Che cos'è il carding? Come funziona questo tipo di frode e cosa possono fare le attività per prevenirlo

Connect
Connect

Le piattaforme e i marketplace di maggior successo al mondo, tra cui Shopify e DoorDash, utilizzano Stripe Connect per integrare i pagamenti nei loro prodotti.

Ulteriori informazioni 
  1. Introduzione
  2. Come funziona il carding
    1. Furto dei dati delle carte
    2. Verifica della validità della carta
    3. Esecuzione di transazioni fraudolente
    4. Elusione del rilevamento
  3. Breve storia del carding
    1. Gli albori: furto fisico e skimming
    2. L’ascesa di Internet: phishing e hacking
    3. Dark web e marketplace clandestini
    4. Bot di carding e automazione
    5. Misure di sicurezza ottimizzate e adattamenti
    6. Tecniche e sfide moderne
  4. Come il dark web e altre community online favoriscono il carding
    1. Marketplace del dark web
    2. Forum e community
    3. Anonimato e sicurezza
  5. Impatto del carding su attività e consumatori
    1. Conseguenze per le attività
    2. Conseguenze per i consumatori
  6. Misure di protezione dal carding per le attività

Il carding è una pratica illegale che consiste nell'ottenere, scambiare o utilizzare i dati delle carte di credito senza autorizzazione, spesso per acquistare carte regalo o carte prepagate. Il carding favorisce il furto di identità, causa perdite finanziarie a privati e attività e apre la strada a un'ampia gamma di altri crimini informatici.

Le perdite causate dalle frodi con carte di credito hanno superato in tutto il mondo i 33 miliardi di dollari nel 2022. Per combattere il carding, le organizzazioni adottano misure di sicurezza come la tokenizzazione, la crittografia, l'autenticazione a più fattori e i sistemi di monitoraggio antifrode. Questa guida illustra ciò che le attività devono sapere sul carding, tra cui come funziona e come proteggersi.

Contenuto dell'articolo

  • Come funziona il carding
  • Breve storia del carding
  • Come il dark web e altre community online favoriscono il carding
  • Impatto del carding su attività e consumatori
  • Misure di protezione dal carding per le attività

Come funziona il carding

Furto dei dati delle carte

Il processo di carding inizia quando i ladri di carte, noti come "carder", rubano i dati di una carta di credito attraverso mezzi come il phishing, lo skimming, la violazione dei dati o il keylogging.

  • Phishing: i carder utilizzano email, siti web o messaggi ingannevoli per indurre le persone a rivelare i dati della propria carta di credito. A tal fine, spesso si spacciano per aziende o servizi legittimi.

  • Skimming: i carder installano dispositivi chiamati skimmer su bancomat, pompe di benzina o terminali POS per acquisire i dati delle carte di credito da carte fisiche.

  • Hacking: i criminali informatici sfruttano malware, ransomware o accessi non autorizzati per infiltrarsi nei sistemi informatici o nei database e rubare i dati delle carte di credito.

  • Keylogging: software o hardware speciali registrano i tasti premuti sul dispositivo della vittima per acquisire i dati della carta di credito e altri dati sensibili.

  • Attacchi intrusivi nel codice SQL: il codice SQL dannoso inserito nel database di un sito web estrae informazioni sensibili, compresi i dati delle carte di credito.

  • Shoulder surfing: i truffatori osservano le persone che inseriscono i dati della loro carta di credito ai bancomat o alle casse e rubano tali dati.

  • Formjacking: i carder compromettono i moduli online su siti web legittimi per acquisire i dati delle carte di credito degli utenti.

  • App e siti web falsi: i truffatori creano applicazioni o siti web falsi che sembrano autentici, inducendo gli utenti a fornire i dati della propria carta di credito.

  • Attacchi di forza bruta: i criminali utilizzano software automatizzati per indovinare i numeri delle carte di credito, spesso provando diverse combinazioni di numeri fino a trovarne di validi.

Dopo aver rubato i dati delle carte di credito, spesso i carder li vendono su marketplace clandestini dove gli acquirenti possono acquistare i numeri delle carte, le date di scadenza, i codici di verifica della carta (CVV) e gli indirizzi di addebito delle carte rubate.

Verifica della validità della carta

Dopo aver acquistato i dati di una carta di credito rubata, i truffatori utilizzano i bot di carding per convalidare tali dati. Questi bot automatizzano il processo di esecuzione di piccole transazioni sui siti web di e-commerce per verificare se la carta è attiva e può essere utilizzata senza far scattare gli avvisi di frode.

