¿Cardi… qué?
«Carding» es un término genérico de fraude que se refiere a la comprobación de tarjetas robadas. Sin embargo, generalmente se utiliza para referirse al uso de una gran cantidad de tarjetas robadas mediante un ataque llevado a cabo por uno o más «carder(s)» en uno o más sitios de comercio electrónico, para comprobar la validez de las tarjetas.
Estos ataques se llevan a cabo mediante bots: Programas informáticos que permiten realizar automáticamente un gran número de transacciones. Esto permite a los ciberdelincuentes aumentar considerablemente la velocidad y, por tanto, la envergadura de un ataque, además de hacerlo duradero en el tiempo.
El objetivo es identificar las tarjetas que pueden utilizarse para revender los datos, utilizarlas para adquirir bienes/servicios o cometer nuevos fraudes.
Riesgos para los comerciantes: recibir múltiples devoluciones de cargo, mala imagen del comercio que no supo detectar el ataque.
¡Estos ladrones saben trazar planes que nosotros sabemos descifrar!
El plan maquiavélico
Desgraciadamente, hay muchas formas de obtener datos sobre targetas, entre ellas :
- Phishing/suplantación de identidad: la víctima recibe un correo electrónico/SMS que supuestamente procede de la Agencia Tributaria, el Departamento de Multas, la Seguridad Social, etc.; hace clic en el enlace y rellena la información solicitada (normalmente los datos de la tarjeta y los datos de contacto) -> en esta fase, no se realiza ningún pago. Después, la víctima es contactada por teléfono por el delincuente, que se hace pasar por una entidad legítima (generalmente un banco) que, apelando a un sentimiento de urgencia («¡eres víctima de un fraude, tienes que hacer algo, voy a ayudarte!») consigue que el titular de la tarjeta valide las transacciones bancarias en 3DSecure («tienes que validar para cancelar»).
- Ataque de malware: normalmente, se hace clic en un enlace dañado de un correo electrónico, que instala un software malicioso difícil de detectar y recopila información de la tarjeta/cuenta.
- Skimming: Un módulo discreto se acopla a un cajero automático, un ATM o un terminal EFTPOS, y recoge la información de la tarjeta..
- Hackeo: ataque a la página de pago de un comerciante con el fin de recuperar los datos de la tarjeta, o desviar directamente los flujos de pago.
O más sencillamente… comprar una lista de tarjetas en la «deepweb». Una tarjeta francesa cuesta una media de 14 euros en la «deepweb», frente a 8,5 euros a nivel mundial.
Los objetivos
- Por supuesto, los defraudadores pueden utilizar las tarjetas, una vez validadas, en cualquier sitio de comercio electrónico (compra de bienes físicos entregados a una mula, compra de servicios, servicios de suscripción, etc.).
- Una técnica más habitual consiste en comprar tarjetas regalo/prepago a gran escala para poder blanquear directamente el dinero robado. Después pueden utilizar estas tarjetas o revenderlas.
- A los estafadores también les gusta hacer transferencias directas a cuentas que se lo permiten (normalmente de miles de euros en lugar de cientos…).
- Vender la lista de tarjetas en la deepweb
El precio a pagar: 7 años de cárcel y 750.000 euros de multa para un defraudador solitario, 10 años de cárcel y 1.000.000 de euros de multa en caso de delincuencia organizada.
Así pues, ¡la batalla ha comenzado!
El objetivo principal: ¡mantener alejados a los defraudadores!
- CAPTCHA: puede elegir el nivel de seguridad para que sea más o menos perturbador para sus compradores, pero alrededor del 50% de los CAPTCHA son validados… por bots.
- MFA (autenticación multifactor): muy eficaz contra los ataques de bots, pero crea mucha fricción para los usuarios.
En resumen: no dar nunca crédito a los defraudadores significa asociarse con los socios adecuados 😉.