Что такое кардинг и фишинг
Что такое кардинг и как защититься от взлома, покупая в интернете
Что такое кардинг?
Кардинг — вид мошенничества, при котором хакеры совершают операцию с использованием платежной карты без участия ее владельца.
Один из способов получить доступ к карте — взломать интернет-магазин, где пользователи совершают онлайн-покупки. В этом случае от жертвы ничего не зависит — она может соблюдать все меры безопасности, а информация о банковской карте все равно окажется в руках злоумышленников, и они смогут снять с нее деньги. Одна из таких хакерских группировок в период с 2017 по 2020 год заразила 571 сайт. Мошенников задержали в 2020 году.
Кардинг появился вместе с началом электронной коммерции в 1990-х годах. Тогда интернет-магазины не ждали мошенников и радовались каждой совершенной покупке в своей новой нише. Этим и пользовались кардеры. Они создавали карты несуществующих людей с помощью специальных генераторов и оплачивали ими покупки. Интернет-магазины охотно принимали их. Обман обнаруживали только в конце месяца, когда магазины запрашивали у банков переводы на оплату товара. Тогда становилось понятно, что в этих случаях применялись несуществующие карты, и денег магазин не получал.
Каким бывает кардинг?
По механике взлома кардинг бывает двух типов:
В первом случае применяется прибор для скимминга или участвует сотрудники банка. Скимминг — это кража данных карт при помощи миниатюрного устройства, крепящегося к банкомату.
По данным Европейской ассоциации безопасных транзакций (EAST), число атак с физическим доступом к картам в Европе снижается. Это объясняют изменением культуры пользования картами и банкоматами. Чаще всего в атаках с физическим доступом к карте или банкомату участвовали сотрудники компаний с доступом к терминалу. Теперь они приносят его к клиенту, а не забирают карту.
Уровень системы безопасности банкоматов повысился — на них ставят физические и электронные средства защиты для обнаружения скиммеров. Все это способствовало снижению случаев мошенничества с физическим доступом к банкомату или карте.
Впрочем, мошенники тоже совершенствуют технологии. EAST сообщает, что количество вредоносных программ для банкоматов и логических атак на банкоматы резко возросло.
Наиболее опасны атаки класса BlackBox — миниатюрный компьютер подключается к банкомату по проводу и заставляет его выдать все имеющиеся деньги. Число атак такого типа растет. Эксперты EAST насчитали 35 таких атак в первой половине 2019 года. В первой половине 2020-го их было уже 129. Убытки от такого типа атак выросли с менее чем €1 000 ($1 200) в первой половине 2019 года до более чем €1 млн ($1,2 млн) в 2020-м.
Проблема в том, что производители банкоматов считают потери от этого вида взлома менее значительными, чем расходы по модификации программного обеспечения. В итоге современные банкоматы практически не защищены от угрозы BlackBox.
В случае дистанционной атаки получить данные карт можно каким угодно способом. Достаточно иметь номер карты, дату окончания обслуживания и трехзначный CVV-код. Они могут быть похищены любым способом — находка потерянного пластика, запечатление их на снимке, фишинг (пользователь переходит на сайт-подделку и сам их указывает, думая, что покупает товар или услугу).
Впрочем, по конечной цели удаленные атаки на банковские счета можно разделить на два типа:
В первом случае применяется веб-скимминг. Атаки этого типа осуществляются с помощью программного обеспечения Magecart (первые атаки с такой механикой были нацелены на интернет-магазины, применявшие программное обеспечение Magento). В 2018 году у авиакомпании British Airways было украдено 380 тыс. реквизитов карт с помощью этого вида атак. Данные карт с ее сайта успешно собирались в течение трех недель.
Веб-скимминг набирает популярность. Многие злоумышленники обратились к нему на фоне пандемии, когда число покупок в интернете резко возросло.
Веб-скимминг применяется для взлома веб-сайтов, как правило, с использованием вредоносного кода JavaScript. Магазины, построенные на Magento, — по-прежнему основная мишень хакеров, однако атаки этого типа опасны для любого веб-сайта, на котором злоумышленнику удастся получить доступ к коду JavaScript.
Для атаки на пользователя карты применяются банковские трояны. Они заражают компьютеры и смартфоны пользователей, после чего проникают в веб-браузер для кражи паролей, номеров кредитных карт и любой другой конфиденциальной информации, которая вводится на любом из целевых веб-сайтов.
Что кардеры делают с данными?
