What is carding? How this type of fraud works and how businesses can prevent it

Connect
Connect

De meest succesvolle platforms en marktplaatsen ter wereld, inclusief Shopify en DoorDash, gebruiken Stripe Connect om betalingen in hun producten te integreren.

Meer informatie 
  1. Inleiding
  2. Hoe carding werkt
    1. Kaartgegevens stelen
    2. Geldigheid van betaalkaart testen
    3. Frauduleuze transacties uitvoeren
    4. Detectie omzeilen
  3. Een korte geschiedenis van carding
    1. Begintijd: Fysieke diefstal en skimming
    2. Opkomst van het internet: Phishing en hacking
    3. Dark web en ondergrondse marktplaatsen
    4. Cardingbots en automatisering
    5. Verbeterde beveiligingsmaatregelen en aanpassingen
    6. Moderne technieken en uitdagingen
  4. Hoe het dark web en andere online community’s kaartbetalingen mogelijk maken
    1. Marktplaats op het dark web
    2. Forums en community’s
    3. Anonimiteit en veiligheid
  5. De gevolgen van carding voor ondernemingen en consumenten
    1. Zakelijke effecten
    2. Effecten op de consument
  6. Hoe ondernemingen zichzelf kunnen beschermen tegen carding

Carding is de illegale praktijk van het zonder toestemming verkrijgen, verhandelen of gebruiken van creditcardgegevens, vaak om cadeaubonnen of prepaidkaarten te kopen. Carding draagt bij aan identiteitsdiefstal, financiële verliezen voor particulieren en ondernemingen, en een breed scala aan andere vormen van cybercriminaliteit.

Verlies door kaartfraude bedroeg wereldwijd meer dan $ 33 miljard dollar in 2022. Om carding tegen te gaan, maken organisaties gebruik van beveiligingsmaatregelen zoals tokenisatie, encryptie, multifactorauthenticatie en fraudebestrijdingssystemen. In deze whitepaper lees je wat ondernemingen moeten weten over carding, zoals hoe het werkt en hoe ze zichzelf kunnen beschermen.

Wat staat er in dit artikel?

  • Hoe carding werkt
  • Een korte geschiedenis van carding
  • Hoe het dark web en andere online gemeenschappen carding mogelijk maken
  • De gevolgen van carding voor ondernemingen en consumenten
  • Hoe ondernemingen zichzelf kunnen beschermen tegen carding

Hoe carding werkt

Kaartgegevens stelen

Het proces van carding begint met kaartdieven, ook wel 'carders' genoemd, die creditcardgegevens stelen door middel van onder meer phishing, skimming, datalekken of keylogging.

  • Phishing: Kaarthouders gebruiken misleidende e-mails, websites of berichten om personen te misleiden om hun creditcardgegevens vrij te geven. Om dit te bereiken, doen kaarthouders zich vaak voor als legitieme ondernemingen of diensten.

  • Skimming: Kaarthouders installeren apparaten die skimmers worden genoemd op geldautomaten, pompen van benzinestations of POS-terminals om creditcardgegevens van fysieke betaalkaarten vast te leggen.

  • Hacking: Cybercriminelen gebruiken malware, ransomware of ongeoorloofde toegang om computersystemen of databases te infiltreren en creditcardgegevens te stelen.

  • Keylogging: Software of hardware registreert toetsaanslagen op het apparaat van een slachtoffer om creditcardgegevens en andere gevoelige gegevens vast te leggen.

  • SQL-injectie: Kwaadaardige SQL-code die aan de database van een website wordt toegevoegd, extraheert gevoelige informatie, waaronder creditcardgegevens.

  • Shoulder surfing: Fraudeurs kijken toe hoe mensen hun creditcardgegevens invoeren bij geldautomaten of kassa's en stelen de informatie.

  • Formjacking: Kaarthouders compromitteren online formulieren op legitieme websites om creditcardgegevens van gebruikers vast te leggen.

