офисами в более чем десятке стран. За прошедшие годы он предоставил U.С. Секретная служба и ФБР. Несколько недель назад Affinion выявила пользователей .Mac, ставших жертвами фишингового мошенничества.

Просматривая сообщения на подпольном преступном форуме на своем ноутбуке, Розин объяснил, что, поскольку «каждый американец хранит немного денег на своем сберегательном счете», в отличие от кражи кредитных карт, дебетовые карты предоставляют ворам немедленный доступ к наличным деньгам. Следующими по спросу являются имена пользователей и пароли, потому что «большинство людей используют один и тот же пароль на сайтах, которые они посещают.»

Кардеры когда-то продавали свои товары на форумах как «новички» для новинок, как будто они предоставляли фальшивые учетные записи или фальшивые личные данные для развлечения. То, что Русин показал мне на своем ноутбуке, было смелым, даже хвастливым. Например, сегодня они не просто продают информацию о картах в Интернете.

Среди ожидаемых предложений на форуме были предложения по прокси-серверам и пуленепробиваемым серверам (т. Е. Серверам, которые вряд ли когда-либо будут отключены, расположенным в частях мира, куда часто не распространяется закон).Они используются вместе с наборами для фишинга (пакетами, которые помогают вам создать собственную поддельную страницу Bank of America), которые также продаются.

По словам Русина, добраться до такого уровня доступа было нелегко. Кардеры ужасно параноики. Часто, просто чтобы получить доступ к форуму, вам нужно продемонстрировать свои навыки, предоставив до пяти номеров активных счетов кредитной карты. Это эквивалент инициирования банды или мафии.

Русин говорит, что Affinion укрепляет свои карьерные возможности с 1998 года или около того.Компания поддерживает несколько кредитных карт, учетные записи, которые они используют для тестирования своего собственного программного обеспечения, а также для поиска данных клиентов на форумах кардеров. Например, однажды они передали счет кредитной карты Affinion кардеру, а затем наблюдали за происходящим в банке.

Есть предсказуемая закономерность. Часто покупатель сначала отправляет транзакцию на 1 доллар благотворительной организации, например, Американскому Красному Кресту. Как только эта транзакция будет аутентифицирована, поток незаконных покупок будет накапливаться до тех пор, пока карточный счет не будет закрыт.

Это пример того, что в бизнесе известно как «захват учетной записи», наиболее распространенное использование личной информации, при котором воры начинают использовать вашу активную учетную запись без вашего ведома. Эффект мгновенный, а потери могут быть большими.

Следующее наиболее распространенное использование, по словам Русина, — создание новой учетной записи. Это более медленный процесс, и он часто включает в себя создание учетных записей коммунальных служб. Здесь цель состоит в том, чтобы на самом деле стать кем-то другим, чтобы, если дело когда-нибудь дойдет до суда, присяжным будет сложно определить разницу между вашими сделками и чужими.

Для создания новой учетной записи необходимо, чтобы у кардера были как минимум номер социального страхования, дата рождения и девичья фамилия матери. Русин пояснил, что «полный» профиль будет содержать имя, адрес, SSN, дату рождения и номер водительских прав. Прокручивая форум, он нащупал одну из записей на экране и сказал: «Этот парень продает полные партии США за 20 долларов».

Русин говорит, что как только преступник получит ваш номер социального страхования, его можно будет найти остальную личную информацию из различных источников через Google.«Как правило, их получают от фишинга, но также и от взлома. Это все, что мне нужно, чтобы стать вами. Так что ваша личность в подполье стоит около 20 долларов».

Террористы, а не только организованные преступники, заинтересованы в краже и использовании истории вашей кредитной карты. Это одна из удивительных тенденций, выявленных Русиным и задокументированных в официальном документе Министерства юстиции (PDF), в котором говорится о растущем участии террористических сетей, начиная с теракта на Бали в 2002 году.

