Il Carding nel 2021. L’evoluzione della frode più vecchia di internet.

Redazione RHC : 31 Ottobre 2021 07:32

Autore: Eros Capobianco

Data Pubblicazione: 30/10/2021

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il Carding è molto diffuso fin dagli albori del web, si inizia a parlare di questo fenomeno già dagli anni 80 ai giorni delle BBS.

Ma cos’è il Carding? Perché se ne parla ancora oggi?

Questo termine identifica il traffico di carte di credito o dei loro dati; agli albori questa pratica era principalmente svolta attraverso la tecnica dell’Information Diving, che a sua volta può essere divisa in sotto categorie, delle quali ricordiamo per tendenza maggiore il “Dumpster Diving”, ovvero la ricerca di informazioni personali della vittima tramite l’analisi degli scarti e dell’immondizia nei cassonetti in modo da poter ricostruire dati completi di carte di credito.

Seconda, ma non per importanza, è necessario citare il Social Engineering associato principalmente al Phreaking, il quale consiste nel sfruttare le conoscenze riguardo la deviazione delle chiamate, le frequenze utilizzate dalle compagnie telefoniche e la struttura aziendale di queste compagnie per compiere chiamate da numeri particolari, fingendo di essere un operatore che deve verificare i dati della vittima.

Raccolti i dati delle carte di credito si procede al loro “Cash Out”, ciò significa che verranno venduti in appositi market o forum, oppure utilizzati per compiere acquisti online, che verranno recuperati ad un indirizzo di spedizione fittizio, per essere in seguito utilizzati o rivenduti.

Le prime evoluzioni sono avvenute principalmente intorno agli anni 90, quando iniziarono ad essere utilizzati vettori di attacco quali il Phishing, dove tramite e-mail opportunamente forgiate, richiedeva all’utente di accedere a siti specchio/fake, per confermare i dati bancari.

Queste nuove tecniche spesso erano basate su una richiesta di verifica dei dati da parte dei sistemi bancari utilizzati dall’utente, causa (ad esempio) il blocco del servizio. Questo senso di urgenza faceva in modo che gli utenti non consapevoli del rischio informatico, accedevano al sito pensando che questo fosse gestito dalla banca, ed inserire le informazioni di pagamento che poi venivano acquisite e controllate dai criminali informatici.

Gli strumenti d’oggi applicati al Carding

Esiste ancora oggi?

Si, malgrado si senta parlare molto poco di questo fenomeno.

Come possiamo notare dai dati condivisi da CPOMagazine, quest’anno vi è stato un data leak di un noto forum di Carding, che comprendeva un nutrito bacino di criminali informatici che operavano nelle underground rivendendo i dati delle carte di credito. Stiamo parlando di ben 500.000 criminali informatici.

La riposta è quindi affermativa e come ogni altro settore si è rinnovato.

Oggi esistono moltissime tecniche di attacco utilizzate per il furto di dati bancari, tra cui possiamo citare immense campagne di phishing, ransomware, trojans, spyware, skimmer, magecart e molte altre ancora.

Senza analizzarli dal punto di vista tecnico, bisogna considerare che, con il passare del tempo, l’utente medio ha imparato ad evitare i pericoli, informandosi attivamente e/o passivamente attraverso giornali e forum. Questo ha portato ad una normale evoluzione delle minacce.

Quale sarebbe quindi uno dei pericoli maggiori?

Al giorno d’oggi uno dei fenomeni più allarmanti sono gli scammer e gli adescatori che sfruttano piattaforme molto popolari, in cui videogiocatori si riuniscono per comunicare riguardo ad i loro giochi preferiti.

Lo scopo è attrarre adolescenti con il miraggio di “soldi facili”, sfruttando poi url shortener e gruppi telefonici privati e “anonimi”, per lo scambio di informazioni. Questi individui o gruppi di seguito formano l’adescato attraverso video corsi e documentazioni su come fare appunto “Carding”.

Questo ci porta ad un grave problema; queste minacce dovrebbero essere disincentivate attraverso una formazione quantomeno basilare alla sicurezza anche in fase adolescenziale, nella quale si è molto a contatto con internet, compresi tutti i suoi pregi e difetti, senza effettivamente conoscerne le pericolosità.

Prevenzione

Prevenire tutti questi fattori è molto difficile, qui di seguito una lista di buone pratiche da seguire:

• Utilizzare l’autenticazione a doppio fattore;
• Ogni volta che arriva una mail di “dubbia provenienza”, aumentare l’attenzione;
• Cambiare di tanto in tanto le nostre password;
• Verificare sempre la correttezza dei link che ci vengono proposti (per fare ciò basterà passare il mouse sopra al link senza cliccarlo ed in basso a sinistra della finestra dovrebbe visualizzarsi il link completo che andremmo ad eseguire);
• Verificare sempre che il mittente di una email sia effettivamente un indirizzo conosciuto
• Navigare in pagine con il prefisso https:://
• Se non siamo sicuri di un indirizzo internet che ci viene proposto o di un file scaricato possiamo usare un noto servizio internet gratuito Virustotal, che ci permetterà di inserire l’indirizzo del quale non siamo sicuri e si occuperà di analizzarlo attraverso molti antivirus diversi che ci daranno un responso in base al quale potremo compiere una valutazione migliore.

Di consigli, a parte quelli sopra, ce ne possono essere molti altri, come ad esempio un buon antivirus, mentre per i giovani che saranno il nostro futuro dovremmo preoccuparci di più di fornire loro una sana educazione alla sicurezza in rete, in modo da proteggerli da queste e molte altre minacce presenti nel web.

Cyber Awarness

La formazione dei giovani, almeno a livello di base sulla sicurezza informatica, dovrebbe essere un elemento fondamentale dell’istruzione fin dalla giovane età, perché un mondo in costante cambiamento dovuta l’eccessiva velocità raggiunta nello scambio di informazioni, necessita di una formazione costante.

Bisogna tenere sempre presente che la formazione, la cultura e l’educazione sono fondamenti di una società corretta e meno “adescabile” e altamente “digitalizzata”.

A tal proposito progetti come Educazione Digitale di Poste Italiane, sono degni di nota proprio perché contribuiscono nella diffusione di conoscenze basilari utili per destreggiarsi nel web con maggiore sicurezza e consapevolezza.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli