Börja nu  Kontakta säljteamet 

Vad är carding? Hur den här typen av bedrägerier fungerar och hur företag kan förhindra det

Connect
Connect

Världens mest framgångsrika plattformar och marknadsplatser, som Shopify och DoorDash, använder Stripe Connect för att integrera betalningar i sina produkter.

Läs mer 
  1. Introduktion
  2. Så fungerar carding
    1. Stjäla kortinformation
    2. Testa kortets giltighet
    3. Utföra bedrägliga transaktioner
    4. Undvika upptäckt
  3. Så kan företag skydda sig mot carding
  4. Hur den mörka webben möjliggör carding
  5. Så påverkar carding företag och kunder
    1. Effekter för företaget
    2. Effekter på kunder
  6. Cardingens historia i korthet
    1. Starten och internets uppkomst
    2. Ny teknik dyker upp
  7. Hur Stripe Radar kan hjälpa till
  8. Kom igång med Stripe 

Carding är den olagliga metoden att erhålla, handla med eller använda kreditkortsinformation utan tillstånd – ofta för att köpa presentkort eller förbetalda kort. Carding bidrar till identitetsstöld, ekonomiska förluster för privatpersoner och företag och ett stort antal andra cyberbrott.

De globala förlusterna på grund av kreditkortsbedrägerier beräknas uppgå till 43 miljarder US-dollar fram till 2026. För att bekämpa carding använder organisationer säkerhetsåtgärder som tokenisering, kryptering, multifaktorautentisering och övervakningssystem mot bedrägerier. I denna guide kommer vi att behandla vad företag bör veta om carding, inklusive hur det fungerar och hur man skyddar sig.

Vad innehåller den här artikeln?

  • Så fungerar carding
  • Så kan företag skydda sig mot carding
  • Hur den mörka webben möjliggör carding
  • Så påverkar carding företag och kunder
  • Cardingens historia i korthet
  • Hur Stripe Radar kan hjälpa till

Så fungerar carding

Stjäla kortinformation

Carding-processen börjar med korttjuvar, så kallade carders, som stjäl kreditkortsinformation genom nätfiske, skimning, dataintrång och tangentbordsloggning.

Här är några vanliga sätt som carders kan använda för att stjäla kortinformation:

  • Nätfiske: Carders använder vilseledande e-postmeddelanden, webbplatser eller meddelanden för att lura individer att avslöja sin kreditkortsinformation. För att uppnå detta utger sig carders ofta för att vara legitima företag eller tjänster.

  • Skimning: Carders installerar enheter som kallas skimmers på bankomater, bensinstationspumpar eller POS-terminaler för att samla in kreditkortsinformation från fysiska kort.

  • Hackning: Cyberbrottslingar använder skadlig kod, utpressningstrojaner eller obehörig åtkomst för att infiltrera datorsystem eller databaser och stjäla kreditkortsinformation.

  • Tangentbordsloggning: Programvara eller hårdvara registrerar tangenttryckningar på offrets enhet för att samla in kreditkortsinformation och andra känsliga uppgifter.

  • SQL-injektion: Carders lägger in skadlig SQL-kod i en webbplatsdatabas för att extrahera känslig information, inklusive kreditkortsuppgifter.

  • ”Shoulder surfing”: Bedrägliga aktörer observerar medan personer anger sina kreditkortsuppgifter i bankomater eller kassadiskar och stjäl därefter informationen.

  • Formulärstöld: Carders komprometterar onlineformulär på legitima webbplatser för att samla in användarnas kreditkortsinformation.

  • Falska appar och webbplatser: Bedrägliga aktörer skapar falska applikationer eller webbplatser som ser legitima ut och lurar användare att lämna ut sina kreditkortsuppgifter.

  • Brute force-attacker: Cyberbrottslingar använder automatiserad programvara för att gissa kreditkortsnummer, ofta genom att prova olika kombinationer av siffror tills de hittar giltiga.

När carders stjäl kreditkortsinformation säljer de ofta vidare den på underjordiska marknadsplatser där köpare kan köpa kortnummer, utgångsdatum, CVV-koder och faktureringsadresser för de stulna korten.

Testa kortets giltighet

Efter att ha köpt stulen kreditkortsinformation använder bedrägliga aktörer carding-bottar för att validera informationen. Dessa bottar automatiserar processen att göra mindre transaktioner på e-handelswebbplatser för att testa om kortet är aktivt och kan användas utan att utlösa bedrägerivarningar.

Utföra bedrägliga transaktioner

Efter att ha verifierat ett korts legitimitet använder bedrägliga aktörer informationen för att göra obehöriga köp. De riktar ofta in sig på föremål med högt värde eller presentkort, som kan säljas vidare för kontanter eller användas för personliga ändamål. Carding-bottar gör det möjligt för bedrägliga aktörer att automatisera och skala upp denna process, rikta in sig på flera webbplatser och göra många transaktioner på kort tid.

Undvika upptäckt

Carders använder en rad verktyg och metoder för att undvika att deras bedrägeriverksamhet ska bli upptäckt. Ofta nyttjar de proxyservrar och VPN:er för att dölja var de befinner sig, vilket gör det svårare för e-handelsplattformar att flagga misstänkt aktivitet. Carders använder även slumpmässiga bottar för att efterlikna mänskligt beteende och kringgå insatser för att upptäcka bedrägerier, medan distribuerade botnät sprider ut verksamheten för att undvika att dra till sig uppmärksamhet. Dessutom omvandlar carders snabbt stulna varor till kontanter genom att sälja dem online eller genom lokala nätverk, vilket ytterligare försvårar arbetet med att spåra upp dem.

Så kan företag skydda sig mot carding

Sofistikerade system för identifiering av bedrägerier använder artificiell intelligens för att identifiera ovanliga köpmönster och beteenden. Här är några exempel på hur företag kan använda dessa tekniker och andra metoder för att skydda sig själva.

  • Adressverifieringssystem (AVS): AVS jämför den faktureringsadress som användaren anger med den som finns registrerad hos kortutfärdaren. Det är ett grundläggande men effektivt verktyg för bedrägeribekämpning.

  • Beteendeanalys: Analysera användarbeteendet på din plattform för att identifiera avvikelser som snabba transaktioner, upprepade försök med olika kortnummer eller ovanliga geolokaliseringsmönster.

  • Dynamisk riskbedömning och multifaktorautentisering: Tilldela riskpoäng till transaktioner baserat på flera faktorer, inklusive enhetens fingeravtryck, IP-adress, IP-geolokalisering och historiska data. Transaktioner med högre risk kan utlösa multifaktorautentisering (MFA).

  • CVV-koder: Att kräva att kunderna anger sin CVV-kod bidrar till att bekräfta att köparen fysiskt har kortet, vilket minskar risken för obehörig användning av stulna kortnummer.

  • Tokenisering: Konvertera känslig kreditkortsinformation till säkra tokens för internt bruk, minimera exponeringen av råa kortdata och minska risken för stöld.

  • End-to-end-kryptering: Kryptera känslig information från insamlingspunkten till lagring och bearbetning och minska risken för avlyssning och obehörig åtkomst.

  • Säker datalagring: Lagra kreditkortsinformation i krypterade databaser med begränsad åtkomst. Implementera rollbaserad åtkomstkontroll (RBAC) och se till att endast behörig personal kan komma åt känsliga data.

  • Transaktionsövervakning i realtid: Övervaka transaktioner i realtid för att identifiera potentiellt bedräglig aktivitet. Skicka automatiska aviseringar till säkerhetsteam för omedelbar utredning.

  • Incidenthanteringsteam: Etablera dedikerade incidenthanteringsteam med tydliga protokoll för hantering av carding-incidenter.

  • Dela information om hot: Delta i delningsprogram för information om aktuella hot för att hålla dig informerad om nya trender och metoder för carding.

  • Samarbete med brottsbekämpande myndigheter: Bygg relationer med brottsbekämpande myndigheter som specialiserar sig på cyberbrottslighet för att hjälpa till med utredningar och borttagning av carding-verksamhet.

  • CAPTCHA-alternativ: Använd avancerade CAPTCHA-lösningar eller alternativ som reCAPTCHA v3 som inte kräver någon användarinteraktion men som kan upptäcka botliknande beteende.

  • Hastighetsbegränsning och strypning: Implementera hastighetsbegränsning eller hastighetskontroller för att begränsa antalet transaktioner eller försök från en enskild IP-adress eller användare inom en viss tidsram.

  • Fingeravtryckstagning på enheten: Identifiera unika enhetsegenskaper för att identifiera automatiserad botaktivitet. Detta kan hjälpa till att förhindra att carding-bottar testar ett stort antal stulna kreditkortsuppgifter.

  • Varningar och meddelanden om bedrägerier: Skicka varningar till kunderna när misstänkt aktivitet upptäcks, så att de snabbt kan bekräfta eller neka transaktioner.

  • Kundutbildning: Utbilda kunder om riskerna med korttransaktioner och bästa praxis för skydd av kreditkortsinformation. Detta kan bidra till att minska sannolikheten för lyckade phishing-attacker eller social manipulation.

Hur den mörka webben möjliggör carding

Den mörka webben stöder anonyma transaktioner som är svåra för de brottsbekämpande myndigheterna att spåra eller störa. För de flesta betalningar används kryptovalutor som bitcoin, vilket döljer köpares och säljares identiteter.

Marknadsplatser använder sig av kryptering, dolda tjänster och distribuerad infrastruktur för att skydda användare och vara kvar på nätet trots nedstängningsinsatser. Även när sidor stängs ned, dyker dynamiska communities som cardingforum ofta upp under nya namn, vilket gör dem svåra att få bort helt.

Den mörka webbens marknadsplatser är centrala plattformar för handel med olagliga varor och tjänster, särskilt vad gäller finansiella bedrägerier. De erbjuder stulna kreditkortsuppgifter, som ofta organiseras efter specifika uppgifter som typ eller land, samt cardingverktyg som bottar och skadlig programvara som bidrar till att automatisera bedrägerier. Dessa marknadsplatser erbjuder också relaterade tjänster som kreditkortsvalidering, kontantuttagshjälp och skapande av falska id.

Den mörka webbens communities är kunskapsnav där erfarna carders delar med sig av tekniker, guider och råd till nykomlingar. Dessa plattformar möjliggör också nätverkande och samarbete, vilket gör att användare kan samordna mer sofistikerad bedrägeriverksamhet.

Så påverkar carding företag och kunder

Effekter för företaget

  • Ekonomiska förluster: När bedrägliga transaktioner inträffar får företagen ofta stå för kostnaden för återkrediteringar och återbetalningar. Detta kan påverka deras resultat, särskilt för små och medelstora företag.

  • Skadat anseende: Carding-incidenter kan skada ett företags rykte. Kunder som upplever bedrägerier på ett företags plattform kan förlora sitt förtroende för företaget och lämna negativa recensioner.

  • Driftskostnader: För att bekämpa carding måste företag investera i säkerhetsåtgärder, bedrägeriidentifieringssystem och kundsupport som kan hantera bedrägerirelaterade problem. Dessa kostnader kan vara betydande.

  • Ökad granskning: En hög bedrägerifrekvens kan leda till ökad granskning från betaltjänstleverantörernas sida, vilket kan leda till högre avgifter, strängare krav eller till och med uppsägning av handlarkonton.

  • Risker förknippade med regelefterlevnad: Företag är skyldiga att följa regler som Payment Card Industry Data Security Standard (PCI DSS). Om reglerna inte efterlevs på grund av carding-incidenter kan det leda till böter och juridiska konsekvenser.

Effekter på kunder

  • Komprometterade konton: Kunder som får sina kreditkortsuppgifter stulna kan upptäcka obehöriga debiteringar på sina konton. De måste sedan lägga tid och ansträngning på att arbeta med sina banker och kreditkortsföretag för att återföra bedrägliga debiteringar och återställa sina konton, vilket kan vara en lång och frustrerande process.

  • Identitetsstöld: Carding kan leda till mer omfattande identitetsstöld, där bedrägliga aktörer använder stulen kreditkortsinformation för att öppna nya konton, ansöka om lån eller begå andra former av bedrägerier.

  • Känslomässigt lidande: Att upptäcka obehöriga debiteringar och hantera efterdyningarna av carding kan orsaka kunderna känslomässigt lidande och ångest.