  • Valse apps en websites: Fraudeurs maken nepapplicaties of websites die er legitiem uitzien en misleiden gebruikers om hun creditcardgegevens te verstrekken.

  • Brute force-aanvallen: Criminelen gebruiken geautomatiseerde software om creditcardnummers te raden, vaak door verschillende combinaties van cijfers te proberen totdat ze geldige nummers vinden.

Wanneer kaarthouders creditcardgegevens stelen, verkopen ze deze vaak op ondergrondse marktplaatsen waar kopers kaartnummers, vervaldatums, CVV-codes (Card Verification Value) en factuuradressen voor de gestolen betaalkaarten kunnen kopen.

Geldigheid van betaalkaart testen

Na het kopen van gestolen creditcardgegevens gebruiken fraudeurs kaartbots om de informatie te valideren. Deze bots automatiseren het proces van het uitvoeren van kleine transacties op e-commercewebsites om te testen of de kaart actief is en kan worden gebruikt zonder dat er fraudewaarschuwingen worden geactiveerd.

Frauduleuze transacties uitvoeren

Nadat de legitimiteit van een kaart is gecontroleerd, gebruiken fraudeurs de informatie om ongeautoriseerde aankopen te doen. Ze zijn vaak gericht op waardevolle artikelen of cadeaubonnen, die voor contant geld kunnen worden doorverkocht of voor persoonlijke doeleinden kunnen worden gebruikt. Met kaartbots kunnen fraudeurs dit proces automatiseren en opschalen, zich richten op meerdere websites en in korte tijd veel transacties uitvoeren.

Detectie omzeilen

Kaarthouders gebruiken de volgende methoden en hulpmiddelen om detectie te omzeilen:

  • Proxy's en VPN's: Deze maskeren de locatie van de kaarthouders, waardoor het voor e-commercewebsites moeilijk is om ongebruikelijke patronen te detecteren.

  • Gerandomiseerde bots: Deze bots simuleren menselijk gedrag om te voorkomen dat antifraudesystemen worden geactiveerd.

  • Gedistribueerde aanvallen: Gedistribueerde netwerken van bots voorkomen dat verdachte activiteiten op één locatie worden geconcentreerd.

  • Doorverkopen en converteren: Kaarthouders zetten illegaal gekochte goederen snel om in contanten, waardoor het een uitdaging wordt om de activiteit te traceren. Ze kunnen producten doorverkopen op online marktplaatsen of via lokale netwerken.

Een korte geschiedenis van carding

Begintijd: Fysieke diefstal en skimming

Aanvankelijk ging het bij het carding vooral om fysieke methoden om creditcardgegevens te verkrijgen. Fraudeurs stalen portefeuilles of portemonnees om toegang te krijgen tot creditcards, of plaatsten apparaten op geldautomaten of POS terminals die kaartinformatie vastlegden tijdens het swipen. Het bestaan van skimmers werd rond 2002 gemeld.

Opkomst van het internet: Phishing en hacking

Naarmate het internet groeide, ging carding online, wat leidde tot nieuwe technieken zoals phishing en het hacken van bedrijfsdatabases om grote hoeveelheden creditcardgegevens te stelen. Phishing bestaat al sinds de jaren 1990, maar in het begin van de jaren 2000 werd het gebruikelijker naarmate internet populairder werd.

Dark web en ondergrondse marktplaatsen

De zwarte markt voor gestolen creditcardgegevens breidde zich uit en frauduleuze actoren begonnen deze informatie op het dark web te verhandelen. Dit maakte het voor fraudeurs gemakkelijker om kaartgegevens te verwerven en te verkopen, en online forums voor kaarten werden populair vanwege het delen van kaarttechnieken, het verkopen van gestolen gegevens en het coördineren van criminele activiteiten.

