Кардинг – что это такое в интернете и как это работает

кардинг Финансовая грамотность

Кардинг (carding) – это вид мошенничества с применением банковских карт, как кредитных, так и дебетовых. Практически каждый человек так или иначе сталкивался с кардингом. Многие лично знают людей, пострадавших от этого вида мошенничества.

Сегодня мы будем говорить о разновидностях кардинга и самых распространенных схемах, используемых мошенниками. Также расскажем, как обезопасить себя от действий кардера и что предпринять, если вы потеряли деньги.

Данная статья не является руководством к действию, она создана исключительно для информирования пользователей о способах кражи денег с банковских карт. Использование чужих персональных данных без согласия их владельца, а также любые другие мошеннические действия осуждаются автором и преследуются по закону.

Что такое кардинг

Что такое кардинг

Итак, что такое кардинг? Это кража безналичных денежных средств двумя способами:

  1. Перевод денег на свою карту или счет.
  2. Покупка товаров в интернет-магазинах с целью последующей перепродажи.

Преступники, которые специализируются на данном виде мошенничества, именуются кардерами. В основном кардеры – это люди, совершающие покупки в интернет-магазинах от имени владельца пластика, чьи персональные данные получены незаконным путем.

Жертвами кардеров, как правило, становятся люди, пренебрегающие элементарными правилами безопасности. Невнимательность у банкомата, сообщение паролей и кодов из смс людям, представляющимся сотрудниками банков, отправка денег «другу», попавшему в сложную жизненную ситуацию – все это многим знакомо. Однако с развитием современных технологий и средств защиты совершенствуются и схемы мошенничества. Каждый держатель банковской карты несет риск стать жертвой кардера.

Большое внимание уделяется защите персональных данных. Однако закон об этом не всегда работает в нашу пользу, и вот почему. Каждый раз, подписывая согласие на обработку персональных данных при обращении в банк, магазин, медицинскую организацию, вы лишь помогаете сотрудникам этих организаций обезопасить себя, чтобы с чистой совестью присылать вам рекламу и всевозможный спам, ссылаясь на ваше добровольное согласие. Наверняка вам не один раз звонили из «банка», в который вы никогда не обращались и не имеете там ни карты, ни счета. Сотрудник «банка» называет вас по имени, несмотря на то, что вы ни разу в жизни не имели дело с этой организацией. Это результат торговли базами данных, которая ведется через даркнет.

Если же вы спросите у этого человека, откуда у него ваши персональные данные – как минимум, имя и номер телефона, скорее всего, он просто бросит трубку. Мошенник прекрасно знает, что в полицию вы обращаться не будете, максимум – внесете номер звонящего в черный список. Таких номеров может быть десятки, а с появлением IP-телефонии и виртуальных номеров сохранять анонимность становится еще проще.

Можно, конечно, просто не отвечать, если на дисплее незнакомый номер. Но есть люди, которые в силу специфики своей работы просто не могут не ответить на звонок с незнакомого номера. А вдруг это потенциальный клиент? Да и в обычной жизни случаются разные ситуации. В любом случае, если речь заходит о банковской карте – сразу отключайтесь. Это первое правило. Но телефонное мошенничество – не единственный способ отъема денег. Далее поговорим, какие схемы используют кардеры.

Схема кардинга

Схема кардинга

На самом деле, схем кардинга несколько. Первая, многим хорошо известная – мошенники приобретают базу с данными пользователей. Такие базы продаются в даркнете. Данные обычно «сливаются» сотрудниками – настоящими или бывшими – тех компаний, куда клиенты предоставляют свои персональные данные. Помимо этого, базы подвергаются атакам хакеров, и личные данные людей становятся доступными для кардеров. Далее мошенник действует по такой схеме:

  1. Звонок потенциальной жертве (чаще всего звонит, конечно, не сам кардер, а его «подчиненный», представившийся сотрудником службы безопасности банка).
  2. Сообщение о «подозрительной» операции на крупную сумму, ожидающей подтверждения кардхолдера (держателя пластика). Обеспокоенный человек, конечно же, ответит, что никаких подобных операций не совершал и не планировал.
  3. Далее мошенник сообщает, что «клиент» подвергся атаке мошенников (в данном случае, это истинная правда). И, чтобы защитить средства, просит продиктовать четырехзначный код, который будет получен по смс. Все, деньги списаны.

Код генерируется платежным агрегатором, используемым интернет-магазином. Вот мы и подошли ко второй популярной схеме кардинга в интернете.

Думаю, вам приходилось встречать в сети объявления о продаже товаров из США и Европы по довольно низким ценам. Используя популярные интернет-сервисы для размещения объявлений о продаже товаров, преступники сбывают вещи, купленные на деньги держателей карт в зарубежных интернет-магазинах.

Здесь есть несколько разновидностей схемы. Первая, уже известная вам, описана выше. Другая схема предполагает отсутствие двухфакторной аутентификации (т.е. смс-сообщения с одноразовым кодом, необходимого для списания средств). В таких случаях для проведения платежа достаточно знать реквизиты карты, включая трехзначный код на обратной стороне.

Этот код может быть получен несколькими способами:

  • непосредственно от владельца пластика путем введения в заблуждение;
  • в результате взлома компьютера или смартфона пользователя;
  • к сожалению, известны также случаи, когда код был считан с серверов платежных агрегаторов или добросовестных магазинов, подвергшихся атаке хакеров.

В общих чертах, думаю, схема действий понятна. Кардеры – это мошенники, действующие с применением современных технических средств. Они используют VPN, виртуальные телефонные номера и кошельки, привязанные к именам различных людей, зачастую не имеющих понятия о том, что их имена используются для совершения противоправных действий.

Кредитные карты

В данном случае имеются в виду любые пластиковые карты – не обязательно кредитные. Термин «кредитная карта» пришел с запада, где расчеты кредитками существуют уже несколько десятилетий.

С появлением безналичных расчетов в России стали выпускаться дебетовые карты, а термин «кредитка» так и остался.

Читайте также  Стартовый капитал - что это и как его заработать

Итак, пластиковая карта содержит следующую информацию:

  • фамилия и имя владельца латинскими буквами;
  • срок действия;
  • тип (VISA, MasterCard и др.);
  • наименование банка-эмитента;
  • номер;
  • CVV (трехзначный защитный код).

Для некоторых интернет-магазинов и платежных систем этих данных бывает достаточно. Найти магазин, принимающий платежи по CVV-коду – задача не из легких, однако такие магазины существуют. Их поиск в сети – одно из основных направлений деятельности кардера.

Я бы еще рекомендовала придерживаться следующего правила. Если продавец просит перевести деньги через какой-то малоизвестный платежный сервис, название которого вам ни о чем не говорит – воздержитесь от покупки. В большинстве случаев используется двухфакторная аутентификация и другие способы защиты.

Двухфакторная аутентификация, VBV, MCSC

Итак, двухфакторная аутентификация – это то самое смс сообщение с автоматически сгенерированным числовым кодом, которое приходит на ваш телефон для подтверждения платежа. Теоретически, код должен быть известен только вам. К сожалению, для того, чтобы код узнал мошенник, не всегда обязательно сообщать ему лично. Информация может быть считана вредоносной программой, внедренной на вашем устройстве, или путем подмены файлов cookies.

Cookies – это файлы, отправляемые на ваше устройство при посещении того или иного сайта. Наверняка вы видели всплывающую надпись примерно такого содержания: «Этот сайт использует файлы cookies, просим подтвердить доступ для вашей безопасности, и т.д.». Эта надпись часто мешает просмотру контента, и в большинстве случаев мы просто нажимаем «Принять», чтобы надоедливый баннер исчез. Что это за файлы, и какую информацию о вас они собирают?

В большинстве случаев, файлы cookies абсолютно безопасны. Основная их функция – идентифицировать вас как уникального пользователя. Известно, что многие сайты зарабатывают на рекламе. В этом случае доход владельца сайта зависит от количества просмотров.

Кроме того, регистрируясь на сайте, например, интернет-магазина, вы создаете учетную запись. Нередко к аккаунту пользователя привязываются и данные карты, чтобы не вводить их заново каждый раз при совершении платежа.

Чем они могут быть опасны? Самое безобидное – ваши данные могут использоваться для навязчивой рекламы. Иногда владельцы сайтов продают рекламодателем файлы cookies вместе с информацией о вас. Кроме того, существует еще контекстная реклама, когда с помощью cookies отслеживается история ваших запросов. Способы получения данных в этих случаях не всегда законны, но это отдельная тема.