По конечной цели кардинг делится на два типа:
Похищенная информация позволяет создать «цифрового двойника» жертвы. Это позволяет преступнику снять деньги, сохранив анонимность. Данные карт продаются на форумах в даркнете или специализированных сайтах для кардеров.
Приобрести данные можно оптом или запросить конкретную карту. Во втором случае цена будет ниже. Стоимость карты зависит от того, сколько денег на ней хранится — чем больше, тем дороже.
Как работают кардеры?
Самый крупный случай кардинга был зарегистрирован в 2007 году. Хакер Альберт Гонсалес получил информацию о более чем 135 млн кредитных и дебетовых карт клиентов американского поставщика технологий и обработки платежей Heartland Payment Systems, розничных магазинов 7-Eleven и Hannaford Brothers, а также в двух неустановленных компаний.
Получив данные, он выставил их на продажу на собственной бирже кардеров Shadowcrew. Другие злоумышленники могли выкупить их для последующих мошеннических действий. Гонсалес получил 20 лет тюрьмы.
В 2012 году была похищена информация о 40 млн карт в результате взлома производителя программного обеспечения для обработки файлов Adobe Systems. По данным главы службы безопасности, информация включала в себя имена клиентов, зашифрованные номера платежных карт, даты истечения срока действия и информацию о заказах.
Что значит вещевой кардинг?
Вещевой кардинг — это способ обналичивания денег со взломанных банковских счетов. Кардер покупает товары, подарочные сертификаты, подписки и услуги, используя чужие банковские реквизиты. Для этого мошенникам нужны только номер карты, дата и трехзначный код (CVC). В некоторых случаях могут потребоваться имя владельца, его адрес и номер телефона. Чем больше информации известно о жертве, тем легче работать злоумышленнику.
После того как товар пришел на указанный адрес, мошенники либо высылают его скупщикам, которые платят, в среднем 30% от его полной стоимости, либо шлют через пересылочные пункты (официальные сайты, никак не связанные с мошеннической деятельностью) на адреса, к которым обычно имеют доступ. Перепродают такой товар на торговых площадках (Amazon, Ebay, «Авито», «Юла») или в торговых группах социальных сетей.
Эти люди крадут деньги с вашей банковской карты. Кто такие кардеры
Вы наверняка встречали в интернете кучу объявлений о продаже новых вещей или техники из США, Европы и так далее. Но вряд ли догадывались, что весомая их часть публикуется кардерами.
Рассказываем, что это за тёмный бизнес, и как кардеры работают.
Предупреждение: статья носит исключительно информационный характер. Кража и мошенничество преследуются законом.
Что такое кардинг?
По большому счёту, кардинг – это кража денег с карты на свою карту, счет, аккаунт в платёжной системе, а также покупка товаров с использованием чужой кредитной карты. Чаще всего кардеры используют снятие наличных, покупку брендовой одежды или электроники.
Раньше многие кардеры работали с американским eBay через PayPal, к которому была привязана чужая карта. Теперь eBay в США и PayPal ужесточили правила, но кардеры никуда не делись – перешли на работу с другими странами, к примеру, Германией, Францией, Италией и т.д.
У кардеров есть свои гуру, каналы в Telegram и обучающие курсы, где учат правильно проворачивать чёрные схемы. И это также приносит доход, порой больший, чем непосредственно от кардинга. В общем, индустрия в тренде.
Как работают кардеры?
Прежде всего, им нужен номер карты и данные для аутентификации (пароль от банковского аккаунта, VDV для карт с 3D Secure, CVV2/CVC2 и т.п.). Часто кардеры покупают базу данных и проверяют актуальность информации в ней или же подбирают пароли с помощью брутфорса или других методов.
В даркнете купить данные карты можно за 300-500 рублей. Кроме того, кардеры оплачивают VPN с возможностью выбора сервера (желательно с точностью до штата или хотя бы до страны) и другие средства анонимизации.
Другой вариант – организация фишинговой кампании. Копируется страница банка с формой для входа в аккаунт или создаётся фальшивое приложение, с помощью спама распространяется ссылка на него.
Пользователь, обеспокоенный тем, что его карту могут заблокировать; банк просит подтвердить операцию; поступил перевод неизвестно от кого – идёт на фальшивый сайт или запускает поддельное приложение. Кардер забирает введённые данные и переводит все деньги себе. Или ждёт больших поступлений, чтобы выгрести по максимуму.
Судя по обсуждениям в даркнете, кардер на старте тратит 5-10 тыс. рублей. Это оплата VPN, туннелей ipsocks, взломанных аккаунтов и доступов к компьютерам, услуг «прозвонщиков», которые общаются с продавцами или службой поддержки банка на нужном языке, сканов документов для посредников. А также «набивание шишек» – далеко не с первой карты всё идёт гладко.
