Carding är den olagliga metoden att erhålla, handla med eller använda kreditkortsinformation utan tillstånd – ofta för att köpa presentkort eller förbetalda kort. Carding bidrar till identitetsstöld, ekonomiska förluster för privatpersoner och företag och ett stort antal andra cyberbrott.
Globala förluster till följd av kortbedrägeri översteg 33 miljarder USD 2022. För att bekämpa carding använder organisationer säkerhetsåtgärder som tokenisering, kryptering, multifaktorautentisering och övervakningssystem mot bedrägerier. Den här guiden tar upp vad företag bör veta om carding, inklusive hur det fungerar och hur de kan skydda sig.
Vad innehåller den här artikeln?
- Så fungerar carding
- Cardingens historia i korthet
- Så möjliggör dark web och andra onlinegemenskaper carding
- Så påverkar carding företag och konsumenter
- Så kan företag skydda sig mot carding
Så fungerar carding
Stjäla kortinformation
Carding-processen börjar med korttjuvar, så kallade "carders", som stjäl kreditkortsinformation genom metoder som nätfiske, skimning, dataintrång och tangentbordsloggning.
Nätfiske: Carders använder vilseledande e-postmeddelanden, webbplatser eller meddelanden för att lura individer att avslöja sin kreditkortsinformation. För att uppnå detta utger sig carders ofta för att vara legitima företag eller tjänster.
Skimning: Carders installerar enheter som kallas skimmers på bankomater, bensinstationspumpar eller POS-terminaler för att samla in kreditkortsinformation från fysiska kort.
Hackning: Cyberbrottslingar använder skadlig kod, utpressningstrojaner eller obehörig åtkomst för att infiltrera datorsystem eller databaser och stjäla kreditkortsinformation.
Tangentbordsloggning: Programvara eller hårdvara registrerar tangenttryckningar på offrets enhet för att samla in kreditkortsinformation och andra känsliga uppgifter.
SQL-injektion: Skadlig SQL-kod som infogas i en webbplats databas extraherar känslig information, inklusive kreditkortsuppgifter.
”Shoulder surfing”: Bedrägliga aktörer observerar medan personer anger sina kreditkortsuppgifter i bankomater eller kassadiskar och stjäl därefter informationen.
Formulärstöld: Carders komprometterar onlineformulär på legitima webbplatser för att samla in användarnas kreditkortsinformation.
Falska appar och webbplatser: Bedrägliga aktörer skapar falska applikationer eller webbplatser som ser legitima ut och lurar användare att lämna ut sina kreditkortsuppgifter.
Brute force-attacker: Brottslingar använder automatiserad programvara för att gissa kreditkortsnummer, ofta genom att prova olika kombinationer av siffror tills de hittar giltiga.
När carders stjäl kreditkortsinformation säljer de ofta vidare den på underjordiska marknadsplatser där köpare kan köpa kortnummer, utgångsdatum, CVV-koder och faktureringsadresser för de stulna korten.
Testa kortets giltighet
Efter att ha köpt stulen kreditkortsinformation använder bedrägliga aktörer kortrobotar för att validera informationen. Dessa botar automatiserar processen att göra små transaktioner på e-handelswebbplatser för att testa om kortet är aktivt och kan användas utan att utlösa bedrägerivarningar.
Utföra bedrägliga transaktioner
Efter att ha verifierat ett korts legitimitet använder bedrägliga aktörer informationen för att göra obehöriga köp. De riktar ofta in sig på föremål med högt värde eller presentkort, som kan säljas vidare för kontanter eller användas för personliga ändamål. Carding-botat gör det möjligt för bedrägliga aktörer att automatisera och skala upp denna process, rikta in sig på flera webbplatser och göra många transaktioner på kort tid.
Undvika upptäckt
Carders använder följande metoder och verktyg för att undvika upptäckt:
Proxyservrar och VPN: Dessa maskerar korttjuvarnas plats och gör det svårt för e-handelswebbplatser att upptäcka ovanliga mönster.
