Carding, ¿cómo nos la lían?

No me hago responsable de los datos que daré a continuación. Si eres un irresponsable o tienes malas intenciones, no leas el siguiente artículo.

En este artículo hablaré sobre el carding, es decir, el uso ilegítimo de tarjetas de crédito.

¿Qué es el carding?

El carding es el uso ilegítimo de tarjetas de crédito, una práctica que está creciendo como la espuma.

Hay muchos tipos, como primer tipo, empezaremos con los bins, el tipo más básico y simple, incluso no se considera carding.

BINS.

Los bineros son los “carders” más comunes, no roban tarjetas, sólo se aprovechan del método de pago.

Un BIN (Bank Identification Number) son los 6 primeros números de una tarjeta de crédito. En este número se ve el banco, tipo de tarjeta, etc.

Y bien, ¿para qué usan un BIN?.

Lo pueden querer para colección, pero la opción más común es que sea para engañar a una página y hacer creer que han puesto tu tarjeta, por ejemplo en Spotify y Netflix y así tener estos servicios gratis; antes se podía llegar también a hacer compras, pero actualmente es bastante difícil.

Resulta que los bancos tienen algunos números de tarjeta generados, los cuales no están asignados a ningún cliente, es aquí donde entra el azar, el cual  ayudará a generar un número que exista, pero que no esté en uso.

¿Cómo se hace eso? Primero se consigue algún BIN (buscando en internet, grupos, amigos, o cogiendo la tarjeta de un compañero)  y una vez obtenido simplemente se generan unas cuantas tarjetas y de ellas, alguna será buena.

¿Se generan a mano?  ¡No! es tan simple como acudir a un generador de tarjetas de crédito y darle a generar (unas 50).

http://www.tigers-tools.com

 Una vez generadas se verifica cuales funcionan con un verificador, los cuales abundan en foros de carding.

http://ben10.esy.es/checador.php

Ya tenemos la CC (Credit Card), sólo falta ver de donde es la tarjeta y usar vpn de tal lugar, (recomendado modo incógnito para la compra, además de borrar caché, historial etc) y suerte.

CARDING.

Bueno, la práctica anterior es muy bonita, pero no es el carding que todos esperamos, el de aquellos ******** que te roban la CC.

Dentro de ese tipo, hay dos, el carding virtual, y el real carding (físico), empecemos por el virtual.

Carding virtual.

En este tipo de carding, los beneficios crecen exponencialmente, justo igual que la pena de cárcel, es un carding orientado a comprar artículos físicos por Internet.

Primero necesitaremos una CC, la cual podemos conseguir de varias maneras, las más comunes son :

1. Comprarlas en foros de carding.
Quemadas significa, que están gastadas, bloqueadas, etc.

No tiene mucho misterio, buscar algún foro y acordar con el vendedor.

2. Robar bases de datos las cuales almacenen CC.

Muy importante buscar tiendas sin pasarela de pago, es decir, que ellos almacenen la CC.

3. Phishing.

 Muy común. Consiste en enviar mails a una lista de correos suplantándole el correo a alguien para conseguir los datos.

4. Shoulder surfing.

Es la más común y simple, consiste en mirar disimuladamente la CC cuando van a pagar, y memorizar el número de  tarjeta y cvv.

5. Fake shop.

Por último, pero no menos importante, las fake shops.

Como su nombre indica, son tiendas falsas, las cuales se quedan con tu CC, y el producto nunca llega, suelen tener precios muy asequibles.

Cuando tenemos la CC necesitamos un drop, un drop es una persona que se encarga de recibir el paquete y enviártelo, ¿para que sirve?, para evitar tu detención, ya que cuando denuncian primero buscarían por el rastro que hubieras dejado, y dirección.

Es por eso que es mejor que un dropper no tenga pc, ni sea un/a joven, ya que se libraría al instante, es un simple trabajador que ha recibido un paquete pagado y lo ha aceptado, ¿quien lo rechazaría?, la forma de pagar al dropper es enviando otro producto igual al tuyo.

Otra opción todavía menos ética sería buscar el teléfono de una abuela de pueblo, o buscar portal por portal,  decirle que estás de viaje y estás esperando un paquete.

