Carding là gì?

Carding là một hình thức gian lận thẻ tín dụng, trong đó thẻ tín dụng bị đánh cắp được sử dụng để tính phí thẻ trả trước hoặc mua thẻ quà tặng. Thẻ thường liên quan đến việc chủ sở hữu thẻ bị đánh cắp hoặc thông tin thẻ mua thẻ quà tặng có thương hiệu của cửa hàng, sau đó có thể được bán cho người khác hoặc được sử dụng để mua hàng hóa khác có thể bán được bằng tiền mặt. Những kẻ trộm thẻ tín dụng có liên quan đến kiểu gian lận này được gọi là “kẻ gian”.

Hoa Kỳ là mục tiêu đáng kể của gian lận thẻ tín dụng vì đây là một thị trường rộng lớn trong đó việc sử dụng thẻ tín dụng và thẻ ghi nợ là phổ biến, và bởi vì các loại thẻ được sử dụng ở Hoa Kỳ hoặc chỉ chứa một dải từ hoặc sử dụng công nghệ chip và chữ ký, thay vì công nghệ chip và mã số nhận dạng cá nhân (PIN) được tìm thấy ở hầu hết châu Âu.

Cách hoạt động của Carding

Việc nạp thẻ thường bắt đầu bằng việc tin tặc giành được quyền truy cập vào hệ thống xử lý thẻ tín dụng của cửa hàng hoặc trang web, với việc tin tặc lấy được danh sách các thẻ tín dụng hoặc thẻ ghi nợ gần đây đã được sử dụng để mua hàng. Tin tặc có thể khai thác các điểm yếu trong phần mềm bảo mật và công nghệ nhằm bảo vệ tài khoản thẻ tín dụng. Họ cũng có thể thu thập thông tin thẻ tín dụng bằng cách sử dụng máy quét để sao chép mã từ các dải từ tính.

Thông tin thẻ tín dụng cũng có thể bị xâm phạm khi truy cập vào thông tin cá nhân khác của chủ tài khoản, chẳng hạn như tài khoản ngân hàng mà tin tặc đã xâm nhập, nhắm mục tiêu thông tin tại nguồn của nó. Sau đó, tin tặc bán danh sách số thẻ tín dụng hoặc thẻ ghi nợ cho bên thứ ba – một chủ thẻ – người sử dụng thông tin bị đánh cắp để mua thẻ quà tặng.

Hầu hết các công ty thẻ tín dụng đều bảo vệ chủ thẻ khỏi các khoản phí nếu thẻ tín dụng hoặc thẻ ghi nợ được báo cáo là bị đánh cắp, nhưng vào thời điểm thẻ bị hủy, chủ thẻ thường đã mua hàng. Thẻ quà tặng được sử dụng để mua hàng hóa có giá trị cao, chẳng hạn như điện thoại di động, TV và máy tính, vì những hàng hóa đó không yêu cầu đăng ký và có thể được bán lại sau đó. Nếu chủ thẻ mua thẻ quà tặng cho một nhà bán lẻ điện tử, chẳng hạn như Amazon, họ có thể sử dụng bên thứ ba để nhận hàng và sau đó chuyển hàng đến các địa điểm khác. Điều này hạn chế rủi ro thu hút sự chú ý của chủ thẻ. Người bán thẻ cũng có thể bán hàng hóa trên các trang web có mức độ ẩn danh.

Bởi vì thẻ tín dụng thường bị hủy nhanh chóng sau khi bị mất, một phần chính của việc làm thẻ là kiểm tra thông tin thẻ bị đánh cắp để xem nó có còn hoạt động hay không. Điều này có thể liên quan đến việc gửi yêu cầu mua hàng không phải thẻ trên Internet.

Cân nhắc đặc biệt

Có một ngôn ngữ đặc biệt và các trang web đặc biệt được sử dụng bởi những kẻ gian lận thẻ tín dụng. Một số trong số này được thảo luận dưới đây.

