Qu'est-ce que le cardage et comment pouvez-vous l'empêcher dans votre magasin ?

Cet article couvrira une activité qui terrorise l'industrie du commerce électronique. Tout le monde sait que cela se produit, mais il n'y a pas suffisamment d'informations fiables à ce sujet. De plus, il s'agit d'une activité à faible risque et à haut rendement qui la rend très difficile à arrêter. Cela arrive partout dans le monde, cela peut arriver à n'importe qui, et c'est une industrie de plusieurs milliards de dollars.

Le sujet d'aujourd'hui est la fraude par carte de crédit . Plus précisément, il s'agit d'un type de fraude par carte connue sous le nom de carding .

Je ne veux pas dire cette introduction pour semer la panique ou pour vous stresser lorsque vous faites des achats en ligne. Oui, la fraude par carte et autres types d'activités malveillantes en ligne doivent être prises au sérieux. Avec les connaissances et les outils appropriés, vous pouvez vous détecter et vous protéger de manière proactive, ainsi que votre entreprise de commerce électronique et vos clients .

Dans l'article suivant, j'expliquerai ce qu'est le carding et soulignerai ses signes communs. Je couvrirai également les sites Web/forums de carding populaires et expliquerai comment les criminels les utilisent. Plus important encore, je partagerai des techniques puissantes que vous pouvez utiliser pour protéger les informations de votre carte de crédit, comment identifier le cardage et comment bloquer les techniques de cardage.

Pour commencer, regardons quelques statistiques qui donnent à réfléchir :

• Le piratage de cartes était responsable de 11,6 millions de dollars de fonds volés en 2014.
• Après qu'un client ait été victime d'une fraude à la carte chez un détaillant, 49 % déclarent qu'il ne reviendra pas.
• La fraude par carte était responsable de 24,26 milliards de dollars perdus dans le monde en 2018.
• La fraude par carte de crédit a augmenté de 18,4 % en 2018 et continue d'augmenter.

Source : traitement des quarts de travail

Le carding ou le carding en ligne est un type de fraude qui utilise des informations de carte de crédit volées pour facturer des cartes prépayées vendues . Pour tester si un numéro de carte volé peut être utilisé, les fraudeurs visiteront des sites Web de commerce électronique et initieront plusieurs transactions. Cette méthode est utilisée pour tester de nombreuses cartes volées.

Il existe plusieurs types de cardage :

• Plusieurs cartes utilisées à plusieurs reprises en succession rapide pour des montants en dollars faibles ou identiques
• Plusieurs cartes avec les mêmes informations (nom et/ou adresse de facturation) à partir de la même adresse IP
• Une seule carte utilisée à plusieurs reprises en succession rapide pour des montants en dollars faibles ou identiques
• Plusieurs cartes avec des adresses de facturation différentes mais un BIN (numéro d'identification bancaire) identique

Encore un peu flou ? Eh bien, voici un scénario typique dans une attaque par carding :

1. Un fraudeur obtient une liste de numéros de cartes de crédit volées, soit sur un marché criminel, soit en compromettant un site Web ou un canal de paiement. Leur qualité est souvent inconnue.

2. Le fraudeur met en place un bot pour effectuer de petits achats sur plusieurs sites de paiement. Chaque tentative teste un numéro de carte par rapport aux processus de paiement d'un commerçant pour identifier les détails de carte valides.

3. Ils tentent de valider la carte de crédit des milliers de fois jusqu'à ce qu'ils réussissent à extraire les détails de la carte de crédit validée.

4. Les numéros de carte réussis sont organisés dans une liste distincte et utilisés pour d'autres activités criminelles, ou vendus à des réseaux criminels organisés.

5. La fraude à la carte n'est souvent pas détectée par le titulaire de la carte jusqu'à ce qu'il soit trop tard.

Source : Marché des guichets automatiques

Veiller à ce que vos clients aient une expérience d'achat agréable et sûre avec vous devrait être une priorité en tant que propriétaire d'entreprise de commerce électronique. Cela signifie que les bonnes mesures de sécurité doivent être en place pour éviter les attaques par cardage. La fraude déclenche des rétrofacturations, une perte potentielle de produits et des dommages irréparables à votre réputation.

Diriger une entreprise est déjà assez difficile. Vous ne voulez certainement pas ajouter à cela la gestion d'une avalanche de violations de données via la fraude à la carte.

Je partagerai un peu plus tard comment protéger votre boutique et les informations de vos clients. Tout d'abord, jetons un coup d'œil aux sites Web et aux forums de carding populaires où les idées de fraude prennent vie.

Les sites Web et les forums de carding sont des sites illégaux qui sont utilisés pour partager des données de carte de crédit volées , des méthodes de carding et les résultats d'exploits d'attaque de carding.  

Les principaux utilisateurs de ces forums sont des individus qui souhaitent acheter frauduleusement des biens en ligne et des groupes criminels à la recherche de détails de carte de crédit en vrac qu'ils peuvent ensuite revendre sur le dark web.

Les organisateurs de sites Web et de forums de carding les masquent à l'aide des navigateurs TOR et les fraudeurs effectuent des paiements pour les détails de carte volés en crypto-monnaie pour éviter le suivi par les autorités.

Il y a eu récemment des attaques de justiciers sur ces sites Web, y compris cette violation majeure des données du principal forum de cardage, BriansClub. Connu comme l'un des plus grands marchés du Web pour les données de cartes volées, BriansClub a subi une perte estimée à 4 milliards de dollars lors d'une violation de données en 2019.

Aie.

Les fraudeurs ont plus que quelques tours dans leur sac pour carder. Cependant, il existe des méthodes de cardage communes partagées par les criminels du monde entier.

L'hameçonnage est le moyen le plus courant utilisé par les fraudeurs pour obtenir des informations sur les cartes de crédit. Cette méthode implique la configuration de logiciels malveillants et la promotion de la cible en téléchargeant un fichier malveillant. Une fois le logiciel malveillant injecté, les pirates accèdent alors au numéro d'identification bancaire de la cible, aux mots de passe et à d'autres détails pertinents.

Les pirates effectuent également des attaques par carding via des logiciels malveillants rootkit et des prises de contrôle de compte non autorisées . Les logiciels malveillants rootkit sont comme une cape d'invisibilité pour un programme malveillant. Le logiciel malveillant protégé par le rootkit peut même survivre à plusieurs redémarrages et se fondre dans les processus informatiques habituels. Cela permet aux pirates de contrôler votre ordinateur à distance.

Récemment, un groupe de hackers du nom d' EvaPiks a tenté de compromettre les ordinateurs d'ambassades comme l'Italie, le Kenya et les États-Unis. Ils envoient par e-mail des feuilles de calcul Excel chargées de logiciels malveillants qui détournent ensuite un ordinateur à l'aide de l'application d'accès à distance TeamViewer.

Les enquêtes ont lié ce groupe à un forum de piratage qui traite du vol de cartes de crédit, des prises de contrôle de compte et de sujets similaires.

Une autre technique populaire utilisée par les criminels pour la fraude par carte de crédit est l'écrémage de carte de crédit . L'écrémage de carte de crédit est un type de vol de carte de crédit où les escrocs utilisent un petit appareil pour voler des informations de carte de crédit dans une transaction par carte de crédit ou de débit par ailleurs légitime.

Lorsqu'une carte de crédit ou de débit est glissée dans un skimmer, l'appareil capture et stocke tous les détails stockés dans la bande magnétique de la carte. La bande contient le numéro de carte de crédit, la date d'expiration et le nom complet du titulaire de la carte de crédit. Les voleurs utilisent les données volées pour effectuer des frais frauduleux en ligne ou avec une carte de crédit contrefaite.

La prévention commence par la reconnaissance des signes. Si l'un des événements suivants se produit, il y a de fortes chances qu'un carding ou un autre type de fraude se produise :

• Taille moyenne du panier faible
• Un pourcentage anormalement élevé d'échec d'autorisation de paiement
• Taux d'abandon de panier ridiculement élevés
• Utilisation disproportionnée de l'étape de paiement dans le panier
• Augmentation des rétrofacturations
• Plusieurs échecs d'autorisations de paiement du même utilisateur, adresse IP, agent utilisateur, session, ID d'appareil ou empreinte digitale

Voici quelques conseils éprouvés sur la façon dont vous pouvez vous protéger contre ce type de cybercriminalité :

CAPTCHA :

Un CAPTCHA est un test de défi-réponse qui aide un marchand en ligne à vérifier que vous êtes un acheteur humain. Oui, ils peuvent parfois être très ennuyeux à remplir, mais ils sont efficaces pour prévenir le piratage de carte et d'autres types de fraude par carte de crédit qui se produisent via des bots.

Par exemple, vous devrez peut-être lire et taper du texte déformé, identifier des images qui ont un motif particulier ou répondre à une question mathématique simple. Ces mesures aident à protéger votre site Web contre les robots automatisés.

Système de vérification d'adresse (AVS) :

Une vérification AVS compare l'adresse de facturation utilisée dans la transaction avec les informations d'adresse de la banque émettrice enregistrées pour ce titulaire de carte. Selon qu'ils correspondent entièrement, partiellement ou pas du tout, le marchand peut utiliser ces informations dans sa décision d'accepter ou d'annuler cette commande.

