الاحتيال على بطاقات الائتمان التعريف وطرق الوقاية
ما هو الاحتيال على بطاقات الائتمان Carding؟
يعد Carding أحد أشكال الاحتيال على بطاقات الائتمان. حيث يتم استخدام بطاقة الائتمان المسروقة لشحن البطاقات المدفوعة مسبقاً أو شراء بطاقات الهدايا. تتضمن عملية الاحتيال عادةً قيام حامل البطاقة المسروقة أو معلومات البطاقة بشراء بطاقات هدايا تحمل علامة متجر ما، والتي يمكن بعد ذلك بيعها للآخرين أو استخدامها لشراء سلع أخرى يمكن بيعها نقداً. يُطلق على لصوص بطاقات الائتمان المتورطين في هذا النوع من الاحتيال اسم “كارديرز”.
تعد الولايات المتحدة هدفاً كبيراً للاحتيال على بطاقات الائتمان لأنها سوق كبيرة يشيع فيها استخدام بطاقات الائتمان وبطاقات الخصم. ولأن أنواع البطاقات المستخدمة في الولايات المتحدة إما تحتوي فقط على شريط مغناطيسي أو تستخدم شريطاً مغناطيسياً. (تقنية الشريحة والتوقيع)، بدلاً من تقنية الشريحة ورقم التعريف الشخصي (PIN) الموجودة في معظم أنحاء أوروبا.
كيف يحصل الاحتيال؟
تبدأ عملية الاحتيال عادةً مع وصول المتسلل إلى نظام معالجة بطاقات الائتمان الخاص بالمتجر أو موقع الويب. حيث يحصل المتسلل على قائمة ببطاقات الائتمان أو الخصم التي تم استخدامها مؤخراً لإجراء عملية شراء. قد يستغل المتسللون نقاط الضعف في برامج الأمان والتكنولوجيا المخصصة لحماية حسابات بطاقات الائتمان. وقد يحصلون أيضاً على معلومات بطاقة الائتمان باستخدام الماسحات الضوئية لنسخ الترميز من الشرائط المغناطيسية.
قد يتم أيضاً اختراق معلومات بطاقة الائتمان من خلال الوصول إلى المعلومات الشخصية الأخرى لصاحب الحساب. مثل الحسابات المصرفية التي تمكن المتسلل من الوصول إليها بالفعل، واستهداف المعلومات من مصدرها. يقوم المتسلل بعد ذلك ببيع قائمة أرقام بطاقات الائتمان أو الخصم إلى طرف ثالث. والذي يستخدم المعلومات المسروقة لشراء بطاقات هدايا مثلاً.
توفر معظم شركات بطاقات الائتمان لحاملي البطاقات الحماية من الرسوم التي يتم فرضها في حالة الإبلاغ عن سرقة بطاقة الائتمان أو الخصم. ولكن بحلول الوقت الذي يتم فيه إلغاء البطاقات، غالباً ما يكون القائم بالاحتيال قد أجرى عملية شراء بالفعل. تُستخدم بطاقات الهدايا لشراء سلع ذات قيمة عالية، مثل الهواتف المحمولة وأجهزة التلفزيون وأجهزة الكمبيوتر. حيث لا تتطلب تلك السلع التسجيل ويمكن إعادة بيعها لاحقاً.
إذا قام الشخص المحتال بشراء بطاقة هدايا من بائع تجزئة للإلكترونيات، مثل أمازون، فقد يستخدم طرفاً ثالثاً لاستلام البضائع ثم شحنها إلى مواقع أخرى. وهذا يحد من خطر لفت الانتباه إلى (الكاردر). ويمكنه أيضاً بيع البضائع على مواقع الويب التي تقدم درجة من عدم الكشف عن هويتها.
نظراً لأنه غالباً ما يتم إلغاء بطاقات الائتمان بسرعة بعد فقدانها، فإن جزءاً كبيراً من عملية الاحتيال يتضمن اختبار معلومات البطاقة المسروقة لمعرفة ما إذا كانت لا تزال تعمل أم لا. وقد يتضمن ذلك تقديم طلبات شراء بدون وجود البطاقة على الإنترنت.