Cardingbots en automatisering

De opkomst van automatisering en geavanceerde software leidde tot meer geavanceerde cardingtechnieken. Cardingbots hebben het test- en validatieproces voor betaalkaarten geautomatiseerd, waardoor fraudeurs hun activiteiten kunnen opschalen en sneller fraude kunnen plegen. Kaarthouders zijn ook begonnen met het gebruik van gedistribueerde netwerken van bots om grote hoeveelheden gestolen creditcardgegevens te testen, waardoor hun risico op detectie wordt verminderd door de activiteit over meerdere locaties en IP-adressen te verspreiden.

Verbeterde beveiligingsmaatregelen en aanpassingen

Naarmate carding geavanceerder werd, evolueerden ook de beveiligingsmaatregelen. Chip- en PIN-technologie werd standaard in de jaren 2010 om het klonen van fysieke betaalkaarten moeilijker te maken, waardoor kaarthouders meer op online methoden moesten vertrouwen. E-commerceplatforms zijn begonnen met de implementatie van fraudedetectiesystemen op basis van machine-learning en AI om verdachte patronen en transacties te identificeren. CAPTCHA's en multifactorauthenticatie werden geïntroduceerd om te voorkomen dat geautomatiseerde bots misbruik maken van online systemen.

Moderne technieken en uitdagingen

Carders blijven zich aanpassen aan nieuwe beveiligingsmaatregelen en technologieën met hun eigen innovaties. Nieuwe technieken zijn onder meer formjacking (het injecteren van kwaadaardige code in online formulieren om creditcardgegevens vast te leggen), synthetische identiteitsfraude (het creëren van valse identiteiten met behulp van gestolen gegevens om kredietrekeningen te openen) en accountovernames (het gebruik van gestolen kaartinformatie om ongeoorloofde toegang te krijgen tot bestaande accounts).

Hoe het dark web en andere online community's kaartbetalingen mogelijk maken

Het dark web en andere online gemeenschappen hebben het aanbieden van betaalkaarten mogelijk gemaakt door platforms te bieden voor de uitwisseling van gestolen creditcardinformatie, tools en kennis. Cardingactiviteiten zijn veerkrachtiger en flexibeler geworden vanwege de anonimiteit en beveiliging die deze platforms bieden, wat voortdurende uitdagingen met zich meebrengt voor professionals op het gebied van wetshandhaving en cyberbeveiliging. Dit is wat je moet weten.

Marktplaats op het dark web

Het dark web is een deel van het internet dat niet wordt geïndexeerd door traditionele zoekmachines en toegankelijk is via gespecialiseerde software zoals Tor. Het anonieme karakter maakt het een aantrekkelijke omgeving voor illegale activiteiten, waaronder carding. Marktplaatsen op het dark web fungeren als hubs voor het kopen en verkopen van illegale goederen en diensten, waaronder de volgende:

  • Gestolen creditcardgegevens: Fraudeurs kunnen grote hoeveelheden creditcardgegevens op het dark web verkopen, vaak gecategoriseerd op kaarttype, land van herkomst of kredietlimiet.

  • Tools voor carding: Kaartgerelateerde software, zoals cardingbots, malware en keyloggers, is te koop op het dark web, waardoor criminelen hun activiteiten kunnen automatiseren en opschalen.

  • Gerelateerde diensten: Marktplaatsen op het dark web hebben vaak leveranciers die diensten aanbieden zoals creditcardvalidatie, uitbetaling en het maken van valse identificatiedocumenten.

Forums en community's

Online forums en community's op het dark web en andere platforms dienen als hubs voor het delen van kennis voor carding en aanverwante activiteiten. Ervaren kaarters delen tips, trucs en stapsgewijze handleidingen voor het uitvoeren van carding en het voorkomen van detectie. Nieuwkomers op het gebied van carding kunnen advies en mentorschap inwinnen bij ervaren carders. Carders gebruiken deze forums om netwerken en partnerschappen te creëren, middelen te bundelen en complexere operaties te coördineren.

Anonimiteit en veiligheid

Het dark web faciliteert anonieme, veilige transacties die het voor wetshandhavers moeilijk maken om illegale activiteiten te controleren en te verwijderen.

