Capitolo 3 :Carding (frode)

Il termine "carding" si riferisce all'uso illegale di carte di credito e al traffico di queste carte. Successivamente, le carte di credito o i dettagli della carta di credito rubati vengono utilizzati per acquistare carte regalo prepagate al fine di nascondere il fatto che il furto è avvenuto. Nelle attività sono inclusi anche lo sfruttamento dei dati personali e l'uso di tattiche per il riciclaggio di denaro. Il termine "entità commerciali a servizio completo" è stato utilizzato per descrivere i moderni siti Web di carding.

È possibile acquisire i dati della carta di credito e i dati finanziari e personali associati attraverso un'ampia varietà di mezzi. Tra i primi metodi noti di carding, tra le strategie c'erano anche il "cestinare" dei dati finanziari, l'irruzione nelle caselle di posta e il trattare con gli addetti ai lavori. Il termine "attacco BIN" si riferisce al processo mediante il quale determinati numeri di carta bancaria possono essere prodotti in modo semiautomatico sulla base di sequenze note. È possibile per i carder intraprendere un "attacco di indovinare distribuito" al fine di identificare numeri validi inviando contemporaneamente numeri su un gran numero di siti Web di e-commerce.

L'uso di skimmer presso gli sportelli automatici, l'hacking o il web skimming di un sito di e-commerce o di elaborazione dei pagamenti, o persino l'intercettazione dei dati delle carte all'interno di una rete di punti vendita sono tutti esempi dei diversi metodi attualmente in uso. Un esempio di vettore di attacco di ingegneria sociale potrebbe essere quello di chiamare a caso i telefoni nelle camere d'albergo e chiedere ai clienti di "confermare" i dati della loro carta di credito su se stessi.

È possibile che i dati rubati vengano impacchettati insieme come "Base" o "Base di prima mano" se il venditore stesso è stato coinvolto nel furto. Ci sono diversi posti da cui i rivenditori possono acquistare "pacchetti" di dump. Ad un certo punto in futuro, le informazioni potrebbero essere vendute sui mercati darknet e su altri siti Web e forum di carding specializzati nella vendita di materie prime illegali di questo tipo. È noto che gli adolescenti commettono attività fraudolente, come ordinare pizze con i dati della loro carta di credito.

Sulle versioni più avanzate di questi siti web, i singoli "dump" possono essere acquistati per regione geografica e codice postale al fine di evitare di informare le istituzioni finanziarie del loro uso inappropriato. La convalida viene effettuata in grandi quantità da servizi di controllo automatico al fine di verificare in breve tempo se una carta è stata bloccata o meno. I venditori pubblicizzeranno una "tariffa valida" per il dump e questa tariffa si baserà su stime o dati verificati. È più costoso acquistare carte che hanno un tasso di validità superiore al 90%. Le "pannocchie" o i cambiamenti di fatturazione sono piuttosto preziosi. Ciò si verifica quando vengono raccolte informazioni sufficienti per consentire il reindirizzamento degli indirizzi di fatturazione e spedizione associati alla carta registrata a un indirizzo sotto il controllo del carder.

È possibile vendere informazioni complete sull'identità, che includono un numero di previdenza sociale, una data di nascita e un indirizzo, con il nome "Fullz" al fine di commettere un furto di identità più redditizio.

Il termine "ripper" è usato per riferirsi a venditori fraudolenti che raccolgono il denaro dagli acquirenti ma non consegnano mai i beni o i servizi venduti. L'uso di meccanismi di feedback basati su forum e negozi, oltre a severe restrizioni relative agli inviti e ai referral del sito, stanno contribuendo sempre di più a ridurre questo problema.

Nel 2015 i prezzi stimati per carta, espressi in dollari USA, per i dati delle carte di pagamento rubate

I fondi ottenuti dalle carte rubate possono essere recuperati acquistando carte prepagate, carte regalo o rispedendo le merci tramite muli e poi recintandole elettronicamente attraverso mercati online come eBay. A seguito dell'aumento del controllo delle forze dell'ordine sui servizi di rispedizione, c'è stato un aumento del numero di aziende criminali che si impegnano specificamente nella rispedizione di articoli rubati.

Il software proxy SOCKS può essere installato su computer che sono stati violati al fine di massimizzare la probabilità di accettazione da parte dei processori di pagamento.

