Кардинг (Carding)
Что такое мошенничество carding?
Carding — это вид мошенничества с банковскими картами, при котором злоумышленники получают, проверяют и используют украденные данные кредитных или дебетовых карт для совершения несанкционированных покупок либо перепродажи этой информации в даркнете. Преступники, которых называют carders, эксплуатируют канал платежей без физического предъявления карты (CNP), поскольку для проведения операций им не нужна сама карта.
В отличие от других схем, carding работает поэтапно. Сначала данные проверяются с помощью транзакций на небольшие суммы (card testing), и если карта «отвечает», запускаются операции на более крупные суммы. Периоды высокой коммерческой активности (распродажи, Black Friday, Рождество) особенно критичны, поскольку большой объём легитимных операций маскирует мошеннические списания.
Как работает carding
Схема следует чётко выстроенной цепочке, которая сочетает социальную инженерию, автоматизированные инструменты и подпольные рынки:
- Получение данных.Carders получают информацию о картах через фишинг, скимминг на физических терминалах, вредоносное ПО, перехватывающее нажатия клавиш, либо путём прямой покупки «дампов» на форумах даркнета.
- Автоматизированная проверка (card testing). Специализированные боты запускают микротранзакции (часто на суммы 0,01–1,00 €) через платёжные шлюзы со слабыми контролями. Каждый успешный платёж подтверждает, что карта активна и CVV указан верно.
- Эксплуатация. После валидации данных злоумышленники совершают покупки на крупные суммы, приобретают подарочные или предоплаченные карты, которые сложно отследить, либо пополняют криптовалютные кошельки.
- Монетизация. Приобретённые товары перепродаются со скидкой, а оставшиеся данные карт распространяются по зашифрованным каналам.
По данным Федеральной торговой комиссии США (FTC), в 2024 году было зарегистрировано более 449 000 случаев кражи личности, связанных с кредитными картами только в Соединённых Штатах, что означает рост на 7 % по сравнению с предыдущим годом.
Нормативные требования и безопасность при carding
Европейская нормативная база обеспечивает несколько уровней защиты от carding, с которыми должен быть знаком каждый мерчант:
PCI DSS v4.0 обязывает любую организацию, которая хранит, обрабатывает или передаёт данные карт, соблюдать 12 основных требований. Наиболее значимыми в контексте carding являются Требование 3 (защита хранимых данных счёта с помощью надёжной криптографии), Требование 6 (поддержание защищённости систем от вредоносного ПО) и Требование 9.5.1 (защита устройств POI от вмешательства и скимминга).
PSD2 и усиленная аутентификация клиента (SCA) требуют применения как минимум двух факторов аутентификации в большинстве электронных платежей в Европейской экономической зоне. Протокол 3D Secure 2 является техническим стандартом, реализующим это требование и переносящим ответственность за мошенничество на банк-эмитент при успешном прохождении аутентификации. В Испании это обязательство транспонировано через Королевский законодательный декрет 19/2018 от 23 ноября о платёжных услугах.
Кроме того, платёжные системы карт вводят программы мониторинга мошенничества и чарджбэков. Visa и Mastercard применяют санкции к мерчантам, которые превышают 0,9–1 % по уровню чарджбэков от объёма продаж, вплоть до включения в ограничительные списки (например, список MATCH), что может надолго заблокировать возможность принимать платежи по картам.
Операционные преимущества и риски
| Аспект | Преимущество для мерчанта | Риск при отсутствии управления |
|---|---|---|
| SCA/3D Secure | Переносит ответственность за мошенничество на эмитента при аутентифицированных транзакциях | Дополнительное трение в процессе оплаты, которое может снизить конверсию, если льготы и исключения применяются некорректно |
| Токенизация | Заменяет реальный PAN токеном, не имеющим ценности вне системы, сокращая зону действия PCI DSS | Если токенизация не реализована сквозным образом, чувствительные данные остаются уязвимыми в отдельных точках |
| Проверки скорости (velocity checks) и списки блокировки | Останавливают card testing на ранней стадии, ограничивая количество попыток по IP, BIN или устройству | Слишком жёсткие правила блокируют легитимных клиентов и увеличивают число ложных срабатываний |
| Мониторинг в режиме реального времени | Выявляет аномальные паттерны (множество карт с одного устройства, всплески микротранзакций) | Без дополнительной ручной проверки автоматические модели могут пропустить сложные мошеннические схемы |
Ключевая операционная задача — сбалансировать безопасность и качество клиентского опыта. Интернет-магазин, который применяет 3D Secure разумно (только когда риск это оправдывает и с использованием льгот низкого риска, предусмотренных PSD2), защищает свой уровень чарджбэков, не жертвуя конверсией.
Источники и дополнительные материалы
Был ли этот термин полезным?
Оставить комментарий