Esecuzione di transazioni fraudolente

Dopo aver convalidato la legittimità di una carta, i truffatori utilizzano i dati per effettuare acquisti non autorizzati. Spesso prendono di mira articoli di alto valore o carte regalo, che possono essere rivenduti in contanti o utilizzati per scopi personali. I bot di carding consentono ai truffatori di automatizzare e scalare questo processo, colpendo più siti web ed effettuando molte transazioni in un breve periodo di tempo.

Elusione del rilevamento

Per eludere il rilevamento, i carder utilizzano i seguenti metodi e strumenti:

  • Proxy e VPN: mascherano la posizione dei carder, rendendo difficile per i siti di e-commerce rilevare schemi insoliti.

  • Bot randomizzati: questi bot simulano il comportamento umano per impedire l'attivazione dei sistemi antifrode.

  • Attacchi distribuiti: le reti distribuite di bot evitano la concentrazione di attività sospette in un'unica località.

  • Rivendita e conversione: i carder convertono rapidamente in contanti le merci acquistate illegalmente, rendendo difficile la tracciabilità dell'attività. Potrebbero rivendere i prodotti su marketplace online o attraverso reti locali.

Breve storia del carding

Gli albori: furto fisico e skimming

Inizialmente, il carding si basava principalmente su metodi fisici per ottenere i dati delle carte di credito. I truffatori rubavano portafogli o borsellini per impossessarsi delle carte di credito oppure collocavano sui bancomat o sui terminali POS dei dispositivi che acquisivano i dati delle carte durante le strisciate. L'esistenza degli skimmer è stata segnalata intorno al 2002.

L'ascesa di Internet: phishing e hacking

Con la crescita di Internet, il furto di carte di credito si è trasferito online, dando vita a nuove tecniche come il phishing e l'hacking nei database aziendali per rubare grandi quantità di dati delle carte di credito. Sebbene il phishing esista già dagli anni '90, è diventato più comune nei primi anni 2000, con la diffusione di Internet.

Dark web e marketplace clandestini

Il mercato nero delle informazioni rubate sulle carte di credito si è ampliato e i truffatori hanno iniziato a commerciare queste informazioni sul dark web. Questo ha reso più facile per i truffatori acquisire e vendere i dati delle carte e i forum di carding online sono diventati luoghi popolari in cui condividere le tecniche di carding, vendere i dati rubati e coordinare le attività criminali.

Bot di carding e automazione

La diffusione dell'automazione e di software avanzati ha prodotto tecniche di carding più sofisticate. I bot di carding hanno automatizzato il processo di test e convalida delle carte, consentendo ai truffatori di scalare le loro operazioni e di commettere frodi più rapidamente. I truffatori hanno anche iniziato a utilizzare reti distribuite di bot per testare grandi volumi di dati di carte di credito rubate, riducendo il rischio di essere scoperti grazie alla distribuzione dell'attività su più posizioni e indirizzi IP.

Misure di sicurezza ottimizzate e adattamenti

Man mano che il carding è diventato più sofisticato, le misure di sicurezza si sono evolute di pari passo. La tecnologia basata su chip e PIN è diventata standard a partire dal 2010 per rendere più difficile la clonazione delle carte fisiche, costringendo i titolari di carte ad affidarsi maggiormente alle modalità online. Le piattaforme di e-commerce hanno iniziato a implementare sistemi di machine learning e di rilevamento delle frodi basati sull'intelligenza artificiale per identificare schemi e transazioni sospetti. Sono stati introdotti i CAPTCHA e l'autenticazione a più fattori per impedire ai bot automatizzati di sfruttare i sistemi online.

Tecniche e sfide moderne

I carder si adattano continuamente alle nuove misure di sicurezza e alle nuove tecnologie sviluppando le loro innovazioni. Le nuove tecniche includono il formjacking (l'inserimento di codice dannoso nei moduli online per acquisire i dati delle carte di credito), la frode di identità sintetica (la creazione di identità false utilizzando dati rubati per aprire conti di credito) e il furto dei dati del conto (l'utilizzo dei dati delle carte rubate per ottenere l'accesso non autorizzato a conti esistenti).

Come il dark web e altre community online favoriscono il carding

Il dark web e altre community online hanno favorito la diffusione del carding fornendo piattaforme per lo scambio di dati delle carte di credito rubate, strumenti e conoscenze. Le operazioni di carding sono diventate più resilienti e adattabili grazie all'anonimato e alla sicurezza che queste piattaforme offrono, ponendo continue sfide alle forze dell'ordine e ai professionisti della sicurezza informatica. Ecco tutto quello che c'è da sapere.

Marketplace del dark web

Il dark web è una parte di Internet che non è indicizzata dai motori di ricerca tradizionali ed è accessibile attraverso software specializzati come Tor. La sua natura anonima lo rende un ambiente attraente per le attività illecite, compreso il carding. I marketplace del dark web fungono da hub per l'acquisto e la vendita di beni e servizi illegali, tra cui:

  • Dati di carte di credito rubati: i truffatori possono vendere sul dark web grandi volumi di dati delle carte di credito, spesso classificati per tipo di carta, Paese di origine o limite di credito.

  • Strumenti di carding: il software relativo al carding, come bot di carding, malware e keylogger, può essere acquistato sul dark web dai criminali, che possono così automatizzare e scalare le loro attività.

  • Servizi correlati: i marketplace del dark web hanno spesso venditori che offrono servizi come la convalida delle carte di credito, l'incasso e la creazione di documenti di identificazione falsi.

Forum e community

I forum e le community online sul dark web e su altre piattaforme fungono da hub di condivisione delle conoscenze per il carding e le attività correlate. I carder esperti condividono consigli, trucchi e guide passo-passo su come effettuare il carding ed evitare di essere scoperti. I principianti possono chiedere consigli e tutoraggio ai carder esperti. I carder usano questi forum per creare reti e partnership, condividendo le risorse e coordinando le operazioni più complesse.

Anonimato e sicurezza

Il dark web consente transazioni anonime e sicure che rendono difficile per le forze dell'ordine monitorare ed eliminare le attività illegali.

  • Criptovalute: in genere, le transazioni sul dark web utilizzano criptovalute come il Bitcoin, fornendo un livello di anonimato sia per gli acquirenti che per i venditori.

  • Servizi nascosti e comunicazioni criptate: i marketplace e i forum del dark web utilizzano la crittografia e la tecnologia dei servizi nascosti per proteggere l'identità degli utenti e nascondere le loro attività.

  • Infrastruttura resiliente: i marketplace del dark web spesso utilizzano infrastrutture distribuite e ridondanti per resistere alle chiusure da parte delle autorità.

  • Community dinamiche: i forum e le community di carding possono riemergere rapidamente con nomi e in luoghi diversi, rendendo difficile rintracciarli e smantellarli.

Impatto del carding su attività e consumatori

Conseguenze per le attività

  • Perdite finanziarie: in caso di transazioni fraudolente, le attività spesso sostengono il costo degli storni e dei rimborsi. Questo può avere un impatto negativo sui loro profitti, soprattutto per le piccole e medie imprese (PMI). Oltre alla vendita rimborsata e alle eventuali commissioni di storno, le attività possono incorrere in un aumento dei costi e in limitazioni da parte degli elaboratori di pagamento se hanno un alto tasso di storni dovuti a frodi.

  • Danno alla reputazione: gli episodi di carding possono danneggiare la reputazione di un'attività. I clienti che subiscono una frode sulla piattaforma di un'attività possono perdere la fiducia nell'attività stessa e lasciare recensioni negative.

  • Costi operativi: per combattere il carding, le attività devono investire in misure di sicurezza, sistemi di rilevamento delle frodi e assistenza clienti per gestire i problemi legati alle frodi. I costi associati possono essere notevoli.

  • Aumento dei controlli: alti tassi di frode possono portare a un aumento dei controlli da parte degli elaboratori di pagamento, che potrebbero comportare commissioni più elevate, requisiti più rigorosi o addirittura la chiusura dei conti esercente.

  • Rischi di conformità normativa: le attività sono tenute a rispettare normative come il Payment Card Industry Data Security Standard (PCI DSS). Il mancato rispetto della conformità a causa di episodi di carding può comportare sanzioni e ripercussioni legali.

Conseguenze per i consumatori

  • Conti compromessi: i consumatori a cui vengono rubati i dati della carta di credito possono trovare addebiti non autorizzati sui loro conti. Devono quindi dedicare tempo e fatica a collaborare con le banche e le società di carte di credito per stornare gli addebiti fraudolenti e ripristinare i conti, un processo che può essere lungo e frustrante.

