Nu starten  Neem contact op 

Wat is carding? Hoe deze vorm van fraude werkt en hoe ondernemingen dit kunnen voorkomen

Connect
Connect

De meest succesvolle platforms en marktplaatsen ter wereld, inclusief Shopify en DoorDash, gebruiken Stripe Connect om betalingen in hun producten te integreren.

Meer informatie 
  1. Inleiding
  2. Hoe carding werkt
    1. Kaartgegevens stelen
    2. Geldigheid van betaalkaart testen
    3. Frauduleuze transacties uitvoeren
    4. Detectie omzeilen
  3. Hoe ondernemingen zichzelf kunnen beschermen tegen carding
  4. Hoe het dark web carding mogelijk maakt
  5. De gevolgen van carding voor ondernemingen en klanten
    1. Zakelijke effecten
    2. Effecten op de klant
  6. Een korte geschiedenis van carding
    1. De begindagen en de opkomst van het internet
    2. Nieuwe technologieën ontstaan
  7. Hoe Stripe Radar kan helpen
  8. Aan de slag met Stripe 

Carding is de illegale praktijk van het zonder toestemming verkrijgen, verhandelen of gebruiken van creditcardgegevens, vaak om cadeaubonnen of prepaidkaarten te kopen. Carding draagt bij aan identiteitsdiefstal, financiële verliezen voor particulieren en ondernemingen, en een breed scala aan andere vormen van cybercriminaliteit.

Verlies door creditcardfraude bedraagt wereldwijd naar verwachting $ 43 miljard in 2026. Organisaties gebruiken beveiligingsmaatregelen zoals tokenisatie, encryptie, multifactorauthenticatie en fraudebestrijdingssystemen om carding te bestrijden. In deze whitepaper lees je wat ondernemingen moeten weten over carding, zoals hoe het werkt en hoe ze zichzelf kunnen beschermen.

Wat staat er in dit artikel?

  • Hoe carding werkt
  • Hoe ondernemingen zichzelf kunnen beschermen tegen carding
  • Hoe het dark web carding mogelijk maakt
  • De gevolgen van carding voor ondernemingen en klanten
  • Een korte geschiedenis van carding
  • Hoe Stripe Radar kan helpen

Hoe carding werkt

Kaartgegevens stelen

Het proces van carding begint met kaartdieven, ook wel 'carders' genoemd, die creditcardgegevens stelen door middel van phishing, skimming, datalekken of keylogging.

Dit zijn enkele veelvoorkomende manieren waarop carders kaartgegevens kunnen stelen:

  • Phishing: Kaarthouders gebruiken misleidende e-mails, websites of berichten om personen te misleiden om hun creditcardgegevens vrij te geven. Om dit te bereiken, doen kaarthouders zich vaak voor als legitieme ondernemingen of diensten.

  • Skimming: Kaarthouders installeren apparaten die skimmers worden genoemd op geldautomaten, pompen van benzinestations of POS-terminals om creditcardgegevens van fysieke betaalkaarten vast te leggen.

  • Hacking: Cybercriminelen gebruiken malware, ransomware of ongeoorloofde toegang om computersystemen of databases te infiltreren en creditcardgegevens te stelen.

  • Keylogging: Software of hardware registreert toetsaanslagen op het apparaat van een slachtoffer om creditcardgegevens en andere gevoelige gegevens vast te leggen.

  • SQL-injectie: Kaarthouders voegen kwaadaardige SQL-code toe aan de database van een website om gevoelige informatie te extraheren, waaronder creditcardgegevens.

  • Shoulder surfing: Fraudeurs kijken toe hoe mensen hun creditcardgegevens invoeren bij geldautomaten of kassa's en stelen de informatie.

  • Formjacking: Kaarthouders compromitteren online formulieren op legitieme websites om creditcardgegevens van gebruikers vast te leggen.

  • Valse apps en websites: Fraudeurs maken nepapplicaties of websites die er legitiem uitzien en misleiden gebruikers om hun creditcardgegevens te verstrekken.

  • Brute force-aanvallen: Cybercriminelen gebruiken geautomatiseerde software om creditcardnummers te raden, vaak door verschillende combinaties van cijfers te proberen totdat ze geldige nummers vinden.

Wanneer kaarthouders creditcardgegevens stelen, verkopen ze deze vaak op ondergrondse marktplaatsen waar kopers kaartnummers, vervaldatums, CVV-codes (Card Verification Value) en factuuradressen voor de gestolen betaalkaarten kunnen kopen.

Geldigheid van betaalkaart testen

Na het kopen van gestolen creditcardgegevens gebruiken fraudeurs kaartbots om de informatie te valideren. Deze bots automatiseren het proces van het uitvoeren van kleine transacties op e-commercewebsites om te testen of de kaart actief is. Ze kunnen worden gebruikt zonder dat er fraudewaarschuwingen worden geactiveerd.

Frauduleuze transacties uitvoeren

Nadat de legitimiteit van een kaart is gecontroleerd, gebruiken fraudeurs de informatie om ongeautoriseerde aankopen te doen. Ze zijn vaak gericht op waardevolle artikelen of cadeaubonnen, die voor contant geld kunnen worden doorverkocht of voor persoonlijke doeleinden kunnen worden gebruikt. Met kaartbots kunnen fraudeurs dit proces automatiseren en opschalen, zich richten op meerdere websites en in korte tijd veel transacties uitvoeren.

Detectie omzeilen

Carders gebruiken allerlei tools en tactieken om fraude te voorkomen. Ze vertrouwen vaak op proxy's en VPN's om hun werkelijke locatie te verbergen, waardoor het voor e-commerceplatformen moeilijker wordt om verdachte activiteiten te signaleren. Carders gebruiken ook gerandomiseerde bots om menselijk gedrag na te bootsen en fraudedetectie te omzeilen, terwijl gedistribueerde botnetwerken activiteiten verspreiden om geen aandacht te trekken. Bovendien zetten carders gestolen goederen snel om in contant geld door ze online of via lokale netwerken door te verkopen, wat de inspanningen om hun acties te traceren nog ingewikkelder maakt.

Hoe ondernemingen zichzelf kunnen beschermen tegen carding

Geavanceerde fraudedetectiesystemen maken gebruik van en kunstmatige intelligentie om ongebruikelijke aankooppatronen en -gedragingen te identificeren. Hier zijn manieren waarop ondernemingen deze technologieën en andere praktijken kunnen gebruiken om zichzelf te beschermen.

  • Adresverificatiesysteem (AVS): AVS vergelijkt het factuuradres dat door de gebruiker is opgegeven met het adres dat bekend is bij de uitgever van de betaalkaart. Het is een eenvoudige maar effectieve fraudepreventietool.

  • Gedragsanalyse: Analyseer het gedrag van gebruikers op je platform om afwijkingen vast te stellen, zoals snelle transacties, herhaalde pogingen met verschillende kaartnummers of ongebruikelijke geolocatiepatronen.

  • Dynamische risicoscores en MFA: Wijs risicoscores toe aan transacties op basis van meerdere factoren, waaronder de kenmerken van het apparaat, het IP-adres, de geolocatie van het IP-adres en historische gegevens. Transacties met een hoger risico kunnen leiden tot multifactorauthenticatie (MFA).

  • Kaartverificatiewaarde (CVV): Door klanten te verplichten hun CVV in te voeren, kun je bevestigen dat de koper de betaalkaart fysiek in bezit heeft, waardoor het risico op ongeoorloofd gebruik door gestolen betaalkaarten afneemt.

  • Tokenisatie: Zet gevoelige creditcardgegevens om in veilige tokens voor intern gebruik, waardoor de blootstelling van onbewerkte kaartgegevens wordt geminimaliseerd en het risico op diefstal wordt verminderd.

  • End-to-end-encryptie: Versleutel gevoelige informatie vanaf het moment van vastlegging tot opslag en verwerking, waardoor het risico op onderschepping en ongeoorloofde toegang wordt verkleind.

  • Veilige gegevensopslag: Sla creditcardgegevens op in versleutelde databases met beperkte toegang. Implementeer op rollen gebaseerd toegangsbeheer (RBAC) en zorg ervoor dat alleen geautoriseerd personeel toegang heeft tot gevoelige gegevens.

  • Transactiemonitoring in real time: Monitor transacties in real time om potentieel frauduleuze activiteiten op te sporen. Stuur geautomatiseerde waarschuwingen naar beveiligingsteams voor onmiddellijk onderzoek.

  • Incidentenbestrijdingsteams: Stel speciale incidentresponsteams samen met duidelijke protocollen voor het afhandelen van kaartincidenten.

  • Delen van informatie over bedreigingen: Neem deel aan programma's voor het delen van info over bedreigingen om op de hoogte te blijven van opkomende trends en technieken op het gebied van carding.

  • Samenwerking met wetshandhaving: Bouw relaties op met wetshandhavingsinstanties die gespecialiseerd zijn in cybercriminaliteit om te helpen bij onderzoeken en verwijderingen van cardingoperaties.

  • CAPTCHA-alternatieven: Gebruik geavanceerde CAPTCHA-oplossingen of alternatieven zoals reCAPTCHA v3 die geen interactie van de gebruiker vereisen, maar wel botachtig gedrag kunnen detecteren.

  • Toegang beperken en vertraging: Stel een beperking of controle in om het aantal transacties of pogingen van één IP-adres of gebruiker binnen een bepaald tijdsbestek te beperken.