Бывает и так, что файлы cookies перехватываются хакером с целью создания их копии и действий от вашего имени, в том числе кардинга с использованием вашей учетной записи.

VBV и MCSC – это способы двухфакторной аутентификации без использования телефонного номера. В этом случае владелец пластика самостоятельно создает пароль для совершения платежей и устанавливает его на карту через банкомат или сайт банка. В России и странах СНГ эти способы не очень популярны, однако на Западе они широко используются. Эти коды являются более уязвимыми, нежели аутентификация по смс, т.к. используются многократно.

Иногда сам кардер может установить такой код на кредитку ничего не подозревающего человека и совершать покупки в сети от его имени.

Фулка (Fullz)

Фулка (от англ. full – полный) – на жаргоне кардеров означает «полная информация о владельце карты». Сюда входит:

  • ФИО клиента банка;
  • паспортные данные;
  • дата рождения;
  • адрес регистрации;
  • номер телефона и адрес электронной почты;
  • все реквизиты карты, включая кодовое слово, указываемое при регистрации;
  • перечень устройств, используемых для совершения операций с их IP-адресами;
  • перечень программ, через которые проводились платежи (мобильное приложение, веб-клиент и др.);
  • список операций по счету.

Фулка – это самый дорогой товар на рынке кардинга, позволяющий совершать операции с помощью микротранзакций.

Наверняка вам встречалось такое: с вашей карты списывается 1 рубль, который вам потом вернут, с целью проверки данных владельца счета. Таким способом иногда мошенники могут получить полную информацию о вас.

Далее переходим к классификации. Рассмотрим основные виды кардинга.

Каким бывает кардинг

С физическим доступом к карте или банкомату

доступ к банкомату

Здесь мы не будем говорить о краже кредиток с приклеенными к ним бумажками с пин-кодом или о похищении сумки, где в документах такую бумажку нетрудно найти. Тем не менее, напомню, что при пользовании банкоматом следует быть осторожным и прикрывать клавиатуру рукой, когда вводите пин-код.

Кроме того, иногда бывают случаи, когда в доступе плательщика находится только клавиатура для ввода пин-кода, а кредитку забирает продавец, т.к. терминал находится под прилавком. Такие устройства – PIN-Pad с выносной клавиатурой – используются в медицинских организациях и других учреждениях, где касса представляет собой помещение с окошком для расчетов. То есть, фактически, терминала вы не видите, и действия продавца – вне поля вашего зрения. В этом случае у продавца достаточно времени, чтобы увидеть CVV-код. А значит, вы не застрахованы от кардинга.

Кроме того, даже если вы расплачиваетесь самостоятельно, теоретически у продавца есть возможность запомнить данные кредитки.

Известны случаи, когда сотрудники банков с помощью специального устройства сканировали данные карты для последующего изготовления ее копии. К счастью, с появлением бесконтактных оплат, такие истории случаются крайне редко.

Стоит упомянуть и о специальном устройстве, которое можно подключить к банкомату и снять все средства, что имеются. Такие миниатюрные компьютеры, именуемые BlackBox, представляют серьезную угрозу для банковской системы США. Однако здесь пострадавшей стороной является все-таки банк, а не держатель кредитки. Наша же статья о том, как физическому лицу защитить свои средства.

Второй вид карточного мошенничества распространен гораздо более широко. В каком-то смысле дистанционный кардинг совершенствуется вместе с развитием технологий безопасности.

Дистанционные атаки

Это покупка товаров и услуг без физического предъявления пластика. Чаще всего схема кардинга работает так: мошенник приобретает товар в интернет-магазине с использованием CVV-кода или считанных данных двухфакторной аутентификации. Далее дело техники: товар доставляется на безопасный адрес и сбывается третьим лицам.

Читайте также  Сальдо - что это простыми словами в бухгалтерии

Также существует несколько других способов кардинга. Рассмотрим каждый в отдельности.

Методы кардинга

Вещевой кардинг

Итак, вещевой кардинг – это покупка товаров без согласия держателя карты. Этот метод становится достаточно сложным, т.к. большинство интернет-магазинов работают с проверенными банками, использующими двухфакторную аутентификацию. Но следует отметить, что вещевой кардинг в России не очень широко распространен – большинство преступников охотятся за деньгами иностранцев, которые используют многократные системы защиты – VBV или MCSC.