Diễn đàn Carding

Diễn đàn về thẻ là các trang web được sử dụng để trao đổi thông tin và kỹ năng công nghệ về việc truy tìm bất hợp pháp thẻ tín dụng bị đánh cắp hoặc thông tin tài khoản thẻ ghi nợ. Những kẻ lừa đảo sử dụng các trang web này để mua và bán thông tin thu được bất hợp pháp của họ. Những nỗ lực bảo vệ mới như mã PIN và chip đã khiến việc sử dụng thẻ bị đánh cắp trong các giao dịch tại điểm bán hàng trở nên khó khăn hơn, nhưng hoạt động mua bán không có thẻ vẫn là trụ cột chính của những kẻ trộm thẻ và được thảo luận nhiều trên các diễn đàn về thẻ.

Fullz

Fullz là một thuật ngữ tiếng lóng để chỉ “thông tin đầy đủ” và được sử dụng bởi bọn tội phạm ăn cắp thông tin thẻ tín dụng. Nó đề cập đến gói thông tin chứa tên thật, địa chỉ và hình thức nhận dạng của một người. Thông tin được sử dụng để đánh cắp danh tính và gian lận tài chính. Người có “fullz” được bán không phải là một bên tham gia giao dịch.

Bán phá giá thẻ tín dụng

Kết xuất thẻ tín dụng xảy ra khi tội phạm tạo bản sao kỹ thuật số trái phép của thẻ tín dụng. Nó được thực hiện bằng cách sao chép vật lý thông tin từ thẻ hoặc hack mạng thanh toán của nhà phát hành. Mặc dù kỹ thuật này không mới, nhưng quy mô của nó đã mở rộng rất nhiều trong những năm gần đây, với một số cuộc tấn công bao gồm hàng triệu nạn nhân.

Cách các công ty ngăn chặn gian lận thẻ

Các công ty đang thực hiện các kỹ thuật khác nhau để đi trước những người khai thác thẻ. Một số thay đổi thú vị hơn gần đây bao gồm yêu cầu thêm thông tin từ người dùng mà người dùng thẻ không dễ dàng có được.

Hệ thống xác minh địa chỉ (AVS)

Hệ thống AVS so sánh địa chỉ thanh toán được cung cấp khi thanh toán trên mạng trực tuyến với địa chỉ ghi tại công ty phát hành thẻ tín dụng. Kết quả ngay lập tức được trả về cho người bán với sự trùng khớp đầy đủ, khớp địa chỉ, khớp mã ZIP và không khớp nào cả. Hệ thống AVS hoạt động bình thường có thể dừng các giao dịch không khớp nếu thẻ bị mất hoặc bị đánh cắp. Đối với địa chỉ hoặc chỉ ZIP phù hợp, người bán có toàn quyền chấp nhận hoặc không. AVS hiện được sử dụng ở Hoa Kỳ, Canada và Vương quốc Anh.

Kiểm tra vị trí địa lý IP

Hệ thống định vị địa lý IP so sánh vị trí IP của máy tính người dùng với địa chỉ hóa đơn được nhập trên trang thanh toán. Nếu chúng không khớp, gian lận có thể được chỉ ra. Có những lý do hợp pháp, chẳng hạn như đi du lịch, không khớp, nhưng chúng thường đảm bảo điều tra thêm.

Giá trị xác minh thẻ (CVV)

Mã giá trị xác minh thẻ (CVV) là một số có ba hoặc bốn chữ số trên thẻ tín dụng để bổ sung một lớp bảo mật bổ sung cho việc mua hàng khi người mua không có mặt thực tế. Vì nó nằm trên chính thẻ, nó xác minh rằng người thực hiện mua hàng qua điện thoại hoặc trực tuyến thực sự có bản sao thực của thẻ.

Nếu số thẻ của bạn bị đánh cắp, kẻ trộm không có CVV sẽ gặp khó khăn khi sử dụng nó. CVV có thể được lưu trữ trong dải từ tính của thẻ hoặc trong chip của thẻ. Người bán gửi CVV cùng với tất cả dữ liệu khác như một phần của yêu cầu ủy quyền giao dịch. Tổ chức phát hành có thể chấp thuận, giới thiệu hoặc từ chối các giao dịch không xác thực được CVV, tùy thuộc vào thủ tục của tổ chức phát hành.

