Autore: Eros Capobianco

Data Pubblicazione: 30/10/2021

Il Carding è molto diffuso fin dagli albori del web, si inizia a parlare di questo fenomeno già dagli anni 80 ai giorni delle BBS.

Ma cos’è il Carding? Perché se ne parla ancora oggi?

Questo termine identifica il traffico di carte di credito o dei loro dati; agli albori questa pratica era principalmente svolta attraverso la tecnica dell’Information Diving, che a sua volta può essere divisa in sotto categorie, delle quali ricordiamo per tendenza maggiore il “Dumpster Diving”, ovvero la ricerca di informazioni personali della vittima tramite l’analisi degli scarti e dell’immondizia nei cassonetti in modo da poter ricostruire dati completi di carte di credito.

Seconda, ma non per importanza, è necessario citare il Social Engineering associato principalmente al Phreaking, il quale consiste nel sfruttare le conoscenze riguardo la deviazione delle chiamate, le frequenze utilizzate dalle compagnie telefoniche e la struttura aziendale di queste compagnie per compiere chiamate da numeri particolari, fingendo di essere un operatore che deve verificare i dati della vittima.

Raccolti i dati delle carte di credito si procede al loro “Cash Out”, ciò significa che verranno venduti in appositi market o forum, oppure utilizzati per compiere acquisti online, che verranno recuperati ad un indirizzo di spedizione fittizio, per essere in seguito utilizzati o rivenduti.

Le prime evoluzioni sono avvenute principalmente intorno agli anni 90, quando iniziarono ad essere utilizzati vettori di attacco quali il Phishing, dove tramite e-mail opportunamente forgiate, richiedeva all'utente di accedere a siti specchio/fake, per confermare i dati bancari.

Queste nuove tecniche spesso erano basate su una richiesta di verifica dei dati da parte dei sistemi bancari utilizzati dall'utente, causa (ad esempio) il blocco del servizio. Questo senso di urgenza faceva in modo che gli utenti non consapevoli del rischio informatico, accedevano al sito pensando che questo fosse gestito dalla banca, ed inserire le informazioni di pagamento che poi venivano acquisite e controllate dai criminali informatici.

Gli strumenti d’oggi applicati al Carding

Esiste ancora oggi?

Si, malgrado si senta parlare molto poco di questo fenomeno.

Come possiamo notare dai dati condivisi da CPOMagazine, quest’anno vi è stato un data leak di un noto forum di Carding, che comprendeva un nutrito bacino di criminali informatici che operavano nelle underground rivendendo i dati delle carte di credito. Stiamo parlando di ben 500.000 criminali informatici.

La riposta è quindi affermativa e come ogni altro settore si è rinnovato.

Oggi esistono moltissime tecniche di attacco utilizzate per il furto di dati bancari, tra cui possiamo citare immense campagne di phishing, ransomware, trojans, spyware, skimmer, magecart e molte altre ancora.

Senza analizzarli dal punto di vista tecnico, bisogna considerare che, con il passare del tempo, l’utente medio ha imparato ad evitare i pericoli, informandosi attivamente e/o passivamente attraverso giornali e forum. Questo ha portato ad una normale evoluzione delle minacce.

Quale sarebbe quindi uno dei pericoli maggiori?

Al giorno d’oggi uno dei fenomeni più allarmanti sono gli scammer e gli adescatori che sfruttano piattaforme molto popolari, in cui videogiocatori si riuniscono per comunicare riguardo ad i loro giochi preferiti.

Lo scopo è attrarre adolescenti con il miraggio di “soldi facili”, sfruttando poi url shortener e gruppi telefonici privati e “anonimi”, per lo scambio di informazioni. Questi individui o gruppi di seguito formano l'adescato attraverso video corsi e documentazioni su come fare appunto “Carding”.

Questo ci porta ad un grave problema; queste minacce dovrebbero essere disincentivate attraverso una formazione quantomeno basilare alla sicurezza anche in fase adolescenziale, nella quale si è molto a contatto con internet, compresi tutti i suoi pregi e difetti, senza effettivamente conoscerne le pericolosità.

Prevenzione

Prevenire tutti questi fattori è molto difficile, qui di seguito una lista di buone pratiche da seguire:

<