  • Vingerafdrukken van apparaten: Identificeer unieke apparaatkenmerken om geautomatiseerde botactiviteit te detecteren. Dit kan helpen voorkomen dat cardingbots grote aantallen gestolen creditcardgegevens testen.

  • Fraudewaarschuwingen en -meldingen: Stuur waarschuwingen naar klanten wanneer verdachte activiteiten worden gedetecteerd, zodat ze transacties snel kunnen bevestigen of weigeren.

  • Voorlichting aan de klant. Informeer klanten over de risico's van carding en de best practices om hun creditcardgegevens te beschermen. Dit kan de kans op succesvolle phishing- of social engineering-aanvallen helpen verkleinen.

Hoe het dark web carding mogelijk maakt

Het dark web ondersteunt anonieme transacties die voor wetshandhavingsinstanties lastig te traceren of te verstoren zijn. De meeste betalingen gebruiken cryptovaluta's zoals bitcoin, die de identiteit van kopers en verkopers maskeren.

Marktplaatsen vertrouwen op encryptie, verborgen diensten en gedistribueerde infrastructuur om gebruikers te beschermen en online te blijven ondanks verwijderingsinspanningen. Zelfs wanneer sites worden gesloten, verschijnen dynamische community's zoals cardingforums vaak weer onder nieuwe namen, waardoor ze moeilijk volledig te elimineren zijn.

Marktplaatsen op het dark web zijn centrale platformen voor de handel in illegale goederen en diensten, met name met betrekking tot financiële fraude. Ze bieden gestolen creditcardgegevens, vaak georganiseerd op specifieke details zoals type of land, evenals cardingtools zoals bots en malware die fraude helpen automatiseren. Deze marktplaatsen bieden ook gerelateerde diensten zoals creditcardvalidatie, hulp bij het uitbetalen en het maken van valse identiteitsbewijzen.

Community's op het dark web zijn kenniscentra waar ervaren carders technieken, gidsen en advies delen met nieuwkomers. Deze platformen maken ook netwerken en samenwerking mogelijk, waardoor gebruikers geavanceerdere fraude kunnen coördineren.

De gevolgen van carding voor ondernemingen en klanten

Zakelijke effecten

  • Financiële verliezen: Bij frauduleuze transacties dragen ondernemingen vaak de kosten van chargebacks en terugbetalingen. Dit kan gevolgen hebben voor hun bedrijfsresultaten, vooral voor het midden- en kleinbedrijf (mkb).

  • Reputatieschade: Cardingincidenten kunnen de reputatie van een onderneming schaden. Klanten die te maken krijgen met fraude op het platform van een onderneming, kunnen hun vertrouwen in de onderneming verliezen en negatieve beoordelingen achterlaten.

  • Operationele kosten: Om kaartbetalingen tegen te gaan, moeten ondernemingen investeren in beveiligingsmaatregelen, fraudedetectiesystemen en klantenondersteuning om fraudegerelateerde problemen af te handelen. Deze kosten kunnen aanzienlijk zijn.

  • Verhoogde controle: Hoge fraudepercentages kunnen leiden tot strengere controle door betalingsverwerkers, wat kan leiden tot hogere kosten, strengere eisen of zelfs de beëindiging van verkopersaccounts.

  • Risico's op het gebied van naleving van de regelgeving: Ondernemingen zijn verplicht om te voldoen aan regelgeving zoals de Payment Card Industry Data Security Standard (PCI DSS)]. Het niet naleven van de regels als gevolg van kaartincidenten kan leiden tot boetes en juridische gevolgen.

Effecten op de klant

  • Gecompromitteerde accounts: Klanten van wie de creditcardgegevens zijn gestolen, kunnen ongeoorloofde betalingen op hun accounts aantreffen. Ze moeten dan tijd en moeite besteden aan het samenwerken met hun banken en creditcardmaatschappijen om frauduleuze betalingen terug te draaien en hun rekeningen te herstellen, wat een langdurig en frustrerend proces kan zijn.

  • Identiteitsdiefstal: Carding kan leiden tot bredere identiteitsdiefstal, waarbij fraudeurs gestolen creditcardgegevens gebruiken om nieuwe rekeningen te openen, leningen aan te vragen of andere vormen van fraude te plegen.

  • Emotioneel leed: Het ontdekken van ongeoorloofde betalingen en het omgaan met de nasleep van kaartbetalingen kan klanten emotioneel leed en angst bezorgen.

  • Impact op de kredietwaardigheid: In sommige gevallen kan kaartgerelateerde fraude de kredietscore van een klant beïnvloeden, vooral als fraude leidt tot gemiste betalingen of wanbetalingen.

