Gaur egun, mundu osoan zabaldua dago banku-txartelen erabilera transakzio fisikoak edo Internet bidezkoak egiteko. Era guztietako ordainketa-operazioak egitea oso erraza denez eta txartelen informazioa lapurtzeko bide asko daudenez, carding delakoa oso ezaguna egin da azkenaldian.
Carding deritzo jabearen baimenik gabe lortutako banku-txartelen iruzurrari. Biktimari txartelaren informazioa lapurtzen diote eta, gero, iruzur egiteko baliatzen dute.
Banku-txartelei lotutako iruzur mota hauek ia esklusiboki Internet bidez egiten diren iruzur eskema zabal baten parte dira. Hiritar partikularrei, saltoki txiki eta ertainei eta mundu mailako erakundeei zuzentzen zaizkie, eta txartelaren jabeari eta salerosketa-transakzioak egiten dituzten enpresa edo saltoki fisikoen ospe onari kalte egin diezaiokete.
CARDING-aren helburua
Banku-txartelek zibergaizkileei interesatzen zaien informazioa dakarte: zenbakia, egiaztatze-kodea, iraungitze-data eta jabearen izen-abizenak.
Carding-aren helburua informazio hori lapurtzea eta ekintza gaiztoetarako erabiltzea da: beste norbaiten identitatea ordezkatzea, haren txartelarekin erostea, jabearen banku-kontura sartzea, informazioa beste norbaiti saltzea, etab. Ez da beharrezkoa txartelaren datu guzti-guztiak izatea zenbait iruzur egiteko.
Carding motak
Europolek argitaratutako Krimen Antolatuari buruzko azken txostenean, carding-arekin lotutako iruzur-jarduerei dagokien ziberkrimenaren paisaiak ekosistema zabala barne hartzen du, eta deep eta dark webeko webguneetan, foroetan edo underground merkatuetan banku-txartel lapurtuen informazioa saltzean datza haren negozio-eredua.
Halako jardueretan aritzen diren zibergaizkileei carder deritze, eta badira mundu mailan diharduten talde eta mafiak. Adibidez, Cummbajonny ospetsua buru zuen taldeak txartel-datuen sniffing egiten zuen AEBn, Letonia eta Ukrainako zerbitzarietan gordetzen zituen datuak, Txinan txartelen kopiak egiten zituzten eta, gero, txartel faltsuekin AEBko dendetan erosten zuten, zirkulua itxiz.
Beste jarduera batzuek, esate baterako “Biltzailea” izenekoak, carding-aren inguruko sare kriminalen irismen globala erakusten dute. Askotan, talde bakoitza iruzurraren fase bakar batean espezializatuta dago eta taldeek modu koordinatuan jokatzen dute.
Informazio pertsonala eta finantza-datuak saltzen diren "carding foro" izeneko webguneak ugaritu ahala, gaizkileak beren negozioa handitu eta informazio hori beste iruzurgile eta gaizkile batzuei saltzen hasi dira. Txartel-foroak gaizkileek lapurtutako txartel-zenbakiak saleros ditzaketen, datuak eta finantza-informazioa lapurtzeko metodoak parteka ditzaketen eta txartel lapurtuen informazioa egiazta dezaketen legez kanpoko webguneak dira.
Erabiltzen dituzten teknikak
Zibergaizkileek hainbat metodo edo teknika erabiltzen dituzte banku-txartelen zenbakiak edo informazioa eskuratzeko. Gerora egin nahi duten iruzurraren arabera, zibergaizkileek informazio mota jakin bakoitza lortzeko metodo egokiena erabiltzen dute; eta, alderantziz, lapurtutako banku-txartelaren datuek eta informazioak baldintzatzen dute ondoko eraso mota:
Inguru digitalean:
- Phishing: Metodo erabilienetako bat da. Esteka gaiztoak dituzten mezu elektrikoen bidalketa masiboaren bidez, konfiantzazko iturri edo erakunde bat (banku bat edo Interneteko denda bat) ordezkatzen dute eta, biktimari zuzenduz edozein aitzakia dela-eta –esate baterako, banku-kontuarekin lotutako arazoren bategatik–, esteka gaiztoan klik egiteko eskatzen diote eta, une horretan, webgune faltsu batera bideratzen dute, non erabiltzaileak bere banku-txartelaren informazioa ematen dien.
