Что такое кардинг в интернете и что за товары
Что такое «вещевой кардинг»
В сети имеются магазины, в которых продается быттехника со скидкой: разные фотоаппараты, ноутбуки, телефоны известных брендов, или же ювелирные изделия с уценкой на 30-60% ниже обычного, и дело не в том, что это оказываются товары китайского происхождения, продукция действительно качественная.
Дело в другом: вам предлагают ворованные вещи, разумеется, без гарантийного обслуживания. Такие товары закупаются через пластиковые карты « кардерами ». Это продажа товаров, купленных по взломанным кредитным картам, так называемый «вещевой кардинг».
Вещевой кардинг появился когда обналичивание грязных денег стало представлять определенную сложность, поскольку зачастую для этого требуется физическое лицо обладателя карты. Поэтому «умельцы» приобретают товар удаленно в Интернет-магазинах Европы, США, или Великобритании. При этом, например, европейские магазины без проблем пересылают товар в пределах Европы, в том числе и в Латвию, Болгарию, Украину. В отдельных случаях доходило до того, что фирменный товар можно было купить по цене в половину ниже отпускной цены производителя.
Расцвет этой деятельности относится к 90-м годам, когда из-за действий кардеров разорились многие Интернет-магазины, а оставшиеся объявили страны СНГ вне закона и перестали слать товар. Но на этом история не закончилась, и выход был найден. Нужно было всего лишь найти подставное лицо в нужной стране, на которое и оформлялась покупка с дальнейшей пересылкой в страны СНГ.
УПРОЩЕННАЯ СХЕМА ВЕЩЕВОГО КАРДИНГА
Вещевые кардеры придумывают название фирмы, обозначают род ее деятельности (пересылка товаров по всему миру), указывают имя руководителя компании и главного менеджера (он же), который в дальнейшем будет общаться с «дропами», и размещает всю эту легенду на сайте в Интернете.
В целях безопасности с покупателем, заинтересованным в покупке того же фотоаппарата, связываются по электронной почте и оплату за товар принимают на электронные кошельки, вроде QIWI, Bitcoin и т.д.
Покупатель отправляет деньги и свои данные на получение. Через время с ним связывается курьер какой-нибудь из почтовых служб.
КТО ТАКОЙ ДРОП
Поиск « дропов » – дело непростое. Это граждане страны, в которой осуществляются закупка товара. Во всемирной паутине размещается вакансия на должность помощника по обработке корреспонденции или какого-нибудь менеджера.
С найденным соискателем заключается договор (разумеется липовый) о приеме на работу и оказание содействия в пересылке поставляемого товара.
Срок жизни такого «менеджера» – 3-4 месяца или меньше, затем на него выходят представители спецслужб.
Дропы тоже попадаются ушлые и попросту могут кинуть кардера. Некоторые домохозяйки «забывают» отослать товар или отсылают по неправильно указанному адресу, в результате чего, пострадавший успевает опротестовать незаконно списанные с его карты средства и товар возвращается в магазин, а деньги – их законному владельцу.
ОСТОРОЖНЫЙ КАРДЕР
Интернет-магазины не спят и ловким манипуляциям злоумышленников противопоставлен ряд мер. В онлайн-магазинах установлены специальные скрипты, функционал которых направлен на получение дополнительной информации относительно совершаемого заказа.
Если кардер производит заказ в английском магазине – его компьютер по своей «анатомии» должен быть похож на компьютер жителя Великобритании. Т.е. операционная система должна быть на английском, часовой пояс должен быть не Москва GMT+3:00, и должен соответствовать часовому поясу «дропа» на той стороне.
Proxy-сервер и IP также должны соответствовать штату и городу, где проживает ваш дроп. Может отпугнуть даже русская раскладка клавиатуры.
Осторожный кардер учтет расписание праздников страны, на которые поток заказов увеличивается и шансы остаться «в толпе» незамеченным возрастут.
Умный кардер не размещает заказы в авторитетных Интернет-магазинах с хорошей службой безопасности. Наверное не стоит объяснять почему. Выбирается маленький магазин, который представляет из себя Интернет-витрину обычного магазина, где нет серьезной службы безопасности и квалифицированного персонала.
Как мы не даём кардерам получать посылки, купленные на чужие кредитки
Вокруг любой сферы услуг крутятся недобросовестные товарищи, которые хотят нажиться на честных людях. Возможно, в комедиях про аферистов (вроде «Поймай меня, если сможешь» или недавнего «Фокуса» с Уиллом Смитом) это выглядит забавно и романтично.
Но в реальной жизни вряд ли кому-то понравится, если его карточкой оплатят три летающих дрона за 3500 долларов, несколько дорогих сумок и 8 штук iPhone 6 Plus по 128 гигабайт.
В этом посте мы расскажем, как ловим таких мошенников, какие забавные глупости они периодически делают, и зачем к нам в гости приходили агенты из Секретной Службы США.
Как всё происходит
В последнее время отдельно хитрые личности стали покупать товары с помощью «белых» подарочных карт (Gift Cards), приобретенных на ворованные кредитки. Магазину важно, что платеж с подарочной карты — «белый», а каким путем были куплены подарочные карты — немногие будут разбираться. Поэтому Shopfans бывает последним рубежом обороны для онлайн-магазинов, которым пришло уведомление об отмене транзакции.
Порой встречаются более профессиональные схемы, когда мошенники работают с так называемыми «дропами». Обычно «дроп» — это ничего не подозревающий человек, которого наняли на простую работу: получить по почте посылки и отправить по другому адресу. Необходимость такой переадресации объясняют какими-то вполне нормальными причинами. (Мы даже встречали такие объявления будто бы от лица Shopfans.)
Пересылок может быть несколько — в зависимости от того, как сильно отправитель хочет замести следы. Эту цепочку распутать сложнее, хотя такие посылки мы тоже ловим и возвращаем.
Как попадаются кардеры
Все рассказывать не будем, чтобы не облегчать им работу.
1. С нами на связь может выйти продавец. Иногда они очень быстро получают уведомления о черджбеках. Владелец карты получил смску, связался со своим банком и сказал, что он не совершал эти покупки.
Банк-эмитент карты инициирует «алерт» через «Визу» или «Мастер Кард». Сигнал поступает уже в банк, обслуживающий платёжный терминал онлайн-магазина. Тот, в свою очередь, в течение нескольких минут сообщает магазину о disputable transaction. Магазин, если заказ не отправлен, тормозит доставку или связывается с нами, если посылка уже в пути к нам.
Если посылка находится на нашем складе — они предоставляют нам треки и номер сьюта клиента, мы всё сразу возвращаем. Если посылка ушла — как писали выше, ищем способ вернуть.
2. Бывает вариант, когда продавец выходит на связь не с нами, а с полицией. С полицейским участком мы давно дружим, мы показывали нашего куратора Билла Бэйра (на фото) из Folcroft Police Department.
Если звонят в полицию, нам в тот же день присылают уведомление, в котором написано: мне поступил такой-то запрос. Иногда запрос может поступить от полицейского участка в другом штате.
3. Кардеры пытаются оплатить с помощью аккаунта в PayPal и назваться Джоном Смитом. Хотя аккаунт зарегистрирован на Васю Пупкина. Кстати, мы заметили, что система «антифрода» в PayPal более слабая, чем, например, в Амазоне. При должных усилиях кардеры привязывают ворованные карты к левым аккаунтам и платят пейпалом в магазинах
4. Часто пишут с ошибками, как на скриншоте. Или могут выдавать себя за девочку, а по стилю письма видно, что это мальчик.
5. Нервничают и часто пишут «Где моя посылка?». Они тоже, может, заплатили какие-то деньги, чтобы им предоставили данные этой кредитной карточки. И долго настраивали систему на своей стороне, чтобы их сложно было поймать.
И еще пришлось поработать с «вбивом»: вбивали-вбивали данные карточки и какой-то магазин вдруг пропустил платеж. Тогда надо успеть заказать и получить товар, пока хозяин карты не обнаружил пропажу и не заблокировал карту.
