Что такое вещевой кардинг
Вещевой кардинг: все, что нужно знать
На форумах или телеграмм каналах наподобие dark ebay shop, можно встреть предложения о покупке товара или услуги с дисконтом в пол цены. Опасайся подобных предложений, высок риск лишится денег, получить бан от интернет магазина или раскрыть свои личные данные интернет мошенникам.
Вещевой кардинг, весьма популярная сфера в даркнете для многих не чистых на руку людей. Однако, не только неопытные юзеры рискуют попасть на деньги – даже продвинутые пользователи, купившись на обещанную «халяву», рискуют потерять свои деньги. Объясню в статье, что такое вещевой кардинг, и как избежать не нужных проблем. Иногда под видом вещевого кардинга, скрывается обычное кидалово.
Что такое вещевой кардинг?
Кардинг – вид мошенничества с использованием банковской карты, когда операции по ней проводятся третьими лицами, а не ее владельцем. Мошенники получают реквизиты банковских карт с ПК (через троянские, шпионские программы или при прямом использовании компьютера), со взломанных аккаунтов в расчетных и платежных системах, серверов интернет-магазинов и других сервисов.
Кардер – лицо, незаконно получившее данные банковской карты. Мошенник оформляет дорогостоящий заказ в интернет-магазине и оплачивает его с чужой банковской карты (или со взломанного аккаунта в PayPal).
Сегодня финансовая грамотность населения повысилась, однако данные банковских карт стабильно продолжают воровать.
Цель мошенников – получить доступ к деньгам на карте. Варианты различные – снятие наличных в банкомате, перевод между расчетными счетами. Один из сложных и продвинутых способов – вещевой кардинг, т.к. требует дополнительных посредников дропов, в этой серой схеме заработка.
Дроп – это посредник, который за вознаграждение, принимает посылку из интернет магазина и пересылает её по другому, указанному кардером адресу. В этой схеме, это самый низкооплачиваемый и низкоквалифицированный участник.
Снятие наличных и денежные переводы рискованны для мошенников – правоохранительные органы быстро выходят на след кардера. А вещевой кардинг – сфера сложная, но для кардера в этом случае рисков меньше, т.к. посылка проходит через посредников.
Схема вещевого кардинга
Процесс вещевого кардинга выглядит следующим образом.
Задача аферистов – максимально быстро монетизировать и обналичить эту схему в реально существующие деньги. Чем дольше ждать, тем выше риск быть пойманным за руку. Тут появляются покупатели, жадные до вещей, которые продаются с существенной скидкой. Как правило, такие сделки осуществляются при помощи криптовалют, что гарантирует продавцу анонимность.
Схема сбыта карженного
Кардерам и дропам нужно в кратчайшие сроки сбыть товар, полученный незаконным путем. Они используют все каналы связи в интернете – магазин даркнет, группы в соцсетях, сайты-однодневки, каналы в мессенджерах. Их цель – привлечь халявщиков дешевыми предложениями. На таких ресурсах публикуются объявления о продаже дорогих товаров по большой скидке – в 40-60%. Есть масса людей желающих купить дорогой дрон, айфон или приставку в два раза дешевле, чем у производителя.
Наверняка вы слышали про телеграмм-канал Дарк Ебей Шоп (dark ebay shop). На нем часто выкладываются предложения совершить подобные выгодные покупки. Таких каналов много, и они могут называться по-разному, но суть одна. На подобных каналах выкладываются комментарии от лица «удачливых покупателей», которые рады дешево приобретенным товарам, выставляют фотографии полученных вещей. Их отзывы, конечно, фейковые и направлены на привлечение любителей халявы.
На таких сервисах есть масса предложений по дешевым товарам, но нужно учитывать следующее.
Решайте сами, стоит ли игра свеч. Самым правильным выглядит решение успокоиться и пройти мимо «выгодного предложения».
Как работают дропы
Дропы работают за свой процент от сделки. Дроп, тоже не хочет светить свой реальный адрес проживания, чтобы иметь проблем с полицией, поэтому он указывает в качестве адреса получателя, адрес компании почтового посредника.
Почтовые посредники, это сервисы международной доставки товаров, для людей, живущих за границой.
Как компании посредники борются с кардингом, обязательно почитайте, узнаете много интересного.
Зачастую это официальные сервисы, которые находятся в стране отправления посылок интернет-магазина, и которые оказывают услугу по пересылке товаров, в другие страны. ( Например магазин Амазон, не доставляет свои товары в Россию, но через сервис посредника это можно сделать.) Эти компании посредники не хотят быть вовлечены в преступные схемы вещевого кардинга, т.к. работают официально.
Но здесь возникают определенные сложности. У посредников тоже есть свои схемы безопасности. Почтовые сервисы тщательно отслеживают поступления товаров к себе на склады. У них нет желания становиться участниками нелегальных схем и общаться с агентами ФБР.
Поэтому, посредники сразу блокируют аккаунты покупателей, у которых зафиксированы сомнительные покупки. По нахождению фактов мошенничества, посредники, в любой момент готовы вернуть прибывшие товары обратно продавцу в интернет магазин.
