Carding är när bedragare validerar stulen kortinformation (t.ex. kortnummer, utgångsdatum och CVC-koder) genom att köra små transaktioner via betalningssystem för att bekräfta att kortet är aktivt.
Denna typ av bedrägeri använder legitima transaktionsprocesser för att förhindra upptäckt. Bedragare riktar ofta in sig på webbplatser som är kända för att behandla en stor volym transaktioner med lågt värde, eftersom dessa är mindre benägna att utlösa larm. När ett kort väl har klarat denna inledande "testfas" och bedöms vara aktivt och oblockerat, ökar dess värde för bedragaren drastiskt. De kan sedan använda kortet själva för att göra mer betydande köp, eller så kan de sälja kortinformationen på den svarta marknaden.
Kortbedrägeri accelererar – och carding är en av dess vanligaste ingångspunkter. Bara under de tre första kvartalen 2025 rapporterades mer än 500 000 fall av kreditkortsbedrägeri till Federal Trade Commission – det är nästan 180 000 fler än under samma period 2024. Globala förluster från kortbedrägeri förväntas nå 41,06 miljarder USD till 2030. Den digitala karaktären hos dessa transaktioner innebär också att de kan genomföras varifrån som helst, vilket komplicerar brottsbekämpande insatser och ökar utmaningen för företag och finansiella institutioner som försöker skydda sina kunders finansiella information.
Nedan förklarar vi vad företag behöver veta om den här typen av bedrägeri och hur man skyddar sig mot det.
Vad innehåller den här artikeln?
- Vad är carding?
- Hur fungerar carding-bedrägeri?
- Hur carding-bedrägeri påverkar företag och kunder
- Tecken på carding-bedrägeriattacker
- Vad håller Stripe utkik efter?
- Så gör man för att skydda sitt företag mot carding-bedrägeri
- Så gör man för att reagera på carding-bedrägeriattacker
- Hur Stripe Radar kan hjälpa till
Vad är carding?
Carding innebär att illvilliga aktörer försöker validera stulen kortinformation – som kortnummer, utgångsdatum eller CVC-koder – genom att använda den i betalningssystem som saknar ordentliga verifieringskontroller. Om en betalning går igenom (eller till och med om den resulterar i en nekad betalning med en specifik orsakskod) vet de att kortet är äkta.
Hur fungerar carding?
Carding-bedrägeri fungerar genom en relativt enkel process. Det finns två huvudsakliga sätt som carding-bedrägeri genomförs på:
Manuell testning: En bedragare provar kortinformation manuellt och justerar baserat på koder för nekade betalningar. Det är en låg volym och låg påverkan, men det är fortfarande en signal.
Uppräkning: Mer sofistikerade bedragare använder automatiserade skript och botar för att identifiera många kreditkort på en gång. Detta är särskilt farligt.
Bedragare skaffar stulna kortnummer, testar dem för att se till att de fungerar och använder dem sedan. Här är mer detaljer om hur detta går till:
Bedragare skaffar stulna kortnummer: Bedragare skaffar stulna kreditkortsnummer som härrör från dataintrång, nätfiske eller marknadsplatser på darknet.
De kör testtransaktioner av lågt värde: Testfasen innebär att göra transaktioner till små värden på webbplatser. Bedragare riktar ofta in sig på plattformar som är kända för mikrotransaktioner (t.ex. digitala tjänster eller sidor för välgörenhetsdonationer) där upptäckt av bedrägeri är mindre sträng.
De bekräftar vilka kort som är aktiva: Nyckeln för bedragare är att bekräfta att kreditkortet är aktivt och ännu inte rapporterats som stulet, och godkända transaktioner signalerar det. På webbplatser där ytterligare information, som faktureringsadresser, inte verifieras strikt blir denna process enklare.
De använder eller säljer verifierade kort: När ett kort väl har verifierats blir det mer värdefullt på den svarta marknaden. Bedragaren kan nu med säkerhet använda det för större, obehöriga köp eller sälja kortinformationen till andra.
Carding är vanligtvis en ledande indikator på en bredare bedrägeriattack, men den faktiska bedrägliga aktiviteten kanske inte inträffar eller upptäcks förrän månader senare, och ofta hos en helt annan handlare. Detta gör den särskilt svår att spåra.