Para realizar la compra hay varios trucos y premisas totalmente necesarias, un ejemplo de estas es cardear a altas horas de la mañana, para que en caso de denunciar, sea demasiado tarde para cancelar.

 En internet abundan foros de carding con páginas cardeables (que se puede cardear), trucos, herramientas y un largo etc.

Real Carding (carding físico)

Aquí entramos en un terreno donde si bien se gana más dinero, el riesgo es inmenso, y hay que hacer una buena inversión para poder trabajar, consiste en la fabricación de tarjetas de crédito.

En este tipo de carding, se usan unos aparatos llamados skimmer,muy fáciles de conseguir, los cuales se pegan en los ATM justo encima de el lector de tarjetas, y pasa desapercibido.

Así, cuando meten la tarjeta grabas sus datos.

Pero falta una cosa importante, el PIN. Es por esto que todos tapamos el teclado al meter el pin, pero es un poco inútil, ya que es muy común grabar teclas con un falso teclado.

Otro método es con offline POS (datáfono sin conexión), un tipo de datáfono, en el que metes la tarjeta y el pin como en uno normal, pero la transacción no llega, en cambio, tus datos a este si.

¿Nunca habéis metido la tarjeta en un datáfono, este no funcionaba y el empleado lo ha probado en otro diferente? Podrías haber sido víctima de un ofline POS.

También tenemos el “lector de tarjetas del tamaño de un mechero”, un pequeño aparato que podrían pasar en cafeterías, bares etc cuando les dar la tarjeta.

Por eso, NUNCA hay que dejar tu tarjeta, ya que no es muy difícil memorizar un CVV de 3 dígitos.

Este método es para compras online, ya que no tenemos pin, solo CVV y datos de tarjeta, pero está en el apartado de Real Carding ya que es con aparatos físicos.

Algo parecido al ataque anterior, pero sin molestarte en comprar un lector, es descargando la aplicación “Credit Card Reader” disponible en Google Play, la cual a través del NFC lee tos datos de la tarjeta

¿Tenemos los datos, ahora que?

Una vez tenemos la CC necesitamos una tarjeta virgen, donde grabar los datos previamente conseguidos con el skimmer, offline POS o card reader.

Una troqueladora para dar relieve a las tarjetas.

Y una card printer para dar color a las tarjetas

Con esto tendríamos todo lo necesario para clonar una tarjeta ahora “solo” habría que armarse de valor, ir a una tienda, comprar y vender el producto.

Ahora bien.

¿Cómo nos protegemos del carding?

Si decidimos pagar con tarjeta de crédito por Internet, debemos asegurarnos de que es una tienda de confianza, y que usa una pasarela de pago.

Otra opción a tener en cuenta es tener 2FA en la tarjeta y desconfiar de cualquier correo que te pida la CC, Paypal o cualquier método de pago.

Para el carding físico, la cosa es diferente.

Lo primero que podemos hacer es instalar una aplicación llamada : skimmer scanner, disponible en Google Play.

Lo que hace esta aplicación es buscar bluetooth de un determinado módulo bluetooth usado en skimmers (HC-05) (aunque también común en kits educativos y similares) y si lo detecta, se conecta con la contraseña ‘1234’, envía el caracter P por terminal, y si recive M lo clasifica como skimmer y salta la alerta en la aplicación.

Pero claro, esto no sirve siempre ya que hay miles de skimmers diferentes.

También hay que fijarse en que no haya restos de pegamentos raros, o un agujero enfrente del teclado, que no sobresalga el lector de tarjetas, etc. Básicamente, sentido común y prestar atención.

Para el ataque en el que alguien coge temporalmente tu tarjeta (usado para carding virtual) y graban los datos de la tarjeta con un lector, teléfono o cámara, y memorizan el CVV. La manera más efectiva de protegerse es tapar el CVV con una pequeña cinta y no dar tu tarjeta.

En el artículo anterior no se ha hablado sobre otras técnicas consideradas carding, como robo de cuentas de paypal etc. Ya que el artículo se ha centrado en seguridad sobre tarjetas de crédito. 

Deja un comentario