Randomiserade botar: Dessa botar simulerar mänskligt beteende för att undvika att utlösa bedrägeribekämpningssystem.
Distribuerade attacker: Distribuerade nätverk av botar undviker att koncentrera misstänkt aktivitet på en plats.
Återförsäljning och konvertering: Carders omvandlar snabbt olagligt köpta varor till kontanter, vilket gör det svårt att spåra aktiviteten. De kan sälja produkter vidare på onlinemarknadsplatser eller via lokala nätverk.
Cardingens historia i korthet
Starten: Fysisk stöld och skimning
Till en början involverade carding främst fysiska metoder för att komma över kreditkortsinformation. Bedrägliga aktörer stal plånböcker eller väskor för att få tillgång till kreditkort, eller placerade enheter på bankomater eller POS-terminaler som fångade upp kortinformationen när kortet sveptes. Förekomsten av skimningsenheter rapporterades först omkring 2002.
Internets framväxt: Nätfiske och hackning
I takt med att internet växte flyttade cardingverksamheten online, vilket ledde till nya tekniker som nätfiske och hackning inriktade på företagsdatabaser som lät bedragarna stjäla stora mängder kreditkortsinformation. Nätfiske har funnits sedan 1990-talet, men blev vanligare i början av 2000-talet i takt med att internet blev mer populärt.
Darknet och illegala marknadsplatser
Den svarta marknaden för stulen kreditkortsinformation expanderade och bedrägliga aktörer började handla med informationen på darknet. Detta gjorde det lättare för bedrägliga aktörer att förvärva och sälja kortdata, och webbaserade carding-forum blev populära för att dela cardingtekniker, sälja stulna data och samordna kriminella aktiviteter.
Carding-botar och automatisering
Framväxten av automatisering och avancerad programvara ledde till mer sofistikerade cardingstekniker. Carding-botar har automatiserat carding- och valideringsprocessen och gjort det möjligt för bedrägliga aktörer att skala upp sin verksamhet och begå bedrägerier snabbare. Carders har också börjat använda distribuerade nätverk av botar för att testa stora mängder stulna kreditkortsuppgifter och minska risken för upptäckt genom att sprida aktiviteten över flera platser och IP-adresser.
Förbättrade säkerhetsåtgärder och anpassningar
I takt med att cardingen blev mer sofistikerad utvecklades även säkerhetsåtgärderna. Chip- och PIN-teknik blev standard på 2010-talet för att göra kloning av fysiska kort svårare, vilket tvingade carders att förlita sig mer på onlinemetoder. E-handelsplattformar började implementera maskininlärning och AI-baserade system för att upptäcka bedrägerier och identifiera misstänkta mönster och transaktioner. CAPTCHA och multifaktorautentisering introducerades för att förhindra automatiserade botar från att utnyttja onlinesystem.
Moderna tekniker och utmaningar
Carders fortsätter att anpassa sig till nya säkerhetsåtgärder och tekniker med egna innovationer. Bland de nya teknikerna finns formulärstöld (injicering av skadlig kod i onlineformulär för att samla in kreditkortsinformation), syntetiska identitetsbedrägerier (skapande av falska identiteter med hjälp av stulna uppgifter i syfte att öppna kreditkonton) och kontokapningar (användning av stulen kortinformation för att få obehörig tillgång till befintliga konton).
Så möjliggör dark web och andra onlinegemenskaper carding
Dark web och andra onlinegemenskaper har möjliggjort carding genom att tillhandahålla plattformar för utbyte av stulen kreditkortsinformation, verktyg och kunskap. Cardingverksamheten har blivit mer motståndskraftig och anpassningsbar på grund av den anonymitet och säkerhet som dessa plattformar tillhandahåller, vilket innebär ständiga utmaningar för brottsbekämpande myndigheter och cybersäkerhetspersonal. Här är vad du bör veta.
