Co to jest gręplowanie i jak temu zapobiec w swoim sklepie?

W tym artykule omówimy działania, które terroryzują branżę e-commerce. Wszyscy wiedzą, że to się dzieje, ale brakuje wiarygodnych informacji na ten temat. Co więcej, jest to aktywność o niskim ryzyku, ale przynosząca wysokie nagrody, która bardzo utrudnia zamknięcie. Zdarza się to na całym świecie, może się przydarzyć każdemu i jest to przemysł warty wiele miliardów dolarów.

Dzisiejszym tematem są oszustwa związane z kartami kredytowymi . Mówiąc dokładniej, jest to rodzaj oszustwa związanego z kartami znany jako carding .

Nie chodzi mi o to, żeby to wprowadzenie wywoływało panikę lub stresowało Cię podczas robienia zakupów online. Tak, oszustwa związane z kartami i inne rodzaje złośliwej aktywności online muszą być traktowane poważnie. Dysponując odpowiednią wiedzą i narzędziami, możesz wykrywać i proaktywnie chronić siebie, swoją firmę zajmującą się handlem elektronicznym oraz swoich klientów .

W następnym artykule wyjaśnię, czym jest gręplowanie i wskażę jego typowe objawy. Omówię również popularne strony internetowe/fora dotyczące kartingu i opiszę, w jaki sposób przestępcy z nich korzystają. Co ważniejsze, podzielę się potężnymi technikami, których możesz użyć do ochrony informacji o karcie kredytowej, jak zidentyfikować karty i jak zablokować techniki kart.

Na początek spójrzmy na kilka otrzeźwiających statystyk:

• Złamanie kart było odpowiedzialne za 11,6 miliona dolarów skradzionych środków w 2014 roku.
• Po tym, jak klient doświadczy oszustwa związanego z kartami u sprzedawcy, 49% twierdzi, że nie wróci.
• Oszustwa związane z kartami były odpowiedzialne za 24,26 miliarda dolarów utraconych na całym świecie w 2018 roku.
• Oszustwa związane z kartami kredytowymi wzrosły o 18,4 procent w 2018 roku i nadal rosną.

Źródło: Przetwarzanie zmian

Carding lub online carding to rodzaj oszustwa, które wykorzystuje skradzione dane karty kredytowej do obciążania wyprzedawanych kart przedpłaconych . Aby sprawdzić, czy można użyć skradzionego numeru karty, oszuści odwiedzają witryny handlu elektronicznego i inicjują wiele transakcji. Ta metoda służy do testowania wielu skradzionych kart.

Istnieje kilka rodzajów zgrzeblenia:

• Wiele kart jest wielokrotnie używanych w krótkich odstępach czasu za niskie lub identyczne kwoty w dolarach
• Wiele kart z tymi samymi informacjami (nazwisko i/lub adres rozliczeniowy) z tego samego adresu IP
• Pojedyncza karta używana wielokrotnie w krótkich odstępach czasu za niskie lub identyczne kwoty w dolarach
• Wiele kart z różnymi adresami rozliczeniowymi, ale z identycznym BIN (numer identyfikacyjny banku)

Wciąż trochę niejasne? Oto typowy scenariusz ataku karcianego :

1. Oszuści otrzymują listę skradzionych numerów kart kredytowych z rynku przestępczego lub włamując się na stronę internetową lub kanał płatności. Ich jakość jest często nieznana.

2. Oszust konfiguruje bota, który dokonuje drobnych zakupów w wielu witrynach płatniczych. Każda próba sprawdza numer karty pod kątem procesów płatności handlowca, aby zidentyfikować prawidłowe dane karty.

3. Tysiące razy próbują zweryfikować kartę kredytową, dopóki nie uda im się pobrać zweryfikowanych danych karty kredytowej.

4. Pozytywne numery kart są organizowane w osobny wykaz i wykorzystywane do innej działalności przestępczej lub sprzedawane zorganizowanym kręgom przestępczym.

5. Oszustwa związane z kartami często pozostają niewykryte przez posiadacza karty, dopóki nie jest za późno.

Źródło: Rynek bankomatów

Zapewnienie klientom przyjemnych i bezpiecznych zakupów z Tobą powinno być priorytetem jako właściciel firmy e-commerce. Oznacza to, że należy zastosować odpowiednie środki bezpieczeństwa, aby uniknąć ataków kartingowych. Oszustwo powoduje obciążenia zwrotne, potencjalną utratę produktów i nieodwracalne szkody dla Twojej reputacji.

Prowadzenie firmy jest wystarczająco trudne. Z pewnością nie chcesz dodawać do tego radzenia sobie z lawiną naruszeń danych poprzez oszustwa związane z kartami.

Nieco później opowiem, jak chronić Twój sklep i informacje Twoich klientów. Najpierw zajrzyjmy do popularnych stron internetowych i forów kartingowych, na których ożywają pomysły na oszustwa.

Witryny i fora Carding to nielegalne witryny, które służą do udostępniania skradzionych danych kart kredytowych , metod kartingowych i wyników ataków cardingowych.  

