カーディングとは何ですか？また、ストアでそれを防ぐにはどうすればよいですか？

この記事では、eコマース業界を脅かしている活動について説明します。 誰もがそれが起こっていることを知っていますが、それについての十分な信頼できる情報はありません。 さらに、シャットダウンを非常に困難にするのは、リスクが低く、報酬が高いアクティビティです。 それは世界中で起こり、誰にでも起こり得、そしてそれは数十億ドルの産業です。

今日のトピックはクレジットカード詐欺です。 より具体的には、それはカーディングとして知られている一種のカード詐欺です。

私は、このイントロがパニックを引き起こしたり、オンラインで購入するときにストレスを感じたりすることを意味するものではありません。 はい、カード詐欺やその他の種類の悪意のあるオンライン活動は真剣に受け止めなければなりません。 適切な知識とツールを使用すると、自分自身、eコマースビジネス、および顧客を検出し、積極的に保護できます。

次の記事では、カーディングとは何かを説明し、その一般的な兆候を指摘します。 また、人気のあるカーディングWebサイト/フォーラムについても取り上げ、犯罪者がそれらをどのように使用しているかを分析します。 さらに重要なのは、クレジットカード情報を保護するために使用できる強力な手法、カーディングを識別する方法、およびカーディング手法をブロックする方法を共有することです。

物事を始めるために、いくつかの冷静な統計を見てみましょう：

• カードクラッキングは、2014年に盗まれた資金で1160万ドルの原因でした。
• 顧客が小売店でカード詐欺を経験した後、 49％が戻ってこないと答えています。
• カード詐欺は、2018年に世界で242.6億ドルの損失をもたらしました。
• クレジットカード詐欺は2018年に18.4％増加し、現在も増加しています。

出典：シフト処理

カーディングまたはオンラインカーディングは、盗まれたクレジットカード情報を使用して、売り切れたプリペイドカードに請求する詐欺の一種です。 盗まれたカード番号を使用できるかどうかをテストするために、詐欺師はeコマースWebサイトにアクセスし、複数のトランザクションを開始します。 この方法は、多くの盗まれたカードをテストするために使用されます。

カーディングにはいくつかの種類があります。

• 複数のカードが低額または同一の金額ですばやく連続して繰り返し使用されている
• 同じIPアドレスからの同じ情報（名前および/または請求先住所）を持つ複数のカード
• 1枚のカードが低額または同一の金額ですばやく連続して繰り返し使用されている
• 請求先住所は異なるがBIN（銀行識別番号）が同じである複数のカード

まだ少し不明ですか？ さて、これがカーディング攻撃の典型的なシナリオです：

1.詐欺師は、犯罪市場から、またはWebサイトや支払いチャネルを危険にさらすことによって、盗まれたクレジットカード番号のリストを取得します。 それらの品質はしばしば不明です。

2.詐欺師は、複数の支払いサイトで小額の購入を実行するボットを設定します。 各試行は、有効なカードの詳細を識別するために、加盟店の支払いプロセスに対してカード番号をテストします。

3.検証済みのクレジットカードの詳細を正常に取得するまで、クレジットカードの検証を数千回試行します。

4.成功したカード番号は別のリストにまとめられ、他の犯罪活動に使用されるか、組織犯罪リングに販売されます。

5.カーディング詐欺は、手遅れになるまでカード所有者に検出されないことがよくあります。

出典： ATMマーケットプレイス

あなたの顧客があなたと快適で安全な買い物体験をすることを確実にすることは、eコマースビジネスの所有者としての優先事項であるべきです。 これは、カーディング攻撃を回避するために適切なセキュリティ対策を講じる必要があることを意味します。 詐欺は、チャージバック、製品の潜在的な損失、およびあなたの評判への取り返しのつかない損害を引き起こします。

事業を営むことは十分に困難です。 それに加えて、カード詐欺による大量のデータ侵害への対処を追加したくないことは確かです。

あなたの店とあなたの顧客の情報を保護する方法を少し後で共有します。 まず、詐欺のアイデアが現実のものとなる人気のあるカーディングWebサイトやフォーラムを覗いてみましょう。

