عرفني logo
ما هو الكاردينغ؟ كيف يعمل، طرق الوقاية، وأمثلة
٨ دقائق
شذى عادل

ما هو الكاردينغ؟ كيف يعمل، طرق الوقاية، وأمثلة

(الكاردينغ : carding)
ما هو الكاردينغ؟ كيف يعمل، طرق الوقاية، وأمثلة

ما هو الكاردينغ؟

تُعتبر عملية "Carding" شكلاً من أشكال الاحتيال حيث يتم استخدام معلومات بطاقات الائتمان أو الخصم المسروقة لشحن البطاقات المدفوعة مسبقًا، أو شراء بطاقات الهدايا، أو المساعدة في مخططات أخرى. يمكن استخدام البطاقات المسروقة لشراء بطاقات هدايا تحمل علامة تجارية لمتاجر معينة، والتي يمكن بيعها أو استخدامها لشراء سلع أخرى يمكن بيعها نقدًا. كما يمكن بيع معلومات البطاقات المسروقة للآخرين. يُطلق على لصوص بطاقات الائتمان والخصم الذين يشاركون في هذا النوع من الاحتيال اسم "carders".

النقاط الرئيسية

  • يُعتبر "Carding" هجومًا من طرف ثالث على المعلومات المالية للفرد.

  • تُعتبر منتديات البطاقات أماكن على الإنترنت لتبادل المعلومات المسروقة عن بطاقات الائتمان والخصم، بالإضافة إلى تقنيات إجرامية.

  • التقنيات الأحدث مثل CVVs وCAPTCHA والمصادقة متعددة العوامل تحمي المستخدمين من المحتالين.

كيف تعمل عملية الكاردينج

عادةً ما يبدأ الاحتيال باستخدام البطاقات عندما يتمكن المخترق من الوصول إلى نظام معالجة بطاقات الائتمان الخاص بمتجر أو موقع ويب، حيث يحصل المخترق على قائمة ببطاقات الائتمان أو الخصم التي تم استخدامها مؤخرًا لإجراء عمليات شراء. قد يستغل المخترقون نقاط الضعف في برامج الأمان والتكنولوجيا المصممة لحماية حسابات بطاقات الائتمان. كما قد يحصلون على معلومات بطاقات الائتمان باستخدام أجهزة المسح لنسخ الشيفرة من الأشرطة المغناطيسية.

قد يتم اختراق معلومات بطاقة الائتمان أيضًا من خلال الوصول إلى معلومات صاحب الحساب الشخصية الأخرى، مثل الحسابات المصرفية التي تمكن المخترق بالفعل من الوصول إليها، مستهدفًا المعلومات من مصدرها. ثم يقوم المخترق ببيع قائمة أرقام بطاقات الائتمان أو الخصم لطرف ثالث - يُعرف بالكاردير - الذي يستخدم المعلومات المسروقة لشراء بطاقة هدية.

المنتديات الخاصة ببطاقات الائتمان هي مواقع تعليمية للمحتالين حول هذه التجارة غير المشروعة. يستخدم المحتالون هذه المواقع لشراء وبيع معلومات بطاقات الائتمان والخصم التي حصلوا عليها بشكل غير قانوني. كما يستخدمونها لغسل الأموال.

لقد جعلت أرقام التعريف الشخصي (PINs) والرقائق من الصعب استخدام البطاقات المسروقة في معاملات نقاط البيع، لكن المبيعات التي لا تتطلب وجود البطاقة تظل الدعامة الأساسية للصوص البطاقات وتناقش بشكل كبير في منتديات الاحتيال على البطاقات.

تقدم معظم شركات بطاقات الائتمان لحاملي البطاقات حماية من الرسوم الاحتيالية إذا تم الإبلاغ عن سرقة بطاقة ائتمان أو خصم، ولكن بحلول الوقت الذي يتم فيه إلغاء البطاقات، يكون المحتال غالبًا قد قام بالفعل بعملية شراء. تُستخدم بطاقات الهدايا لشراء سلع ذات قيمة عالية، مثل الهواتف المحمولة والتلفزيونات وأجهزة الكمبيوتر، حيث إن هذه السلع لا تتطلب تسجيلًا ويمكن إعادة بيعها لاحقًا. إذا قام المحتال بشراء بطاقة هدية من بائع تجزئة للإلكترونيات، مثل أمازون، فقد يستخدم طرفًا ثالثًا لاستلام السلع ثم شحنها إلى مواقع أخرى. هذا يقلل من خطر لفت الانتباه إلى نفسه. قد يقوم المحتال أيضًا ببيع السلع على مواقع تقدم درجة من عدم الكشف عن الهوية.

مصطلحات

يأتي "Carding" مع لغته الخاصة. يتم مناقشة بعض المصطلحات أدناه.

Fullz

Fullz هو مصطلح عامي يعني "المعلومات الكاملة". يشير إلى حزمة معلومات تحتوي على الاسم الحقيقي للشخص، وعنوانه، ونوع من الهوية. تُستخدم هذه المعلومات في سرقة الهوية والاحتيال المالي. الشخص الذي تُباع "fullz" الخاصة به ليس طرفًا في هذه المعاملات.