Głównymi użytkownikami tych forów są osoby, które chcą nieuczciwie kupować towary online i grupy przestępcze w poszukiwaniu masowych danych kart kredytowych, które mogą później sprzedać w ciemnej sieci.

Organizatorzy stron i forów kartingowych maskują je za pomocą przeglądarek TOR, a oszuści dokonują płatności za skradzione dane karty w kryptowalucie, aby uniknąć śledzenia przez władze.

Ostatnio miały miejsce ataki na te strony internetowe, w tym poważne naruszenie danych na dużym forum kartingowym, BriansClub. Znany jako jeden z największych internetowych rynków danych skradzionych kart, BriansClub poniósł szacunkową stratę w wysokości 4 miliardów dolarów w wyniku naruszenia danych w 2019 roku.

Auć.

Oszuści mają w zanadrzu więcej niż kilka sztuczek na gręplowanie. Istnieją jednak metody kartowania wspólne dla przestępców na całym świecie.

Wyłudzanie informacji to najczęstszy sposób, w jaki oszuści wykorzystują do uzyskania informacji o karcie kredytowej. Ta metoda polega na skonfigurowaniu złośliwego oprogramowania i nakłonieniu celu do pobrania złośliwego pliku. Po wstrzyknięciu złośliwego oprogramowania hakerzy uzyskują dostęp do numeru identyfikacyjnego banku celu, haseł i innych istotnych szczegółów.

Hakerzy przeprowadzają również ataki cardingowe za pomocą złośliwego oprogramowania typu rootkit i nieautoryzowanego przejęcia kont . Złośliwe oprogramowanie typu rootkit jest jak peleryna niewidka dla złośliwego programu. Złośliwe oprogramowanie chronione przez rootkita może nawet przetrwać wielokrotne ponowne uruchomienie i po prostu wtapia się w zwykłe procesy komputerowe. Dzięki temu hakerzy mogą zdalnie kontrolować Twój komputer.

Niedawno grupa hakerów o nazwie EvaPiks próbowała skompromitować komputery w ambasadach takich jak Włochy, Kenia i USA. Wysyłają oni pocztą elektroniczną arkusze kalkulacyjne Excela zawierające złośliwe oprogramowanie, które następnie przechwytuje komputer za pomocą aplikacji do zdalnego dostępu TeamViewer.

Dochodzenia połączyły tę grupę z forum hakerskim, na którym omawiane są kradzieże kart kredytowych, przejęcia kont i podobne tematy.

Inną popularną techniką wykorzystywaną przez przestępców do oszustw związanych z kartami kredytowymi jest skimming karty kredytowej . Skimming kart kredytowych to rodzaj kradzieży kart kredytowych, w którym oszuści używają małego urządzenia do kradzieży informacji o karcie kredytowej w ramach legalnej transakcji kartą kredytową lub debetową.

Kiedy karta kredytowa lub debetowa jest przeciągana przez skimmer, urządzenie przechwytuje i przechowuje wszystkie szczegóły zapisane na pasku magnetycznym karty. Pasek zawiera numer karty kredytowej, datę ważności oraz pełne imię i nazwisko posiadacza karty kredytowej. Złodzieje wykorzystują skradzione dane do dokonywania nieuczciwych opłat w Internecie lub przy użyciu sfałszowanej karty kredytowej.

Zapobieganie zaczyna się od rozpoznania znaków. Jeśli wystąpi którakolwiek z poniższych sytuacji, istnieje duże prawdopodobieństwo, że ma miejsce oszustwo związane z kartami lub inny rodzaj oszustwa:

• Niski średni rozmiar koszyka
• Nienaturalnie wysoki odsetek nieudanych autoryzacji płatności
• Śmiesznie wysokie współczynniki porzucania koszyka
• Nieproporcjonalne wykorzystanie kroku płatności w koszyku
• Zwiększone obciążenia zwrotne
• Wiele nieudanych autoryzacji płatności od tego samego użytkownika, adresu IP, agenta użytkownika, sesji, identyfikatora urządzenia lub odcisku palca

Oto kilka sprawdzonych wskazówek, jak chronić się przed tego rodzaju cyberprzestępczością:

CAPTCHA :

CAPTCHA to test typu wyzwanie-odpowiedź, który pomaga sprzedawcy online zweryfikować, czy jesteś człowiekiem kupującym. Tak, czasami mogą być bardzo denerwujące, ale skutecznie zapobiegają łamaniu kart i innym rodzajom oszustw związanych z kartami kredytowymi, które występują za pośrednictwem botów.

Na przykład może być konieczne przeczytanie i wpisanie zniekształconego tekstu, zidentyfikowanie obrazków, które mają określony wzór lub udzielenie odpowiedzi na proste pytanie matematyczne. Te środki pomagają chronić Twoją witrynę przed automatycznymi botami.