منتدى البطاقات
منتديات البطاقات هي مواقع إلكترونية تستخدم لتبادل المعلومات والمهارات التقنية حول التجارة غير المشروعة في بطاقات الائتمان المسروقة أو معلومات حساب بطاقة الخصم. يستخدم المحتالون هذه المواقع لشراء وبيع المعلومات التي حصلوا عليها بشكل غير قانوني. لقد أدت جهود الحماية الجديدة مثل أرقام التعريف الشخصية والرقائق إلى زيادة صعوبة استخدام البطاقات المسروقة في معاملات نقاط البيع. ولكن مبيعات البطاقة غير الموجودة تظل الدعامة الأساسية للصوص البطاقات وتتم مناقشتها كثيراً في منتديات البطاقات.
فولز
Fullz هو مصطلح عام يعني “المعلومات الكاملة” ويستخدمه المجرمون الذين يسرقون معلومات بطاقة الائتمان. يشير إلى حزمة المعلومات التي تحتوي على الاسم الحقيقي للشخص وعنوانه وشكل الهوية. يتم استخدام المعلومات لسرقة الهوية والاحتيال المالي. الشخص الذي تم بيع “معلوماته الكاملة” ليس طرفا في المعاملات.
تفريغ بطاقة الائتمان
يحدث تفريغ بطاقة الائتمان عندما يقوم أحد المجرمين بعمل نسخة رقمية غير مصرح بها من بطاقة الائتمان. ويتم ذلك عن طريق نسخ المعلومات فعلياً من البطاقة أو اختراق شبكة المدفوعات الخاصة بجهة الإصدار. وعلى الرغم من أن هذه التقنية ليست جديدة، إلا أن نطاقها توسع بشكل كبير في السنوات الأخيرة، حيث أدت بعض الهجمات إلى وقوع العديد من الضحايا لعمليات الاحتيال.
اقرأ أيضاً: مدفوعات التشفير والتخفيف من مخاطر الأمان المرتبطة بها!
كيف تمنع الشركات عمليات الاحتيال
تطبق الشركات تقنيات مختلفة للبقاء في صدارة البطاقات. تتضمن بعض التغييرات الأخيرة الأكثر إثارة للاهتمام طلب مزيد من المعلومات من المستخدم والتي لا تكون متاحة بسهولة للمحتالين.
نظام التحقق من العنوان (AVS)
يقوم نظام AVS بمقارنة عنوان إرسال الفواتير المقدم عند القيام بعملية شراء عبر الإنترنت بعنوان السجل في شركة بطاقة الائتمان. يتم إعادة النتائج على الفور إلى البائع بالمطابقة الكاملة، ومطابقة العنوان، ومطابقة الرمز البريدي، (أو عدم وجود تطابق على الإطلاق). لا يمكن لنظام AVS الذي يعمل بشكل صحيح أن يوقف أي معاملات مطابقة إذا تم الإبلاغ عن فقدان البطاقة أو سرقتها. وفي حال مطابقة العنوان أو الرمز البريدي فقط، يكون للبائع حرية التصرف في القبول أو عدمه. يُستخدم AVS حالياً في الولايات المتحدة وكندا والمملكة المتحدة.
التحقق من الموقع الجغرافي IP
يقوم نظام تحديد الموقع الجغرافي IP بمقارنة موقع IP لجهاز الكمبيوتر الخاص بالمستخدم بعنوان الفاتورة الذي تم إدخاله في صفحة الشراء. إذا لم تكن متطابقة، فقد يتم الإشارة إلى وجود الاحتيال. هناك أسباب مشروعة، مثل السفر، لعدم التوافق، لكنها بشكل عام تتطلب مزيداً من التحقيق.
قيمة التحقق من البطاقة (CVV)
رمز قيمة التحقق من البطاقة (CVV) عبارة عن رقم مكون من ثلاثة أو أربعة أرقام على بطاقة الائتمان. يضيف طبقة إضافية من الأمان لإجراء عمليات الشراء عندما لا يكون المشتري حاضراً فعلياً. وبما أنها موجودة على البطاقة نفسها، فإنها تتحقق من أن الشخص الذي يقوم بالشراء عبر الهاتف أو عبر الإنترنت لديه بالفعل نسخة مادية من البطاقة.
