Организации сталкиваются с широким спектром кибератак. Некоторые из них, такие как атаки типа «отказ в обслуживании» (DoS) и атаки программ-вымогателей, направлены на разрушение системы, в то время как другие направлены на кражу конфиденциальной информации для использования или перепродажи злоумышленником.
Кардинг-атаки сочетают в себе элементы обеих этих атак. Киберпреступники могут получить списки неподтверждённых номеров кредитных карт по разным причинам. Кардинговые атаки позволяют им получить полную и проверенную информацию о платёжной карте, но при этом потребляют значительные ресурсы на веб-страницах законных продавцов. Защита от кардинговых атак гарантирует, что киберпреступники не смогут использовать украденные данные карт не по назначению, и сокращает нерациональное использование вычислительных ресурсов продавцов. Именно поэтому так важно защитить себя от кражи кредитных карт .
Одним из методов сбора данных кредитных карт, ставшим популярным в последние годы, является скимминг. Скиммеры для кредитных карт существуют практически везде, где используются кредитные карты. Физические устройства размещаются на бензоколонках и банкоматах, вредоносное ПО для скимминга устанавливается на POS-терминалы в магазинах (что и привело к утечке данных кредитных карт Target), а вредоносный код для скимминга внедряется в платежные страницы легитимных веб-сайтов. Для киберпреступников, таких как группа Magecart, осуществившая атаку, которая принесла British Airways самый большой на сегодняшний день штраф в соответствии с Общим регламентом по защите данных (GDPR), сбор длинного списка кредитных карт для проверки не представляет проблемы.
Кардинг-атаки предназначены для решения этой проблемы. Большинство PIN-кодов кредитных карт состоят из трёх цифр, то есть существует 1000 возможных значений, что вполне угадывается и поддаётся проверке. На многих сайтах может быть реализован механизм, предотвращающий попытки пользователя совершить 1000 различных платежей с одной и той же карты, но с разными PIN-кодами. Однако эти сайты, вероятно, не координируют свои действия. Если пороговое значение для ошибок составляет пять попыток на карту, то киберпреступнику достаточно всего 200 платёжных порталов для подбора PIN-кода карты (а в среднем, вероятно, и меньше).
Кардинг-атаки используют ботов, которые выполняют всю основную работу. Бот пытается совершить небольшую покупку с помощью карты, проверяя определённый набор данных. Если транзакция проходит, значит, кредитная карта проверена. В противном случае он переходит к следующей комбинации данных платёжной карты из списка.
В случае мошенничества с кредитными картами и атак с использованием кардеров, скорее всего, расплачивается продавец. Кредитные компании отменяют спорную транзакцию (так называемый возвратный платеж), что означает, что продавец теряет как товар, так и оплату за него.
Природа атак с использованием кардинга делает их сравнительно легко обнаруживаемыми на сайте продавца. На сайте будет происходить большое количество попыток оплаты, многие из которых окажутся неудачными. Это также будет включать в себя высокий процент отказов от покупок, если покупка предназначена только для проверки конкретной карты и прекращается после её завершения. Эти атаки также часто совершаются ботами (из-за их повторяемости и длительности), и у ботов часто есть особенности, которые позволяют отличить их от пользователей-людей.
Для защиты от кардинга необходимо использовать средства защиты, специально разработанные для защиты от атак ботов. Выполняя идентификацию устройств, поведенческий анализ и анализ репутации браузеров, система управления ботами может выявлять и блокировать кардинг на сайте продавца.
(с) Источник
Кардинг-атаки сочетают в себе элементы обеих этих атак. Киберпреступники могут получить списки неподтверждённых номеров кредитных карт по разным причинам. Кардинговые атаки позволяют им получить полную и проверенную информацию о платёжной карте, но при этом потребляют значительные ресурсы на веб-страницах законных продавцов. Защита от кардинговых атак гарантирует, что киберпреступники не смогут использовать украденные данные карт не по назначению, и сокращает нерациональное использование вычислительных ресурсов продавцов. Именно поэтому так важно защитить себя от кражи кредитных карт .
Внутри жизненного цикла кардинг-атаки
Кардинг — это лишь один из этапов жизненного цикла атаки. Прежде чем киберпреступники смогут проверить действительность списка номеров кредитных карт, им необходимо иметь этот список. Список проверенных номеров кредитных карт, как правило, не является конечной целью атаки, поэтому после кардинга существуют дополнительные этапы, позволяющие использовать новый список.
