Es bastante trivial rastrear a alguien así.
Dicho esto, en general, la aplicación de la ley no está interesada y (en su mayoría) no tiene el conocimiento de dominio para hacer el seguimiento.
No dijiste si robaron tu tarjeta o solo el número de la tarjeta. Asumiré que era solo el número, en lugar de la tarjeta física. Sin embargo, para una compra en línea, por lo general tienen o tienen acceso a la tarjeta física.
- ¿Es esta una dirección de host válida? 120.0.255.255
- ¿Cuál es la diferencia entre la dirección lógica, virtual y física y cuál es la mayor y la más baja de estas?
- ¿El espacio público de direcciones IP está dividido por país?
- ¿Cuáles son las principales ventajas de IPv6 sobre IPv4?
- ¿Cómo controlar una computadora con una dirección MAC? Además, ¿cómo evito que me suceda?
Para los robos en línea, esto se debe a que para realizar la transacción, generalmente necesitan el CVN ( Número de verificación de la tarjeta ), que se encuentra en el bloque de firma en la parte posterior de la tarjeta física.
Alternativamente, tenían acceso a una base de datos almacenada de números que se mantuvieron en violación de la PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) como resultado de una compra previa en línea realizada por usted.
Para evitar el problema con el incumplimiento de PCI DSS, siempre debe usar ” números de tarjeta de crédito únicos “; casi todos los proveedores de tarjetas los respaldan, generalmente a través del emisor, en lugar del proveedor de la tarjeta; la versión B de A ( Bank Of America ) se llama ShopSafe, CitiBank llama a su VAN ( Número de cuenta virtual ), y así sucesivamente.
Estos servicios generan alias para su número de tarjeta de crédito, que luego utiliza en lugar del número de tarjeta; El término genérico para esto es un número de pago controlado (y la página a la que va este enlace proporciona mucha información sobre ellos).
Sin embargo, hay momentos en que estos no son utilizables; Casi todos tienen que ver con la verificación en persona mediante tarjeta de crédito, y generalmente son situaciones como:
- Reservaciones de hotel
- Tickets de avión
- Alquiler de autos
… en otras palabras: tienden a estar relacionados con los viajes. Es irónico en extremo, pero en el lugar en que es más probable que desee utilizar el servicio, los proveedores exigen que no lo use.
Asumiendo que el problema era el acceso físico a su tarjeta real, es bastante fácil dar marcha atrás a la transacción que estaba un poco “equivocada”; Por ejemplo, conozco un restaurante en particular en San Francisco donde no usaré una tarjeta de crédito, casi nunca .
Pero, ¿cuál es el proceso de robo y cuál es el proceso de seguimiento de robo?
El proceso de robo
¿Cómo operan los ladrones, en general?
- Acceden a los datos de su tarjeta de crédito.
- Registran la información (que puede no incluir el CVN)
- Tienden a vender las tarjetas a un corredor / cámara de compensación; típicamente, las tarjetas con CVN son más valiosas por un factor de 2X-3X
- El corredor realizará un pequeño cargo a través de una PPG ( pasarela de procesamiento de pagos ).
Esto normalmente significa ejecutar un montón de números a través de una compra de una cantidad relativamente pequeña de un proveedor en línea que no requiere un CVN para las compras; esta es una cámara de compensación, y potencialmente ejecutarán miles de tarjetas a través de la puerta de enlace, generalmente utilizando múltiples puertas de enlace para distribuir la carga y no ser sospechosas para la compañía de tarjetas; este es tu cargo de $ 3
- Si no se rechaza el cargo: la tarjeta sigue siendo válida y se agrega a la base de datos de “tarjeta válida”, y al ladrón se le paga por el número de la tarjeta; su parte en los eventos ha terminado
- Las buenas tarjetas con CVN se pueden vender para ventas en línea; estos son más valiosos, ya que puede utilizar una ” mula remailer “; Si alguien sugiere que puede “¡ Ganar miles, trabajando desde casa! “, es probable que quiera que usted sea una mula de reenvío por fraude con tarjetas de crédito:
- Se realiza una compra de boleto grande para la entrega a la mula
- La mula vuelve a empaquetar y reenvía el artículo a una dirección, generalmente fuera del país.