إذا تمت سرقة رقم بطاقتك، فإن اللص الذي لا يملك رقم CVV سيواجه صعوبة في استخدامه. يمكن تخزين CVV في الشريط المغناطيسي للبطاقة أو في شريحة البطاقة. يقدم البائع CVV مع جميع البيانات الأخرى كجزء من طلب ترخيص المعاملة. يمكن للمصدر الموافقة على المعاملات التي تفشل في التحقق من صحة CVV أو الرجوع إليها أو رفضها، اعتماداً على إجراءات المصدر.
المصادقة متعددة العوامل (MFA)
المصادقة متعددة العوامل هي تقنية أمان تتطلب أكثر من طريقة للمصادقة من بيانات اعتماد مستقلة للتحقق من تسجيل دخول المستخدم أو أي معاملة أخرى. يمكن أن تستخدم اثنين أو أكثر من بتات المعلومات المستقلة، القادمة من معرفة المستخدم (على سبيل المثال، كلمة المرور). أو ملكية المستخدم (على سبيل المثال، رمز المصادقة). أو من هوية المستخدم (البيانات البيو-مترية). يؤدي استخدام MFA إلى إنشاء عملية ذات طبقات تجعل من الصعب على شخص غير مصرح له الوصول إلى هدفه، لأن المهاجم ربما لن يخترق جميع الطبقات.
اختبار CAPTCHA
CAPTCHA (اختبار تورينج العام الآلي بالكامل للتمييز بين أجهزة الكمبيوتر والبشر) هو إجراء أمني لنوع مصادقة التحدي والاستجابة. إنه يحمي المستخدمين من فك تشفير كلمة المرور عن طريق مطالبة المستخدم بإكمال اختبار يثبت أن المتقدم للاختبار هو إنسان وليس جهاز كمبيوتر يحاول اختراق الحساب.
يستخدم اختبار CAPTCHA سلسلة عشوائية من الأرقام والحروف في صورة مشوهة ويطلب من المستخدم إدراجها بالترتيب. لقد تم هزيمة جميع أنظمة الأرقام/الحروف من قبل المتسللين في وقت أو آخر. ونتيجة لذلك، تستخدم الإصدارات البديلة الآن أنظمة اكتشاف الشذوذ (ابحث عن المربعات التي تحتوي على السفن) والتي تعتبر سهلة بالنسبة للبشر ولكنها أقل سهولة بالنسبة لأجهزة الكمبيوتر.
فحوصات السرعة
تبحث فحوصات السرعة في عدد المعاملات التي تجريها نفس البطاقة أو زائر الموقع خلال عدد معين من الثواني أو الدقائق. عادةً، لا يقوم المستخدمون بإجراء دفعات متعددة في تتابع سريع، وخاصة المدفوعات السريعة جداً بحيث تتجاوز قدرة الإنسان. يمكن مراقبة السرعة من خلال المبلغ بالدولار وعنوان IP الخاص بالمستخدم وعنوان إرسال الفواتير ورقم تعريف البنك (BIN) والجهاز.
أمثلة على الاحتيال على بطاقات الائتمان
تتضمن عملية الاحتيال بشكل عام شراء بطاقات الهدايا التي يتم استخدامها بعد ذلك لشراء بعض السلع التي يصعب تتبعها نسبياً. في كثير من الأحيان يتم إعادة بيع البضائع عبر الإنترنت أو في أي مكان آخر. تُستخدم المعلومات المكتسبة في عملية الكاردينغ أيضاً في سرقة الهوية وغسل الأموال.
إعادة بيع المعلومات
إحدى أسهل الطرق للاستفادة من المعلومات التي تم الحصول عليها في عملية احتيال البطاقات هي إعادة بيعها للآخرين. الذين سيستخدمونها بعد ذلك في مخططات غير مشروعة مختلفة.
خاتمة
على المدى الطويل، لا يمكن منع الاحتيال على بطاقات الائتمان إلا إذا استفاد حاملو البطاقات وأولئك الذين يقبلون البطاقات بقوة من كل الطرق المتاحة لمنع الاحتيال. يجب أن يطلب البائعون أكبر عدد ممكن من وسائل الوقاية التي يمكنهم تحمل تكلفتها عملياً. في حين يجب على حاملي البطاقات مراقبة العلامات المادية للتلاعب في أي وقت يستخدمون فيه البطاقة في ماكينة الصراف الآلي أو أجهزة الدفع.
في النهاية لمزيد من الأخبار والمعلومات يمكنك الانضمام إلى قناتنا الأخبار والانضمام إلى مجتمع CryptoMENA.