На различных тематических форумах, можно встретить много постов, примерно одинаковых по смыслу. «Я купил iPhone на сайте Amazon, а условный PlanetExpress, украл его у меня и заблокировал мой аккаунт. Это подтверждает только то, что дело вещевых кардеров живет и по сей день.
Гифт-карты по скидке в 50%
Есть и исключения. Нередко фрилансерам оплачивают услуги через гифт-карты онлайн-магазинов. Многие монетизируют подобные карты в реально существующие деньги. Однако максимальная скидка на гифт-карты – не больше 15%. Ни один честный пользователь не предложит приобрести гифт-карту за половину ее реальной цены. Но даже при покупке подарочной карты со скидкой в 5-15% нужно быть осторожным и совершать покупку, если вы уверены в честности продавца.
Однако в сети продолжают регулярно появляться темы с предложением купить гиф-карты известных магазинов и сервисов по большой скидке. В таких темах вставляют множество ссылок на сайты, где можно приобрести подобные гиф-карты. Дизайн таких сайтов одинаковый – отличаются только URL.
Если вы увидели предложение о покупки гифт-карт с большим дисконтом, (неважно, на каком ресурсе), знайте – это проделки мошенников и есть риск нарваться на неприятности.
Даже если вам повезет и вы используете полученную гифт-карту, то выпустивший ее магазин или сервис быстро вас заблокирует. Но обычно наивные пользователи оплачивают подарочную карту и получают ее с уже заблокированным кодом и без возможности вернуть деньги (плюсом идет блокировка в магазине – за попытку расплатиться такой картой).
Заключение
Я постарался максимально доходчиво объяснить, как действуют мошенники в сфере кардинга и почему нельзя доверять чересчур выгодным предложениям. Мошенники придумывают новые способы, но и магазины, почтовые сервисы и полиция не дремлют. Существует большой риск, вместо радости от новой покупки с дисконтом, покупатель получить головную боль.
Эти люди крадут деньги с вашей банковской карты. Кто такие кардеры
Вы наверняка встречали в интернете кучу объявлений о продаже новых вещей или техники из США, Европы и так далее. Но вряд ли догадывались, что весомая их часть публикуется кардерами.
Рассказываем, что это за тёмный бизнес, и как кардеры работают.
Предупреждение: статья носит исключительно информационный характер. Кража и мошенничество преследуются законом.
Что такое кардинг?
По большому счёту, кардинг – это кража денег с карты на свою карту, счет, аккаунт в платёжной системе, а также покупка товаров с использованием чужой кредитной карты. Чаще всего кардеры используют снятие наличных, покупку брендовой одежды или электроники.
Раньше многие кардеры работали с американским eBay через PayPal, к которому была привязана чужая карта. Теперь eBay в США и PayPal ужесточили правила, но кардеры никуда не делись – перешли на работу с другими странами, к примеру, Германией, Францией, Италией и т.д.
У кардеров есть свои гуру, каналы в Telegram и обучающие курсы, где учат правильно проворачивать чёрные схемы. И это также приносит доход, порой больший, чем непосредственно от кардинга. В общем, индустрия в тренде.
Как работают кардеры?
Прежде всего, им нужен номер карты и данные для аутентификации (пароль от банковского аккаунта, VDV для карт с 3D Secure, CVV2/CVC2 и т.п.). Часто кардеры покупают базу данных и проверяют актуальность информации в ней или же подбирают пароли с помощью брутфорса или других методов.
В даркнете купить данные карты можно за 300-500 рублей. Кроме того, кардеры оплачивают VPN с возможностью выбора сервера (желательно с точностью до штата или хотя бы до страны) и другие средства анонимизации.
Другой вариант – организация фишинговой кампании. Копируется страница банка с формой для входа в аккаунт или создаётся фальшивое приложение, с помощью спама распространяется ссылка на него.
Пользователь, обеспокоенный тем, что его карту могут заблокировать; банк просит подтвердить операцию; поступил перевод неизвестно от кого – идёт на фальшивый сайт или запускает поддельное приложение. Кардер забирает введённые данные и переводит все деньги себе. Или ждёт больших поступлений, чтобы выгрести по максимуму.
Судя по обсуждениям в даркнете, кардер на старте тратит 5-10 тыс. рублей. Это оплата VPN, туннелей ipsocks, взломанных аккаунтов и доступов к компьютерам, услуг «прозвонщиков», которые общаются с продавцами или службой поддержки банка на нужном языке, сканов документов для посредников. А также «набивание шишек» – далеко не с первой карты всё идёт гладко.
Что такое вбив?
Это процесс ввода данных карты в форму на сайте магазина или платёжной системы. Чтобы не рисковать, кардеры используют для вбива взломанные компьютеры рядовых пользователей. Затем их чистят от логов или избавляются от железа.
Другой вариант – работа с эмулятора Android-смартфона или виртуальной машины. После вбива достаточно удалить программное обеспечение, чтобы замести следы.