Перед кардингом: кража номера карты
Кардинговые атаки предназначены для отсеивания неверных данных кредитных карт, а также данных с истекшим сроком действия или аннулированных карт. Перед проведением кардинговой атаки киберпреступнику необходим список потенциальных номеров кредитных карт для проверки. Злоумышленник может получить эту информацию различными способами. Многие компании собирают такие данные платежных карт для автоматического заполнения платежной информации при онлайн-покупках или для автоматического выставления счетов (медицинские учреждения, коммунальные службы и т. д.).Одним из методов сбора данных кредитных карт, ставшим популярным в последние годы, является скимминг. Скиммеры для кредитных карт существуют практически везде, где используются кредитные карты. Физические устройства размещаются на бензоколонках и банкоматах, вредоносное ПО для скимминга устанавливается на POS-терминалы в магазинах (что и привело к утечке данных кредитных карт Target), а вредоносный код для скимминга внедряется в платежные страницы легитимных веб-сайтов. Для киберпреступников, таких как группа Magecart, осуществившая атаку, которая принесла British Airways самый большой на сегодняшний день штраф в соответствии с Общим регламентом по защите данных (GDPR), сбор длинного списка кредитных карт для проверки не представляет проблемы.
Атака кардинга
Проблема со списками номеров кредитных карт заключается в том, что киберпреступник может не знать их происхождения. Список, купленный у другого преступника, может включать в себя все новые номера или совокупность номеров, полученных в результате прошлых утечек. В последнем случае многие из этих карт могли быть аннулированы в рамках мер по устранению последствий утечки. Кроме того, у киберпреступника может не быть полной информации о карте, включая PIN-код, необходимый для онлайн-покупок.Кардинг-атаки предназначены для решения этой проблемы. Большинство PIN-кодов кредитных карт состоят из трёх цифр, то есть существует 1000 возможных значений, что вполне угадывается и поддаётся проверке. На многих сайтах может быть реализован механизм, предотвращающий попытки пользователя совершить 1000 различных платежей с одной и той же карты, но с разными PIN-кодами. Однако эти сайты, вероятно, не координируют свои действия. Если пороговое значение для ошибок составляет пять попыток на карту, то киберпреступнику достаточно всего 200 платёжных порталов для подбора PIN-кода карты (а в среднем, вероятно, и меньше).
Кардинг-атаки используют ботов, которые выполняют всю основную работу. Бот пытается совершить небольшую покупку с помощью карты, проверяя определённый набор данных. Если транзакция проходит, значит, кредитная карта проверена. В противном случае он переходит к следующей комбинации данных платёжной карты из списка.
Влияние кардинга
Кардинговые атаки выгодны злоумышленнику, поскольку они создают список проверенных и верифицированных кредитных карт. На черном рынке такие карты стоят гораздо дороже, поскольку гарантированно работают при использовании вскоре после верификации. Верифицированные кредитные карты чрезвычайно полезны для онлайн-покупок. После того, как товар был куплен и отправлен продавцом, продавец не имеет над ним контроля. Таким образом, киберпреступник не рискует потерять товар, даже если владелец карты заметит подозрительную транзакцию и отменит платеж.В случае мошенничества с кредитными картами и атак с использованием кардеров, скорее всего, расплачивается продавец. Кредитные компании отменяют спорную транзакцию (так называемый возвратный платеж), что означает, что продавец теряет как товар, так и оплату за него.
Защита от кардинга
Кардинг-атаки могут существенно повлиять на прибыль продавца. Если он стал жертвой мошенничества с кредитными картами, он может потерять значительные суммы денег из-за возвратов платежей. С другой стороны, если его сайт используется для кардинг-атак, его ресурсы тратятся впустую из-за тысяч или миллионов поддельных транзакций, совершаемых киберпреступниками в попытке проверить данные кредитных карт.Природа атак с использованием кардинга делает их сравнительно легко обнаруживаемыми на сайте продавца. На сайте будет происходить большое количество попыток оплаты, многие из которых окажутся неудачными. Это также будет включать в себя высокий процент отказов от покупок, если покупка предназначена только для проверки конкретной карты и прекращается после её завершения. Эти атаки также часто совершаются ботами (из-за их повторяемости и длительности), и у ботов часто есть особенности, которые позволяют отличить их от пользователей-людей.
Для защиты от кардинга необходимо использовать средства защиты, специально разработанные для защиты от атак ботов. Выполняя идентификацию устройств, поведенческий анализ и анализ репутации браузеров, система управления ботами может выявлять и блокировать кардинг на сайте продавца.
(с) Источник