Схема кардинга работает так: с чужой кредитки оплачивается товар, а доставка оформляется на адрес дропа (подставного лица). Процедура ввода данных для совершения платежа носит название «вбив».

В случае успешного зачисления средств с чужой карты на электронный адрес, созданный мошенником специально для этих целей, приходит подтверждение с трек-номером для отслеживания посылки.

Основная сложность заключается в том, что непросто найти интернет-магазин, который готов доставлять посылку на указанный плательщиком адрес. Большинство компаний предпочитает не рисковать своей репутацией и оформляют доставку на адрес регистрации покупателя. Однако находятся те, кто работает с так называемыми «шипами» (от англ. ship address – адрес доставки). В этом случае используется адрес дропа.

Дропы бывают двух видов:

  1. Люди в поисках легкого заработка. Их кардеры находят в интернете на биржах фриланса или других ресурсах по поиску работы и предлагают необременительное задание за достойную оплату. Суть задания заключается в приеме посылки и последующей передаче ее содержимого третьему лицу. Заплатят ли дропу за эту работу – зависит от честности «работодателя».
  2. Люди, которые осведомлены о том, что они занимаются кардингом. Такие, как правило, требуют предоплату.

Далее товар передается скупщику для последующей реализации. Заработок кардера составляет примерно 40-50% от стоимости покупки.

Платежные системы

QIWI

Платежные системы – это системы расчетов электронными деньгами. Наиболее известные – WebMoney, PayPal, QIWI и др.

Кардинг, представляющий собой хищение средств с электронных кошельков производится двумя способами:

  • взлом аккаунта реального человека;
  • регистрация под чужим именем по данным, взятым из фулки.

Второй способ – более дешевый. Мошенник сливает деньги на созданный аккаунт с именем владельца украденных данных. К этому аккаунту имеется полный доступ, включая сим-карту. Таким образом, можно беспрепятственно покупать товары, услуги, криптовалюты и совершать другие операции с использованием электронных расчетов.

Единственная сложность может возникнуть с выводом средств или их обналичиванием. Но чаще всего такой необходимости и не возникает.

С появлением криптовалют у кардеров расширились возможности для вывода денег – многие криптокошельки сохраняют полную анонимность.

Заливы на sim-карты

Кардинг с использованием симок работает по такой схеме:

  1. Приобретается несколько сим-карт по низкой цене. Купить их можно на популярных сайтах по продаже товаров от частных лиц.
  2. Кардер переводит деньги со взломанного аккаунта на одну из таких симок через сервисы международного пополнения.

Сервисы международного пополнения созданы для туристов, которые могут пополнить симку страны пребывания деньгами в любой валюте с последующей конвертацией. Такие сервисы не относятся к платежным системам, а значит, являются более уязвимыми с точки зрения безопасности.

  1. При успешном вбиве средства мгновенно выводятся на QIWI или криптокошелек.

Подарочные сертификаты

Это одна из разновидностей вещевого кардинга. Владелец карты может долгое время не замечать, что с его счета пропадают бонусы. Согласитесь, не все следят за бонусами, которые начисляются за крупные покупки. Также не все имеют возможность распорядиться этими бонусами в ограниченные сроки.

Например, человек приобрел iPhone последней модели и получил подарочный сертификат от магазина Apple сроком действия 3 месяца. Сертификат обычно подразумевает компенсацию какой-то небольшой части покупки. Маловероятно, что в такой короткий период человек снова надумает приобрести что-то дорогостоящее. А многие и попросту забывают о таких подарках, чем успешно пользуются кардеры.

Сведения об имеющихся на счете бонусах и подарочных сертификатах мошенник получает из фулки. Потратить средства можно по своему усмотрению. Гифты (от англ. gift – подарок) – так именуются сертификаты на сленге мошенников в области кардинга – можно перепродать в даркнете за 20-30% от номинала.

Отели, авиабилеты

Здесь применяется схема, аналогичная той, что используется для подарочных сертификатов. Авиакомпании начисляют бонусные мили, а сервисы бронирования поощряют постоянных клиентов путем предоставления гостиничных номеров с хорошей скидкой.