В 2007 году Крис Бойд и Уэйн Портер из FaceTime Communications выступили стоя на конференции RSA в Сан-Франциско с докладом о ботнете, который они проследили до сайтов Q8 Army.

К сожалению, личная информация будет течь, признает Русин. Он ссылается на громкие утечки данных, например, затрагивающие ChoicePoint и материнскую компанию TJ Maxx.

Русин, чья компания также продает услуги по защите личности, сравнивает процесс идентификации с детектором дыма: «У вас должен быть детектор дыма в вашем доме.»Таким образом, цель не обязательно в том, чтобы остановить мошенничество с идентификационными данными, а скорее в том, чтобы справиться с ним.

Помимо наличия антивирусного программного обеспечения и брандмауэра для защиты нашей цифровой информации на наших настольных компьютерах, похоже, что теперь нам нужна защита с помощью идентификаторов и для нашей реальной информации.

Вы можете услышать больше о моем интервью с Томом Русиным в подкасте этой недели Security Bites.

Что такое кардинг? Является ли кардирование незаконным в Индии?

«Братан, я покупаю iPhone 11 Pro Max за 20 тысяч рупий.Стоит ли покупать? Он говорит, что занимается кардинальным бизнесом. Что такое кардинг? Является ли кардирование незаконным в Индии? У меня будут проблемы? »

Я не видел этого в Whatsapp, но концепция кардинга хорошо видна на таких платформах, как Instagram и Telegram.

Итак, вы получите случайное сообщение, в котором будет что-то вроде: «Сэр, я занимаюсь кардингом. Я могу обойтись смартфоном за 10% от его стоимости. Эта скидка действует только для вас в течение ограниченного времени. Тебе интересно? »

Что такое кардочесание?

Если я буду упрощен, то кардинг означает кражу данных чьей-либо кредитной карты и использование ее в личных целях.

Надеюсь, это утверждение не требует пояснений.

Существуют различные способы кражи и кражи данных кредитных и дебетовых карт. Я упоминаю некоторые из них, чтобы вы знали о таких практиках и спасли себя.

Способы кражи данных карты

  1. Мошеннические веб-сайты: Это наиболее распространенный метод в этом цифровом мире, когда вас попросят ввести данные своей карты на поддельной странице веб-сайта. После ввода ПИН-кода карты веб-сайт получит то, что хотел — данные вашей карты.
  2. Фальшивые подтверждающие звонки: Вы получите случайный звонок от хакера, который попросит вас подтвердить данные вашей карты, потому что ему нужно что-то обновить в их системе. Помните, что ни один банк не позвонит вам для уточнения реквизитов карты.
  3. Банкоматы: Хакеры устанавливают свои настройки на банкоматы, чтобы получить все подробности, когда человек вводит данные своей транзакции, чтобы получить наличные.
  4. Взлом веб-сайтов: Иногда вы помещаете свои данные на известный и настоящий веб-сайт, такой как Netflix, но сам веб-сайт взламывается.Итак, все данные достаются этому хакеру.
  5. Случайное предположение: Большинство деталей карты — это случайные предположения с использованием некоторых шаблонов и программного обеспечения. Если вы используете простой пароль и данные для входа, будьте осторожны. Кроме того, продолжайте часто менять свои пароли.

Это лишь некоторые распространенные методы, которые используют хакеры. В конце концов, они получают полный список кредитных и дебетовых карт вместе с деталями.

[Читайте также: 8 способов обнаружения поддельного веб-сайта ]

Почему хакер собирает так много данных о картах?

Итак, хакер собирает большое количество реквизитов карт в своем пуле, где он продает эти реквизиты.Чаще всего такие реквизиты карты продаются в даркнете. Однако он также обычно доступен в обычном Интернете.

[Возможно, вы захотите прочитать: Мифы о Dark Web ]

Кто такой Кардер?

Кардер покупает этот список реквизитов карты и в конечном итоге покупает большое количество продуктов на таких онлайн-сайтах, как Amazon, Alibaba и т. Д. После доставки они попросят вас купить эти продукты по 10% от первоначальной цены.