Marknadsplatser på dark web
Dark web är en del av internet som inte indexeras av traditionella sökmotorer och bara är tillgänglig via specialiserad programvara som Tor. Dess anonyma karaktär gör det till en attraktiv miljö för olaglig verksamhet, inklusive carding. Marknadsplatser på dark web fungerar som nav för inköp och försäljning av olagliga varor och tjänster, bland annat följande:
Stulna kreditkortsuppgifter: Bedrägliga aktörer kan sälja stora mängder kreditkortsinformation på dark web, ofta kategoriserad efter korttyp, ursprungsland eller kreditgräns.
Carding-verktyg: Carding-relaterad programvara – som carding-botar, skadlig kod och tangentloggningar – finns att köpa på dark web, vilket gör det möjligt för brottslingar att automatisera och skala upp sina aktiviteter.
Relaterade tjänster: Marknadsplatser på dark web har ofta leverantörer som erbjuder tjänster som kreditkortsvalidering, kontantuttag och skapande av falska identitetshandlingar.
Forum och gemenskaper
Onlineforum och gemenskaper på dark web och andra plattformar fungerar som kunskapsdelningsnav för carding och relaterade aktiviteter. Erfarna carders delar med sig av tips, tricks och steg-för-steg-guider om hur man utför carding och undviker upptäckt. Nykomlingar inom carding kan söka råd och mentorskap från erfarna carders. Carders använder dessa forum för att skapa nätverk och partnerskap, samla resurser och samordna mer komplexa operationer.
Anonymitet och säkerhet
Dark web underlättar anonyma, säkra transaktioner som gör det svårt för brottsbekämpande myndigheter att övervaka och åtgärda olagliga aktiviteter.
Kryptovalutor: Vanligtvis använder transaktioner på dark web kryptovalutor som Bitcoin, vilket ger ett lager av anonymitet för både köpare och säljare.
Dolda tjänster och krypterad kommunikation: Marknadsplatser och forum på dark web använder kryptering och teknik för dolda tjänster för att skydda användarnas identiteter och dölja deras aktiviteter.
Motståndskraftig infrastruktur: Marknadsplatser på dark web använder ofta distribuerad och redundant infrastruktur för att motstå nedstängningar från myndigheter.
Dynamiska gemenskaper: Carding-forum och gemenskaper kan snabbt återuppstå under olika namn och platser, vilket gör det svårt att spåra och demontera dem.
Så påverkar carding företag och konsumenter
Effekter för verksamheten
Ekonomiska förluster: När bedrägliga transaktioner inträffar står företagen ofta för kostnaderna för återkrediteringar och återbetalningar. Detta kan påverka deras resultat, särskilt vad gäller små och medelstora företag. Utöver den återbetalade försäljningen och eventuella återkrediteringsavgifter kan företag drabbas av ökade kostnader och restriktioner från betaltjänstleverantörer om de har en hög återkrediteringsfrekvens på grund av bedrägerier.
Skadat anseende: Carding-incidenter kan skada ett företags rykte. Kunder som upplever bedrägerier på ett företags plattform kan förlora sitt förtroende för företaget och lämna negativa recensioner.
Driftskostnader: För att bekämpa carding måste företag investera i säkerhetsåtgärder, bedrägeriidentifieringssystem och kundsupport som kan hantera bedrägerirelaterade problem. Dessa kostnader kan vara betydande.
Ökad granskning: En hög bedrägerifrekvens kan leda till ökad granskning från betaltjänstleverantörernas sida, vilket kan leda till högre avgifter, strängare krav eller till och med uppsägning av handlarkonton.
Risker förknippade med regelefterlevnad: Företag måste följa bestämmelser som betalkortbranschens standarder för datasäkerhet (PCI DSS). Underlåtenhet att upprätthålla efterlevnad på grund av carding-incidenter kan leda till böter och rättsliga konsekvenser.
