Carding: tecniche di clonazione delle carte di credito short primer (Parte 1 di 2)

maggio 9, 2011 — ptrac3

In questo articolo abbiamo potuto osservare con i nostri occhi un metodo “artigiano” che i criminali usano per effettuare un prelievo a sbafo della vittima di turno. Ora invece cercherò di fare un discorso molto più generico sulle tecniche di clonazione delle carte di credito noto come carding.

La carte di credito come metodo di pagamento largamente diffuso si è imposta all’incirca negli ani ’90 venendo denominata come la “terza generazione” dei metodi di pagamento dopo la classica banconota e l’assegno bancario.

Prima di parlare del carding vero e proprio però è meglio introdurre 4 delle modalità di recupero dei dati e  codici che portano poi alla clonazione delle carte:

  • Phishing
  • Trashing
  • Sniffing
  • Boxing
  • Shoulder surfing

Phishing 


.

.

.

.

.

.

.

.

.

.

.

Il phishing è un tipo di frode idea- to allo scopo di rubare importanti dati personali dell’utente, ad esempio numeri di carta di credito, password, dati relativi al proprio conto e così via. Il termine Phishing deriva da Fishing che vuol dire pescare, nel caso telematico l’attaccante invia una mail fraudolenta che con una motivazione credibile mette in condizione l’utente a cliccare su un link proposto che però non lo porterà al vero sito di cui la mail fa le veci (come poste.it) ma un altro spazio web che lo imita in maniera quasi perfetta (nelle truffe ben organizzate). Esistono online scaricabili da torrent, emule,rapidshare e quant’altro dei veri e propri Kit fai da te (abbrevvati con il nome DIY, Do it yourself) con i quali creare un sito web perfettamente identico (ma soprattutto funzionale per l’estrapolazione dei dati inseriti) è questione di click. Date uno sguardo alle seguenti immagini.

.

.

.

.

Trashing o Dumpster diving

In questo caso, i truffatori vanno alla caccia degli scontrini delle carte di credito che talvolta i possessori gettano via dopo un acquisto oppure degli estratti conto della carta di credito buttati dentro la spazzatura.

Mediante tali scontrini è possibile ottenere informazioni riservate. E’ quindi consigliabile conservare la matrice per controllare la regolarità dell’estratto conto e, soprattutto, per non dar modo ad altri di impossessarsi dei dati di identificazione della carta.

In caso tali ricevute vengano cestinate, è opportuno stracciarle e strapparle in maniera da rendere molto difficoltosa la ricostruzione.

Questo un esempio dell info che si possono trovare:

Cardholder / Utente della carta :XXXX
XXX
Card Number / Numero della
carta : 4566-7584-4821-2321
Expiration Date / Data di scadenza:
02/07—> (sta x 2007
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.

Sniffing

riguarda la truffa a scopo di clonazione delle carte di credito che viene effettuata in ambiente internet,ad essere colpite sono le transazioni fatte in rete. Per mettere in pratica la truffa è necessaria l’opera di esperti di pirateria informatica che riescono ad intercettare le coordinate di pagamento fatte on linecon le carte di credito,utilizzando le stesse tracce per fare acquisti all’in-saputa dei detentori della carta (in merito alla tematica dello sniffing seguiranno poi miei articoli in merito). Lo sniffing è in pratica una particolare tecnica che permette di catturare “al volo” i dati in transito durante una comunicazione telematica, qui di sotto potrete vedere in azione il programma Wireshark che sniffa in tempo reale tutti i dati passanti presso il pc in ascolto. La tematica dello sniffing è veramente importante, alla base di tale problematica è stato realizzato il protocollo https ovvero una connessione sicura e criptata con il sito web con il quale comunichiamo, in questo senso il sito web della nostra banca è sicuro. In teoria se ben implementato tale protocollo dovrebbe garantire che anche se qualcuno è in grado di sniffare i pacchetti i transito nella vostra LAN e tra questi pacchetti vi sono le comunicazioni tra voi e la vostra banca non dovrebbe essere possibile per l’ascoltatore molesto la ricostruzione dei dati in transito.
.

Boxing

Consiste nella sottrazione delle carte di credito inviate dalle banche ai loro clienti intercettandole direttamente dalle cassette della po sta ordinaria.

Infatti, la carta ed il Pin vengono recapitati per posta: la busta deve essere integra, inviata dalla banca o dall’emittente e non devono esserci alterazioni o rotture di alcun tipo.

E’ opportuno anche verificare che all’interno non vi siano alterazioni o rotture del cartoncino che contiene la carta e diffidare di buste bianche inviate con posta prioritaria o con francobolli (solitamente le banche o gli istituti emittenti inviano corrispondenda in buste con la tassa già pagata).

Shoulder surfing

Come recita Wikipedia “ciò designa quella semplice tecnica a metà tra l’informatica e il social engineering finalizzata all’impadronirsi di codici di accesso.

Mentre la vittima digita la propria password (oppure il PIN o altri codici), il malintenzionato lo osserva, sia da vicino oppure anche da lontano (mediante lenti particolari o anche le riprese di telecamere acircuito chiuso), e riesce così ad impossessarsi delle sequenze. Spesso ciò avviene tramite l’utilizzo di terminali POS oppure in luoghi molto frequentati, come ad esempio gli internet cafè.” (http://it.wikipedia.org/wiki/Shoulder_surfing)

.

Le carte come sappiamo possono essere di due tipi: di debito e di credito.

Le carte di debito meglio conosciute come “carte bancomat”  e prevedono  l’addebito delle cifre spese sul conto del titolare, contestualmente all’effettuazione dell’operazione. In genere questo strumento di pagamento è collegato ad un conto corrente bancario o ad un credito precaricato (in questo caso si parla più specificatamente di carta prepagata ricaricabile.

La verifica dell’identità del titolare avviene tramite un codice di sicurezza o PIN (Personal Identification Number), mentre l’autenticazione della carta presso il terminale avviene attraverso la banda magnetica presente sulla carta o, sempre più spesso, attraverso il microchip. Quest’ultimo sistema è più sicuro, ma è presente unicamente sulle carte di debito di ultima generazione.

Le carte di credito sono un metodo di pagamento che al contrario delle carte di debito addebita l’importo solitamente a metà del mese successivo all’acquisto e non immediatamente. Hanno un plafond teoricamente illimitato, un rete di accettazione più ampia e possono essere usate all’esterno. In più dispongono di modalità di migliori modalità di protezione contro la frode. +

PARTE 2

Pubblicato in banche, informatica, network, security. Etichette: , , , , , , , , , , , , , , , , , , , . Lascia un commento »

Lascia un Commento

Fill in your details below or click an icon to log in:

Gravatar
Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Annulla

Connessione a %s...

«

»
%d bloggers like this: