Все о кардинге
На самом деле, схем кардинга несколько. Первая, многим хорошо известная – мошенники приобретают базу с данными пользователей. Такие базы продаются в даркнете. Данные обычно «сливаются» сотрудниками – настоящими или бывшими – тех компаний, куда клиенты предоставляют свои персональные данные. Помимо этого, базы подвергаются атакам хакеров, и личные данные людей становятся доступными для кардеров. Далее мошенник действует по такой схеме:
1. Звонок потенциальной жертве (чаще всего звонит, конечно, не сам кардер, а его «подчиненный», представившийся сотрудником службы безопасности банка).
2. Сообщение о «подозрительной» операции на крупную сумму, ожидающей подтверждения кардхолдера (держателя пластика). Обеспокоенный человек, конечно же, ответит, что никаких подобных операций не совершал и не планировал.
3. Далее мошенник сообщает, что «клиент» подвергся атаке мошенников (в данном случае, это истинная правда). И, чтобы защитить средства, просит продиктовать четырехзначный код, который будет получен по смс. Все, деньги списаны.
Код генерируется платежным агрегатором, используемым интернет-магазином. Вот мы и подошли ко второй популярной схеме кардинга в интернете.
Думаю, вам приходилось встречать в сети объявления о продаже товаров из США и Европы по довольно низким ценам. Используя популярные интернет-сервисы для размещения объявлений о продаже товаров, преступники сбывают вещи, купленные на деньги держателей карт в зарубежных интернет-магазинах.
Здесь есть несколько разновидностей схемы. Первая, уже известная вам, описана выше. Другая схема предполагает отсутствие двухфакторной аутентификации (т.е. смс-сообщения с одноразовым кодом, необходимого для списания средств). В таких случаях для проведения платежа достаточно знать реквизиты карты, включая трехзначный код на обратной стороне.
Этот код может быть получен несколькими способами:
1.непосредственно от владельца пластика путем введения в заблуждение;
2.в результате взлома компьютера или смартфона пользователя;
3. к сожалению, известны также случаи, когда код был считан с серверов платежных агрегаторов или добросовестных магазинов, подвергшихся атаке хакеров.
Кредитные карты:
В данном случае имеются в виду любые пластиковые карты – не обязательно кредитные. Термин «кредитная карта» пришел с запада, где расчеты кредитками существуют уже несколько десятилетий. С появлением безналичных расчетов в России стали выпускаться дебетовые карты, а термин «кредитка» так и остался.
Для некоторых интернет-магазинов и платежных систем этих данных бывает достаточно. Найти магазин, принимающий платежи по CVV-коду – задача не из легких, однако такие магазины существуют. Их поиск в сети – одно из основных направлений деятельности кардера.
Я бы еще рекомендовала придерживаться следующего правила. Если продавец просит перевести деньги через какой-то малоизвестный платежный сервис, название которого вам ни о чем не говорит – воздержитесь от покупки. В большинстве случаев используется двухфакторная аутентификация и другие способы защиты.
Двухфакторная аутентификация, VBV, MCSC
Итак, двухфакторная аутентификация – это то самое смс сообщение с автоматически сгенерированным числовым кодом, которое приходит на ваш телефон для подтверждения платежа. Теоретически, код должен быть известен только вам. К сожалению, для того, чтобы код узнал мошенник, не всегда обязательно сообщать ему лично. Информация может быть считана вредоносной программой, внедренной на вашем устройстве, или путем подмены файлов cookies.
Cookies – это файлы, отправляемые на ваше устройство при посещении того или иного сайта. Наверняка вы видели всплывающую надпись примерно такого содержания: «Этот сайт использует файлы cookies, просим подтвердить доступ для вашей безопасности, и т.д.». Эта надпись часто мешает просмотру контента, и в большинстве случаев мы просто нажимаем «Принять», чтобы надоедливый баннер исчез. Что это за файлы, и какую информацию о вас они собирают?
В большинстве случаев, файлы cookies абсолютно безопасны. Основная их функция – идентифицировать вас как уникального пользователя. Известно, что многие сайты зарабатывают на рекламе. В этом случае доход владельца сайта зависит от количества просмотров.
Кроме того, регистрируясь на сайте, например, интернет-магазина, вы создаете учетную запись. Нередко к аккаунту пользователя привязываются и данные карты, чтобы не вводить их заново каждый раз при совершении платежа.
Чем они могут быть опасны? Самое безобидное – ваши данные могут использоваться для навязчивой рекламы. Иногда владельцы сайтов продают рекламодателем файлы cookies вместе с информацией о вас. Кроме того, существует еще контекстная реклама, когда с помощью cookies отслеживается история ваших запросов. Способы получения данных в этих случаях не всегда законны, но это отдельная тема.
Бывает и так, что файлы cookies перехватываются хакером с целью создания их копии и действий от вашего имени, в том числе кардинга с использованием вашей учетной записи.
VBV и MCSC – это способы двухфакторной аутентификации без использования телефонного номера. В этом случае владелец пластика самостоятельно создает пароль для совершения платежей и устанавливает его на карту через банкомат или сайт банка. В России и странах СНГ эти способы не очень популярны, однако на Западе они широко используются. Эти коды являются более уязвимыми, нежели аутентификация по смс, т.к. используются многократно.
Иногда сам кардер может установить такой код на кредитку ничего не подозревающего человека и совершать покупки в сети от его имени.
Методы кардинга
Вещевой кардинг:
Итак, вещевой кардинг – это покупка товаров без согласия держателя карты. Этот метод становится достаточно сложным, т.к. большинство интернет-магазинов работают с проверенными банками, использующими двухфакторную аутентификацию. Но следует отметить, что вещевой кардинг в России не очень широко распространен – большинство преступников охотятся за деньгами иностранцев, которые используют многократные системы защиты – VBV или MCSC.
Схема кардинга работает так: с чужой кредитки оплачивается товар, а доставка оформляется на адрес дропа (подставного лица). Процедура ввода данных для совершения платежа носит название «вбив».
В случае успешного зачисления средств с чужой карты на электронный адрес, созданный мошенником специально для этих целей, приходит подтверждение с трек-номером для отслеживания посылки.
Основная сложность заключается в том, что непросто найти интернет-магазин, который готов доставлять посылку на указанный плательщиком адрес. Большинство компаний предпочитает не рисковать своей репутацией и оформляют доставку на адрес регистрации покупателя. Однако находятся те, кто работает с так называемыми «шипами» (от англ. ship address – адрес доставки). В этом случае используется адрес дропа.
Подарочные сертификаты:
Это одна из разновидностей вещевого кардинга. Владелец карты может долгое время не замечать, что с его счета пропадают бонусы. Согласитесь, не все следят за бонусами, которые начисляются за крупные покупки. Также не все имеют возможность распорядиться этими бонусами в ограниченные сроки.
Например, человек приобрел iPhone последней модели и получил подарочный сертификат от магазина Apple сроком действия 3 месяца. Сертификат обычно подразумевает компенсацию какой-то небольшой части покупки. Маловероятно, что в такой короткий период человек снова надумает приобрести что-то дорогостоящее. А многие и попросту забывают о таких подарках, чем успешно пользуются кардеры.
Сведения об имеющихся на счете бонусах и подарочных сертификатах мошенник получает из фулки. Потратить средства можно по своему усмотрению. Гифты (от англ. gift – подарок) – так именуются сертификаты на сленге мошенников в области кардинга – можно перепродать в даркнете за 20-30% от номинала.
Как происходит процесс кражи средств:
1. Получение данных непосредственно от владельца (телефонное мошенничество), когда преступник звонит человеку, запугивает его на предмет подозрительных операций с картой и получает пароль из смс. С этим тоже все более-менее понятно.
2.Что касается получения данных о владельцах аккаунтов из сети, то это происходит обычно при помощи бота, который распространяет вредоносное программное обеспечение, считывающее персональные данные владельцев счетов. В этом случае пострадавший узнает о хищении только при получении уведомления о списании средств, если такая настройка установлена на мобильном телефоне или электронной почте.
3.Есть еще скам (от англ. scam – афера) в кардинге, который не является кардингом в прямом смысле этого слова. Скам заключается в обмане новичков, желающих попробовать себя в кардинге. На сленге их называют «хомячки». Зарегистрировавшись на форуме кардеров, новичок находит объявление о продаже техники по цене 50% от реальной стоимости, кредиток или аккаунтов в платежных системах и т.д. Большая часть таких объявлений – это «развод». Поэтому, придя в кардинг, новичок с вероятностью более 90% нарвется на мошенника. И гаджет, за который заплачены деньги, скорее всего, «хомячок» никогда не увидит. Как и денег, разумеется.
Почему кардеры избегают наказания:
Вообще мошенничество в сети – сфера, в которой доказать что-либо довольно сложно. Во-первых, дело заводят, только если похищена крупная сумма (на Западе – от 1000 долларов). В России для открытия уголовного дела сумма должна составлять не менее 5000 рублей. Однако на практике это реализуется сложно, и вот почему.
Предположим, правоохранительные органы вышли на дропа. Какие сведения он им сообщит? «Нашел объявление на бирже, требовалось отвезти посылку. Я ее отвез, получил свои 500 руб. Больше с заказчиком не контактировал». И это часто является правдой. Если даже он сообщит номер и адрес электронной почты, по которому с ним связывались – номер, скорее всего, уже не используется, а почта зарегистрирована на IP другой страны. Деньги в качестве оплаты за задание были внесены через банкомат. Как в этом случае найти преступника?
Даже если полиция выйдет на самого кардера и нагрянет к нему домой, то в качестве доказательств используется переписка в мессенджерах (которую можно быстро уничтожить) или наличие на компьютерах вредоносных программ. Но профессионалы работают через VPN, используют мессенджеры с криптозащитой и соблюдают другие правила безопасности в сети.
Кроме того, кардер может представиться дропом, а в этом случае он уже не обвиняемый, а свидетель.
Поэтому лучшее, что мы можем предпринять – это меры безопасности.