Hur cardingbedrägerier påverkar företag och kunder
Carding innebär en rad utmaningar för företag. Här upplevs skadorna oftast:
Konsekvenser för företag
Ekonomiska förluster: Företag får stå för chargeback-kostnader när kunder bestrider obehöriga debiteringar.
Ökade driftskostnader: Att underhålla system för upptäckt av bedrägerier och hantera efterdyningarna av bedrägeri medför extra kostnader.
Skadat rykte: Upprepade incidenter urholkar kundernas förtroende och kan minska försäljningen.
Ökad granskning från kortutgivare och inlösare: Höga nivåer av bedrägeri kan leda till ökad granskning och sanktioner från kreditkortsutgivare och inlösare, högre behandlingsavgifter eller, i extrema fall, förlust av möjligheten att behandla kreditkortsbetalningar.
Konsekvenser för kunderna
Ekonomiskt besvär: Offer för carding-bedrägeri möter besväret med att bestrida betalningar och få nya kort utfärdade. Även om kunder vanligtvis inte är ansvariga för bedrägliga betalningar kan det ta tid att lösa dessa problem.
Integritetsoro: Insikten om att ens kortinformation har stulits och missbrukats kan orsaka oro över integritet och säkerhet.
Risk för större ekonomisk skada: Även om carding involverar små belopp kan det vara en föregångare till större obehöriga transaktioner som kan påverka en kunds kreditvärdighet. När kortinformation har verifierats som aktiv kan den användas för mer omfattande bedrägeri eller säljas på svarta marknaden.
Tecken på att du blivit utsatt för bedrägeri med carding
För att skydda sig själva och sina kunder är det viktigt att företag kan identifiera och reagera på cardingattacker. Viktiga steg i denna process är att vara medveten om tecknen och implementera effektiva övervakningssystem. Här är några indikatorer på att ditt företag kan ha utsatts för den här typen av attack:
Många små transaktioner: En serie transaktioner till låga värden, ofta i snabb följd, kan vara en stark indikator på carding. Dessa är vanligtvis belopp som är tillräckligt låga för att undgå upptäckt. Stripe övervakar verifieringsbetalningar som dessa.
Användning av flera kort: Flera försök att använda olika kortnummer från samma IP-adress eller enhet är en varningssignal. Det tyder på att någon testar en uppsättning kortnummer.
Misslyckade transaktioner: Ett stort antal nekade transaktioner kan också signalera carding eftersom bedragare ofta använder ogiltiga eller utlöpta kortnummer. Stripe övervakar höga nivåer av nekade betalningar hos handlare utan tidigare Stripe-historik. Stripe håller också utkik efter nekade betalningar på grund av felaktiga utgångsdatum eller okända primära kontonummer (PAN) som inte inträffar i slutet av en månatlig faktureringscykel när dessa avslag är mer typiska. Dessa faktorer tyder på att en bedragare testar olika kombinationer.
Inkonsekvent faktureringsinformation: Transaktioner där den angivna faktureringsinformationen inte stämmer överens med kortinformationen kan indikera bedräglig aktivitet.
Tidig upptäckt beror på att man vet vad man ska leta efter, och att man agerar snabbt när signalerna dyker upp.
Vad håller Stripe utkik efter?
Stripe använder en rad signaler för att identifiera förekomster av carding. Här är några av de kritiska indikatorer vi övervakar:
Ökning av nekade betalningar: Bedragare som validerar kort anger ofta felaktig information, vilket leder till en ökning av nekade autentiseringar. Vissa specifika orsaker till nekade betalningar indikerar vanligtvis en carding-attack:
- Inget kortregister: I ett försök att identifiera kortinformation kan bedragare ange kortinformation som inte har tilldelats någon kortinnehavare, men som är kopplad till ett bankidentifieringsnummer (BIN) och finns tillgänglig i vårt system. Användare kan inte se denna information eftersom korten inte är kopplade till dem. Början av nekade betalningar på dessa kort kan tyda på pågående carding.