Как заказывают товары с чужой карты
Американские и европейские магазины часто не отправляют товар покупателю в Россию, Украину, Казахстан и другие страны бывшего СССР, если он был заказан с привязанного к карте PayPal, который принадлежит гражданину США, Канады или европейских стран. В крупных магазинах и платёжных системах есть системы антифрода, которые блокируют подозрительные транзакции.
Но мошенников это не останавливает.
Они заказывают с карты жертвы подарочную карту (e-gift), а затем со взломанной почты жертвы получают код этой подарочной карты. Непосредственно заказ осуществляется со своего аккаунта, но по коду подарочной карты.
Кроме того, кардеры создают «самореги». Покупается взломанный банковский аккаунт, на него регистрируется PayPal, указывается свой номер телефона, адрес и почта. На такой аккаунт часто можно взять кредит, а не только расходовать доступный положительный баланс.
Однако в последнее время этот вариант практически не используют, потому что PayPal в большинстве случаев отклоняет регистрацию и привязку банковского аккаунта.
Ещё один вариант – использовать посредника.
Конечно, теоретически посредник может развернуть посылку обратно, если магазин ему позвонит и укажет, что имеет место кардинг. Но можно нечаянно ошибиться в номере телефона посредника. Это повышает шанс прохода посылки.
Крупные магазины стали бороться с кардерами, но магазины помельче не так активно противостоят мошенникам. Под ударом фактически все магазины, в которых предлагаются подарочные карты или сертификаты. Заказ вещей и техники напрямую с чужого аккаунта с большей вероятностью «завернут».
Кардеры не только заказывают вещи
С карт можно не только заказать физические товары, но и вывести деньги. Есть казино, онлайн-игры и другие варианты виртуальной передачи денег.
Наконец, есть криптовалютные биржи, которые позволяют относительно анонимно купить монеты, затем их продать и вывести деньги на свою карту. Транзакции в криптовалюте невозвратные, так что система не сможет автоматически вернуть деньги держателю карты.
Кассир в супермаркете тоже может быть кардером
Кассиры в супермаркетах и продавцы в магазинах обычно не могут похвастаться высокой зарплатой. Но если они занимаются кардингом, то получают в 5-10 раз больше денег.
Когда вы проводите оплату картой, кассир или продавец может незаметно посмотреть и запомнить данные. Для некоторых сайтов при заказе товаров достаточно номера карты и CVV2, который написан на обороте. Но кардер может пойти дальше и поставить собственный «ридер» для считывания всех данных карты.
Так что если у вас внезапно через несколько часов или дней после посещения магазина с карты вдруг пропадут деньги, на кого вы подумаете? Уж точно не на кассира или продавца…
А что думает полиция?
Обычно полноценное расследование начинается, только если кардер украл значительную сумму средств – более 1000 долларов. Обычно после этого ФРБ направляет запрос полиции. И в запросе содержатся IP-адреса, имена, адреса отправки и другая информация о потенциальном преступнике.
Для этого кардеры используют дропов. Это люди, которые стоят на низшей ступени в цепочке и выполняют самую грязную работу: обналичивают деньги, предоставляют свои данные для получения посылок, отправляют посылки кардерам и т.д.
Кардеры дают дропам минимум информации и практически не контактируют с ними. Так что даже если дропа выследят, у него будет алиби на момент взлома банковского аккаунта или снятия денег с карты. Да и о кардере он ничего не сможет рассказать. В итоге преступление останется нераскрытым.
Почему кардеры избегают наказания
Практика показывает, что если кардер работает через VPN, прокси и другие сервисы, а также соблюдает правила безопасности в интернете, доказать его вину практически нереально. Но ошибаются все…
Однако даже если полиция нагрянет домой к кардеру, сотрудникам ещё придётся доказать факт совершения компьютерного преступления. А если следов нет, то на нет и суда нет.
Ловят чаще всего на переписке в мессенджерах, наличии данных чужих карт и аккаунтов, сборок вредоносного программного обеспечения и т.п. Но если использовать portable-софт, средства анонимизации, самоуничтожающиеся сообщения и криптозащищенные мессенджеры, доказать что-то будет сложно.
Денежные переводы сами по себе достаточным доказательством не являются. Свидетельские показания тоже. Если кардер сможет притвориться дропом или посредником, то быстро переквалифицируется из обвиняемого в свидетеля.
Что теперь делать?
Некоторые думают, что кардинг – это лёгкие деньги и безнаказанность. Но на самом деле магазины и платёжные системы всё сильнее противостоят им. И уголовное наказание никто не отменял.
Думайте, прежде чем переходить по ссылкам. Установите лимиты на оплату в интернете, не забывайте про антивирус на смартфоне Android и Windows-компьютере.
Также можно использовать одну карту для повседневных покупок, а вторую для хранения более крупных сумм денег, и по необходимости переводить деньги со второй на первую. В случае любых подозрений по поводу незаконного списания средств звоните в банк, чтобы заблокировать карту и начать расследование.