System weryfikacji adresu (AVS):

Kontrola AVS porównuje adres rozliczeniowy użyty w transakcji z danymi adresowymi banku wydającego w pliku dla tego posiadacza karty. W zależności od tego, czy pasują one w całości, częściowo lub w ogóle, sprzedawca może wykorzystać te informacje przy podejmowaniu decyzji o zaakceptowaniu lub anulowaniu zamówienia.

A więc typowy scenariusz wygląda tak: posiadacz karty podaje adres rozliczeniowy swojej karty kredytowej przy kasie, a AVS porównuje wprowadzony adres z adresem w systemie wystawcy karty, aby sprawdzić, czy jest zgodny. Jeśli kupujący nie przejdzie tego testu, odrzuci transakcję.

Źródło: obciążenia zwrotne911

Kontrole geolokalizacji IP:

Hakerzy z jednej części świata mogą uszkodzić komputer w innej części świata, zachowując anonimowość. Na szczęście geolokalizacja IP może potwierdzić, czy szczegóły zakupu dokonanego w określonym kraju odpowiadają innym znanym zapisom bankowym i fakturowym.

Podejrzane zmiany są następnie badane — przynajmniej na czas wystarczający na zweryfikowanie dobrej wiary osoby realizującej transakcję. Informacje Kontrole geolokalizacji IP obejmują szerokość i długość geograficzną, strefę czasową, region, miasto, kraj, kod pocztowy, dostawcę usług internetowych (ISP) i inne. Te szczegóły zapewniają następnie więcej informacji, które pomogą ocenić, czy transakcje przychodzące są fałszywe lub legalne.

Śledzenie numeru BIN:

Numer identyfikacyjny banku (BIN) reprezentuje pierwsze cztery do sześciu cyfr na karcie kredytowej. Pierwsze cztery do sześciu cyfr identyfikują instytucję finansową, która wydała kartę. Oprócz identyfikacji instytucji finansowej BIN może śledzić położenie geograficzne banku, który wydał kartę.

Uczestnicy transakcji online mogą wykrywać przypadki oszustw i kradzieży tożsamości, dopasowując lokalizację geograficzną posiadacza karty do lokalizacji podanej przez BIN. BIN ma kluczowe znaczenie w zwalczaniu oszustw związanych z kartami, ponieważ bez niego automaty do obsługi kart kredytowych i platformy płatności online nie mogą zidentyfikować konta, z którego należy obciążyć pieniądze, a transakcja nie zostanie przeprowadzona.

Kontrole prędkości:

Szybkość to liczba lub szybkość, z jaką kupujący dokonują transakcji w określonym czasie. Sprzedawcy używają tego wskaźnika do identyfikowania nieregularnych wzorców w procesie realizacji transakcji, które mogą wskazywać na oszustwo.

Na przykład rzadko zdarza się, aby ktoś dokonał kilku zakupów w ciągu kilku sekund lub minut. Sprzedawcy mogą odrzucać transakcje, jeśli uważają, że robot szybko testuje skradzione numery kart kredytowych.

Źródło: Authorize.net

Autoryzacja/Przechwytywanie

Korzystając z tej metody, sprzedawca weryfikuje, czy Twoja karta może zostać obciążona, ale wstrzymuje się z pobraniem środków od wystawcy karty. Na przykład stacje benzynowe zazwyczaj dopuszczają niewielką ilość i odczekują kilka dni przed doładowaniem reszty do karty.

Jeśli podczas sprawdzania transakcji pojawią się oznaki oszustwa, sprzedawca nie zażąda środków od wystawcy karty. Zamiast tego zwrócą pieniądze posiadaczowi karty.

Oszustwa związane z kartami kredytowymi stanowią poważny problem zarówno dla właścicieli firm e-commerce, jak i kupujących. Dobrą wiadomością jest to, że istnieją środki bezpieczeństwa, które można zastosować, aby zmniejszyć ryzyko stania się ofiarą tej podstępnej cyberprzestępczości.

W tym artykule masz przegląd zgrzeblenia. Widziałeś statystyki i zrozumiałeś wagę tego oszustwa. Zajrzałeś do podziemnego świata kartingowych forów i stron internetowych, gdzie nabierają kształtu złowrogie plany.

Odkryłeś, jak bardzo przestępcy robią wszystko, aby uniknąć wykrycia i aresztowania. Zagłębiłeś się w sedno popularnych metod używanych przez hakerów do wydobywania informacji o kartach kredytowych i innych poufnych danych. Następnie nauczyłeś się rozpoznawać karty i inne rodzaje oszustw. Wreszcie masz obszerną listę sprawdzonych technik skutecznych przeciwko gręplowaniu.

Wraz z umacnianiem się cyberprzestępczości rosną też metody cyberbezpieczeństwa. Nie możemy po prostu zaakceptować oszustw związanych z kartami i oszustwami internetowymi jako „kosztem prowadzenia działalności”. Musimy dalej walczyć i usunąć jak najwięcej tego z krajobrazu e-commerce.  

Jakie masz doświadczenia z oszustwami związanymi z kartami lub oszustwami internetowymi? Jaką metodę chcesz wdrożyć, aby lepiej chronić swoją firmę i klientów? Daj mi znać poniżej!