Xác thực đa yếu tố (MFA)

Xác thực đa yếu tố là một công nghệ bảo mật yêu cầu nhiều hơn một phương pháp xác thực từ các thông tin xác thực độc lập để xác minh thông tin đăng nhập của người dùng hoặc giao dịch khác. Nó có thể sử dụng hai hoặc nhiều bit thông tin độc lập, đến từ kiến thức của người dùng (ví dụ: mật khẩu), quyền sở hữu của người dùng (ví dụ: mã thông báo xác thực) hoặc người dùng là gì (dữ liệu sinh trắc học). Việc sử dụng MFA tạo ra một quy trình phân lớp khiến người không được phép khó tiếp cận mục tiêu của họ hơn, vì kẻ tấn công có thể sẽ không hack tất cả các lớp. MFA ban đầu chỉ sử dụng hai yếu tố, nhưng nhiều yếu tố hơn không còn là hiếm.

MÃ NGẪU NHIÊN

CAPTCHA (Thử nghiệm Turing công khai hoàn toàn tự động để nói với Máy tính và Con người khác biệt) là một biện pháp bảo mật của loại xác thực phản hồi thử thách. Nó bảo vệ người dùng khỏi việc giải mã mật khẩu bằng cách yêu cầu người dùng hoàn thành một bài kiểm tra để chứng minh người dự thi là con người chứ không phải một máy tính đang cố gắng xâm nhập vào tài khoản.

CAPTCHA sử dụng một chuỗi số và chữ cái ngẫu nhiên trong một hình ảnh bị bóp méo và yêu cầu người dùng liệt kê chúng theo thứ tự. Tất cả các hệ thống số / chữ cái đều đã bị tin tặc đánh bại ở điểm này hay lúc khác. Do đó, các phiên bản thay thế hiện sử dụng hệ thống phát hiện dị thường (tìm các ô vuông có tàu) dễ dàng cho con người nhưng ít hơn đối với máy tính.

Kiểm tra vận tốc

Kiểm tra tốc độ xem xét số lượng giao dịch được thực hiện bởi cùng một thẻ hoặc khách truy cập trang web trong một số giây hoặc phút nhất định của nhau. Thông thường, người dùng không thanh toán nhiều lần liên tiếp, đặc biệt là thanh toán nhanh đến mức vượt quá khả năng của con người. Vận tốc có thể được theo dõi bằng số tiền, địa chỉ IP của người dùng, địa chỉ thanh toán, Số nhận dạng ngân hàng (BIN) và thiết bị.

Ví dụ về Carding

Carding thường liên quan đến việc mua thẻ quà tặng, sau đó được sử dụng để mua thẻ quà tặng, sau đó có thể được chi tiêu cho hàng hóa tương đối khó truy tìm. Thường thì hàng hóa sau đó được bán lại trực tuyến hoặc ở nơi khác. Thông tin thu được trong quá trình chơi thẻ cũng được sử dụng để trộm cắp và rửa tiền.

Bán lại thông tin

Một trong những cách dễ dàng nhất để sử dụng thông tin thu được trong quá trình chải thô là bán lại thông tin đó cho người khác, những người sau đó sẽ sử dụng thông tin đó trong các âm mưu bất chính khác nhau.

Rửa tiền

Vào năm 2004, một diễn đàn thẻ phổ biến và một hệ thống thanh toán trực tuyến thường được sử dụng bởi các chủ thẻ đã được phát hiện đã trở thành một hệ thống chuyển khoản và ngân hàng cho phép rửa tiền và xử lý các quỹ tội phạm. Bị áp lực lật tẩy, các cá nhân điều hành trang web thanh toán đã khai ra rất nhiều tên tuổi và hoạt động phạm tội nhưng cuối cùng lại bị kết tội rửa tiền.

Điểm mấu chốt

Về lâu dài, nạn cà thẻ chỉ có thể được ngăn chặn nếu chủ thẻ và những người chấp nhận thẻ tích cực tận dụng mọi phương pháp có sẵn để ngăn chặn nạn cà thẻ. Người bán nên được yêu cầu nhiều phương tiện hỗ trợ phòng ngừa nhất có thể, trong khi chủ thẻ nên để ý các dấu hiệu giả mạo vật lý bất cứ khi nào họ sử dụng thẻ trong máy ATM hoặc máy bơm lỗ hổng.

Câu hỏi thường gặp về thẻ