Осторожно, обман. Вещевой кардинг. Телеграмм канал Dark eBay Shop и ему подобные
Введение
Данный топик будет посвящен рассказу о так называемом «вещевом кардинге».
Внимание! Тема создана в информационных целях, чтобы предупредить мошеннические действия в отношении неопытных онлайн-покупателей.
Матерые интернет-шоперы, конечно же, давно про все это знают, но вот новичков лучше предупредить. По понятным причинам в статье не будет ссылок и/или скриншотов. Совсем не хотелось бы написать инструкцию для начинающих кардеров. Просто разберемся в сути проблемы.
Вещевой кардинг – что это?
Думаю, что не стоит подробно объяснять само понятие кардинга. Упрощенно – это использование данных ворованных банковских карт. Причем не важно, как была сворована карта, физически или просто данные банковской карты попали к мошенникам путем банального фишинга. К сожалению, пока ситуация такова, что данные банковских карт как воровали, так и воруют.
Цель тут простая – воспользоваться денежными средствами, которые есть на данной карте. А вот способы могут быть разными – от банального снятия денег в банкомате и банковского перевода с одного счета на другой, до более изощренных, одним из которых и является вещевой кардинг.
В первом случае, конечно же, все очень рискованно и такие мошенники очень быстро оказываются в руках правоохранительных органов. Во втором случае, не все так однозначно, а значит более опасно.
Сама схема вещевого кардинга, упрощенно (подробно ее расписывать не будем), выглядит так:
Еще раз повторюсь, данная схема упрощена до предела и в ней не учтены некоторые нюансы, о которых поговорим ниже.
Понятное дело, что мошенники хотят как можно быстрее «монетизировать» и «обналичить» свою схему в реальные деньги. И вот на этом этапе и возникают незадачливые покупатели, падкие на «халяву»!
Новый iphone за полцены?
Итак, с общей схемой вещевого кардинга мы разобрались и теперь пойдем дальше. Кардерам (включая дропов) нужно каким-то образом сбыть незаконно приобретенный товар. Вот на этом этапе и появляются в сети всевозможные сайты, группы в соцсетях, каналы в Телеграмм и прочих мессенджерах, цель которых – заманить конечного покупателя на «халяву».
Там как раз и публикуются предложения о покупках дорогостоящих товаров, с дисконтом в 40-60% в надежде на то, что всегда найдется незадачливый покупатель, который захочет купить Iphone/ PlayStation/ Xbox/дорогой квардрокоптер и тд. за полцены.
В качестве примера тут можно упомянуть небезызвестный телеграмм-канал Дарк Ебей (Dark eBay Shop), на котором и предлагается сделать такие, якобы выгодные, покупки. Впрочем, подобных каналов/сайтов/групп с соцсетях великое множество и называться они могут по-разному. Но это не меняет их сути. Все они, естественно публикуют отзывы от «счастливых покупателей», которые «всем довольны». Но это просто очередной «крючок» для ловли простаков падких до «халявы».
Тут вам всегда предложат самые сумасшедшие скидки на дорогие товары! Но нужно понимать, что за этим кроется. А подводных камней тут много:
В обоих случаях, ничего хорошего от подобных сделок ждать не надо!
Дропы и почему посредники не хотят ими быть
Вполне естественно, что дропы работают не просто так, а за определенный процент от сделки. И зачастую, сам теневой сервис, который вам предлагает якобы «скидки», предложит вам использовать в качестве адреса пересылки – адрес вполне официального посредника в той стране, в которой находится шоп (магазин) из которого и была сделана покупка. Ну либо вы сами это предложите, если у вас есть виртуальный адрес у посредника. Это снижает издержки кардера на содержание дропа и типа повышает % вашей скидки.
Но и тут не все так просто. Все нормальные посредники уже давно разработали собственные алгоритмы безопасности (которые, конечно же, не разглашают) и очень пристально следят за подобными поступлениями на свой склад. И их можно понять. Никому не хочется общаться с агентами ФБР и подобных служб и никому не хочется быть втянутым в преступную схему!
Именно поэтому аккаунты покупателей с подозрительными покупками нещадно блокируются посредниками! И они всегда готовы отправить полученные товары обратно продавцу. Но, как видно из сказанного выше, это никак не входит в планы кардеров!
Относительно данной проблемы, у нас на сайте даже есть отдельная статья «Бойцы невидимого фронта: почему кардеры не любят мейлфорвардеров«, которая набирает рекордное количество просмотров до сих пор.
Тем не менее, на форуме с завидной регулярностью появляются посты с новых аккаунтов типа «Я купила айфон, а посредник его украл и заблокировал мой аккаунт». Это только лишний раз подтверждает, что мошенники работают «в полный рост» и у них есть жертвы, которые потом пытаются путем «покупательского экстремизма» заставить посредника выслать им товар, который был куплен на «карженные» деньги. Но, это не работает! Любой, нормально работающий посредник, не будет участвовать в подобных схемах.
