Carding: conocé cómo roban las tarjetas de crédito

 ADVERTENCIA: Esta nota es de  índole informativa y tiene por objetivo que conozcas vulnerabilidades cotidianas en la temática. La utilización de esta información con fines delictivos es exclusiva responsabilidad de quienes cometan esos delitos.

En mi caso muy particular; tengo un celular nokia 1100; una netbook en la que corre un Dragora (GNU/Linux libre realizado por un santiagueño y respaldado por la FSF) y no tengo tarjetas de ningún tipo. Vivo en los márgenes del sistema; porque sé que el sistema no tiene seguridad.

 Hoy voy a hablarles del Carding, esto es la técnica para robar tarjetas de crédito. Como  no es mi intención instruir de cómo hacer este acto ilegal si no dar información sobre él; me guardaré cierta información crítica y daré las líneas más generales.[pullquote]Para aquellas faltas de materia gris y aprendices de cuervos advierto que mucho menos me responsabilizo del mal uso de esta información[/pullquote].

Como ya les dije el CARDING es el uso ilegitimo de las tarjetas de crédito, o de sus números, pertenecientes a otras personas. Se relaciona con las malas prácticas del hacking. Para conseguir números de tarjetas de créditos, una de las formas es utilizando Ingeniería Social (ya hablamos de esto en notas anteriores) y sobre todo nuestra inteligencia (esto es lo mas importante).

Como ya dije, estamos hablando de un acto ilegal y poco ético. Con nuestras tarjetas de crédito debemos ser muy cuidadosas y administrar nuestras medidas de seguridad; teniendo en cuenta desde la Ingeniera Social hasta la empleada desleal, ya que cualquiera puede contar con todo lo necesario para de estafarnos.

Entiendan que ante una estafa tal vez recuperen el dinero pero para eso deberían iniciar una larga odisea que va desde hablar con la administradora del sitio donde se realizó el pago del articulo, solicitando que le informe la IP de donde se hizo la compra para lograr una identificación real de la terminal de acceso(la más de las veces en locutorios-fin de la búsqueda) y luego de todo esto tenemos que demostrar que nosotras no hicimos la compra del mismo,para evitar el cargo y conseguir el reembolso.

El carding consiste en comprar usando la cuenta bancaria o la tarjeta crédito de otra, esto se consigue con un poco de ingeniería social y mucha perseverancia; con una correcta vigilancia de la «víctima».

Generalmente personas insignificantes nos vigilan con mayor éxito que una notoria investigadora; un amigo una vez me contó que hubo un tiempo que se hicieron pequeñas compras con su tarjeta y no sabía como. Un día se le ocurrió realizar la compra diaria de combustible con una tarjeta que no usaba y se realizó una pequeña compra con esa otra tarjeta. Con un poco más de investigación y cazó al playero desleal; pero este ya lo había desangrado en $5000. Así de sencillo es el carding.

Cuando alguna persona utiliza carding para comprar objetos materiales se suele utilizar una dirección falsa con una identificación también falsa, es decir todo el formulario de compra lo llena con datos falsos.

De esta manera la compradora quedará esperando en el lugar indicado la entrega del material como si se tratara de su residencia.

La filosofía de las carders (aquellas crackers que se dedican a birlarnos nuestros excedentes sin avisarnos) se basa en que existe mucha gente que tiene grandes cantidades de dinero y no sabe que hacer con él; que no esta nada mal utilizar algo de ese dinero para comprar algunas comodidades con ese «préstamo involuntario» , ya que posiblemente la dueña de la tarjeta ni se de cuenta de que no hizo esta compra. Una bifurcación del exceso de consumo.

Si ustedes están pensando en comprar por Internet programas o suscripciones y piensan que utilizando el carding será muy fácil … pues tienen toda la razón resulta muy sencillo; vamos a revisar los métodos que utilizan las carders para hacerse de los números de tarjetas y burlar las seguridades para poder comprar sin ningún tipo de problemas. Y de esa manera sabremos como protegernos.