Это потому, что этот продукт им ничего не стоил.Сумма была выплачена с банковского счета владельца карты.

В большинстве случаев такие продукты включают электронные устройства, такие как смартфоны, потому что клиенты легко доступны.

Не думаете ли вы, что люди купят iPhone 11, если я сделаю его доступным за 20 000 рупий?

Имейте в виду, кардеры используют вымышленные личности для всех этих покупок в Интернете.

Является ли кардирование незаконным в Индии?

Кардочесание в Индии запрещено законом. Раздел 66C предусматривает наказание, если вы занимаетесь кардингом.

Кроме того, человек, который покупает у кардеров, также нарушает закон. Следовательно, суд налагает штрафы или сажает покупателя в тюрьму.

90% кардеров — фальшивые

Давайте на данный момент забудем о взломе, кардинге или краже реквизитов карт. Что, если я скажу вам, что большинство этих кардеров абсолютно поддельные и у них нет данных о продукте или карте?

Во-первых, настоящий кардер никогда не придет к вам и не раскроет свою личность. Он будет незаметно покупать продукты и перепродавать их на рынке.

Во-вторых, большинство кардеров притворяются кардерами, но они просто забирают ваши деньги и убегают.

«Сэр, я кардер и могу предоставить вам iPhone 11 за 20 тысяч рупий. Но вам нужно отправить мне 500 рупий в качестве платы за обработку ».

После того, как вы заплатите этот «сбор за обработку», вы больше никогда не сможете связаться с так называемым кардером.

Вы не получите ни iPhone, ни кардера. Это вы потеряли эту сумму.

Большинство этих кардеров Telegram и Instagram сбегают.Единственная их цель — собрать такие небольшие суммы, что приведет к огромной сумме денег.


Не поддавайтесь на такие интернет-мошенничества. Вместо этого оставайтесь кибер-умными!
Эта бесплатная электронная книга может вам помочь.

Часто задаваемые вопросы о кардировании

Является ли кардинг незаконным в Индии?

Кардочесание в Индии запрещено законом. Раздел 66C предусматривает наказание, если вы занимаетесь кардингом. Кроме того, человек, который покупает у кардеров, также нарушает закон.Следовательно, суд налагает штрафы или сажает покупателя в тюрьму.

Как людей ловят на кардинге?

Некоторые хакеры-новички используют недостаточные меры безопасности. Кроме того, иногда их ловят при заключении сделки в ловушке для меда. Есть слишком много способов, которыми хакеры попадают в ловушку кардинга.

Кардочесание безопасно?

Нет, совсем нет. Кардинг может посадить вас в тюрьму. Если вы хакер, кардер или даже потребитель — вас ждет наказание в суде.

Реален ли кардинг в Telegram?

Большинство мошенников Telegram утверждают, что они кардеры, но на самом деле настоящие кардеры никогда не раскрывают свою личность.Значит, такие люди ненастоящие.

Какое наказание за кардинг в Индии?

Раздел 66C может привести к минимальному наказанию в виде 3 лет лишения свободы.

Что подразумевается под кардингом Amazon?

Кардинг Amazon означает кражу данных кредитной карты и использование ее в личных целях. Это может быть покупка на Amazon для себя или продажа товаров по более низким ценам.

Заключение

Кардинговый бизнес в любом случае является незаконным и небезопасным, независимо от вашей роли — хакера, кардера или даже покупателя.

Во-вторых, большинство кардеров — подделки, которые никогда не доставляют вам никаких товаров. Они просто убегают с вашими деньгами.

P2

Обмен знаниями заставляет вас выглядеть круто

Что такое кардинг | Боты, обслуживающие онлайн-мошенничество

Что такое кардочесание

Кардинг (также известный как наполнение кредитной карты и проверка карты) — это угроза веб-безопасности, при которой злоумышленники используют несколько параллельных попыток авторизации украденных учетных данных кредитной карты.Кардирование выполняется ботами, программным обеспечением, используемым для выполнения автоматизированных операций через Интернет. Целью кардинга является определение номеров или данных карт, которые можно использовать для совершения покупок.