Что такое вбив?
Это процесс ввода данных карты в форму на сайте магазина или платёжной системы. Чтобы не рисковать, кардеры используют для вбива взломанные компьютеры рядовых пользователей. Затем их чистят от логов или избавляются от железа.
Другой вариант – работа с эмулятора Android-смартфона или виртуальной машины. После вбива достаточно удалить программное обеспечение, чтобы замести следы.
Как заказывают товары с чужой карты
Американские и европейские магазины часто не отправляют товар покупателю в Россию, Украину, Казахстан и другие страны бывшего СССР, если он был заказан с привязанного к карте PayPal, который принадлежит гражданину США, Канады или европейских стран. В крупных магазинах и платёжных системах есть системы антифрода, которые блокируют подозрительные транзакции.
Но мошенников это не останавливает.
Они заказывают с карты жертвы подарочную карту (e-gift), а затем со взломанной почты жертвы получают код этой подарочной карты. Непосредственно заказ осуществляется со своего аккаунта, но по коду подарочной карты.
Кроме того, кардеры создают «самореги». Покупается взломанный банковский аккаунт, на него регистрируется PayPal, указывается свой номер телефона, адрес и почта. На такой аккаунт часто можно взять кредит, а не только расходовать доступный положительный баланс.
Однако в последнее время этот вариант практически не используют, потому что PayPal в большинстве случаев отклоняет регистрацию и привязку банковского аккаунта.
Ещё один вариант – использовать посредника.
Конечно, теоретически посредник может развернуть посылку обратно, если магазин ему позвонит и укажет, что имеет место кардинг. Но можно нечаянно ошибиться в номере телефона посредника. Это повышает шанс прохода посылки.
Крупные магазины стали бороться с кардерами, но магазины помельче не так активно противостоят мошенникам. Под ударом фактически все магазины, в которых предлагаются подарочные карты или сертификаты. Заказ вещей и техники напрямую с чужого аккаунта с большей вероятностью «завернут».
Кардеры не только заказывают вещи
С карт можно не только заказать физические товары, но и вывести деньги. Есть казино, онлайн-игры и другие варианты виртуальной передачи денег.
Наконец, есть криптовалютные биржи, которые позволяют относительно анонимно купить монеты, затем их продать и вывести деньги на свою карту. Транзакции в криптовалюте невозвратные, так что система не сможет автоматически вернуть деньги держателю карты.
Кассир в супермаркете тоже может быть кардером
Кассиры в супермаркетах и продавцы в магазинах обычно не могут похвастаться высокой зарплатой. Но если они занимаются кардингом, то получают в 5-10 раз больше денег.
Когда вы проводите оплату картой, кассир или продавец может незаметно посмотреть и запомнить данные. Для некоторых сайтов при заказе товаров достаточно номера карты и CVV2, который написан на обороте. Но кардер может пойти дальше и поставить собственный «ридер» для считывания всех данных карты.
Так что если у вас внезапно через несколько часов или дней после посещения магазина с карты вдруг пропадут деньги, на кого вы подумаете? Уж точно не на кассира или продавца…
А что думает полиция?
Обычно полноценное расследование начинается, только если кардер украл значительную сумму средств – более 1000 долларов. Обычно после этого ФРБ направляет запрос полиции. И в запросе содержатся IP-адреса, имена, адреса отправки и другая информация о потенциальном преступнике.
Для этого кардеры используют дропов. Это люди, которые стоят на низшей ступени в цепочке и выполняют самую грязную работу: обналичивают деньги, предоставляют свои данные для получения посылок, отправляют посылки кардерам и т.д.
Кардеры дают дропам минимум информации и практически не контактируют с ними. Так что даже если дропа выследят, у него будет алиби на момент взлома банковского аккаунта или снятия денег с карты. Да и о кардере он ничего не сможет рассказать. В итоге преступление останется нераскрытым.
Почему кардеры избегают наказания
Практика показывает, что если кардер работает через VPN, прокси и другие сервисы, а также соблюдает правила безопасности в интернете, доказать его вину практически нереально. Но ошибаются все…
Однако даже если полиция нагрянет домой к кардеру, сотрудникам ещё придётся доказать факт совершения компьютерного преступления. А если следов нет, то на нет и суда нет.
