Gdzie są przekazywane skradzione dane z kart kredytowych?
Numery CVV, numery PIN i inne poufne dane sprzedawane są w Internecie – tak jak w normalnych sklepach internetowych znajdują się tam stali klienci, dostawcy i sprzedawcy. Do niektórych witryn bez problemu może dostać się każdy – wystarczy prosta rejestracja. Inne rynki, takie jak osławiony Silk Road, nazywane „Czarnym Internetem” nie pojawią się w wynikach wyszukiwania Google. Przeglądający sieć Tor mogą sprawdzić dane i anonimowo zrobić zakupy za pomocą elektronicznych walut . W przypadku zagrożenia, ich wykrycie przez władze jest niemożliwe.
Sklep z danymi kart kredytowych zachowuje się jak typowy sklep: na stronie głównej znajdziemy najnowsze dane skradzionych kart, rabaty na starsze zestawy danych. Co więcej, sklepy te posiadają podział na kategorie przedmiotów dostępnych w sprzedaży, takie jak: numery CVV, hasła, konta PayPal, narzędzia hackerskie, karty kredytowe Premium. Użytkownicy mogą szukać kart według miasta, państwa i kodu pocztowego. Jeśli nie znajdzie tego, czego szuka, może nawet zamówić określony zestaw danych.
Podobnie jak tradycyjni, szanujący się sprzedawcy – czarny rynek także ma swoje jasne zasady dotyczące warunków, zwrotów i wymian. Niektóre witryny mówią wprost: „nie ma zwrotów, nie jesteśmy bankiem”. Inne natomiast są bardziej elastyczne: partie skradzionych kart, określane z uwagi na swoją niższą wartość jako wysypisko, mogą zostać wymienione w ciągu 48 godzin, jeśli kupujący stwierdzi, że nie zawierają aktualnych, aktywnych rachunków bankowych. I nie trzeba być hakerem, aby ją przetestować – każdy może wybrać CVV z listy i zainicjować zakupy online.
Bogdan Botezatu, Starszy Analityk e-zagrożeń w Bitdefender mówi: „Niektóre podziemne fora masowo sprzedają dane kart kredytowych, a nawet zapewniają wsparcie posprzedażowe – w tym zamienniki zablokowanych lub w inny sposób nieważnych kart kredytowych. Często zapewniają one szybszą i lepszą obsługę niż instytucje finansowe.”
Jeśli chodzi o ceny, zasady są proste: im więcej danych zakupi użytkownik, tym mniejsza cenę jednostkową zapłaci. Im nowsze są dane, tym zainteresowanie nimi wyższe. Partie kart VIP, sprzedawane jako „świeżo” zhackowane,” cieszą się największym zainteresowaniem, a co za tym idzie – dostępne są w wyższej cenie. Mają one także status „dobrze zbilansowanych” oznaczający, że wykorzystano na nich mniej niż 30% limitu karty kredytowej, co oznacza więcej środków do wydania po przejęciu kontroli nad kartą.
Sposoby płatności za skradzione dane są zróżnicowane i wyraźnie podane na pirackich stronach. Niektórzy sprzedawcy mają ścisłe wymagania: „Jeśli ktoś chce robić ze mną interesy regularnie, to musi posiadać wiele kont bankowych, PayPal, Moneybookers oraz fałszywych dowodów dla Western Union (WU), ponieważ po 2, lub 3 transferach, twój PayPal i identyfikatory WU znajdą się na czarnej liście i będą zastrzeżone”. Preferowaną walutą transakcji jest więc Bitcoin, który zapewnia anonimowość obu stronom. Po zakończeniu transferu płatności, kupujący są nagradzani pozytywnymi komentarzami i ocenami.
Jak poznać, że dane z karty zostały skradzione? Niestety, najczęściej można się o tym dowiedzieć dopiero „po szkodzie”. Czy dane z karty kredytowej można odzyskać? To także nie możliwe – należy w banku, za dodatkową opłatą, wyrobić nową kartę. Zawsze jednak warto stosować wskazówki pozwalające zachować większe bezpieczeństwo:
1. Natychmiast zgłaszaj zaginięcie lub kradzież swoich kart.
2. Przeglądaj swoje rachunki z każdego miesiąca. Sprawdzaj aktywność konta kilka razy w tygodniu i powiadamiaj bank o każdej transakcji, której nie wykonałeś.
3. Jeśli korzystasz z płatnością kartą online, aktywuj usługę ochrony tożsamości w celu monitorowania wrażliwych danych – takich jak karty kredytowe, debetowe, numery kont bankowych, prawo jazdy, paszport, dowód osobisty, numery ubezpieczenia, numery telefonów, e-maile, adresy pocztowe i inne. Bitdefender dla użytkowników indywidualnych (Antivirus Plus, Internet Security, Total Security) oferuje moduł ochrony tożsamości.