Помимо ущерба, нанесенного владельцам карт, атака кардинга может негативно повлиять на предприятия, веб-сайты которых используются для авторизации украденных кредитных карт. Картирование обычно приводит к возвратным платежам — это оспариваемые транзакции, в результате которых продавец отменяет транзакцию и возвращает деньги покупателю.

Возвратные платежи могут происходить по законным причинам (например, ошибочная покупка или техническая ошибка), но очень часто являются результатом таких методов мошенничества, как кардинг. Каждый возвратный платеж наносит ущерб репутации компании в отношении обработчиков кредитных карт. Картирование, выполненное против веб-сайта, может привести к плохой истории продавца и штрафам за возврат платежа.

Внутри Кардингового форума

Кардинг-форум или веб-сайт по кардингу — это незаконный сайт, используемый для обмена украденными данными кредитных карт и обсуждения методов получения данных кредитных карт, их проверки и использования в преступных целях.

Эти форумы используются лицами, которые хотят использовать информацию о украденных картах для незаконной покупки товаров, или преступными группировками, которые стремятся приобрести данные кредитной карты оптом, чтобы продавать их в темной сети.

Кардинговые форумы

часто скрыты с использованием маршрутизации TOR, а платежи за украденные данные кредитных карт выполняются с использованием криптовалюты, чтобы избежать отслеживания властями. Пользователи форума обычно скрывают свою личность.

Форумы

являются источником данных о кредитных картах для кардинга, а также могут использоваться для обмена результатами кардинга — например, для продажи успешных кредитных карт другим преступникам.

×

Как работает кардная атака

Кардинг-атака обычно состоит из следующих шагов:

  1. Злоумышленник получает список украденных номеров кредитных карт либо на криминальном рынке, либо путем взлома веб-сайта или платежного канала. Их качество часто неизвестно.
  2. Злоумышленник развертывает бота для совершения небольших покупок на нескольких платежных сайтах. Каждая попытка проверяет номер карты на соответствие платежным процессам продавца, чтобы определить действительные реквизиты карты.
  3. Проверка кредитной карты предпринимается тысячи раз, пока не будут получены проверенные данные кредитной карты.
  4. Успешные номера карт организованы в отдельный список и используются для другой преступной деятельности или продаются организованным преступным группам.
  5. Мошенничество с картами часто остается незамеченным держателем карты, пока не становится слишком поздно, когда его средства расходуются или переводятся без его согласия.

Пример атаки: подарочные карты

Хакеры разработали вредоносного бота GiftGhostBot для взлома баланса подарочных карт. Жертвами этой атаки стали около 1000 веб-сайтов электронной коммерции.

Преступники использовали этого бота для перебора возможных номеров счетов подарочных карт и автоматического запроса баланса каждого номера карты. Когда баланс карты был идентифицирован, вместо обычной ошибки или нуля это означало, что с номером подарочной карты были связаны реальные деньги.Затем мошенники использовали подтвержденные номера подарочных карт для совершения покупок.

Это атака взлома карты или взлома токена. Для кибер-вора красота кражи денег с подарочных карт заключается в том, что они обычно анонимны и не отслеживаются после кражи.

Обнаружение мошенничества с картами

Вот несколько платежных веб-сайтов, которые могут обнаружить, что кардинговые боты получают доступ к их сайтам или могут иметь место другие методы мошенничества:

  • Неестественно высокий процент отказа от корзины покупок
  • Низкий средний размер корзины
  • Неестественно высокая доля неудавшихся разрешений на платеж
  • Непропорциональное использование шага платежа в корзине покупок
  • Увеличение количества возвратных платежей
  • Несколько неудачных авторизаций платежа от одного и того же пользователя, IP-адреса, пользовательского агента, сеанса, идентификатора устройства или отпечатка пальца

Как защититься от ботов-взломщиков карт

Следующие методы могут помочь вам защитить свой платежный сайт от вредоносных ботов, используемых для взлома кредитных карт.