Ловят чаще всего на переписке в мессенджерах, наличии данных чужих карт и аккаунтов, сборок вредоносного программного обеспечения и т.п. Но если использовать portable-софт, средства анонимизации, самоуничтожающиеся сообщения и криптозащищенные мессенджеры, доказать что-то будет сложно.
Денежные переводы сами по себе достаточным доказательством не являются. Свидетельские показания тоже. Если кардер сможет притвориться дропом или посредником, то быстро переквалифицируется из обвиняемого в свидетеля.
Что теперь делать?
Некоторые думают, что кардинг – это лёгкие деньги и безнаказанность. Но на самом деле магазины и платёжные системы всё сильнее противостоят им. И уголовное наказание никто не отменял.
Думайте, прежде чем переходить по ссылкам. Установите лимиты на оплату в интернете, не забывайте про антивирус на смартфоне Android и Windows-компьютере.
Также можно использовать одну карту для повседневных покупок, а вторую для хранения более крупных сумм денег, и по необходимости переводить деньги со второй на первую. В случае любых подозрений по поводу незаконного списания средств звоните в банк, чтобы заблокировать карту и начать расследование.
Заработок на фишинге, кардинге — фальшивые сайты и финансовые махинации
Фишинг — вид интернет-мошенничества с целью получить идентификационные данные пользователей ID, пароль, логин, ключи доступа и т.д.
Заработок на фишинге
Фишинг (англ. phishing, от password — «пароль» и fishing — «рыбная ловля», «интернет рыбалка») — вид интернет-мошенничества с целью получить идентификационные данные пользователей (ID, пароль, логин, ключи доступа и т.д.).
Каким образом? Все очень просто и одновременно хитро. Представьте, как действовали бы вы сами, если получили бы письмо от вашего банка с просьбой подтвердить свои данные. Думаю, что вы просто последовали бы инструкциям. Также создаются руткиты.
Кардинг — вид активного интернет-мошенничества. Заключается в получении конфиденциальных данных пользователей международных карточных счетов с последующем их использованием. С помощью специальных аппаратов для чтения пластиковых магнитных карточек мошенники записывают на них украденную информацию (номер карты, пин-код и т.д.). Потом снимают денежные средства на обычных банкоматах. Т.к. украсть нужную информацию путем взлома банковских баз данных практически невозможно, злоумышленники используют фальшивые сайты.
Работа фальшивых сайтов
А происходит оно вот как: на почту приходит сообщение от банка либо администратора того же WebMoney (например), в котором говорится, что произошло что-то в результате чего ваши данные были утеряны. А для их восстановления, вам просто надо зайти на сайт, ввести логин и пароль и провести какие-либо операции. Сделали? Вот и все! Дело в том, что вместо настоящего сайта банка мошенники дают ссылку на его идеальную копию с похожим доменом (вместо i — j, вместо o — 0 и т.д.). После того, как вы авторизуетесь на поддельном домене, мошенники получат информацию о вашем логине и пароле, а потом пойдут делать с вашим счетом все, что им угодно. Хоть спонсирование международного терроризма.
Будьте особенно внимательны при получении подобных писем. Настоящий банк вряд ли будет заниматься такого рода рассылкой. Ведь от этого на прямую зависит имидж банка. Мне известен случай воровства средств с некоторых счетов посредством сети Интернет. Что сделал банк? А ничего! Он вообще не стал сообщать «потерпевшим» об инциденте. Просто втихаря погасил задолженность и все! Об этом случае стало известно очень узкому кругу специалистов банка, название которого по понятным причинам я называть не стану.
Второе и самое распространенное явление — «акции на дурака», на них клюют все меньше, но тем не менее еще клюют. Думаю, вы видели на форумах или получали по почте СПАМовы сообщения, в которых вам предлагали отправить деньги туда-то, чтобы получить впоследствии еще больше. Вот это как раз подобные акции.
Обман пользователей (интернет-мошенничество в любом виде) — уголовно-наказуемое дело. Это значит, что любая противоправная деятельность в сети преследуется по закону. По крайней мере так оно должно быть. Однако интернет-преступления очень сложно расследуются, виновники часто не находятся и остаются безнаказанными. Во всяком случае большинство попыток нашей отечественной милиции по борьбе с кибер-преступностью тщетны.