Effekter för konsumenter
Komprometterade konton: Konsumenter som får sina kreditkortsuppgifter stulna kan upptäcka obehöriga debiteringar på sina konton. De måste sedan lägga tid och ansträngning på att arbeta med sina banker och kreditkortsföretag för att återföra bedrägliga debiteringar och återställa sina konton, vilket kan vara en lång och frustrerande process.
Identitetsstöld: Carding kan leda till mer omfattande identitetsstöld, där bedrägliga aktörer använder stulen kreditkortsinformation för att öppna nya konton, ansöka om lån eller begå andra former av bedrägerier.
Känslomässigt lidande: Att upptäcka obehöriga debiteringar och hantera efterdyningarna av carding kan orsaka konsumenterna känslomässigt lidande och ångest.
Inverkan på kreditvärdigheten: I vissa fall kan kortrelaterade bedrägerier påverka en konsuments kreditvärdighet, särskilt om bedrägerier leder till missade eller uteblivna betalningar.
Så kan företag skydda sig mot carding
Sofistikerade system för identifiering av bedrägerier använder maskininlärning och artificiell intelligens för att identifiera ovanliga köpmönster och beteenden. Här är några sätt som företag kan använda dessa tekniker och andra metoder för att skydda sig själva.
Beteendeanalys: Analysera användarbeteendet på din plattform för att identifiera avvikelser som snabba transaktioner, upprepade försök med olika kortnummer eller ovanliga geolokaliseringsmönster.
Dynamisk riskbedömning och multifaktorautentisering: Tilldela riskpoäng till transaktioner baserat på flera faktorer, inklusive enhetens fingeravtryck, IP-adress, geolokalisering och historiska data. Transaktioner med högre risk kan utlösa multifaktorautentisering (MFA).
Tokenisering: Konvertera känslig kreditkortsinformation till säkra tokens för internt bruk, minimera exponeringen av råa kortdata och minska risken för stöld.
End-to-end-kryptering: Kryptera känslig information från insamlingspunkten till lagring och bearbetning och minska risken för avlyssning och obehörig åtkomst.
Säker datalagring: Lagra kreditkortsinformation i krypterade databaser med begränsad åtkomst. Implementera rollbaserad åtkomstkontroll (RBAC) och se till att endast behörig personal kan komma åt känsliga data.
Transaktionsövervakning i realtid: Övervaka transaktioner i realtid för att identifiera potentiellt bedräglig aktivitet. Skicka automatiska aviseringar till säkerhetsteam för omedelbar utredning.
Incidenthanteringsteam: Etablera dedikerade incidenthanteringsteam med tydliga protokoll för hantering av carding-incidenter.
Dela information om hot: Delta i delningsprogram för information om aktuella hot för att hålla dig informerad om nya trender och metoder för carding.
Samarbete med brottsbekämpande myndigheter: Bygg relationer med brottsbekämpande myndigheter som specialiserar sig på cyberbrottslighet för att hjälpa till med utredningar och borttagning av carding-verksamhet.
CAPTCHA-alternativ: Använd avancerade CAPTCHA-lösningar eller alternativ som reCAPTCHA v3 som inte kräver någon användarinteraktion men som kan upptäcka botliknande beteende.
Hastighetsbegränsning och strypning: Implementera hastighetsbegränsning för att begränsa antalet transaktioner eller försök från en enskild IP-adress eller användare inom en viss tidsram.
Fingeravtryckstagning på enheten: Identifiera unika enhetsegenskaper för att identifiera automatiserad botaktivitet. Detta kan hjälpa till att förhindra att kortbotar testar ett stort antal stulna kreditkortsuppgifter.
Varningar och meddelanden om bedrägerier: Skicka varningar till kunderna när misstänkt aktivitet upptäcks, så att de snabbt kan bekräfta eller neka transaktioner.
Kundutbildning: Utbilda kunder om riskerna med korttransaktioner och bästa praxis för skydd av kreditkortsinformation. Detta kan bidra till att minska sannolikheten för lyckade phishing-attacker eller social manipulation.
Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.