Управление ботами с Imperva

Дактилоскопирование устройства
Дактилоскопирование выполняется путем объединения браузера пользователя и устройства, чтобы понять, кто или что подключается к услуге. Мошенникам или ботам, пытающимся подделать кредитные карты, необходимо совершать несколько попыток, и они не могут каждый раз менять свое устройство. Им нужно будет переключить браузеры, очистить кэш, использовать частный режим или режим инкогнито, использовать виртуальные машины или эмуляторы устройств или использовать расширенные инструменты мошенничества, такие как FraudFox или MultiLogin.

Отпечатки устройств могут помочь идентифицировать параметры браузера и устройства, которые остаются неизменными между сеансами, указывая на то, что один и тот же объект подключается снова и снова. Технологии снятия отпечатков пальцев могут создавать уникальный идентификатор устройства, браузера и файла cookie, который, если он используется несколькими учетными записями, вызывает подозрение, что все эти входы являются частью попытки мошенничества.

Проверка браузера
Некоторые вредоносные боты могут притворяться, что запускают определенный браузер, а затем циклически переключаются между пользовательскими агентами, чтобы избежать обнаружения.Проверка браузера включает в себя проверку того, что каждый пользовательский браузер действительно является тем, за что он претендует, — что он имеет ожидаемый агент JavaScript, выполняет вызовы так, как ожидается от этого браузера, и работает так, как ожидается от пользователей-людей.

Анализ поведения машинного обучения
Реальные пользователи, посещающие платежный веб-сайт, демонстрируют типичные модели поведения. Боты обычно ведут себя совсем не так, как в этом шаблоне, но способами, которые вы не всегда можете определить или идентифицировать заранее.Вы можете использовать технологию поведенческого анализа для анализа поведения пользователей и обнаружения аномалий — пользователей или определенных транзакций, которые являются аномальными или подозрительными. Это может помочь выявить плохие пятна и предотвратить попытки взлома.

В рамках поведенческого анализа постарайтесь проанализировать как можно больше данных, включая полученные URL-адреса, показатели взаимодействия с сайтом, движения мыши и поведение мобильных устройств.

Анализ репутации
Существует множество известных программных ботов с предсказуемыми техническими и поведенческими моделями или исходными IP-адресами.Наличие доступа к базе данных известных шаблонов ботов может помочь вам идентифицировать ботов, обращающихся к вашему сайту. Трафик, который на первый взгляд может показаться реальным пользователем, можно легко идентифицировать, сопоставив его с известными отпечатками пальцев плохих ботов.

Прогрессивные вызовы
Когда ваши системы подозревают, что пользователь является ботом, у вас должен быть прогрессивный механизм для «вызова» пользователя, чтобы проверить, бот он или нет. Прогрессивное тестирование означает, что вы сначала пробуете наименее навязчивый метод, чтобы свести к минимуму неудобства для реальных пользователей.

Вот несколько задач, которые вы можете использовать:

  • Проблема с файлами cookie — прозрачна для реального пользователя
  • Задача JavaScript — немного замедляет взаимодействие с пользователем
  • Captcha — самая разрушительная

Дополнительные меры безопасности

Помимо вышеперечисленных методов, которые позволяют напрямую проверять, исходит ли трафик от реального пользователя или бота, используйте нижеприведенные меры для усиления периметра безопасности от взломанных ботов.

Многофакторная аутентификация
Сайты электронной коммерции могут требовать от пользователей входа в систему, используя что-то, что они знают (например, пароль), и что-то, что у них есть (например, мобильный телефон).Хотя это не предотвращает взлом, злоумышленникам становится труднее создавать большое количество поддельных учетных записей, а захват существующих учетных записей становится практически невозможным.