Кстати, сотрудники ФБР однажды заходили к нам в гости, познакомиться. Просили сообщить, если кто-нибудь закажет доставку ядерной ракеты:
6. Можно поймать обманщика с помощью социальных сетей. Был один товарищ, который «спалился» через социальные сети. Он рассказывал что-то одно, а на его страничке в Вконтакте мы нашли пост «Продаю айфоны оптом с 50% скидкой». У человека было чувство юмора, он признался, что мы его раскрыли.
Забавные случаи с документами: почти идеальные подделки и фотографии Маргарет Тэтчер
Если есть подозрение — мы просим больше данных. Многие оправдываются:
— Это мне партнер по бизнесу купил…
— Это моя компенсация в качестве зарплаты…
После этого мы говорим: ок, пусть человек, который оплатил этот заказ, свяжется с нами. Или предоставьте его ID.
Однажды прислали скан документов с фотографией Маргарет Тэтчер. Однажды — фотографии известного футболиста и учительницы из Усть-Каменогорска (которая, естественно, ничего не заказывала).
Был один случай с некой «Вероникой Питт». Она прислала два вроде бы качественных документа.
К счастью, у нас есть сотрудники, которые отлично разбираются в Фотошопе. Подделка была раскрыта — подпись владельца на паспортах оказалась 100% идентичной, чего, конечно же, не может быть в реальной жизни.
На втором документе подпись просто скопировали и немного развернули.
В последнее время кардеры набили руку. Если используют «левые» фотографии, то стараются, чтобы под рукой был человек с похожей внешностью.
Некий Тоор Люк
Но если мы видим, что присланы поддельные документы, то говорим — извините, ваш аккаунт разблокирован не будет, заказы возвращаются в магазин.
Хотя иногда мы все-таки ошибаемся, блокируя кому-то доступ
Однажды мы заблокировали аккаунт Ванесы Алехандро Акосто Малеро, живущей в Белоруссии. Причиной, как можно было догадаться, стало имя. Мы начали переписываться.
Она выслала нам свои фотографии, мы нашли ее в соц. сетях — Фейсбуке и Линкедине. Написали ей там сообщения и попросили ответить, она без проблем ответила. Оказалось, что девушка вышла замуж за белоруса и переехала из Венесуэлы. Мы извинились.
По общению обычно сразу видно, нормальный ли клиент. Он присылает даже то, что мы не просим — фотографии с ребенком, с машиной.
Как кардеры на нас обижаются
Ребята очень обижаются на нас, что мы не даем им «зарабатывать», и пишут в интернете гневные отзывы, притворяясь недовольными клиентами.
Хотя на своих форумах (основная часть форумов «кардеров» и «фродеров» в теневой части интернета, но есть и доступные из поиска) они общаются гораздо более прямо.
Аж слезы на глаза наворачиваются
Некоторые кардеры идут дальше. Типичный случай, когда нам пришлось заблокировать аккаунт пользователя, который не смог предоставить нужные документы:
Вызвал в буквальном смысле бурю эмоций:
К сожалению, иногда им все-таки удается поживиться. Расскажем один громкий случай.
Был у нас один клиент. Он предоставил все документы. Придраться было особо не к чему, хотя у Галины (главная по складу) были какие-то внутренние подозрения.
Когда его посылки ушли, нам позвонил другой продавец, который искал другие следы этого «клиента». Оказалось, что парень купил в другом магазине золотой айфон, но через некоторое время магазин получил отмену платежа.
Мы обратились в Почту России и запросили эту посылку назад. Тогда парень начал звонить в Почту России, представляясь нашим руководителем Петром Шараповым (!), и убеждать, что все в порядке и посылку следует выдать. Даже прислал письмо и расписался будто бы от имени Петра.
Почта России в недоумении — выдавать или нет. Мы тоже прозреваем от такой наглости. В общем, пока мы разбирались, у Почты России проскользнуло какое-то колесико и посылку выдали.
Вот такой талантливый мистер Рипли.
После он же начал писать на специальном сайте отзывы — какая мы плохая компания, мы воруем посылки. С ним в диалог вступил продавец, который продал ему золотой айфон и спрашивает — ты вообще нормальный? Ты же вор!
Почему полиция не расследует эти дела и кардеры продолжают попытки из года в год?