Tienen que saber que el robo de una tarjeta de crédito es un delito universal por lo que puede tener causas penales muy graves; y aunque a las carders parece no importarles, si no quieren irse de paseo a la cárcel no intenten nada de esto; solo úsenlo para diseñar su propia seguridad.

Generalmente el dato falso de la dirección es la de un drop (soltar) o sea una cómplice que recibe la mercadería, la suelta y cuando la policía llega niega todo. La policía irá a buscar,  corrobora la IP al no coincidir abandona la carne podrida y se retira. Aún cuando la cartera diga que ella lo recibió, esta lo negará y no pasará de ahí.

Es importante entender la estructura de las tarjetas de crédito; están están formadas por 16 dígitos divididos en 4 grupos de 4 dígitos.

El primer número de 4 dígitos definirá el banco al que pertenece el plástico.
Una de las formas más difundidas de creación de un número de tarjeta en el ambiente carder es tomar un número de tarjeta.

Ejemplo: 5176 3423 8657 9887. He resaltado los números que ocupan ubicaciones impares, ahora jugaremos un poco con estos números.

5*7=35=3+5=8
3*2=6
8*5=40=4+0=4
9*8=72=7+2

Esta sencilla cuenta nos dejará con los siguientes números: 8-6-4-2

Ahora tomamos los pares y hacemos la siguiente suma: +6+4+2+1+6+4+3+6+7+8+7=62

Esta cuenta debe darnos un múltiplo de 10, por lo que jugamos con el último dígito un poquito reemplazándolo en este caso por un 5 eso nos dará 60 y será un número válido.

Esto es un juego al azar que daría al caco digital el número 5176 3423 8657 9885.

Otra muy común el mail corrigiendo un error del banco.

Los datos necesarios son:

• Nombre.
• Numero de Cuenta.
• Fecha de Expiración.
• Tipo de tarjeta.
• Numero de verificación

Estos datos, si nos basamos en la creación de números al azar, también terminan siendo azarosos; si nos basamos en las técnicas de ingeniería social son muy fáciles de conseguir y generalmente son cedidos por los propios usuarios.

Tal vez lo más complicado sea el tipo de tarjeta; para esto nos fijamos en el primer dígito; esto hasta hace un tiempo atrás era así (ya les advertí que manejaría los datos críticos a mi antojo):

3 ->American Express (15 dígitos)
4 ->VISA (13 o 16 dígitos)
5 ->Mastercard (16 dígitos)
6 ->Discover (16 dígitos)

Teniendo definidos esos datos ya la carder puede comprar algo online.

Generalmente la primera prueba es comprar pornografía para ver que la tarjeta funcione. Si la compra es por un monto elevado se le pedirán mayores datos, todo depende de la paciencia y de la Ingeniería Social montada. Cuantos más datos ponga en las redes sociales más datos dará a su Carder amiga.

Si alguien te llama por teléfono y te dice:
«Buenos Días, soy Jorge Ramirez de la sección fraudes de VISA Card, hemos detectado un posible uso fraudulento de su plástico o tarjeta, por lo que necesitamos efectuar una comprobación de rutina…»; y nos empiezan a pedir todos los datos desde nuestro nombre a la fecha de cumpleaños. Por favor: ¡NO SE LOS DEN!

Pero suponiendo que picamos como mojarrita de Rio Tercero y les cedimos nuestros preciosos datos. La carder llamará a nuestro banco y haciéndose pasar por nosotras hará verificar la tarjeta; le pedirán los datos para verificar que somos nosotras y ella solo le leerá de su anotador los datos que tan gentilmente les dimos (sí estoy pensando eso que se imaginan).

La carder entonces, por una simple comprobación, sabrá si nuestra tarjeta es una extensión o la principal, si es de uso nacional o internacional y cuál es el cupo, etc…

La carder es extremadamente cuidadosa; no anda levantando sus plumas con sus éxitos, no gasta de más; puede usarnos la tarjeta toda su vida útil haciendo gastos pequeños y generalmente va rotando de lugares donde compra, donde accede a la web y donde recibe la mercadería.

Bueno creo que por hoy ya he comentado suficiente y ahora estarán viendo como no dejar sus datos desperdigados por ahí. En notas futuras contaremos otras técnicas.