تفريغ بطاقة الائتمان

يحدث تفريغ بطاقة الائتمان عندما يقوم مجرم بعمل نسخة رقمية غير مصرح بها من بطاقة الائتمان. يتم ذلك عن طريق نسخ المعلومات من البطاقة بشكل مادي أو اختراق شبكة المدفوعات الخاصة بالجهة المصدرة. على الرغم من أن هذه التقنية ليست جديدة، إلا أن نطاقها قد توسع بشكل كبير في السنوات الأخيرة، حيث تشمل بعض الهجمات ملايين الضحايا.

كيف تمنع الشركات احتيال البطاقات

تقوم الشركات بتطبيق تقنيات متنوعة للبقاء في مقدمة المحتالين. تشمل بعض التغييرات الحديثة الأكثر إثارة للاهتمام طلب المزيد من المعلومات من المستخدم التي لا تكون متاحة بسهولة للمحتال.

نظام التحقق من العنوان (Address Verification System - AVS)

يقوم نظام AVS بمقارنة عنوان الفواتير المقدم عند الدفع في عملية شراء عبر الإنترنت مع العنوان المسجل لدى شركة بطاقة الائتمان. يتم إعادة النتائج فورًا إلى البائع مع تطابق كامل، تطابق العنوان، تطابق الرمز البريدي، أو عدم وجود تطابق على الإطلاق. يمكن لنظام AVS الذي يعمل بشكل صحيح إيقاف المعاملات التي لا يوجد بها تطابق إذا تم الإبلاغ عن البطاقة بأنها مفقودة أو مسروقة. بالنسبة لتطابق العنوان فقط أو الرمز البريدي فقط، يكون للبائع الحرية في القبول أو الرفض. يُستخدم نظام AVS حاليًا في الولايات المتحدة وكندا والمملكة المتحدة.

التحقق من الموقع الجغرافي عبر IP

يقوم نظام تحديد الموقع الجغرافي عبر IP بمقارنة موقع IP لجهاز الكمبيوتر الخاص بالمستخدم مع عنوان الفاتورة المُدخل في صفحة الدفع. إذا لم يتطابقا، فقد يشير ذلك إلى وجود احتيال. هناك أسباب مشروعة، مثل السفر، لعدم التطابق، ولكن هذه الحوادث غالبًا ما تستدعي مزيدًا من التحقيق.

قيمة التحقق من البطاقة (CVV)

قيمة التحقق من البطاقة (CVV) هي رمز مكون من ثلاثة أو أربعة أرقام موجود على بطاقة الائتمان، ويضيف طبقة إضافية من الأمان عند إجراء عمليات الشراء عندما لا يكون المشتري حاضرًا بشكل فعلي. نظرًا لوجوده على البطاقة نفسها، فإنه يتحقق من أن الشخص الذي يقوم بعملية شراء عبر الهاتف أو الإنترنت يمتلك نسخة فعلية من البطاقة.

إذا تم سرقة رقم بطاقتك، فإن السارق بدون الرمز الأمني (CVV) سيواجه صعوبة في استخدامها. يمكن تخزين الرمز الأمني في الشريط المغناطيسي للبطاقة أو في شريحة البطاقة. يقوم البائع بتقديم الرمز الأمني مع جميع البيانات الأخرى كجزء من طلب تفويض المعاملة. يمكن للمُصدر الموافقة أو الإحالة أو رفض المعاملات التي تفشل في التحقق من الرمز الأمني، وذلك بناءً على إجراءات المُصدر.

المصادقة متعددة العوامل (MFA)

المصادقة متعددة العوامل (MFA) هي تقنية أمان تتطلب أكثر من طريقة واحدة للمصادقة من بيانات اعتماد مستقلة للتحقق من تسجيل دخول المستخدم أو أي معاملة أخرى. يمكن أن تستخدم اثنين أو أكثر من المعلومات المستقلة، مثل كلمة المرور، أو رمز المصادقة، أو البيانات البيومترية. استخدام المصادقة متعددة العوامل يخلق عملية متعددة الطبقات تجعل من الصعب على شخص غير مصرح له الوصول إلى هدفه، لأن المهاجم ربما لن يتمكن من اختراق جميع الطبقات. في الأصل، كانت المصادقة متعددة العوامل تستخدم فقط عاملين، ولكن لم يعد من غير المألوف استخدام المزيد من العوامل.

CAPTCHA

كلمة CAPTCHA (اختبار تورينج العام المؤتمت بالكامل للتمييز بين الحواسيب والبشر) هي إجراء أمني من نوع المصادقة بالتحدي والاستجابة. تحمي المستخدمين من فك تشفير كلمات المرور عن طريق مطالبة المستخدم بإكمال اختبار يثبت أن الشخص الذي يجري الاختبار هو إنسان وليس حاسوبًا يحاول اختراق الحساب.

عادةً ما يستخدم CAPTCHA سلسلة عشوائية من الصور في كتلة ويتطلب من المستخدم التعرف عليها. هذه هي أنظمة اكتشاف الشذوذ (مثل النقر على المربعات التي تحتوي على دراجات نارية). تم تصميم هذه التحديات لتكون سهلة للبشر، ولكن أقل سهولة للحواسيب.