Например, мы поймали человека и вернули его заказы в магазин. Магазин не понес убытки. Мы знаем, что мошенник будет пробовать еще, и готовы его сдать.
Но пока не будет запроса в полицейский участок от тех, чьи карточки украли или от магазина, который получил возврат, никто не будет переживать. А люди часто склонны не поднимать дальнейший шум: вернули деньги, и хорошо.
Американские правоохранительные органы будут начинать расследование только из-за очень большой суммы. Иначе неудобно: кража случилась в одном штате, «дроп» находится в другом…
А если посылка уже в другой стране, то тем более. Однажды к нам приходили агенты из Секретной Службы США. Насколько мы поняли, была задействована карта дочери какого-то банкира, российский кардер скупился на 15 тысяч долларов. Мы предоставили им все данные человека, который заказал посылку. Но нам ответили, что это не та сумма, из-за которой будут делать запрос в органы РФ. Так что у нас с того случая только визитка осталась:
В общем, война с фродерами продолжается. Следите за своими карточками и удачных вам покупок!
Что такое кардинг в интернете. Как не стать жертвой кардера
Кардинг – это похищение реквизитов банковских карт различными способами (далее поговорим о них подробнее) с целью завладеть денежными средствами. Основной контингент кардеров работает в интернете, поэтому наибольшей опасности средства на банковской карте подвергаются во время оплаты каких-либо услуг или покупок онлайн.
Что такое кардинг в интернете и каким образом злоумышленники могут получить доступ к данным банковской карты, мы обсудим в этой статье.
Словарь кардинга
Как и в любой другой сфере, в кардинге есть свой профессиональный жаргон. Для того, чтобы понимать о чём пойдёт дальше в статье речь, необходимо знать хотя бы основные слова и обозначения из лексикона кардеров.
Варианты кардинга в интернете
Существует несколько способов, с помощью которых мошенники получают доступ к банковским картам. Каждый из них известен практически каждому пользователю интернета, однако действенных способов борьбы с кардингом правоохранительные органы до сих пор не придумали, хотя все прекрасно понимают, что такое кардинг в интернете.
E-mail рассылки
Это самый простой способ, рассчитанный на самых доверчивых пользователей. В основном от него страдают пенсионеры и люди старшего поколения, которые с интернетом на «вы».
На электронную почту приходит письмо, якобы отправленное банком. При этом для достоверности адрес отправителя практически полностью копирует официальную почту банка. Заметить подмену сразу не представляется возможным.
В письме обычно содержится информация о том, что в связи с какими-либо проблемами в банковской системе, карта пользователя была временно заблокирована. Кардхолдеру предлагают перейти по ссылке и ввести свои платёжные данные в открывшуюся форму.
Естественно, что ссылка ведёт на сайт, копирующий или похожий на онлайн-ресурс банка, но никакого отношения к нему не имеющий. Доверчивый пользователь вбивает данные, после чего они становятся доступны кардеру.
Фишинговые сайты
Кардер создаёт сайт, являющийся копией какого-либо интернет-магазина, ресурса, предлагающего услуги и т.п. Пользователь, попав на этот сайт выбирает товар и оплачивает его при помощи карты.
Опытные кардеры создают фишинговые сайты таким образом, чтобы они дублировали оригинальный магазин. То есть действия, произведённые пользователем на сайте кардера, автоматически производятся и в магазине. Покупатель получает товар в положенный срок и даже не догадывается, что данные карты стали известны злоумышленникам.
Формграббер
Это в большинстве своём троянские программы, которые попадают на компьютер пользователя при скачивании несертифицированного софта или в результате посещения ненадёжных сайтов.
Формграббер встраивается в операционную систему и при вводе данных банковских реквизитов, а также прочих личных данных в браузере, копирует их и пересылает кардеру.
Как используются полученные от кардинга средства
Получив доступ к карте, злоумышленник переходит к процедуре снятия средств со счёта холдера. В отличие от кардинга в реале, при котором можно просто перенести данные на пластиковую карту-пустышку и обналичить деньги в любом банкомате, перекинуть средства на свой счёт у кардера не получится.
