Carding – kradzież w białych rękawiczkach

W ostatnim czasie bardzo wiele pisze się na temat cyberprzestępstw, które dotykają wielkie korporacje lub nieco mniejsze przedsiębiorstwa. Szpiegostwo i sabotaż przemysłowy stały się codziennością, o której można przeczytać na każdym kroku. W całym tym zamieszaniu statystyczny „Kowalski” mógł poczuć się złudnie bezpieczny. A nie ma chyba nic gorszego niż niewiedza na temat własnych słabości, które mogą zostać wykorzystane przez cyberprzestępców.

Carding jest przestępstwem związanym z kartami płatniczymi, polegającym na nieautoryzowanym dostępie do środków pieniężnych zgromadzonych na karcie, dzięki znajomości numeru karty oraz terminu jej ważności.

Kradzież numeru karty

Zastanawiające jest to, że dwie proste czynności w postaci spojrzenia na numer karty nieznajomej osoby oraz zapamiętanie go prowadzą do przestępstwa. Bo same na tym etapie jeszcze nim nie są. Dopiero przeprowadzenie transakcji z ich użyciem, przez osobę nieuprawnioną, powoduje wejście na ścieżkę bezprawia.

Nasz numer karty może zostać skompromitowany na wiele sposobów. Jeśli mamy pecha i trafiamy na odpowiednio zdeterminowanego carder-a, który upatrzył sobie nas jako swoją ofiarę to może on po prostu nas śledzić i podczas gdy wykonujemy płatność „plastikowym” pieniądzem, czyhać na zrobienie wystarczająco dobrego zdjęcia karcie, na której znajduje się interesujący go numer.

Warto także zastanowić się nad tym jak zabezpieczone są dane naszej karty w punktach, w których dokonujemy nimi płatności.

Z pewnością czasami zdarza się każdemu płacić w sklepie, w którym nie ma pin pad-a – urządzenia, które pozwala na wprowadzenie PIN-u do karty celem uwierzytelnienia jej właściciela. Wtedy terminal płatniczy tworzy wydruk, na którym jesteśmy zobowiązani się podpisać. Po złożeniu podpisu wydruk zostaje w sklepie. Trzeba zadać sobie pytanie co dzieje się z tym wydrukiem i czy numer karty na nim się znajdujący, występuje w postaci jawnej czy po części „zagwiazdkowanej”? W przypadku niewdrożenia przez sklep odpowiedniej polityki bezpieczeństwa omawiane wydruki mogą wylądować na śmietniku, skąd zdeterminowany carder może je wydobyć. Takie nurkowanie w śmieciach choć wydające się mało realistyczne, jest bardzo prawdopodobne, a do tego skuteczne.

Jeśli carder ma pewność, że na karcie ofiary znajduje się pokaźna suma pieniędzy, może podjąć decyzję o zastosowaniu ataku ukierunkowanego korzystającego ze socjotechniki. Przykładowo stosując spoofing GSM może podszyć się pod numer banku, z którego korzystamy, zadzwonić do nas i poinformować o nieautoryzowanym dostępie do naszego konta lub zmniejszeniu limitu wypłacanych środków. Tak przygotowane uzasadnienie telefonu z banku powoduje, że ofiara staje się podatna na telefoniczne podanie numeru karty celem wyjaśnienia całego zajścia.

Carderzy korzystają także z gotowych dostępnych w Internecie generatorów numerów kart płatniczych. Stosowanie ich jest jednak ryzykowne ponieważ, by znaleźć prawidłowy numer karty trzeba wykonać wiele transakcji, które są autoryzowane negatywnie i podejrzanie wyglądają w systemie monitoringu transakcji. Jeśli carder nie zastosował odpowiednich narzędzi, które zapewniają mu anonimowość w Sieci, może łatwo wpaść w ręce organów ścigania.

Numery kart można także kupić na forach zajmujących się cardingiem. Zapewnienie sobie dostępu do takiego forum często nie jest łatwe. Bywa tak, że aby uzyskać do niego dostęp musimy zostać poleceni przez innego użytkownika. Numery kart, które są na sprzedaż pochodzą często z włamań do baz danych źle zabezpieczonych sklepów, restauracji czy nawet instytucji finansowych. Cena waha się od 0,75 euro do 35 euro za sztukę. Cena numeru karty zależy od tego czy została ona wcześniej sprawdzona pod kątem użyteczności, czy posiada jakieś zabezpieczenia w postaci np. VBV/MSC (Verified By Visa / Mastercard Secure Code) oraz jak wysoki limit jest na niej dostępny.