  • Cryptovaluta: Doorgaans gebruiken transacties op het dark web cryptovaluta's zoals Bitcoin, wat een anonimiteitslaag biedt voor zowel kopers als verkopers.

  • Verborgen diensten en versleutelde communicatie: Marktplaatsen en forums op het dark web gebruiken versleuteling en verborgen servicetechnologie om de identiteit van gebruikers te beschermen en hun activiteiten te verbergen.

  • Veerkrachtige infrastructuur: Marktplaatsen op het dark web maken vaak gebruik van gedistribueerde en redundante infrastructuur om shutdowns door autoriteiten te weerstaan.

  • Dynamische gemeenschappen: Cardingforums en -community's kunnen snel weer opduiken onder verschillende namen en locaties, waardoor het moeilijk wordt om ze op te sporen en te ontmantelen.

De gevolgen van carding voor ondernemingen en consumenten

Zakelijke effecten

  • Financiële verliezen: Bij frauduleuze transacties moeten ondernemingen vaak de kosten van chargebacks en terugbetalingen dragen. Dit kan gevolgen hebben voor hun bedrijfsresultaten, vooral voor kleine en middelgrote ondernemingen (mkb). Naast de terugbetaalde verkoop en eventuele chargebackkosten kunnen ondernemingen te maken krijgen met hogere kosten en beperkingen van betalingsverwerkers als zij een hoog chargebackpercentage hebben als gevolg van fraude.

  • Reputatieschade: Cardingincidenten kunnen de reputatie van een onderneming schaden. Klanten die te maken krijgen met fraude op het platform van een onderneming, kunnen hun vertrouwen in de onderneming verliezen en negatieve beoordelingen achterlaten.

  • Operationele kosten: Om kaartbetalingen tegen te gaan, moeten ondernemingen investeren in beveiligingsmaatregelen, fraudedetectiesystemen en klantenondersteuning om fraudegerelateerde problemen af te handelen. Deze kosten kunnen aanzienlijk zijn.

  • Verhoogde controle: Hoge fraudepercentages kunnen leiden tot strengere controle door betalingsverwerkers, wat kan leiden tot hogere kosten, strengere eisen of zelfs de beëindiging van verkopersaccounts.

  • Risico's op het gebied van naleving van de regelgeving: Ondernemingen zijn verplicht om te voldoen aan regelgeving zoals de Payment Card Industry Data Security Standard (PCI DSS). Het niet naleven van de regels als gevolg van kaartincidenten kan leiden tot boetes en juridische gevolgen.

Effecten op de consument

  • Gecompromitteerde accounts: Consumenten van wie de creditcardgegevens zijn gestolen, kunnen ongeoorloofde betalingen op hun accounts aantreffen. Ze moeten dan tijd en moeite besteden aan het samenwerken met hun banken en creditcardmaatschappijen om frauduleuze betalingen terug te draaien en hun rekeningen te herstellen, wat een langdurig en frustrerend proces kan zijn.

  • Identiteitsdiefstal: Carding kan leiden tot bredere identiteitsdiefstal, waarbij fraudeurs gestolen creditcardgegevens gebruiken om nieuwe rekeningen te openen, leningen aan te vragen of andere vormen van fraude te plegen.

  • Emotioneel leed: Het ontdekken van ongeoorloofde betalingen en het omgaan met de nasleep van kaartbetalingen kan consumenten emotioneel leed en angst bezorgen.

  • Impact op de kredietwaardigheid: In sommige gevallen kan kaartgerelateerde fraude de kredietscore van een consument beïnvloeden, vooral als fraude leidt tot gemiste betalingen of wanbetalingen.

Hoe ondernemingen zichzelf kunnen beschermen tegen carding

Geavanceerde fraudedetectiesystemen maken gebruik van machine-learning en kunstmatige intelligentie om ongebruikelijke aankooppatronen en -gedragingen te identificeren. Hier zijn manieren waarop ondernemingen deze technologieën en andere praktijken kunnen gebruiken om zichzelf te beschermen.