Но даже если это и возможно провернуть с некоторыми видами карт, то процедура довольно опасна, так как транзакцию будет очень легко отследить. Поэтому кардеры вынуждены прибегать к ухищрениям.
В большинстве случаев отмывание денег происходит при помощи покупки товара в интернет-магазинах для последующей перепродажи. При этом опытные кардеры, чтобы не привлекать внимание правоохранительных органов, не заказывают стафф на своё имя. Для этого используют дропов.
Дропы получают товар и за определённое вознаграждение пересылают его кардеру или продают, после чего кладут деньги на счёт кардера. Следует отметить, что не все дропы понимают, что участвуют в незаконной деятельности. Многие думают, что просто получают товар, который не может быть доставлен в город, в котором проживает кардер.
Юридический статус кардинга
Как и любая деятельность в интернете, связанная с обманом пользователей, кардинг подпадает под действия статьи 159 Уголовного Кодекса РФ – Мошенничество. Статья предусматривает различные виды наказания: от крупных штрафов до реального тюремного срока.
Однако на практике правоохранительные органы крайне редко доводят подобные дела до суда. Также следует отметить, что даже после того, как кардер вычислен, доказать его вину с юридической точки зрения довольно сложно.
Дело в том, что опытный адвокат может квалифицировать похищение данных как их добровольную передачу. Никто не заставляет кардхолдера вводить реквизиты на сомнительных ресурсах, поэтому у кардеров есть возможность если не полностью уклониться от ответственности, то снизить её до минимума.
Как обезопасить себя от кардинга
Несмотря на все ухищрения кардеров, обезопасить себя от их деятельности довольно просто – достаточно быть более внимательным.
Что такое кардинг и как защититься от взлома, покупая в интернете
Что такое кардинг?
Кардинг — вид мошенничества, при котором хакеры совершают операцию с использованием платежной карты без участия ее владельца.
Один из способов получить доступ к карте — взломать интернет-магазин, где пользователи совершают онлайн-покупки. В этом случае от жертвы ничего не зависит — она может соблюдать все меры безопасности, а информация о банковской карте все равно окажется в руках злоумышленников, и они смогут снять с нее деньги. Одна из таких хакерских группировок в период с 2017 по 2020 год заразила 571 сайт. Мошенников задержали в 2020 году.
Кардинг появился вместе с началом электронной коммерции в 1990-х годах. Тогда интернет-магазины не ждали мошенников и радовались каждой совершенной покупке в своей новой нише. Этим и пользовались кардеры. Они создавали карты несуществующих людей с помощью специальных генераторов и оплачивали ими покупки. Интернет-магазины охотно принимали их. Обман обнаруживали только в конце месяца, когда магазины запрашивали у банков переводы на оплату товара. Тогда становилось понятно, что в этих случаях применялись несуществующие карты, и денег магазин не получал.
Каким бывает кардинг?
По механике взлома кардинг бывает двух типов:
В первом случае применяется прибор для скимминга или участвует сотрудники банка. Скимминг — это кража данных карт при помощи миниатюрного устройства, крепящегося к банкомату.
По данным Европейской ассоциации безопасных транзакций (EAST), число атак с физическим доступом к картам в Европе снижается. Это объясняют изменением культуры пользования картами и банкоматами. Чаще всего в атаках с физическим доступом к карте или банкомату участвовали сотрудники компаний с доступом к терминалу. Теперь они приносят его к клиенту, а не забирают карту.
Уровень системы безопасности банкоматов повысился — на них ставят физические и электронные средства защиты для обнаружения скиммеров. Все это способствовало снижению случаев мошенничества с физическим доступом к банкомату или карте.
Впрочем, мошенники тоже совершенствуют технологии. EAST сообщает, что количество вредоносных программ для банкоматов и логических атак на банкоматы резко возросло.
Наиболее опасны атаки класса BlackBox — миниатюрный компьютер подключается к банкомату по проводу и заставляет его выдать все имеющиеся деньги. Число атак такого типа растет. Эксперты EAST насчитали 35 таких атак в первой половине 2019 года. В первой половине 2020-го их было уже 129. Убытки от такого типа атак выросли с менее чем €1 000 ($1 200) в первой половине 2019 года до более чем €1 млн ($1,2 млн) в 2020-м.
Проблема в том, что производители банкоматов считают потери от этого вида взлома менее значительными, чем расходы по модификации программного обеспечения. В итоге современные банкоматы практически не защищены от угрозы BlackBox.
В случае дистанционной атаки получить данные карт можно каким угодно способом. Достаточно иметь номер карты, дату окончания обслуживания и трехзначный CVV-код. Они могут быть похищены любым способом — находка потерянного пластика, запечатление их на снимке, фишинг (пользователь переходит на сайт-подделку и сам их указывает, думая, что покупает товар или услугу).
Впрочем, по конечной цели удаленные атаки на банковские счета можно разделить на два типа:
В первом случае применяется веб-скимминг. Атаки этого типа осуществляются с помощью программного обеспечения Magecart (первые атаки с такой механикой были нацелены на интернет-магазины, применявшие программное обеспечение Magento). В 2018 году у авиакомпании British Airways было украдено 380 тыс. реквизитов карт с помощью этого вида атак. Данные карт с ее сайта успешно собирались в течение трех недель.
Веб-скимминг набирает популярность. Многие злоумышленники обратились к нему на фоне пандемии, когда число покупок в интернете резко возросло.
Веб-скимминг применяется для взлома веб-сайтов, как правило, с использованием вредоносного кода JavaScript. Магазины, построенные на Magento, — по-прежнему основная мишень хакеров, однако атаки этого типа опасны для любого веб-сайта, на котором злоумышленнику удастся получить доступ к коду JavaScript.
Для атаки на пользователя карты применяются банковские трояны. Они заражают компьютеры и смартфоны пользователей, после чего проникают в веб-браузер для кражи паролей, номеров кредитных карт и любой другой конфиденциальной информации, которая вводится на любом из целевых веб-сайтов.
Что кардеры делают с данными?
По конечной цели кардинг делится на два типа:
Похищенная информация позволяет создать «цифрового двойника» жертвы. Это позволяет преступнику снять деньги, сохранив анонимность. Данные карт продаются на форумах в даркнете или специализированных сайтах для кардеров.
Приобрести данные можно оптом или запросить конкретную карту. Во втором случае цена будет ниже. Стоимость карты зависит от того, сколько денег на ней хранится — чем больше, тем дороже.
Как работают кардеры?
Самый крупный случай кардинга был зарегистрирован в 2007 году. Хакер Альберт Гонсалес получил информацию о более чем 135 млн кредитных и дебетовых карт клиентов американского поставщика технологий и обработки платежей Heartland Payment Systems, розничных магазинов 7-Eleven и Hannaford Brothers, а также в двух неустановленных компаний.
Получив данные, он выставил их на продажу на собственной бирже кардеров Shadowcrew. Другие злоумышленники могли выкупить их для последующих мошеннических действий. Гонсалес получил 20 лет тюрьмы.
В 2012 году была похищена информация о 40 млн карт в результате взлома производителя программного обеспечения для обработки файлов Adobe Systems. По данным главы службы безопасности, информация включала в себя имена клиентов, зашифрованные номера платежных карт, даты истечения срока действия и информацию о заказах.
Что значит вещевой кардинг?
Вещевой кардинг — это способ обналичивания денег со взломанных банковских счетов. Кардер покупает товары, подарочные сертификаты, подписки и услуги, используя чужие банковские реквизиты. Для этого мошенникам нужны только номер карты, дата и трехзначный код (CVC). В некоторых случаях могут потребоваться имя владельца, его адрес и номер телефона. Чем больше информации известно о жертве, тем легче работать злоумышленнику.
После того как товар пришел на указанный адрес, мошенники либо высылают его скупщикам, которые платят, в среднем 30% от его полной стоимости, либо шлют через пересылочные пункты (официальные сайты, никак не связанные с мошеннической деятельностью) на адреса, к которым обычно имеют доступ. Перепродают такой товар на торговых площадках (Amazon, Ebay, «Авито», «Юла») или в торговых группах социальных сетей.