التحقق من السرعة

تقوم فحوصات السرعة بالنظر في عدد المعاملات التي يحاول نفس البطاقة أو زائر الموقع إجراؤها خلال عدد معين من الثواني أو الدقائق من بعضها البعض. عادةً، لا يقوم المستخدمون بإجراء مدفوعات متعددة بسرعة متتالية، خاصةً المدفوعات التي تكون سريعة لدرجة تتجاوز قدرة الإنسان. يمكن مراقبة السرعة من خلال مبلغ الدولار، عنوان IP للمستخدم، عنوان الفواتير، رقم تعريف البنك (BIN)، والجهاز.

أسئلة شائعة حول Carding

ما هو جهاز نسخ بطاقات الائتمان؟

جهاز "skimmer" لبطاقات الائتمان هو أداة احتيالية أو جهاز يتم وضعه داخل قارئ شرعي، مثل جهاز الصراف الآلي (ATM) أو مضخة الوقود لنسخ البيانات من البطاقات المستخدمة في ذلك الصراف الآلي أو المضخة.

كيف يسرق المجرمون معلومات بطاقات الائتمان؟

يقوم المحتالون بسرقة معلومات بطاقات الائتمان بطرق مختلفة. يستخدمون أجهزة السحب، التي تسرق معلومات بطاقات الائتمان والخصم من أجهزة الصراف الآلي ومضخات الوقود التي تم تثبيتها فيها. كما يحصلون على المعلومات من خلال عمليات الاحتيال عبر التصيد الإلكتروني، واختراق المواقع، وشراء المعلومات من منتديات بيع البطاقات.

ما هو هجوم الكاردينغ؟

هجوم "كاردينغ" هو محاولة لوضع العديد من الطلبات الاحتيالية على موقع ويب بشكل متتابع وسريع. يمكن التعرف عليه عادةً من خلال زيادة حادة ومفاجئة في الطلبات، والتي غالبًا ما يكون لها نفس عنوان الشحن. في كثير من الأحيان، تكون معلومات العميل المقدمة واضحة الاحتيال.

كيف يمكنك حماية نفسك من عمليات الاحتيال باستخدام البطاقات؟

بصفتك بائعًا، يمكنك حماية نفسك من عمليات الاحتيال باستخدام واحدة أو أكثر من الطرق الحديثة لمنع الاحتيال مثل CAPTCHA وCVV. يجب على حاملي البطاقات أيضًا أن يكونوا حذرين مع بطاقاتهم وأن ينتبهوا لأي علامات تدل على العبث عند استخدام أجهزة الصراف الآلي ومحطات الوقود.

الخلاصة

تُعتبر عملية "الكاردينغ" جريمة تتضمن غالبًا شراء بطاقات الهدايا التي يمكن استخدامها لشراء سلع يصعب تتبعها نسبيًا. ثم تُباع هذه السلع عبر الإنترنت أو في أماكن أخرى. كما يمكن إعادة بيع معلومات بطاقات الائتمان أو الخصم للآخرين لاستخدامها في مخططات غير قانونية مختلفة، مثل سرقة الهوية وغسيل الأموال.

على المدى الطويل، يمكن منع الاحتيال باستخدام البطاقات فقط إذا قام حاملو البطاقات والجهات التي تقبل البطاقات بالاستفادة بشكل نشط من كل طريقة متاحة لمنع الاحتيال. يجب على البائعين استخدام أكبر عدد ممكن من وسائل الوقاية التي يمكنهم تحملها عمليًا، بينما يجب على حاملي البطاقات الانتباه لأي علامات مادية للتلاعب في كل مرة يستخدمون فيها بطاقة في جهاز صراف آلي أو مضخة وقود.

المصادر
[1]Santa Clara High Technology Law Journal. ": Data Breaches: What the Underground World of Carding Reveals
[2]Santa Clara High Technology Law Journal. ": Data Breaches: What the Underground World of Carding Reveals
[3]Santa Clara High Technology Law Journal. ": Data Breaches: What the Underground World of Carding Reveals
[4]Santa Clara High Technology Law Journal. ": Data Breaches: What the Underground World of Carding Reveals
[5]Santa Clara High Technology Law Journal<em>.</em> ":
[6]Institute of Electrical and Electronics Engineers. ": All Your Cards Are Belong to Us: Understanding Online Carding Forums
[7]Santa Clara High Technology Law Journal<em>. </em>": .
[8]Board of Governors of the Federal Reserve System. ": Networks, Processors, and Issuers Payments Surveys (NPIPS)
[9]International Trade Administration. ": Minimizing Fraud
[10]National Institute of Standards and Technology. ": Multi-Factor Authentication
[11]IBM. ": What is CAPTCHA?
[12]U.S. Payments Forum. ": Velocity Checks
[13]Federal Bureau of Investigation. ": Skimming
[14]Scandiweb. ": Store Under Carding Attack? Here’s What to Do
#التمويل الشخصي #الاحتيال المالي