Работа органов внутренних дел по безопасности и охране интеллектуальной собственности и борьбе с кибер-преступностью пускай остается на их собственной совести. Хакеры пока радуются уровню подготовленности наших правоохранителей. Однако, скоро лафа закончится. В органы стали набирать парней со скажем так, не совсем «чистым прошлым». Конечно, они не имеют судимостей, но занимались они в «прошлой жизни», не совсем хорошими вещами. Также проводятся различные конкурсы среди новоиспеченных «милиционеров». Помогает им и то, что они знают большинство интернет-мошенников, т.к. сами недавно были в их числе. А теперь рыщут сеть в поисках. Конечно, сажать за решетку своих друзей они не собираются, а судьба всех остальных… А то, что они теперь не ломают, а защищают — вполне закономерный процесс развития компьютерной индустрии.
Но, статья не о перипетиях жизни по обе стороны баррикад виртуальной жизни. Мы не станем учить вас секретам нелегальных интернет операций. Мы только ознакомим вас с основами. Для того, чтобы вы сами не стали жертвой преступников, которые закрывают глаза на все нормы морали и крадут денежные средства даже у бедных студентов. Главное — будьте бдительны!
Что такое скимминг
В наши дни большая часть людей расплачивается за покупки при помощи банковской карты. Многие работодатели начисляют заработную плату на карты. Однако внедрение современных технологий провоцирует появление новых мошенников. Теперь они пытаются украсть ваши деньги не только с кошелька, но и с пластиковой карточки. На Западе уже вовсю «бушует» скимминг и потихоньку данный вид мошенничества добирается до нашей страны.
Скимминг представляет собой частный случай кардинга, в ходе которого применяется скиммер — инструмент, используемый для считывания с магнитной дорожки карты. Слово скимминг произошло от английского skim, что значит снимать сливки. Во время осуществления мошеннической операции используется целый набор скиминнговых приспособлений.
Как выглядит инструмент для считывания дорожки карты? Это устройство, которое устанавливается непосредственно в картридер, располагающийся на входной двери в зоне обслуживания клиентов банка, и в картоприемник. Оно состоит из считывающей магнитной головки, памяти, усилителя — преобразователя и переходника, который подключается к ПК.
По размеру скиммеры могут быть миниатюрными. Задача скимминга заключается в считывании всех данных с магнитной дорожки у карты. В дальнейшем эта информация наносится на поддельную карту. В итоге получается так, что проводя операцию по фальшивой карте, списание средств идет с оригинальной карточки.
Для того чтобы получить ПИН держателя используется миниатюрная видеокамера, которая устанавливается на банкомат (может располагаться в рекламных материалах или на козырьке) и направлена на клавиатуру, с которой вводится ПИН-код. После этого совместно со скиммером используется ПИН, а это дает возможность мошенническим образом получить деньги в банкомате. Соответственно, сняты они будут с оригинальной карты.
Энергия миниатюрным устройствам поступает от небольших батареек электропитания. Как правило, устройства тщательно замаскированы под форму и цветовую гамму банкомата.
Скиммеры способны дистанционно передавать полученную с карты информацию злоумышленникам, которые находятся поблизости, а также сохранять украденную информацию. После того, как информация скопирована, злоумышленники, зная ПИН-код, могут снять наличные в любом банкомате нашей страны и заграницей при помощи дубликата карты. Помимо прочего, дубликат используется для покупок в крупных торговых центрах.
Как защитить себя
Для того чтобы обезопасить себя от незаконных списаний по карте, необходимо применять нижеуказанные меры безопасности.
Какими еще способами можно обезопасить себя
Если у вас есть такая возможность, применяйте карты, оснащенные встроенным микрочипом.
Постарайтесь привыкнуть вводить собственный ПИН-код одной рукой, быстро, другой рукой прикрывайте клавиатуру банкомата. Не забудьте посмотреть, не стоит ли кто-нибудь поблизости с вами или у вас за спиной.
В том случае, если ваш банк предлагает подключение услуги оповещения о проведенных по карте транзакциях, не отказывайтесь.
Постарайтесь не снимать финансы ночью. Именно в это время происходит установка скимминговой аппаратуры. Все дело в том, что ночью служба безопасности банка не ведет мониторинг устройств.
Увидели скимминговую аппаратуру? Забудьте о праведном гневе и не пытайтесь изъять его. Устройство стоит дорого, а мошенники, заметившие ваше любопытство, могут дойти даже до применения физической силы по отношению к вам. Лучший выход из ситуации — спокойно дойти до службы безопасности банка и обратиться к ней, или выйти из здания банка и позвонить прямо в полицию!
Стали жертвой мошенников? Тогда вам стоит незамедлительно обратиться в свой банк и произвести блокировку карты.
Дата публикации статьи: 10 марта 2016 в 00:03
Последнее обновление: 29 сентября 2021 в 10:31