Безопасность API
Сайты электронной коммерции часто используют API кредитных карт, например, предлагаемые PayPal или Square, для облегчения транзакций. Эти API-интерфейсы могут быть уязвимы для атак, таких как внедрение JavaScript или перенаправление данных, если они не включены с соответствующей защитой.Для защиты от многих из этих атак сайты электронной коммерции могут использовать комбинацию шифрования TLS и надежных механизмов аутентификации и авторизации, подобных тем, которые предлагаются OAuth и OpenID.

Узнайте, как Imperva Bot Management может помочь вам в борьбе с мошенничеством в Интернете.

Imperva Bot Management

Решение

Imperva по управлению ботами может защитить от роботов-взломщиков кредитных карт, используя все меры безопасности, описанные выше, что позволяет выявлять плохих ботов с минимальным нарушением реального пользовательского трафика:

  • Устройство снятия отпечатков пальцев
  • Проверка браузера
  • Поведенческий анализ
  • Анализ репутации
  • Прогрессивные вызовы

Кроме того, Imperva охватывает дополнительные меры безопасности, которые дополняют стратегию защитных ботов.Он предлагает многофакторную аутентификацию и безопасность API — гарантируя, что только желаемый трафик может получить доступ к вашей конечной точке API, и блокирует эксплойты уязвимостей.

Помимо защиты от ботов, Imperva обеспечивает многоуровневую защиту, гарантирующую, что веб-сайты и приложения доступны, легко доступны и безопасны, в том числе:

  • Защита от DDoS-атак — поддержание работоспособности в любых ситуациях. Предотвратите любые типы DDoS-атак любого размера, препятствующие доступу к вашему веб-сайту и сетевой инфраструктуре.
  • CDN — повысьте производительность веб-сайта и сократите расходы на полосу пропускания с помощью CDN, разработанной для разработчиков. Кэшируйте статические ресурсы на периферии, ускоряя API и динамические веб-сайты.
  • WAF — облачное решение разрешает законный трафик и предотвращает плохой трафик, защищая приложения на периферии. Шлюз WAF обеспечивает безопасность приложений и API внутри вашей сети.
  • Защита от захвата учетных записей — использует процесс обнаружения на основе намерений для выявления и защиты от попыток захвата учетных записей пользователей в злонамеренных целях.
  • RASP — защитите свои приложения изнутри от известных атак и атак нулевого дня. Быстрая и точная защита без подписи или режима обучения.

carder — определение и значение

  • Большая часть незаконной добычи в Интернете была ограждена через четыре так называемых сайта carder — торговых площадок, на которых преступники могли покупать и продавать номера кредитных карт, номера социального страхования и другие украденные данные.

    Дерзкий план одного хакера по управлению черным рынком украденных кредитных карт

  • Большая часть незаконной добычи в Интернете была ограждена через четыре так называемых сайта carder — торговых площадок, на которых преступники могли покупать и продавать номера кредитных карт, номера социального страхования и другие украденные данные.

    Дерзкий план одного хакера по управлению черным рынком украденных кредитных карт

  • Незнакомец: Я имею в виду работу кардера ; ибо мы не можем сказать, что кардочесание — это ткачество, или что кардер — ткач.

    Государственный деятель

  • Фишеры и кассиры встречались на веб-сайтах « carder «, чтобы покупать и продавать украденные удостоверения личности, сказал Авис.

    CSO

  • Фишеры и кассиры встречались на веб-сайтах « carder «, чтобы покупать и продавать украденные удостоверения личности, сказал Авис.

    CSO

  • Вопросы и ответы Дж. Кейт Муларски рассказывает о двух годах, которые он провел, выдавая себя за « кардер » на Темном рынке, и о проблеме поддержания внешнего вида.

    CNET News.com

  • Вопросы и ответы J.Кейт Муларски рассказывает о двух годах, которые он провел, выдавая себя за « кардер » на Темном рынке, и о том, как не отставать от внешнего вида.

    Добавить комментарий

    Ваш адрес email не будет опубликован.