Najpopularniejszym sposobem na sprawdzenie czy zdobyty numer karty będzie użyteczny, jest zakupienie przy jego pomocy dostępu do wybranego serwisu pornograficznego, który wymaga uiszczenia opłaty przed wyświetleniem swojej pełnej zawartości. Kiedy carder uzyska do niego dostęp może wybrać się na sensowniejsze zakupy.

Zakupy ze skradzionym „plastikowym” pieniądzem

Trzeba mieć wiele odwagi, by takich zakupów dokonać. Z pewnością nie dla carder-ów o słabych nerwach bezpośrednie robienie zakupów z użyciem zdobytego numeru karty. Dlatego większa popularnością cieszą się zakupy przez Internet oraz telezakupy. Ale nawet kupując przez Internet czy telefon trzeba się zastanowić jak zapewnić sobie bezpieczeństwo, bo przecież zamówiona paczka musi przyjść na jakiś adres, na jakieś nazwisko. Dlatego bezpieczniej jest kupować usługi online. Niezależnie od tego co jest przedmiotem zainteresowania carder-a musi on pamiętać, by dokonując zakupów jak najlepiej zatrzeć za sobą ślad. Korzystając z kliku serwerów pośredniczących, wybierając się do kawiarenki internetowej lub korzystając z sieci powszechnego dostępu.

Dla tych, którzy decydują się na zakup fizycznych towarów czeka większy zysk, ale także większe ryzyko. Trzeba przede wszystkim znaleźć sklep z niewystarczającymi zabezpieczeniami i zamówić wybrany towar. Ale to dopiero początek. Następnie należy wybrać gdzie ma zostać dostarczona paczka. W każdym przypadku istnieje prawdopodobieństwo, że nielegalna transakcja została wyśledzona i paczka jest monitorowana aż do punktu dostarczenia. Najmniej ryzykowne wydaje się być wybranie miejsca odbioru w postaci punktu odbioru paczek. Ponieważ w przypadku dostarczenia przesyłki pod prywatny adres jest on potencjalnie kompromitowany natomiast nawet jeśli listonosz zostawi awizo to pani w pocztowym okienku poprosi o dokument tożsamości, który musiałby zostać podrobiony, bo carder raczej nie zamawia towaru na swoje nazwisko. Jest jeszcze możliwość umówienia się z kurierem na mieście w zupełnie niezwiązanym z carder-em miejscu będącym raczej poza kontrolą miejskiego monitoringu.

Każdy z tych sposobów jest bardzo ryzykowny ale jest to ryzyko, które podejmują carderzy, by móc zarobić.

Zabezpiecz się!

Brak odpowiednich procedur zapewniających bezpieczne płatności w Internecie powoduje, że w części przypadków odpowiedzialność za bezpieczeństwo numeru karty spada na jej posiadacza. Wprowadzenie dodatkowego hasła, które byłoby wymagane podczas dokonywania płatności online odstraszyłoby część carder-ów, jednak nie wszyscy decydują się na jego stosowanie.

Pozostaje zatem uważne chronienie numeru karty przed „podglądaczami”. Wypada także zabezpieczyć komputer stosownym oprogramowaniem antywirusowym. Niestety trojany też są zdolne do podmieniania widzianych przez Internautę stron Internetowych, na których można dokonać płatności online, na własne - wyłudzające wrażliwe dane. Zanim poda się dane osobowe osobie trzeciej należy zastanowić się czy jest ona godna zaufania i czy konieczne jest ujawnienie tych danych, a już z pewnością należy unikać podawania takich danych w Internecie oraz w rozmowach telefonicznych z rzekomymi przedstawicielami naszego banku.

Także bieżąca kontrola tego co dzieje się na rachunku naszych kart jest bardzo ważna. W przypadku jakiejkolwiek podejrzanej transakcji należy powiadomić o tym bank.

Życie carder-a nie jest usłane różami i z pewnością przysparza mu wiele zmartwień. Ale jest to cena jaką musi ponieść za chęć nielegalnego zarobienia pieniędzy. W Polsce carding nie jest jeszcze tak popularny jak na zachodzie. Jednak w najbliższym czasie zainteresowanie tą cyberprzestępczą dyscypliną może wzrosnąć. Dlatego ważne jest to, by banki dla swoich kart, a sklepy dla swoich systemów wprowadzały dodatkowe zabezpieczenia jak najbardziej utrudniające wyłuskanie numeru karty, przez carder-a, od swojego klienta.

Źródło: Redakcja