- Felaktigt utgångsdatum: Oftare saknar bedragare exakta detaljer som utgångsdatum och CVC-kod, vilket leder till att de provar olika kombinationer. Dessa nekade betalningar indikerar att bedragaren har identifierat ett giltigt PAN – och de vet detta baserat på orsaken till den nekade betalningen.
- Inget kortregister: I ett försök att identifiera kortinformation kan bedragare ange kortinformation som inte har tilldelats någon kortinnehavare, men som är kopplad till ett bankidentifieringsnummer (BIN) och finns tillgänglig i vårt system. Användare kan inte se denna information eftersom korten inte är kopplade till dem. Början av nekade betalningar på dessa kort kan tyda på pågående carding.
Ökning av kontoverifieringar: Kontoverifiering är en process genom vilken företag bekräftar att det kreditkort som används för en transaktion är giltigt. Under denna process görs en liten, ofta tillfällig, ”verifieringsbetalning” för att säkerställa att kortet är aktivt och har ett tillgängligt saldo. En plötslig ökning av kontoverifieringar kan vara en indikation på carding.
Autentiseringar och nekade betalningar hos nya inlösande handlare: Vi övervakar aktivitet hos inlösande handlare som inte har setts på Stripe tidigare. Om vi ser en ny handlare med en mycket stor volym nekade betalningar på grund av felaktigt utgångsdatum eller kort som inte existerar, vidtar vi åtgärder för att förhindra att bra företag utnyttjas och dåliga företag begår bedrägeri.
Så skyddar du ditt företag mot cardingbedrägerier
Att skydda ditt företag mot carding-attacker innebär en blandning av effektiva säkerhetsåtgärder, avancerade verktyg, bästa praxis inom betalningshantering och att se till att din personal vet hur de ska reagera på carding när de upptäcker tecken på det. Dessa strategier är utformade för att identifiera och minska risken för bedrägliga aktiviteter, samtidigt som de möjliggör en smidig upplevelse för legitima kunder.
Effektiva säkerhetsåtgärder och verktyg
Address Verification Service (AVS): AVS jämför den faktureringsadress som användaren har angett med den som finns registrerad hos kreditkortsföretaget. Avvikelser kan flagga för potentiellt bedrägeri.
CVV-verifiering: Att kräva CVV för transaktioner hjälper till att säkerställa att den person som genomför köpet har fysisk tillgång till kortet, vilket minskar risken för bedräglig användning av kortnummer som erhållits online.
Ställa in transaktionsgränser: Fastställ gränser för antalet transaktioner eller det totala beloppet som tillåts per kort inom en viss tidsram för att förhindra flera bedrägeriförsök. Blockera transaktioner i länder där du inte förväntar dig att dina användare interagerar och transaktioner inom kategorier som dina användare inte förväntas använda, till exempel digitala varor eller annonsplattformar. Om ett kort komprometteras ska du omedelbart avbryta eller frysa det med Cards API eller Tokens API.
Installera avancerade verktyg för att upptäcka bedrägeri: Investera i verktyg som använder maskininlärning (ML) och artificiell intelligens för att analysera transaktionsmönster och flagga för avvikelser som tyder på carding.
Flerfaktorsautentisering (MFA): För transaktioner som verkar misstänkta kan implementering av ett extra lager av autentisering avskräcka bedrägliga aktörer.
Bästa praxis för betalningsbehandling
Övervaka toppar av nekade betalningar och godkännanden med låga belopp: Håll utkik efter nekade betalningar som inträffar på grund av ett felaktigt utgångsdatum eller felaktig CVC-kod vid oväntade tidpunkter i månaden eller faktureringscykeln. Ökningar av dessa typer av nekade betalningar är vanliga i slutet av månaden för kort som är kopplade till abonnemang, men de väcker misstankar om de inträffar vid andra tidpunkter. Ofta följer bedragare upp en topp av nekade betalningar med en ökning av godkända transaktioner med låga belopp.
Håll utkik efter ändringar i utgiftsmönster: Köp med höga belopp, plötsliga utgifter i utlandet och flera köp hos en och samma handlare inom loppet av några sekunder är värda att undersöka.
Så här svarar du bedrägeriattacker med carding
Agera snabbt när carding-bedrägeri upptäcks.