カーディングのWebサイトとフォーラムは、盗まれたクレジットカードのデータ、カーディングの方法、およびカーディング攻撃のエクスプロイトの結果を共有するために使用される違法なサイトです。  

これらのフォーラムの主なユーザーは、オンラインで商品を不正に購入したい個人や、後でダークウェブで販売できるクレジットカードの詳細を検索する犯罪グループです。

カードのウェブサイトやフォーラムの主催者は、TORブラウザを使用してそれらをマスクし、詐欺師は、当局による追跡を避けるために、盗まれたカードの詳細を暗号通貨で支払います。

最近、これらのWebサイトで自警行為が行われています。これには、主要なカーディングフォーラムであるBriansClubのこの重大なデータ侵害が含まれます。 盗まれたカードデータのウェブ最大の市場の1つとして知られている、 BriansClubは、2019年のデータ侵害で推定40億ドルの損失を被りました。

痛い。

詐欺師は、カーディングのために袖にいくつかのトリックを持っています。 ただし、世界中の犯罪者が共有する頼りになるカーディング方法があります。

フィッシングは、詐欺師がクレジットカード情報を取得するために使用する最も一般的な方法です。 この方法では、マルウェアを設定し、ターゲットを昇格させて悪意のあるファイルをダウンロードします。 マルウェアが注入されると、ハッカーはターゲットの銀行識別番号、パスワード、およびその他の関連する詳細にアクセスできるようになります。

ハッカーはまた、ルートキットマルウェアや不正なアカウント乗っ取りを通じてカード攻撃を実行します。 ルートキットマルウェアは、悪意のあるプログラムの隠れ蓑のようなものです。 ルートキットによって保護されたマルウェアは、複数回の再起動にも耐えることができ、通常のコンピュータープロセスに溶け込むだけです。 これにより、ハッカーはコンピュータをリモートで制御できます。

最近、 EvaPiksという名前のハッカーグループが、イタリア、ケニア、米国などの大使館でPCを侵害しようとしました。 彼らはマルウェアがロードされたExcelスプレッドシートに電子メールを送信し、マルウェアはリモートアクセスアプリTeamViewerを使用してコンピューターを乗っ取ります。

調査により、このグループは、クレジットカードの盗難、アカウントの乗っ取り、および同様のトピックについて議論するハッキングフォーラムにリンクされています。

犯罪者がクレジットカード詐欺に使用するもう1つの一般的な手法は、クレジットカードスキミングです。 クレジットカードスキミングは、クレジットカードの盗難の一種であり、詐欺師が小さなデバイスを使用して、他の点では合法的なクレジットカードまたはデビットカードの取引でクレジットカード情報を盗みます。

クレジットカードまたはデビットカードがスキマーを介してスワイプされると、デバイスはカードの磁気ストライプに保存されているすべての詳細をキャプチャして保存します。 ストライプには、クレジットカード番号、有効期限、およびクレジットカード所有者のフルネームが含まれています。 泥棒は盗まれたデータを使用して、オンラインまたは偽造クレジットカードを使用して不正な請求を行います。

予防は、兆候を認識することから始まります。 次のいずれかが発生した場合は、カーディングまたは別の種類の詐欺が発生している可能性があります。

• ショッピングカートの平均サイズが小さい
• 不自然に高い割合の支払い承認の失敗
• 途方もなく高いショッピングカートの放棄率
• ショッピングカートでの支払いステップの不均衡な使用
• チャージバックの増加
• 同じユーザー、IPアドレス、ユーザーエージェント、セッション、デバイスID、または指紋からの複数の支払い承認の失敗

このタイプのサイバー犯罪から身を守る方法について、いくつかの実証済みのヒントを次に示します。

CAPTCHA ：

CAPTCHAは、オンラインマーチャントが、あなたが人間の買い物客であることを確認するのに役立つチャレンジレスポンステストです。 はい、記入するのが非常に面倒な場合がありますが、ボットを介して発生するカードのクラッキングやその他の種類のクレジットカード詐欺を防ぐのに効果的です。

たとえば、歪んだテキストを読んで入力したり、特定のパターンを持つ画像を特定したり、簡単な数学の質問に答えたりする必要がある場合があります。 これらの対策は、自動化されたボットからWebサイトを保護するのに役立ちます。