Een korte geschiedenis van carding

De begindagen en de opkomst van het internet

Aanvankelijk ging het bij het carding vooral om fysieke methoden om creditcardgegevens te verkrijgen. Fraudeurs stalen portefeuilles of portemonnees om toegang te krijgen tot creditcards, of plaatsten apparaten op geldautomaten of POS terminals die kaartinformatie vastlegden tijdens het swipen. Het bestaan van skimmers werd rond 2002 gemeld.

Naarmate het internet groeide, ging carding online, wat leidde tot nieuwe technieken zoals phishing en het hacken van bedrijfsdatabases om grote hoeveelheden creditcardgegevens te stelen. Phishing bestaat al sinds de jaren 1990, maar in het begin van de jaren 2000 werd het gebruikelijker naarmate internet populairder werd.

Nieuwe technologieën ontstaan

Automatisering en geavanceerde software leidden tot meer geavanceerde cardingtechnieken. Cardingbots hebben het test- en validatieproces voor betaalkaarten geautomatiseerd, waardoor fraudeurs hun activiteiten kunnen opschalen en sneller fraude kunnen plegen. Kaarthouders zijn ook begonnen met het gebruik van gedistribueerde netwerken van bots om grote hoeveelheden gestolen creditcardgegevens te testen, waardoor hun risico op detectie wordt verminderd door de activiteit over meerdere locaties en IP-adressen te verspreiden.

Naarmate carding geavanceerder werd, evolueerden ook de beveiligingsmaatregelen. Chip- en PIN-technologie werd standaard in de jaren 2010 om het klonen van fysieke betaalkaarten moeilijker te maken, waardoor kaarthouders meer op online methoden moesten vertrouwen. E-commerceplatforms zijn begonnen met de implementatie van fraudedetectiesystemen op basis van machine-learning en AI om verdachte patronen en transacties te identificeren. CAPTCHA's en multifactorauthenticatie werden geïntroduceerd om te voorkomen dat geautomatiseerde bots misbruik maken van online systemen.

Carders blijven zich aanpassen aan nieuwe beveiligingsmaatregelen en technologieën met hun eigen innovaties. Nieuwe technieken zijn onder meer formjacking, synthetische identiteitsfraude (het creëren van valse identiteiten met behulp van gestolen gegevens om kredietrekeningen te openen) en accountovernames (het gebruik van gestolen kaartinformatie om ongeoorloofde toegang te krijgen tot bestaande accounts).

Hoe Stripe Radar kan helpen

Stripe Radar gebruikt AI-modellen die zijn getraind om fraude op te sporen en te voorkomen met behulp van gegevens van het wereldwijde Stripe-netwerk. Deze modellen worden voortdurend bijgewerkt op basis van de nieuwste trends op het gebied van fraude, zodat je onderneming beschermd is naarmate fraude zich ontwikkelt.

Stripe biedt ook Radar for Fraud Teams, waarmee gebruikers regels op maat kunnen toevoegen voor specifieke fraude scenario's voor hun bedrijf en toegang krijgen tot geavanceerde fraude inzichten.

Radar kan je onderneming helpen:

  • Verlies door fraude voorkomen: Stripe verwerkt jaarlijks meer dan $ 1 biljoen aan betalingen. Dankzij deze groei kan Radar fraude nauwkeurig detecteren en voorkomen, waardoor je geld bespaart.
  • Verhoog je inkomsten: De AI-modellen van Radar zijn getraind op basis van actuele chargebacks aanvragen, klant informatie, browsegegevens en meer. Zo kan Radar risicovolle transacties identificeren en het aantal vals-positieven verminderen, waardoor je inkomsten stijgen.
  • Bespaar tijd: Radar is ingebouwd in Stripe en vereist nul regels code om in te stellen. Je kunt ook je fraude prestaties monitoren, regels schrijven en meer op één platform, wat de efficiëntie verhoogt.

Kom meer te weten over Stripe Radar of ga vandaag nog aan de slag.

De inhoud van dit artikel is uitsluitend bedoeld voor algemene informatieve en educatieve doeleinden en mag niet worden opgevat als juridisch of fiscaal advies. Stripe verklaart of garandeert niet dat de informatie in dit artikel nauwkeurig, volledig, adequaat of actueel is. Voor aanbevelingen voor jouw specifieke situatie moet je het advies inwinnen van een bekwame, in je rechtsgebied bevoegde advocaat of accountant.

Meer artikelen

Klaar om aan de slag te gaan?

Maak een account en begin direct met het ontvangen van betalingen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een pakket op maat voor je onderneming samen te stellen.
Connect

Connect

Ga live in een paar weken in plaats van maanden, verdien geld met betaaldiensten en schaal processen eenvoudig op.

Documentatie voor Connect

Ontdek hoe je betalingen tussen meerdere partijen kunt afhandelen.