Åtgärder att vidta när cardingbedrägerier upptäcks
Frys misstänkta transaktioner omedelbart: Så snart carding misstänks ska du granska de aktuella transaktionerna. Frys alla pågående transaktioner relaterade till det misstänkta bedrägeriet för att förhindra ytterligare obehörig aktivitet.
Tillämpa utökad verifiering på gränsfallstransaktioner: Om vissa transaktioner väcker misstankar men inte bevisligen är bedrägliga, kan du implementera utökade verifieringsprocesser. Detta kan inkludera att kontakta kunden för bekräftelse eller kräva ytterligare autentisering.
Analysera attackens omfattning : Gör en grundlig analys av transaktionsmönstren för att förstå attackens omfattning och metod. Detta hjälper till att identifiera källan och potentiella svagheter i systemet.
Skärp dina parametrar för upptäckt av bedrägeri: Baserat på analysen kan du justera parametrarna för upptäckt av bedrägeri så att de blir mer känsliga för den typ av aktivitet som observerades under incidenten. Detta kan innebära skärpta transaktionsgränser eller modifiering av larmutlösare.
Rapporteringsrutiner och återställningsåtgärder för berörda företag
Meddela dina finansiella partner: Informera omedelbart dina finansiella partner, inklusive banker och kortinlösenföretag, om incidenten. De kan hjälpa till att övervaka ytterligare misstänkt aktivitet och vidta nödvändiga åtgärder på sin sida.
Rapportera storskaliga incidenter till polisen: Vid storskaliga bedrägerier är det tillrådligt att polisanmäla. Myndigheter kan inleda en utredning och arbeta för att gripa förövarna.
Ta in cybersäkerhetsexpertis vid behov: Om attacken är sofistikerad eller om det finns oro för systemsårbarheter, kan cybersäkerhetsexperter hjälpa till att identifiera hur attacken gick till och hur incidenter kan förhindras.
Kommunicera omgående med berörda kunder: Kommunicera öppet med berörda kunder. Informera dem om incidenten och ge råd om vilka steg de bör ta, som att övervaka sina kreditupplysningar eller byta ut sina kort. Håll dem uppdaterade om säkerhetsåtgärder och uppmuntra dem att rapportera all misstänkt aktivitet relaterad till deras transaktioner.
Granska och stärk ditt försvar efter incidenten: Efter incidenten bör du göra en omfattande granskning av dina säkerhetsåtgärder. Att stärka försvaret kan innebära att uppdatera programvara, revidera protokoll eller utbilda personal i nya säkerhetsrutiner.
Dokumentera vad som hände och anpassa dig: Använd incidenten som ett tillfälle att lära dig. Analysera vad som hände, vad som var effektivt i ditt agerande och var förbättringar behövs. Anpassa dina strategier därefter för att bättre förbereda dig på hot.
Läs mer om hur Stripe hjälper till att skydda företag mot carding-bedrägeri.
Hur Stripe Radar kan hjälpa till
Stripe Radar använder AI-modeller som tränats på data från Stripes globala nätverk och uppdateras kontinuerligt baserat på de senaste bedrägeritrenderna, vilket skyddar ditt företag när bedrägerierna utvecklas.
Stripe erbjuder även Radar for Fraud Teams, som gör det möjligt för användare att lägga till anpassade regler som hanterar bedrägeriscenarier för just deras företag och få tillgång till avancerade bedrägeriinsikter.
Radar kan hjälpa ditt företag att:
Förhindra bedrägeriförluster: Stripe behandlar betalningar för över 1 biljon USD årligen. Denna skala gör det unikt möjligt för Radar att hjälpa till att upptäcka och förhindra bedrägeri, vilket sparar dig pengar.
Öka intäkterna: Radars AI-modeller är tränade på verkliga tvistdata, kundinformation, webbläsardata etc. Detta gör att Radar kan identifiera riskabla transaktioner och minska falska positiva resultat, vilket ökar dina intäkter.
Spara tid: Radar är inbyggt i Stripe och kan konfigureras med noll kodrader. Du kan också övervaka din bedrägeriprestanda, skriva regler och annat på en enda plattform, vilket ökar effektiviteten.
Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.