Аккаунты, на которых числятся бонусы, кардеры находят путем взлома серверов различных банков. Как правило, одного или двух аккаунтов с бонусами хватает на то, чтобы оплатить авиабилет или номер в отеле, которые реализуются по низкой цене (20-30% от реальной стоимости). Надо ли говорить, что такие предложения разлетаются, как горячие пирожки.

Для собственника кредитки кардинг, специализирующийся на бонусах, – наименьшее зло. В основном, все переживают за сохранность денег, а бонусы не столь важны. К тому же, зачастую они попросту сгорают, если их не использовать в положенный срок. Поэтому вероятность того, что мошенничество вскроется, довольно низкая.

Как происходит процесс кражи средств

дистанционный кардинг

Итак, мы уже знаем, что реальный кардинг подразделяется на две категории:

  • физический доступ;
  • дистанционный кардинг.

С физическим доступом мы уже разобрались. Дистанционный кардинг можно подразделить на два вида:

  1. Получение данных непосредственно от владельца (телефонное мошенничество), когда преступник звонит человеку, запугивает его на предмет подозрительных операций с картой и получает пароль из смс. С этим тоже все более-менее понятно.
  2. Что касается получения данных о владельцах аккаунтов из сети, то это происходит обычно при помощи бота, который распространяет вредоносное программное обеспечение, считывающее персональные данные владельцев счетов. В этом случае пострадавший узнает о хищении только при получении уведомления о списании средств, если такая настройка установлена на мобильном телефоне или электронной почте.
  3. Есть еще скам (от англ. scam – афера) в кардинге, который не является кардингом в прямом смысле этого слова. Скам заключается в обмане новичков, желающих попробовать себя в кардинге. На сленге их называют «хомячки». Зарегистрировавшись на форуме кардеров, новичок находит объявление о продаже техники по цене 50% от реальной стоимости, кредиток или аккаунтов в платежных системах и т.д. Большая часть таких объявлений – это «развод». Поэтому, придя в кардинг, новичок с вероятностью более 90% нарвется на мошенника. И гаджет, за который заплачены деньги, скорее всего, «хомячок» никогда не увидит. Как и денег, разумеется.
Читайте также  Что такое коэффициент капитализации и его как рассчитать

Почему кардеры избегают наказания

Вообще мошенничество в сети – сфера, в которой доказать что-либо довольно сложно. Во-первых, дело заводят, только если похищена крупная сумма (на Западе – от 1000 долларов). В России для открытия уголовного дела сумма должна составлять не менее 5000 рублей. Однако на практике это реализуется сложно, и вот почему.

Предположим, правоохранительные органы вышли на дропа. Какие сведения он им сообщит? «Нашел объявление на бирже, требовалось отвезти посылку. Я ее отвез, получил свои 500 руб. Больше с заказчиком не контактировал». И это часто является правдой. Если даже он сообщит номер и адрес электронной почты, по которому с ним связывались – номер, скорее всего, уже не используется, а почта зарегистрирована на IP другой страны. Деньги в качестве оплаты за задание были внесены через банкомат. Как в этом случае найти преступника?

Даже если полиция выйдет на самого кардера и нагрянет к нему домой, то в качестве доказательств используется переписка в мессенджерах (которую можно быстро уничтожить) или наличие на компьютерах вредоносных программ. Но профессионалы работают через VPN, используют мессенджеры с криптозащитой и соблюдают другие правила безопасности в сети.

Кроме того, кардер может представиться дропом, а в этом случае он уже не обвиняемый, а свидетель.

Поэтому лучшее, что мы можем предпринять – это меры безопасности.