- Malware: Banku-malwarearen softwarearen instalazioak biktimen gailuetan gordeta dagoen informazioa agerian uzten du, eta pasahitzen, txartel-zenbakien eta bestelako finantza-informazioaren lapurreta errazten. Txartelen informazioa atzemateko gai diren troiar asko daude; Zeus troiarra, adibidez.
Inguru fisikoan:
- Skimming: Zibergaizkileek kreditu-txartelen irakurgailu baten gainean instalatu edo eskuan eraman dezaketen gailu txiki eta hautematen zaila da. Hura instalatuta dagoen makina batean kreditu-txartela erabiliz gero, txartelen skimmer izenekoak haren informazioa irakurtzen eta biltzen du. Ondoren, lapurrek carding egiteko erabil ditzakete kreditu-txartelaren datuak.
Behin txatelen informazioa eskuratuta, gaizkileen modus operandia da txartelak aktibo dauden eta finantza-erakundeari lapurretaren berri eman ez zaiola egiaztatzea. Egiaztapena Internet bidezko merkataritza-webguneetako transakzioen bidez egin ohi da.
Zenbait kasutan, carder deritzenek txartel lapurtuak erabiltzen dituzte aurreordainketa-txartelak (gehienbat opari-txartelak) erosteko, eta gero horiekin ondasunak (ordenagailuak, mugikorrak, telebistak, etab.) erosten dituzte, gerora eskudirua lortzeko berriz saltzen dituztenak.
Segurtasun-neurriak eta jardunbide egokiak
Denda fisiko batean edo webgune batean banku-txartel baten bidez zerbait erosten duen edonor jasan dezakeenez carding motako iruzurra, komeni da erabiltzaileei zein enpresei zuzendutako argibide hauei jarraitzea:
Erabiltzaileak
- Kutxazain automatikoetan, ondo aztertu kutxazainaren instalazio osoa, datuak edo dirua lapurtzea helburu duten malwarerik ote den seinaleen bila.
- Saihestu spam motako mezu elektronikoak edo bidaltzaile ezezagunenak.
- Ez eman inori banku-txartelen datuak telefono bidez.
- Instalatu konfiantzako antibirus bat gailuetan eta hura maiz eguneratu.
- Egon adi denda fisikoetan banku-txartelarekin ordaintzeko orduan gerta daitezkeen arazoak hautemateko; esaterako, eskanerren erabilera banda magnetikoen kodea kopiatzeko.
- Ordainketarako datuen lapurreta baten biktima izanez gero, jakinarazi berehala banku-zerbitzuari eta jarri salaketa.
Enpresak
Internet bidezko dendek edo bankuek adi egon behar dute, eta banku-txartelekin lotutako mota hauetako iruzurrak ekiditeko beharrezko babes-neurriak hartu.
- Zibergaizkileen erasoen aurrean, izan beti eguneratuta banku-txartelen kontuen babesaz arduratzen diren softwarea eta segurtasun-teknologia.
- Erabili faktore ugariko egiaztapena (MFA): metodo honek zenbait urrats gehitzen dizkio saioa hasteko prozesuari, erabiltzaileak bete izena eta pasahitza idazteaz harago. Internet bidezko denden kasuan, mezu baten bidez (SMS) kode bat bidaltzen dio erosleari, honek txartela erabili aurretik idatzi behar duena. Metodo hau erabilita, carder deritzenek kreditu-txartela eta mugikorra lapurtu beharko dituzte iruzurra egiteko, askoz zailagoa dena.
- Internet bidezko saltzaileek “captcha” direlakoak baliatzen dituzte eroslea pertsona bat dela egiaztatzeko eta, beraz, bot automatizatuak saihesteko. Zibergaizkileek ez dituzte gustuko metodo hori baliatzen dituzten webguneak.