  • Gedragsanalyse: Analyseer het gedrag van gebruikers op je platform om afwijkingen vast te stellen, zoals snelle transacties, herhaalde pogingen met verschillende kaartnummers of ongebruikelijke geolocatiepatronen.

  • Dynamische risicoscores en MFA: Wijs risicoscores toe aan transacties op basis van meerdere factoren, waaronder de kenmerken van het apparaat, het IP-adres, de geolocatie en historische gegevens. Transacties met een hoger risico kunnen leiden tot multifactorauthenticatie (MFA).

  • Tokenisatie: Zet gevoelige creditcardgegevens om in veilige tokens voor intern gebruik, waardoor de blootstelling van onbewerkte kaartgegevens wordt geminimaliseerd en het risico op diefstal wordt verminderd.

  • End-to-end-encryptie: Versleutel gevoelige informatie vanaf het moment van vastlegging tot opslag en verwerking, waardoor het risico op onderschepping en ongeoorloofde toegang wordt verkleind.

  • Veilige gegevensopslag: Sla creditcardgegevens op in versleutelde databases met beperkte toegang. Implementeer op rollen gebaseerd toegangsbeheer (RBAC) en zorg ervoor dat alleen geautoriseerd personeel toegang heeft tot gevoelige gegevens.

  • Transactiemonitoring in real time: Monitor transacties in real time om potentieel frauduleuze activiteiten op te sporen. Stuur geautomatiseerde waarschuwingen naar beveiligingsteams voor onmiddellijk onderzoek.

  • Incidentenbestrijdingsteams: Stel speciale incidentresponsteams samen met duidelijke protocollen voor het afhandelen van kaartincidenten.

  • Delen van informatie over bedreigingen: Neem deel aan programma's voor het delen van info over bedreigingen om op de hoogte te blijven van opkomende trends en technieken op het gebied van carding.

  • Samenwerking met wetshandhaving: Bouw relaties op met wetshandhavingsinstanties die gespecialiseerd zijn in cybercriminaliteit om te helpen bij onderzoeken en verwijderingen van cardingoperaties.

  • CAPTCHA-alternatieven: Gebruik geavanceerde CAPTCHA-oplossingen of alternatieven zoals reCAPTCHA v3 die geen interactie van de gebruiker vereisen, maar wel botachtig gedrag kunnen detecteren.

  • Toegang beperken en vertraging: Stel een beperking in om het aantal transacties of pogingen van één IP-adres of gebruiker binnen een bepaald tijdsbestek te beperken.

  • Vingerafdrukken van apparaten: Identificeer unieke apparaatkenmerken om geautomatiseerde botactiviteit te detecteren. Dit kan helpen voorkomen dat cardingbots grote aantallen gestolen creditcardgegevens testen.

  • Fraudewaarschuwingen en -meldingen: Stuur waarschuwingen naar klanten wanneer verdachte activiteiten worden gedetecteerd, zodat ze transacties snel kunnen bevestigen of weigeren.

  • Voorlichting aan de klant. Informeer klanten over de risico's van carding en de best practices om hun creditcardgegevens te beschermen. Dit kan de kans op succesvolle phishing- of social engineering-aanvallen helpen verkleinen.

De inhoud van dit artikel is uitsluitend bedoeld voor algemene informatieve en educatieve doeleinden en mag niet worden opgevat als juridisch of fiscaal advies. Stripe verklaart of garandeert niet dat de informatie in dit artikel nauwkeurig, volledig, adequaat of actueel is. Voor aanbevelingen voor jouw specifieke situatie moet je het advies inwinnen van een bekwame, in je rechtsgebied bevoegde advocaat of accountant.

Klaar om aan de slag te gaan?

Maak een account en begin direct met het ontvangen van betalingen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een pakket op maat voor je onderneming samen te stellen.
Connect

Connect

Ga live in een paar weken in plaats van maanden, verdien geld met betaaldiensten en schaal processen eenvoudig op.

Documentatie voor Connect

Ontdek hoe je betalingen tussen meerdere partijen kunt afhandelen.