Гифт-карты с дисконтом в 50%
Но! На нашем сайте с завидной регулярностью появляются топики, с предложением купить гифт-карты с огромным дисконтом от целой кучи магазинов и/или онлайн-сервисов. Естественно, во всех топиках стоят ссылки на отдельные сайты, где такие карты предлагаются. Все эти сайты выполнены по одному шаблону и имеют только разные адреса.
Поскольку смысл этих топиков предельно понятен, долго на сайте они не живут и беспощадно удаляются модераторами.
Тем не менее. Если вы увидели подобные предложения в интернете, в телеграмм-каналах, в соц-сетях, понимайте, что это все мошенничество!
В лучшем случае, вам удастся применить купленный гифт в магазине или на какой-нибудь игровой онлайн-платформе, а потом магазин или сервис полностью заблокирует ваш аккаунт.
В худшем случае, вы просто заплатите деньги и получите уже заблокированный код гифт-карты. И скорее всего денег своих вы не вернете. Никак. Ну и блокировка аккаунта в магазине тоже вполне может быть. Просто за попытку расплатиться таким гифтом.
Резюме
В качестве резюме: мы надеемся, что вы поняли, что в сети существует куча мошенников, которые хотят завладеть вашими деньгами. Не стоит поддаваться на сверх-заманчивые предложения о покупках и участвовать в мошеннических схемах.
Кардинг – что это такое в интернете и как это работает
Кардинг (carding) – это вид мошенничества с применением банковских карт, как кредитных, так и дебетовых. Практически каждый человек так или иначе сталкивался с кардингом. Многие лично знают людей, пострадавших от этого вида мошенничества.
Сегодня мы будем говорить о разновидностях кардинга и самых распространенных схемах, используемых мошенниками. Также расскажем, как обезопасить себя от действий кардера и что предпринять, если вы потеряли деньги.
Данная статья не является руководством к действию, она создана исключительно для информирования пользователей о способах кражи денег с банковских карт. Использование чужих персональных данных без согласия их владельца, а также любые другие мошеннические действия осуждаются автором и преследуются по закону.
Что такое кардинг
Итак, что такое кардинг? Это кража безналичных денежных средств двумя способами:
Преступники, которые специализируются на данном виде мошенничества, именуются кардерами. В основном кардеры – это люди, совершающие покупки в интернет-магазинах от имени владельца пластика, чьи персональные данные получены незаконным путем.
Жертвами кардеров, как правило, становятся люди, пренебрегающие элементарными правилами безопасности. Невнимательность у банкомата, сообщение паролей и кодов из смс людям, представляющимся сотрудниками банков, отправка денег «другу», попавшему в сложную жизненную ситуацию – все это многим знакомо. Однако с развитием современных технологий и средств защиты совершенствуются и схемы мошенничества. Каждый держатель банковской карты несет риск стать жертвой кардера.
Большое внимание уделяется защите персональных данных. Однако закон об этом не всегда работает в нашу пользу, и вот почему. Каждый раз, подписывая согласие на обработку персональных данных при обращении в банк, магазин, медицинскую организацию, вы лишь помогаете сотрудникам этих организаций обезопасить себя, чтобы с чистой совестью присылать вам рекламу и всевозможный спам, ссылаясь на ваше добровольное согласие. Наверняка вам не один раз звонили из «банка», в который вы никогда не обращались и не имеете там ни карты, ни счета. Сотрудник «банка» называет вас по имени, несмотря на то, что вы ни разу в жизни не имели дело с этой организацией. Это результат торговли базами данных, которая ведется через даркнет.
Если же вы спросите у этого человека, откуда у него ваши персональные данные – как минимум, имя и номер телефона, скорее всего, он просто бросит трубку. Мошенник прекрасно знает, что в полицию вы обращаться не будете, максимум – внесете номер звонящего в черный список. Таких номеров может быть десятки, а с появлением IP-телефонии и виртуальных номеров сохранять анонимность становится еще проще.
Можно, конечно, просто не отвечать, если на дисплее незнакомый номер. Но есть люди, которые в силу специфики своей работы просто не могут не ответить на звонок с незнакомого номера. А вдруг это потенциальный клиент? Да и в обычной жизни случаются разные ситуации. В любом случае, если речь заходит о банковской карте – сразу отключайтесь. Это первое правило. Но телефонное мошенничество – не единственный способ отъема денег. Далее поговорим, какие схемы используют кардеры.
Схема кардинга
На самом деле, схем кардинга несколько. Первая, многим хорошо известная – мошенники приобретают базу с данными пользователей. Такие базы продаются в даркнете. Данные обычно «сливаются» сотрудниками – настоящими или бывшими – тех компаний, куда клиенты предоставляют свои персональные данные. Помимо этого, базы подвергаются атакам хакеров, и личные данные людей становятся доступными для кардеров. Далее мошенник действует по такой схеме:
Код генерируется платежным агрегатором, используемым интернет-магазином. Вот мы и подошли ко второй популярной схеме кардинга в интернете.