アドレス検証システム（AVS）：

AVSチェックでは、トランザクションで使用された請求先住所と、そのカード所有者に登録されている発行銀行の住所情報が比較されます。 それらが完全に一致するか、部分的に一致するか、またはまったく一致するかに応じて、マーチャントはその情報を使用して、その注文を受け入れるかキャンセルするかを決定できます。

したがって、一般的なシナリオは次のようになります。カード所有者はチェックアウト時にクレジットカードの請求先住所を提供し、AVSは入力した住所をカード発行者のシステムの住所と比較して一致することを確認します。 買い物客がこのテストに失敗した場合、トランザクションは拒否されます。

出典： Chargebacks911

IPジオロケーションチェック：

世界のある地域のハッカーは、匿名性を保ちながら、世界の別の地域のコンピューターを破壊する可能性があります。 幸いなことに、IPジオロケーションは、特定の国からの購入の詳細が他の既知の銀行および請求の記録に対応しているかどうかを確認できます。

その後、疑わしい変動が調査されます—少なくともトランザクションを実行する人の誠実さを検証するのに十分な時間だけです。 IPジオロケーションチェックの情報には、緯度と経度、タイムゾーン、地域、都市、国、郵便番号、インターネットサービスプロバイダー（ISP）などが含まれます。 これらの詳細は、着信トランザクションが不正であるか正当であるかを評価するのに役立つより多くの洞察を提供します。

BIN番号の追跡：

銀行識別番号（BIN）は、クレジットカードの最初の4〜6桁を表します。 最初の4〜6桁は、カードを発行した金融機関を識別します。 BINは、金融機関を識別するだけでなく、カードを発行した銀行の地理的な場所を追跡できます。

オンライン取引の参加者は、カード所有者の地理的な場所をBINによって提供された場所と照合することにより、詐欺や個人情報の盗難の事例を検出できます。 BINは、カード詐欺と戦う上で非常に重要です。BINがないと、クレジットカードマシンとオンライン決済プラットフォームは、お金を引き落とす必要のあるアカウントを識別できず、トランザクションは実行されません。

速度チェック：

速度は、買い物客が特定の時間に取引を行う数または速度です。 販売者はこの指標を使用して、不正を示す可能性のあるチェックアウトプロセスの不規則なパターンを特定します。

たとえば、誰かが互いに数秒または数分以内に複数の購入を行うことは珍しいことです。 ロボットが盗まれたクレジットカード番号を次々とテストしていると信じている場合、加盟店は取引を拒否できます。

出典： Authorize.net

承認/キャプチャ

この方法を使用して、マーチャントはカードに請求できることを確認しますが、カード発行者からの資金の回収を保留します。 たとえば、ガソリンスタンドでは通常、少量を許可し、数日待ってから残りをカードに請求します。

取引の審査中に詐欺の兆候が見られた場合、販売者はカード発行者に資金を要求しません。 代わりに、カード所有者に払い戻しを行います。

クレジットカード詐欺は、eコマースビジネスの所有者と買い物客の両方にとって大きな懸念事項です。 幸いなことに、この陰湿なサイバー犯罪の被害者になる可能性を減らすために従うことができるセキュリティ対策があります。

この記事では、カーディングの概要を説明しました。 あなたは統計を見て、この詐欺の重大さを理解しました。 あなたは、不吉な計画が具体化するカーディングフォーラムやウェブサイトの地下世界をのぞき見しました。

あなたは、犯罪者が検出と逮捕を回避するために非常に長い時間を費やしていることを発見しました。 ハッカーがクレジットカード情報やその他の機密データを抽出するために使用する一般的な方法の要点を掘り下げました。 次に、カーディングやその他の種類の詐欺を特定する方法を学びました。 最後に、カーディングに対して効果的な実証済みのテクニックの広範なリストを取得しました。

サイバー犯罪が強化されるにつれて、サイバーセキュリティ手法も強化されます。 カードやオンライン詐欺を「ビジネスのコスト」として受け入れることはできません。 私たちは戦い続け、eコマースの世界から可能な限りそれを取り除く必要があります。  

カーディングやオンライン詐欺についてどのような経験がありますか？ ビジネスと顧客をよりよく保護するために、どのような方法を導入しようとしていますか？ 以下に知らせてください！