In ziua de azi se cam poate orice, iar scam-urile au devenit chiar infricosatoare chiar si pentru expertii in domeniu (o sa iti explic in ultima parte de ce);
In orice caz, un card are:
Magnetic stripe-u ala ce contine Track1 data, Track2 si chiar si Track3. Track 1 e compus din 79 caractere alfanumerice, iar track 2 e compus doar din caractere numerice, pe cand Track3 (asta nu e pe toate stripe-urile) este folosit pentru a stoca codul PIN cifrat, codul de țară, unitățile valutare, suma autorizată, informațiile despre contul subsidiar și alte restricții de cont.
EMV [chip] (majoritatea in europa au asa ceva):
EMV=Europay, Mastercard si Visa si e un protocol de securitate ce consta intr-un microprocesor creat de cei de la Europay, Mastercard, Visaadus de catre vendorii de carduri (atentie, nu banca in sine, ci card vendor). Cand acestea au fost adaugate, in scurt timp rata de frauda a scazut cu 80% (Bazata pe card theft etc). DPDV legalo-financiar (nu stiu cum sa ma exprim mai corect) daca cardul este echipat cu tehnologie EMV si pica prada unui furt, cei de la Europay/MC/Visa vor sustinte cheltuielile de returnare a baniilor (in functie de decizia care se va lua in urma anchetei)
Nowadays avem si NFC (near field communication) care e bazat pe RFID, dar vad ca nu s-a discutat despre asta pe aici, deci daca ai intrebari o sa iti raspund intr-un reply.
OK...
Acum avem o sumedenie de tool-uri si metodologii de furt de carduri sau date. Astea pleaca de la furtu fizic, la skimmere, shimmere si se duc pana la voice cloning, call spoofing, phishing, malware in terminale;
Skimmer: copiaza Track1/2/3 de pe banda magnetica (magnetic stripe);
Shimmer: copiaza datele si le decripteaza de pe EMV chip;
Infractorii ce au ca nisa frauda de tipu asta, lucreaza in retele si au: geeks tech savy(ce stau si se ocupa de partea hardware/software a tool-urilor), runners(baietii ce-s trimisi cu tehnologia sa o monteze *strategic in anumite puncte*(adica in USA pentru exemplu clasele sociale mai joase folosesc foarte mult carduri tip EBT, in alte zone se folosesc mai multe platinum cards, acestea difera la capitolul securitate/chip, etc), montarea unui asemenea aparat dureaza de la 10 la 30 de SECUNDE, iar apoi intra in schema money mules (si runners si money mules in romana pot fi numiti pe scurt, sageti), astia se ocupa cu retrasu baniilor din bancomate *Atentie, sa nu credeti ca astia va iau datele si bum scot banii, in functie de tipul cardului care poate fi dedus din seria numerologica din numarul acestuia aleg cand sa dea cash out. Adica, EBT-urile se alimenteaza intr-o anumita data din luna ca si un card de salar samd. In general culeg datele peste weekend si dau cash out abia zilele urmatoare la toate cardurile in mod sistematic, rapid si meticulos.* In medie un skimmer/shimmer montat stragetic intr-o anumita zona poate culege intr-un weekend undeva la 15.000-30.000 dolari/euro.
Chiar si daca ai un card echipat cu EMV chip serios, baietii sunt buni si o sa stie asta de la inceput din etapa atacului numita Reconnaissance, o sa analizeze tipul de carduri ce se plimba in zona si o sa tinteasca benzinaria, magazinul, cu atacuri de tip phishing > plantand un malware ce va defecta POS-ul in a nu mai putea procesa platiile bazate pe EMV si mno orice vanzator o sa vrea sa-ti ia banii asa ca va folosii banda magnetica (magnetic stripe-ul ala care nu are nici un fel de encriptie whatsoever). Si pac, intr-un moment in care credeai ca e doar o defectiune ti-au luat baietii datele;
La ce va referiti voi prin 3D secure e VBV/MCV - Verified by Visa/MasterCard Verified, aceasta tehnologie, atentie nu se aloca cardului ci vendor-ului, respectiv site-ului de pe care faci plata sau magazinul fizic. Exista o sumedenie de site-uri NON VBV. Infractorii de acest gen le cunosc si cumpara marfuri in PO si dupa declara furat sau cel mai usor jackpot, cumpara E Gift Cards mai apoi le schimba in BTC/Monero. Alta metoda des folosita e, baga banii la casino online si da cash out dupa pe alt cont sau Poker online multe sunt NON VBV.