Думаю, вам приходилось встречать в сети объявления о продаже товаров из США и Европы по довольно низким ценам. Используя популярные интернет-сервисы для размещения объявлений о продаже товаров, преступники сбывают вещи, купленные на деньги держателей карт в зарубежных интернет-магазинах.
Здесь есть несколько разновидностей схемы. Первая, уже известная вам, описана выше. Другая схема предполагает отсутствие двухфакторной аутентификации (т.е. смс-сообщения с одноразовым кодом, необходимого для списания средств). В таких случаях для проведения платежа достаточно знать реквизиты карты, включая трехзначный код на обратной стороне.
Этот код может быть получен несколькими способами:
В общих чертах, думаю, схема действий понятна. Кардеры – это мошенники, действующие с применением современных технических средств. Они используют VPN, виртуальные телефонные номера и кошельки, привязанные к именам различных людей, зачастую не имеющих понятия о том, что их имена используются для совершения противоправных действий.
Кредитные карты
В данном случае имеются в виду любые пластиковые карты – не обязательно кредитные. Термин «кредитная карта» пришел с запада, где расчеты кредитками существуют уже несколько десятилетий.
С появлением безналичных расчетов в России стали выпускаться дебетовые карты, а термин «кредитка» так и остался.
Итак, пластиковая карта содержит следующую информацию:
Для некоторых интернет-магазинов и платежных систем этих данных бывает достаточно. Найти магазин, принимающий платежи по CVV-коду – задача не из легких, однако такие магазины существуют. Их поиск в сети – одно из основных направлений деятельности кардера.
Я бы еще рекомендовала придерживаться следующего правила. Если продавец просит перевести деньги через какой-то малоизвестный платежный сервис, название которого вам ни о чем не говорит – воздержитесь от покупки. В большинстве случаев используется двухфакторная аутентификация и другие способы защиты.
Двухфакторная аутентификация, VBV, MCSC
Итак, двухфакторная аутентификация – это то самое смс сообщение с автоматически сгенерированным числовым кодом, которое приходит на ваш телефон для подтверждения платежа. Теоретически, код должен быть известен только вам. К сожалению, для того, чтобы код узнал мошенник, не всегда обязательно сообщать ему лично. Информация может быть считана вредоносной программой, внедренной на вашем устройстве, или путем подмены файлов cookies.
Cookies – это файлы, отправляемые на ваше устройство при посещении того или иного сайта. Наверняка вы видели всплывающую надпись примерно такого содержания: «Этот сайт использует файлы cookies, просим подтвердить доступ для вашей безопасности, и т.д.». Эта надпись часто мешает просмотру контента, и в большинстве случаев мы просто нажимаем «Принять», чтобы надоедливый баннер исчез. Что это за файлы, и какую информацию о вас они собирают?
В большинстве случаев, файлы cookies абсолютно безопасны. Основная их функция – идентифицировать вас как уникального пользователя. Известно, что многие сайты зарабатывают на рекламе. В этом случае доход владельца сайта зависит от количества просмотров.
Кроме того, регистрируясь на сайте, например, интернет-магазина, вы создаете учетную запись. Нередко к аккаунту пользователя привязываются и данные карты, чтобы не вводить их заново каждый раз при совершении платежа.
Чем они могут быть опасны? Самое безобидное – ваши данные могут использоваться для навязчивой рекламы. Иногда владельцы сайтов продают рекламодателем файлы cookies вместе с информацией о вас. Кроме того, существует еще контекстная реклама, когда с помощью cookies отслеживается история ваших запросов. Способы получения данных в этих случаях не всегда законны, но это отдельная тема.
Бывает и так, что файлы cookies перехватываются хакером с целью создания их копии и действий от вашего имени, в том числе кардинга с использованием вашей учетной записи.
VBV и MCSC – это способы двухфакторной аутентификации без использования телефонного номера. В этом случае владелец пластика самостоятельно создает пароль для совершения платежей и устанавливает его на карту через банкомат или сайт банка. В России и странах СНГ эти способы не очень популярны, однако на Западе они широко используются. Эти коды являются более уязвимыми, нежели аутентификация по смс, т.к. используются многократно.
Иногда сам кардер может установить такой код на кредитку ничего не подозревающего человека и совершать покупки в сети от его имени.
Фулка (Fullz)
Фулка (от англ. full – полный) – на жаргоне кардеров означает «полная информация о владельце карты». Сюда входит:
Фулка – это самый дорогой товар на рынке кардинга, позволяющий совершать операции с помощью микротранзакций.
Наверняка вам встречалось такое: с вашей карты списывается 1 рубль, который вам потом вернут, с целью проверки данных владельца счета. Таким способом иногда мошенники могут получить полную информацию о вас.
Далее переходим к классификации. Рассмотрим основные виды кардинга.
Каким бывает кардинг
С физическим доступом к карте или банкомату
Здесь мы не будем говорить о краже кредиток с приклеенными к ним бумажками с пин-кодом или о похищении сумки, где в документах такую бумажку нетрудно найти. Тем не менее, напомню, что при пользовании банкоматом следует быть осторожным и прикрывать клавиатуру рукой, когда вводите пин-код.