Inoltre, l'indagine condotta nel 2004 sul forum ShadowCrew ha portato a indagini sul servizio di pagamento online noto come E-gold, che era stato introdotto nel 1996 ed era considerato uno dei metodi di trasferimento di denaro più popolari tra i carder dell'epoca. L'"Operazione Goldwire" ha condotto un mandato di perquisizione sulla residenza e sulle società del proprietario della società, Douglas Jackson, nel mese di dicembre del 2005. Il fatto che l'attività si fosse evoluta in una banca e in un canale di trasferimento per la criminalità sotterranea era qualcosa che Jackson scoprì. Fino al 2007 sono stati effettuati numerosi arresti, a causa delle pressioni per fornire documenti in corso che sono stati divulgati alle forze dell'ordine. D'altra parte, lo stesso Jackson è stato presentato con un'accusa nell'aprile del 2007, accusandolo di riciclaggio di denaro, cospirazione e gestione di un'attività di trasferimento di denaro non registrata. Ciò ha comportato il congelamento dei beni degli utenti situati in paesi considerati "ad alto rischio" e sottoposti a forme più convenzionali di regolamentazione finanziaria.

Liberty Reserve era diventato un servizio molto apprezzato dagli hacker al momento della sua nascita nel 2006. A seguito del sequestro del dispositivo da parte del governo degli Stati Uniti nel maggio 2016, è stato causato un disturbo significativo nell'ecologia del crimine informatico.

Bitcoin, insieme ai servizi bancari standard come Western Union, MoneyGram o il servizio russo WebMoney, è il metodo preferito da alcuni carder quando si tratta di effettuare pagamenti tra di loro al giorno d'oggi.

La fornitura di servizi correlati alla criminalità informatica, come kit di phishing, malware e elenchi di spam, è un altro servizio offerto da molti forum. Oltre a questo, potrebbero fungere da punto di distribuzione per i tutorial sulle frodi più recenti, che potrebbero essere offerti gratuitamente o a pagamento. A causa del suo anonimato e del fatto che i client MSN potevano essere aggiornati per eseguire PGP, ICQ era un tempo il programma di messaggistica istantanea preferito. È possibile che i siti web associati al carding siano ospitati su un web hosting a flusso rapido basato su botnet al fine di fornire resistenza alle azioni intraprese dalle forze dell'ordine.

Esiste la possibilità che i dettagli della carta vengano venduti insieme ad altri tipi di account, come PayPal, Uber, Netflix e punti della carta fedeltà. Esiste la possibilità che l'accesso a diversi siti Web possa essere offerto come accesso backdoor, apparentemente per grandi istituzioni come banche, università e persino sistemi di controllo industriale.

Ai fini delle frodi con carte regalo, i rivenditori possono essere sfruttati dai truffatori nei loro tentativi di rubare carte regalo attraverso l'uso della tecnologia bot o il furto di informazioni sulle carte di credito che hanno rubato. Nell'ambito delle attività fraudolente, l'utilizzo di informazioni rubate sulla carta di credito allo scopo di acquistare carte regalo sta diventando un metodo di riciclaggio di denaro sempre più frequente. Quando i sistemi online di un rivenditore che memorizzano i dati delle carte regalo sono soggetti ad attacchi di forza bruta da parte di bot automatizzati, questo è un altro modo in cui possono verificarsi frodi con carte regalo.

Al fine di ottenere carte prepagate pronte per essere utilizzate per il prelievo rapido di contanti, la frode nella dichiarazione dei redditi sta diventando un mezzo sempre più comune per sfruttare il furto di identità. Anche i coupon famosi sono suscettibili di essere contraffatti e venduti.

In determinate circostanze è possibile ottenere informazioni personali e persino cartelle cliniche. Il furto e l'uso fraudolento di carte regalo possono verificarsi in modo del tutto indipendente dalle operazioni di transazione di carte online.

Inoltre, l'incasso di carte regalo è molto diffuso. Ciò è dovuto al fatto che le "carte regalo scontate" possono essere trovate in vendita ovunque, il che le rende una vendita facile da fare per un carder e un'attività commerciale molto redditizia.

C'è anche una pratica comune di ottenere i dettagli della carta di credito attraverso l'uso di hack di Google, che sono spesso comunemente indicati come Google dorks per i dettagli della carta di credito.

Carding è una frase che è stata usata per caratterizzare le attività associate al furto di carte di credito sin dagli anni '80, quando le bacheche di base dial-up erano ancora in uso. È stato detto che "cestinare", fare irruzione nelle caselle di posta e trattare con gli addetti ai lavori presso i rivenditori erano tutti metodi efficaci per raccogliere i dettagli delle carte. Tutti questi metodi sono stati menzionati. È stato suggerito che le gocce vengano utilizzate in luoghi come case e appartamenti abbandonati, o con vicini che sono in grado di persuadere, nelle immediate vicinanze di un tale punto. Al fine di offrire informazioni accettabili per le transazioni che coinvolgono carte non presenti, si raccomanda agli...