Alte metodologii de furt constau in voice cloning, in care cu ajutorul tehnologiei AI si nu doar s-au dezvoltat tool-uri care copiaza 100% accurate tonalitate, voce a unei persoane si infractorii in acest caz vor inscena o rapire cu vocea unei persoane si vor suna o ruda gen parinte si vor ameninta cu moartea persoanei, explicand ca o vor tortura si etc;
Alta metodologie, cea mai puternica si inteligenta (ghidusa mai bine zis) dupa parerea mea Call Spoofing, asta e chiar inteligenta;
Sti daca ti se fura cardul si infractorul incearca sa faca o plata cu el, daca cumva e o suma mai mare sau cumva intr-o total alta geolocatie fata de geolocatia ta uzuala, sistemele de securitate se vor activa si vei primii un mesaj gen, hei, tu ai incercat sa faci plata x in locul z la ora y? Da/Nu, daca raspunzi cu NU vei fi imediat contactat de catre un reprezentat din domeniul securitatii al bancii si te va intreba tu esti domnul cutare cutare si cutare, toata procedura.
Ei atacul asta e ghidus, aici infractorii cunosc procedura bancii si ce vor face - daca au cardul tau clonat vor face automat o plata din asta care sa activeze sistemele bancii si dupa aceea dupa un anumit interval de timp te vor suna ei inaintea bancii dupa ce dai reply cu NU. Si te vor intreba dvs sunteti X? Raspunzi cu da, evident, te informeaza de plata care s-a facut si totodata iti vor spune ca s-a facut o schimbare de username de curand si te intreaba daca tu esti cel care a facut aceasta schimbare. Evident, tu panicat spui nu (esti intr-un moment in care na cineva incearca sa-ti ia banii din cont, clar nu mai gandesti totul clar si... urmeaza). Dupa ce le spui nu, ei vor spune ceva de genul, in regula pentru verificare am sa va rog sa-mi confirmati ultimul nume de utilizator pe care l-ati avut. Si tu le spui user-u.... Dupa aceea, iti zic ca vor bloca conturile si ca el e manager sau ceva de genul (social engineering, autoritate), intre timp s-ar putea sa primesti si un alt apel chiar de la banca si o sa-ti zica ca nu trebe sa mai raspunzi ca e colegu lui sub altern si ca se ocupa el (dl. manager fictiv), dupa aceea o sa mai vezi probabil vreo 2 plati, primesti notificari, esti si mai panicat si dintr-o data zice dl. manager fictiv, ca ti s-a schimbat si parola de curand si daca tu ai facut-o, clar zici dinou nu si aici iti va zice dl manager OK te ajut sa o resetezi si vrei primii un cod pe mail sau pe telefon din X cifre, sa-i comunici codul.... si bum acum ti-a schimbat parola cu codul OTP pe care i l-ai dat :P. Practic te-a facut sa-i zici user si parola si nu iti mai poti bloca contul si acum iti poate retrage efectiv toti banii din cont nu doar sume modice de 500/1000 (astea sunt practicate in cazul oameniilor ce au in cont 15.000+);
Mai exista o sumedenie de atacuri, dar, sincer... Sper ca toate intrebarile tale au ca rol self defense si nu altceva. Daca cumva au alt rol, dai un search pe youtube la oamenii scam-uiti, o sa vezi imagini cu oameni ce plang, ajung sa se sinucida pentru ca nu mereu li se returneaza banii. Totodata sa stii ca infractorii de acest tip nu fura de la *banca* banca niciodata nu pierde din cauza fondului guvernamental pentru bancii (rezerva monetara), ei isi primesc toti banii pierduti din motive de frauda. Totodata infractorii de genu ataca economia globala puternic si distrug vieti.
Daca ai alte intrebari feel free.