Кроме того, иногда бывают случаи, когда в доступе плательщика находится только клавиатура для ввода пин-кода, а кредитку забирает продавец, т.к. терминал находится под прилавком. Такие устройства – PIN-Pad с выносной клавиатурой – используются в медицинских организациях и других учреждениях, где касса представляет собой помещение с окошком для расчетов. То есть, фактически, терминала вы не видите, и действия продавца – вне поля вашего зрения. В этом случае у продавца достаточно времени, чтобы увидеть CVV-код. А значит, вы не застрахованы от кардинга.
Кроме того, даже если вы расплачиваетесь самостоятельно, теоретически у продавца есть возможность запомнить данные кредитки.
Известны случаи, когда сотрудники банков с помощью специального устройства сканировали данные карты для последующего изготовления ее копии. К счастью, с появлением бесконтактных оплат, такие истории случаются крайне редко.
Стоит упомянуть и о специальном устройстве, которое можно подключить к банкомату и снять все средства, что имеются. Такие миниатюрные компьютеры, именуемые BlackBox, представляют серьезную угрозу для банковской системы США. Однако здесь пострадавшей стороной является все-таки банк, а не держатель кредитки. Наша же статья о том, как физическому лицу защитить свои средства.
Второй вид карточного мошенничества распространен гораздо более широко. В каком-то смысле дистанционный кардинг совершенствуется вместе с развитием технологий безопасности.
Дистанционные атаки
Это покупка товаров и услуг без физического предъявления пластика. Чаще всего схема кардинга работает так: мошенник приобретает товар в интернет-магазине с использованием CVV-кода или считанных данных двухфакторной аутентификации. Далее дело техники: товар доставляется на безопасный адрес и сбывается третьим лицам.
Также существует несколько других способов кардинга. Рассмотрим каждый в отдельности.
Методы кардинга
Вещевой кардинг
Итак, вещевой кардинг – это покупка товаров без согласия держателя карты. Этот метод становится достаточно сложным, т.к. большинство интернет-магазинов работают с проверенными банками, использующими двухфакторную аутентификацию. Но следует отметить, что вещевой кардинг в России не очень широко распространен – большинство преступников охотятся за деньгами иностранцев, которые используют многократные системы защиты – VBV или MCSC.
Схема кардинга работает так: с чужой кредитки оплачивается товар, а доставка оформляется на адрес дропа (подставного лица). Процедура ввода данных для совершения платежа носит название «вбив».
В случае успешного зачисления средств с чужой карты на электронный адрес, созданный мошенником специально для этих целей, приходит подтверждение с трек-номером для отслеживания посылки.
Основная сложность заключается в том, что непросто найти интернет-магазин, который готов доставлять посылку на указанный плательщиком адрес. Большинство компаний предпочитает не рисковать своей репутацией и оформляют доставку на адрес регистрации покупателя. Однако находятся те, кто работает с так называемыми «шипами» (от англ. ship address – адрес доставки). В этом случае используется адрес дропа.
Дропы бывают двух видов:
Далее товар передается скупщику для последующей реализации. Заработок кардера составляет примерно 40-50% от стоимости покупки.
Платежные системы
Платежные системы – это системы расчетов электронными деньгами. Наиболее известные – WebMoney, PayPal, QIWI и др.
Кардинг, представляющий собой хищение средств с электронных кошельков производится двумя способами:
Второй способ – более дешевый. Мошенник сливает деньги на созданный аккаунт с именем владельца украденных данных. К этому аккаунту имеется полный доступ, включая сим-карту. Таким образом, можно беспрепятственно покупать товары, услуги, криптовалюты и совершать другие операции с использованием электронных расчетов.
Единственная сложность может возникнуть с выводом средств или их обналичиванием. Но чаще всего такой необходимости и не возникает.
С появлением криптовалют у кардеров расширились возможности для вывода денег – многие криптокошельки сохраняют полную анонимность.
Заливы на sim-карты
Кардинг с использованием симок работает по такой схеме:
Сервисы международного пополнения созданы для туристов, которые могут пополнить симку страны пребывания деньгами в любой валюте с последующей конвертацией. Такие сервисы не относятся к платежным системам, а значит, являются более уязвимыми с точки зрения безопасности.
Подарочные сертификаты
Это одна из разновидностей вещевого кардинга. Владелец карты может долгое время не замечать, что с его счета пропадают бонусы. Согласитесь, не все следят за бонусами, которые начисляются за крупные покупки. Также не все имеют возможность распорядиться этими бонусами в ограниченные сроки.
Например, человек приобрел iPhone последней модели и получил подарочный сертификат от магазина Apple сроком действия 3 месяца. Сертификат обычно подразумевает компенсацию какой-то небольшой части покупки. Маловероятно, что в такой короткий период человек снова надумает приобрести что-то дорогостоящее. А многие и попросту забывают о таких подарках, чем успешно пользуются кардеры.
