Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Il Carding nel 2021. L’evoluzione della frode più vecchia di internet.

Redazione RHC : 31 Ottobre 2021 07:32

Autore: Eros Capobianco

Data Pubblicazione: 30/10/2021

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Il Carding è molto diffuso fin dagli albori del web, si inizia a parlare di questo fenomeno già dagli anni 80 ai giorni delle BBS.

Ma cos’è il Carding? Perché se ne parla ancora oggi?

Questo termine identifica il traffico di carte di credito o dei loro dati; agli albori questa pratica era principalmente svolta attraverso la tecnica dell’Information Diving, che a sua volta può essere divisa in sotto categorie, delle quali ricordiamo per tendenza maggiore il “Dumpster Diving”, ovvero la ricerca di informazioni personali della vittima tramite l’analisi degli scarti e dell’immondizia nei cassonetti in modo da poter ricostruire dati completi di carte di credito.

Seconda, ma non per importanza, è necessario citare il Social Engineering associato principalmente al Phreaking, il quale consiste nel sfruttare le conoscenze riguardo la deviazione delle chiamate, le frequenze utilizzate dalle compagnie telefoniche e la struttura aziendale di queste compagnie per compiere chiamate da numeri particolari, fingendo di essere un operatore che deve verificare i dati della vittima.

Raccolti i dati delle carte di credito si procede al loro “Cash Out”, ciò significa che verranno venduti in appositi market o forum, oppure utilizzati per compiere acquisti online, che verranno recuperati ad un indirizzo di spedizione fittizio, per essere in seguito utilizzati o rivenduti.

Le prime evoluzioni sono avvenute principalmente intorno agli anni 90, quando iniziarono ad essere utilizzati vettori di attacco quali il Phishing, dove tramite e-mail opportunamente forgiate, richiedeva all’utente di accedere a siti specchio/fake, per confermare i dati bancari.

Queste nuove tecniche spesso erano basate su una richiesta di verifica dei dati da parte dei sistemi bancari utilizzati dall’utente, causa (ad esempio) il blocco del servizio. Questo senso di urgenza faceva in modo che gli utenti non consapevoli del rischio informatico, accedevano al sito pensando che questo fosse gestito dalla banca, ed inserire le informazioni di pagamento che poi venivano acquisite e controllate dai criminali informatici.

Gli strumenti d’oggi applicati al Carding

Esiste ancora oggi?

Si, malgrado si senta parlare molto poco di questo fenomeno.

Come possiamo notare dai dati condivisi da CPOMagazine, quest’anno vi è stato un data leak di un noto forum di Carding, che comprendeva un nutrito bacino di criminali informatici che operavano nelle underground rivendendo i dati delle carte di credito. Stiamo parlando di ben 500.000 criminali informatici.

La riposta è quindi affermativa e come ogni altro settore si è rinnovato.

Oggi esistono moltissime tecniche di attacco utilizzate per il furto di dati bancari, tra cui possiamo citare immense campagne di phishing, ransomware, trojans, spyware, skimmer, magecart e molte altre ancora.

Senza analizzarli dal punto di vista tecnico, bisogna considerare che, con il passare del tempo, l’utente medio ha imparato ad evitare i pericoli, informandosi attivamente e/o passivamente attraverso giornali e forum. Questo ha portato ad una normale evoluzione delle minacce.

Quale sarebbe quindi uno dei pericoli maggiori?

Al giorno d’oggi uno dei fenomeni più allarmanti sono gli scammer e gli adescatori che sfruttano piattaforme molto popolari, in cui videogiocatori si riuniscono per comunicare riguardo ad i loro giochi preferiti.

Lo scopo è attrarre adolescenti con il miraggio di “soldi facili”, sfruttando poi url shortener e gruppi telefonici privati e “anonimi”, per lo scambio di informazioni. Questi individui o gruppi di seguito formano l’adescato attraverso video corsi e documentazioni su come fare appunto “Carding”.

Questo ci porta ad un grave problema; queste minacce dovrebbero essere disincentivate attraverso una formazione quantomeno basilare alla sicurezza anche in fase adolescenziale, nella quale si è molto a contatto con internet, compresi tutti i suoi pregi e difetti, senza effettivamente conoscerne le pericolosità.

Prevenzione

Prevenire tutti questi fattori è molto difficile, qui di seguito una lista di buone pratiche da seguire:

  • Utilizzare l’autenticazione a doppio fattore;
  • Ogni volta che arriva una mail di “dubbia provenienza”, aumentare l’attenzione;
  • Cambiare di tanto in tanto le nostre password;
  • Verificare sempre la correttezza dei link che ci vengono proposti (per fare ciò basterà passare il mouse sopra al link senza cliccarlo ed in basso a sinistra della finestra dovrebbe visualizzarsi il link completo che andremmo ad eseguire);
  • Verificare sempre che il mittente di una email sia effettivamente un indirizzo conosciuto
  • Navigare in pagine con il prefisso https:://
  • Se non siamo sicuri di un indirizzo internet che ci viene proposto o di un file scaricato possiamo usare un noto servizio internet gratuito Virustotal, che ci permetterà di inserire l’indirizzo del quale non siamo sicuri e si occuperà di analizzarlo attraverso molti antivirus diversi che ci daranno un responso in base al quale potremo compiere una valutazione migliore.

Di consigli, a parte quelli sopra, ce ne possono essere molti altri, come ad esempio un buon antivirus, mentre per i giovani che saranno il nostro futuro dovremmo preoccuparci di più di fornire loro una sana educazione alla sicurezza in rete, in modo da proteggerli da queste e molte altre minacce presenti nel web.

Cyber Awarness

La formazione dei giovani, almeno a livello di base sulla sicurezza informatica, dovrebbe essere un elemento fondamentale dell’istruzione fin dalla giovane età, perché un mondo in costante cambiamento dovuta l’eccessiva velocità raggiunta nello scambio di informazioni, necessita di una formazione costante.

Bisogna tenere sempre presente che la formazione, la cultura e l’educazione sono fondamenti di una società corretta e meno “adescabile” e altamente “digitalizzata”.

A tal proposito progetti come Educazione Digitale di Poste Italiane, sono degni di nota proprio perché contribuiscono nella diffusione di conoscenze basilari utili per destreggiarsi nel web con maggiore sicurezza e consapevolezza.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence
RUBRICHE
Alla scoperta della Sicurezza Informatica
Alla scoperta dell’Hacking
Interviste ai Threat Actors

RISORSE
Red Hot Cyber Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
COMMUNITY
Scrivi per Red Hot Cyber
Whistleblower
Red Hot Cyber Conference
Report
Contatti

Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009

Facebook Twitter Youtube Linkedin Telegram Whatsapp