  • Inverkan på kreditvärdigheten: I vissa fall kan kortrelaterade bedrägerier påverka en kunds kreditvärdighet, särskilt om bedrägerier leder till missade eller uteblivna betalningar.

Cardingens historia i korthet

Starten och internets uppkomst

Till en början involverade carding främst fysiska metoder för att komma över kreditkortsinformation. Bedrägliga aktörer stal plånböcker eller väskor för att få tillgång till kreditkort, eller placerade enheter på bankomater eller POS-terminaler som fångade upp kortinformationen när kortet sveptes. Förekomsten av skimningsenheter rapporterades först omkring 2002.

I takt med att internet växte flyttade carding-verksamheten online, vilket ledde till nya tekniker som nätfiske och hackning inriktade på företagsdatabaser som lät bedragarna stjäla stora mängder kreditkortsinformation. Nätfiske har funnits sedan 1990-talet, men blev vanligare i början av 2000-talet i takt med att internet blev mer populärt.

Ny teknik dyker upp

Automatisering och avancerad programvara har lett till mer sofistikerade carding-tekniker. Carding-bottar har automatiserat carding- och valideringsprocessen och gjort det möjligt för bedrägliga aktörer att skala upp sin verksamhet och begå bedrägerier snabbare. Carders har också börjat använda distribuerade nätverk av bottar för att testa stora mängder stulna kreditkortsuppgifter och minska risken för upptäckt genom att sprida aktiviteten över flera platser och IP-adresser.

I takt med att cardingen blev mer sofistikerad utvecklades även säkerhetsåtgärderna. Chip- och PIN-teknik blev standard på 2010-talet för att göra kloning av fysiska kort svårare, vilket tvingade carders att förlita sig mer på onlinemetoder. E-handelsplattformar började implementera maskininlärning och AI-baserade system för att upptäcka bedrägerier och identifiera misstänkta mönster och transaktioner. CAPTCHA och multifaktorautentisering introducerades för att förhindra automatiserade bottar från att utnyttja onlinesystem.

Carders fortsätter att anpassa sig till nya säkerhetsåtgärder och tekniker med egna innovationer. Bland de nya teknikerna finns formulärstöld, syntetiska identitetsbedrägerier (skapande av falska identiteter med hjälp av stulna uppgifter i syfte att öppna kreditkonton) och kontokapningar (användning av stulen kortinformation för att få obehörig tillgång till befintliga konton).

Hur Stripe Radar kan hjälpa till

Stripe Radar använder AI-modeller som tränats för att upptäcka och förhindra bedrägeri, med hjälp av data från det globala Stripe-nätverket. Det uppdaterar kontinuerligt dessa modeller baserat på de senaste bedrägeritrenderna, vilket skyddar ditt företag när bedrägeri utvecklas.

Stripe erbjuder även Radar for Fraud Teams, som gör det möjligt för användare att lägga till anpassade regler som hanterar bedrägeriscenarier för just deras företag och få tillgång till avancerade bedrägeriinsikter.

Radar kan hjälpa ditt företag att:

  • Förhindra bedrägeriförluster: Stripe hanterar över 1 biljon dollar i betalningar årligen. Denna omfattning gör det möjligt för Radar att på ett korrekt sätt upptäcka och förhindra bedrägerier, vilket sparar pengar.
  • Öka intäkterna: Radars AI-modeller är tränade på verkliga tvistdata, kundinformation, webbläsardata etc. Detta gör att Radar kan identifiera riskabla transaktioner och minska falska positiva resultat, vilket ökar dina intäkter.
  • Spara tid: Radar är inbyggt i Stripe och kan konfigureras med noll kodrader. Du kan också övervaka din bedrägeriprestanda, skriva regler och annat på en enda plattform, vilket ökar effektiviteten.

Läs mer om Stripe Radar, eller kom igång idag.

Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.

Fler artiklar

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Connect

Connect

Lansera inom bara några veckor i stället för kvartal, bygg upp en lönsam betalningsverksamhet och väx på ett enkelt sätt.

Dokumentation om Connect

Läs om hur du förmedlar betalningar mellan flera olika parter.