Как себя обезопасить от кардинга

sms

  1. При совершении покупок в сети используйте двухфакторную аутентификацию по смс. На сегодняшний день этот способ является самым безопасным.
  2. Никогда, никому и ни при каких обстоятельствах не сообщайте коды из смс, трехзначные CVV-коды и пин-коды от карт. Если вам нужно получить деньги от незнакомого человека, все, что ему требуется знать – ваша фамилия и имя латинскими буквами и номер карты.
  3. Не храните данные вашей карты на общедоступных компьютерах.
  4. Настройте уведомления обо всех операциях по карте, которые будут приходить на ваш телефон сразу после списания средств. Даже если такая услуга является платной, стоит она недорого.
  5. Если вы копите бонусы или кэшбэк – следите за состоянием вашего бонусного счета. Запрашивайте выписки по бонусам – когда и на что они были потрачены.
  6. Если вам звонит «сотрудник банка» и его предложение вас действительно заинтересовало (например, вам предлагают кредитную карту и вам она на самом деле нужна) – спросите его фамилию и имя. Сообщите, что вам необходимо подумать и попросите перезвонить в другой раз. Позвоните в банк и узнайте, принадлежит ли банку этот номер, и есть ли такой сотрудник. Известны случаи, когда целью таких звонков является получение ваших персональных данных или данных дебетовой карты.
  7. Используйте только официальные банковские приложения, скачанные через Apple Store или Google Play.
  8. Используйте и своевременно обновляйте антивирусные программы.
  9. В случае если вы стали жертвой мошенника, первое, что необходимо сделать, – это заблокировать карту. Далее следует сообщить в банк и в полицию. Вероятность того, что мошенник будет пойман, невысока, однако ваше обращение будет поводом задуматься о совершенствовании систем защиты.
  10. Используйте несколько карт. Например, одну – для повседневных покупок, а вторую – для накоплений.

Пример кардинга

Опытные кардеры, как правило, охотятся за аккаунтами европейцев и американцев. Но мы приведем примеры кардинга в российских реалиях, чтобы не возникало вопросов – когда и как пропадают средства с кредиток.

Александр разместил объявление о продаже дивана на Avito. Диван новый, стоит недешево, но, к сожалению, в новую гостиную не подошел. Поэтому владелец решил продать его по цене на 10% дешевле стоимости приобретения.

Объявление не вызывало особого интереса в течение недели. Наконец, поздно вечером Александру поступил звонок от человека, желающего приобрести диван прямо сейчас, и даже отправить предоплату. Судя по голосу, потенциальный покупатель был в восторге от дивана и горел желанием стать его обладателем.

Только вот время уже позднее и приехать сейчас он не может, но готов оплатить всю сумму на банковскую карту. Для этого нужен номер карты Александра.

Сообщать номер кредитки – не опасно, и Александр продиктовал его собеседнику. Далее тот сообщил, что перевод отправлен с кодом защиты, который сейчас придет на телефон продавца. Не прекращая разговор, мошенник просит Александра продиктовать ему четырехзначный код. После сообщения кода связь «обрывается». Хорошо, если денег на карте у Александра нет, или сумма совсем маленькая.

Другой пример. Елена приобрела кредитку и решила оплатить с нее мобильный телефон. Оплату Елена планировала провести через бесплатное приложение, скачанное на планшет.

Вот только антивирус на планшете Елены установлен не был, а потому окно ввода логина и пароля было заменено вредоносной программой. Таким образом, прежде чем Елена успела провести нужный платеж, деньги были списаны мошенниками.

Заключение

В статье мы разобрали, что такое кардинг (carding) и его основные направления. В заключение хотелось бы добавить, что тяга к легким деньгам – явление, которое искоренить невозможно. Поэтому кардинг постоянно совершенствуется и приобретает новые направления.

Но и технический прогресс не стоит на месте. Ежедневно сотни специалистов трудятся, чтобы сделать безналичные расчеты более безопасными.

Если вы приобрели карту – это означает, что за вашими деньгами уже охотятся мошенники. А следовательно, не пренебрегайте приведенными в статье мерами безопасности и не поддавайтесь на заманчивые предложения о сверхвыгодных покупках.

Виктория Булахова
Виктория Булахова

Автор статей. Финансист по образованию.

Оцените автора
Ранняя пенсия
Добавить комментарий

Заполняя данную форму и нажимая кнопку «Отправить», вы соглашаетесь с политикой конфиденциальности сайта.

  1. Аватар
    Игорь

    Самое главное, не заказывать товары на подозрительных сайтах и никому не сообщать данные вашей карты. Не лишним будет включить СМС информирование на вашем телефоне и установить интернет банкинг.

    Ответить
Вставить формулу как
Блок
Строка
Дополнительные настройки
Цвет формулы
Цвет текста
#333333
Используйте LaTeX для набора формулы
Предпросмотр
\({}\)
Формула не набрана
Вставить