Ainsi, un scénario typique ressemblerait à ceci : le titulaire de la carte fournit l'adresse de facturation de sa carte de crédit à la caisse, et l'AVS compare l'adresse qu'il a saisie avec celle du système de l'émetteur de la carte pour vérifier qu'elle correspond. Si le client échoue à ce test, il refusera la transaction.

Source : Chargebacks911

Vérifications de géolocalisation IP :

Les pirates d'une partie du monde peuvent corrompre un ordinateur dans une autre partie du monde tout en gardant leur anonymat. Heureusement, la géolocalisation IP peut confirmer si les détails d'un achat effectué depuis un certain pays correspondent à d'autres enregistrements bancaires et de facturation connus.

Les variations suspectes font ensuite l'objet d'une enquête — au moins juste le temps de vérifier la bonne foi de la personne qui exécute une transaction. Les vérifications de géolocalisation IP comprennent la latitude et la longitude, le fuseau horaire, la région, la ville, le pays, le code postal, le fournisseur de services Internet (FAI), etc. Ces détails offrent ensuite plus d'informations pour aider à évaluer si les transactions entrantes sont frauduleuses ou légitimes.

Suivi du numéro BIN :

Un numéro d'identification bancaire (BIN) représente les quatre à six premiers chiffres d'une carte de crédit. Les quatre à six premiers chiffres identifient l'institution financière qui a émis la carte. En plus d'identifier l'institution financière, le BIN peut suivre l'emplacement géographique de la banque qui a émis la carte.

Les participants aux transactions en ligne peuvent détecter les cas de fraude et d'usurpation d'identité en faisant correspondre l'emplacement géographique du titulaire de la carte à l'emplacement fourni par le BIN. Le BIN est crucial dans la lutte contre la fraude à la carte car, sans lui, les distributeurs de cartes de crédit et les plateformes de paiement en ligne ne peuvent pas identifier le compte sur lequel l'argent doit être débité, et la transaction n'aura pas lieu.

Contrôles de vitesse :

La vélocité est le nombre ou la vitesse à laquelle les acheteurs effectuent des transactions à un moment donné. Les commerçants utilisent cette métrique pour identifier les modèles irréguliers dans le processus de paiement qui pourraient révéler une fraude.

Par exemple, il est inhabituel pour quelqu'un de faire plusieurs achats à quelques secondes ou minutes d'intervalle. Les commerçants peuvent refuser des transactions s'ils pensent qu'un robot teste rapidement des numéros de carte de crédit volés.

Source : Authorize.net

Autorisation/Capture

En utilisant cette méthode, un commerçant vérifie que votre carte peut être débitée mais s'abstient de collecter les fonds auprès de l'émetteur de la carte. Les stations-service, par exemple, autorisent généralement une petite quantité et attendent quelques jours avant de charger le reste sur la carte.

S'il y a des signes de fraude lors de l'examen de la transaction, le commerçant ne demandera pas de fonds à l'émetteur de la carte. Au lieu de cela, ils émettront un remboursement au titulaire de la carte.

La fraude par carte de crédit est une préoccupation majeure pour les propriétaires d'entreprises de commerce électronique et les acheteurs. La bonne nouvelle est qu'il existe des mesures de sécurité que vous pouvez suivre pour réduire les risques d'être victime de ce cybercrime insidieux.

Dans cet article, vous avez un aperçu du cardage. Vous avez vu les statistiques et compris la gravité de cette fraude. Vous avez jeté un coup d'œil dans le monde souterrain des forums de cardage et des sites Web où de sinistres plans prennent forme.

Vous avez découvert les efforts considérables déployés par les criminels pour éviter d'être découverts et arrêtés. Vous avez creusé dans le vif du sujet des méthodes courantes que les pirates utilisent pour extraire les informations de carte de crédit et d'autres données sensibles. Vous avez ensuite appris à identifier le carding et d'autres types de fraude. Enfin, vous avez une longue liste de techniques éprouvées efficaces contre le cardage.

À mesure que la cybercriminalité se renforce, les méthodes de cybersécurité aussi. Nous ne pouvons pas simplement accepter le paiement par carte et la fraude en ligne comme « le coût des affaires ». Nous devons continuer à nous battre et à en retirer le plus possible du paysage du commerce électronique.  

Quelle a été votre expérience avec le carding ou la fraude en ligne ? Quelle méthode cherchez-vous à mettre en place pour mieux protéger votre entreprise et vos clients ? Faites-le moi savoir ci-dessous!