Сведения об имеющихся на счете бонусах и подарочных сертификатах мошенник получает из фулки. Потратить средства можно по своему усмотрению. Гифты (от англ. gift – подарок) – так именуются сертификаты на сленге мошенников в области кардинга – можно перепродать в даркнете за 20-30% от номинала.
Отели, авиабилеты
Здесь применяется схема, аналогичная той, что используется для подарочных сертификатов. Авиакомпании начисляют бонусные мили, а сервисы бронирования поощряют постоянных клиентов путем предоставления гостиничных номеров с хорошей скидкой.
Аккаунты, на которых числятся бонусы, кардеры находят путем взлома серверов различных банков. Как правило, одного или двух аккаунтов с бонусами хватает на то, чтобы оплатить авиабилет или номер в отеле, которые реализуются по низкой цене (20-30% от реальной стоимости). Надо ли говорить, что такие предложения разлетаются, как горячие пирожки.
Для собственника кредитки кардинг, специализирующийся на бонусах, – наименьшее зло. В основном, все переживают за сохранность денег, а бонусы не столь важны. К тому же, зачастую они попросту сгорают, если их не использовать в положенный срок. Поэтому вероятность того, что мошенничество вскроется, довольно низкая.
Как происходит процесс кражи средств
Итак, мы уже знаем, что реальный кардинг подразделяется на две категории:
С физическим доступом мы уже разобрались. Дистанционный кардинг можно подразделить на два вида:
Почему кардеры избегают наказания
Вообще мошенничество в сети – сфера, в которой доказать что-либо довольно сложно. Во-первых, дело заводят, только если похищена крупная сумма (на Западе – от 1000 долларов). В России для открытия уголовного дела сумма должна составлять не менее 5000 рублей. Однако на практике это реализуется сложно, и вот почему.
Предположим, правоохранительные органы вышли на дропа. Какие сведения он им сообщит? «Нашел объявление на бирже, требовалось отвезти посылку. Я ее отвез, получил свои 500 руб. Больше с заказчиком не контактировал». И это часто является правдой. Если даже он сообщит номер и адрес электронной почты, по которому с ним связывались – номер, скорее всего, уже не используется, а почта зарегистрирована на IP другой страны. Деньги в качестве оплаты за задание были внесены через банкомат. Как в этом случае найти преступника?
Даже если полиция выйдет на самого кардера и нагрянет к нему домой, то в качестве доказательств используется переписка в мессенджерах (которую можно быстро уничтожить) или наличие на компьютерах вредоносных программ. Но профессионалы работают через VPN, используют мессенджеры с криптозащитой и соблюдают другие правила безопасности в сети.
Кроме того, кардер может представиться дропом, а в этом случае он уже не обвиняемый, а свидетель.
Поэтому лучшее, что мы можем предпринять – это меры безопасности.
Как себя обезопасить от кардинга
Пример кардинга
Опытные кардеры, как правило, охотятся за аккаунтами европейцев и американцев. Но мы приведем примеры кардинга в российских реалиях, чтобы не возникало вопросов – когда и как пропадают средства с кредиток.
Александр разместил объявление о продаже дивана на Avito. Диван новый, стоит недешево, но, к сожалению, в новую гостиную не подошел. Поэтому владелец решил продать его по цене на 10% дешевле стоимости приобретения.
Объявление не вызывало особого интереса в течение недели. Наконец, поздно вечером Александру поступил звонок от человека, желающего приобрести диван прямо сейчас, и даже отправить предоплату. Судя по голосу, потенциальный покупатель был в восторге от дивана и горел желанием стать его обладателем.
Только вот время уже позднее и приехать сейчас он не может, но готов оплатить всю сумму на банковскую карту. Для этого нужен номер карты Александра.
Сообщать номер кредитки – не опасно, и Александр продиктовал его собеседнику. Далее тот сообщил, что перевод отправлен с кодом защиты, который сейчас придет на телефон продавца. Не прекращая разговор, мошенник просит Александра продиктовать ему четырехзначный код. После сообщения кода связь «обрывается». Хорошо, если денег на карте у Александра нет, или сумма совсем маленькая.
Другой пример. Елена приобрела кредитку и решила оплатить с нее мобильный телефон. Оплату Елена планировала провести через бесплатное приложение, скачанное на планшет.
Вот только антивирус на планшете Елены установлен не был, а потому окно ввода логина и пароля было заменено вредоносной программой. Таким образом, прежде чем Елена успела провести нужный платеж, деньги были списаны мошенниками.
Заключение
В статье мы разобрали, что такое кардинг (carding) и его основные направления. В заключение хотелось бы добавить, что тяга к легким деньгам – явление, которое искоренить невозможно. Поэтому кардинг постоянно совершенствуется и приобретает новые направления.
Но и технический прогресс не стоит на месте. Ежедневно сотни специалистов трудятся, чтобы сделать безналичные расчеты более безопасными.
Если вы приобрели карту – это означает, что за вашими деньгами уже охотятся мошенники. А следовательно, не пренебрегайте приведенными в статье мерами безопасности и не поддавайтесь на заманчивые предложения о сверхвыгодных покупках.