Les compres en línia cada cop són més habituals. La vida frenètica que portem ha fet que molts ens rendim davant la comoditat de comprar des de casa i rebre la compra a casa en pocs dies o fins i tot hores. Cosa que fa pocs anys generava rebuig o fins i tot por s’ha convertit en el dia a dia de moltes persones i empreses. I, com no podia ser d’una altra manera, els ciberdelinqüents també hi són per aprofitar-se’n.

La possibilitat que ens robin les nostres dades bancàries ens afecta principalment com a clients d’altres comerços electrònics, però el fet que sigui el nostre negoci el pont per a un frau també ens hauria de preocupar. A més de poder significar la pèrdua d’un producte i, per tant, de la quantia econòmica que això impliqui, una estafa a través del nostre web pot comportar un gran impacte pel que fa a la reputació de la nostra empresa.

De vegades, els ciberdelinqüents utilitzen dades de targetes robades per fer compres no legítimes. Per provar que aquestes dades robades són vàlides, fan petites compres en comerços electrònics fins que troben les que funcionen. Aquesta tècnica s’anomena carding o estafa de les targetes bancàries i en aquest article de bloc aprendrem què és i com evitar-ho.

Com funciona el carding?

En primer lloc, el ciberdelinqüent obté un llistat de targetes de crèdit rodades (més endavant veurem com ho fan). Per provar que les dades robades són veritables, el ciberdelinqüent es fa ajudar per bots que fan petites compres en comerços electrònics de forma repetida fins a trobar targetes vàlides. Aquest tipus de transaccions, en tractar-se de quantitats petites, solen passar desapercebudes per al titular de la targeta fins que es comet una compra més gran, que sol ser l’objectiu del frau.

Quan els carders (així se sol anomenar els ciberdelinqüents que fan aquest tipus d’atac) troben dades vàlides, les organitzen en llistes a part per vendre-les posteriorment o fer compres fraudulentes, com hem dit, de gran valor.

Però, com aconsegueixen les dades de les targetes els ciberdelinqüents?

Una forma molt comuna d’obtenir aquests llistats de targetes de crèdit és a través del web fosc, una part “invisible” d’Internet a la qual no es pot accedir a través dels navegadors normals i en què es fan diferents actes delictius, com la compra i venda de béns i serveis il·legals, entre ells els números de targetes de crèdit.

Els ciberdelinqüents també fan servir algunes tècniques, que ja coneixem, per robar les nostres targetes de crèdit. Per exemple, mitjançant un keylogger o enregistrador de teclat poden registrar les pulsacions del nostre teclat i recopilar la informació de les nostres targetes de crèdit. I, per descomptat, a través de la pesca, aconsegueixen enganyar les seves víctimes perquè els proporcionin aquestes dades. Una altra tècnica de robatori de targetes és l’ús d’un skimmer, un petit dispositiu que s’instal·la als lectors de targetes bancàries i que roba la informació quan el fem servir.

Què podem fer per prevenir que es faci aquesta activitat al nostre negoci en línia?

Hi ha diverses maneres de prevenir aquests atacs, i com més barreres de protecció posem, més segur serà el nostre negoci.

Alguna vegada t’has trobat amb un requadre de «No sóc un robot» o «Seleccioneu els passos de vianants»? Doncs bé, es tracta d’un CAPTCHA (les sigles de Completely Automated Public Turing test to tell Computers and Humans Apart) i, si mai havies qüestionat la seva utilitat, ara saps per què es fan servir. Generalment, els bots que utilitzen els carders no són capaços de passar aquesta barrera de protecció, i així s’evita que facin les seves proves al nostre comerç electrònic.

A més, és important disposar d’una passarel·la segura de pagament, perquè afegeix una capa extra de protecció que implica l’autenticació per part del client per prevenir el frau i fer la compra més segura.

També es poden detectar comportaments sospitosos a les compres que poden indicar que s’està duent a terme el carding. Per exemple, si un client fa diverses compres en pocs minuts o segons o si l’adreça de facturació i la de la IP des de la qual s’està fent la compra no coincideixen.

Preocupar-nos de la seguretat de la nostra empresa és un instint primari, però no hem d’oblidar que el nostre comerç en línia també ha de ser segur i fiable per als nostres clients, que són essencials per a l’èxit de la nostra organització.