  • Furto di identità: il carding può portare a un più ampio furto d'identità, in cui i truffatori utilizzano i dati della carta di credito rubata per aprire nuovi conti, richiedere prestiti o commettere altre forme di frode.

  • Disagio emotivo: scoprire addebiti non autorizzati e affrontare le conseguenze del carding può causare ai consumatori stress emotivo e ansia.

  • Impatto sul punteggio di credito: in alcuni casi, le frodi legate al carding possono influire sul punteggio di credito del consumatore, soprattutto se la frode porta a mancati pagamenti o inadempienze.

Misure di protezione dal carding per le attività

Gli avanzati sistemi di rilevamento delle frodi utilizzano il machine learning e l'intelligenza artificiale per individuare schemi e comportamenti di acquisto insoliti. Ecco come le attività possono sfruttare queste tecnologie e altre procedure per proteggersi.

  • Analisi comportamentale: analizza il comportamento degli utenti sulla tua piattaforma per individuare anomalie come transazioni rapide, tentativi ripetuti con numeri di carta diversi o schemi di geolocalizzazione insoliti.

  • Punteggio di rischio dinamico e MFA: assegna punteggi di rischio alle transazioni in base a diversi fattori, tra cui il rilevamento dell'impronta digitale del dispositivo, l'indirizzo IP, la geolocalizzazione e i dati cronologici. Le transazioni a rischio più elevato possono attivare l'autenticazione a più fattori (MFA).

  • Tokenizzazione: converti i dati sensibili delle carte di credito in token sicuri per uso interno, minimizzando l'esposizione dei dati non elaborati delle carte e riducendo il rischio di furto.

  • Crittografia end-to-end: crittografa le informazioni sensibili dal punto di acquisizione all'archiviazione e all'elaborazione, riducendo il rischio di intercettazione e di accesso non autorizzato.

  • Archiviazione sicura dei dati: archivia i dati delle carte di credito in database crittografati ad accesso limitato. Implementa il controllo degli accessi in base al ruolo e assicura che solo il personale autorizzato possa accedere ai dati sensibili.

  • Monitoraggio delle transazioni in tempo reale: monitora le transazioni in tempo reale per individuare le attività potenzialmente fraudolente. Invia avvisi automatici ai team di sicurezza per consentire un'indagine immediata.

  • Team di risposta agli incidenti: costituisci team di risposta agli incidenti dedicati con protocolli chiari per la gestione degli incidenti di carding.

  • Condivisione dell'intelligence sulle minacce: partecipa ai programmi di condivisione dell'intelligence sulle minacce per non perderti le novità sulle tendenze e sulle tecniche di carding emergenti.

  • Collaborazione con le forze dell'ordine: instaura rapporti con le forze dell'ordine specializzate nella criminalità informatica per contribuire alle indagini e all'eliminazione delle operazioni di carding.

  • Alternative a CAPTCHA: utilizza soluzioni CAPTCHA avanzate o alternative come reCAPTCHA v3, che non richiedono l'interazione dell'utente ma sono in grado di rilevare comportamenti simili a quelli dei bot.

  • Limite di frequenza e limitazione delle richieste: implementa il limite di frequenza per limitare il numero di transazioni o di tentativi da un singolo indirizzo IP o da un singolo utente in un determinato lasso di tempo.

  • Rilevamento dell'impronta digitale del dispositivo: identifica le caratteristiche uniche dei dispositivi per rilevare l'attività automatizzata dei bot. In questo modo puoi impedire ai bot di carding di testare grandi volumi di dati di carte di credito rubate.

  • Avvisi e notifiche di frode: invia avvisi ai clienti quando vengono rilevate attività sospette, affinché possano confermare o bloccare rapidamente le transazioni.

  • Formazione dei clienti: istruisci i clienti sui rischi del carding e sulle best practice per la protezione dei dati delle carte di credito. Questo può contribuire a ridurre la probabilità di successo di attacchi di phishing o di social engineering.

I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.

Tutto pronto per iniziare?

Crea un account e inizia ad accettare pagamenti senza la necessità di stipulare contratti o di comunicare le tue coordinate bancarie. In alternativa, contattaci per progettare un pacchetto personalizzato per la tua attività.
Connect

Connect

Riduci il tempo di attivazione da mesi a poche settimane, crea un sistema di pagamento redditizio e fai crescere la tua attività.

Documentazione di Connect

Scopri come instradare i pagamenti tra più parti.