- La mula se paga al recibir el paquete
- Sabes que es fraude o contrabando, o simplemente usarían una empresa de transporte de carga legal, no alguien con un garaje grande
- El artículo del boleto grande generalmente se revende (ocasionalmente se devuelve, si no se requiere verificación) para lavar el dinero
- En general, las mulas tienen problemas bastante profundos con la policía local, ya que es un negocio de gran volumen, y pueden estar violando las leyes de exportación de artículos prohibidos / contrabando. Generalmente: no drogas, más como enviar hardware criptográfico en Rusia o China en violación de ITAR ( Reglamento Internacional de Tráfico de Armas )
- Por lo general, se usan buenas tarjetas sin CVN, junto con espacios en blanco para tarjetas o tarjetas “lavadas” (tarjetas de crédito con todas las características de seguridad intactas, a las que solo se les ha reescrito su banda magnética, ya que el número de tarjeta que aparece en el lector no está verificado por el cajero con el número de tarjeta impreso en el frente)
- Son menos valiosos porque tienen que usarse en persona.
- El dinero generalmente se lava a través de ” devoluciones de regalos “: compre un “regalo” para “alguien”, obtenga un recibo de regalo
- El “alguien” lo devuelve a otra ubicación de la misma cadena de tiendas por dinero en efectivo.
- Los números de tarjeta con CVN se venden ocasionalmente a través de ambos canales, a diferentes grupos, y los números de tarjeta generalmente los vende un corredor 3-5 veces, por lo que su tarjeta se cargará en varios lugares en un corto período de tiempo
Ese es el proceso. Ahora a la captura …
El proceso de seguimiento de robos
La mayoría de las compañías de tarjetas no se preocupan por los anillos de fraude, aparte de sacar al corredor y sus compradores intermedios del negocio. ¿Cómo se hace esto con un cargo de tarjeta de $ 3?
- El cargo de la tarjeta se realizará a través de una pasarela de procesamiento de pagos, y habrá un cargo, generalmente del 5-6%, al comerciante por el procesamiento del cargo.
- Si bien esto generalmente significa solo de $ 0.15 a $ 0.18 centavos por cada $ 3, eso va a sumar, particularmente si el proveedor se conoce bien como un ” portal abierto “, al no requerir un CVN; 1,000 cargos fraudulentos al mes significa que están fuera de $ 180, personalmente
- Esto significa que tienden a cooperar con las fuerzas del orden o con las compañías de tarjetas (pero estas son precisamente las personas que no estarán lo suficientemente interesadas como para mirar); PCI DSS significa que el proveedor literalmente no puede cooperar con otras personas, si quiere mantener su PPG: por lo que llamarlas generalmente significará: sin suerte
- Sin embargo, a menudo pueden ser de ingeniería social, y también pueden responder a una carta redactada por un abogado (abogado), siempre que tenga la fecha y hora aproximadas de la transacción (esto estará en su estado de cuenta), y los últimos cuatro dígitos del número de tarjeta (PCI DSS requiere que se registre, por transacción)
- Algunas compañías purgan esta información intencionalmente (PCI DSS no especifica cuánto tiempo se deben mantener los registros, más allá de un mínimo, solo que se deben mantener), momento en el que debe ir a la PPG, en lugar de al comerciante, pero obtenerlo de algún pequeño comerciante (bastante fácil) en lugar de, por ejemplo, PayPal (bastante cerca requiere una orden judicial), es el camino a seguir si puede
- De esto, obtendrá la dirección IP del corredor en el momento:
- Esta será una dirección IP estática, en cuyo caso puede ubicarlos físicamente con bastante facilidad, o …
- Es una dirección IP dinámica, en cuyo caso tendrá que pasar por el ISP que posee el bloque de direcciones para localizar al agente, o …
- Es una dirección de enrutamiento de cebolla Tor o similar, en cuyo caso … buena suerte … o …
- Es un punto final VPN, o …
- Es una botnet que funciona como un puente de reenvío
- La indirecta a través de una IP dinámica de ISP es bastante fácil: obtenga la cooperación del ISP, obtenga el cliente que estaba usando la IP en ese momento
- El indirecto a través de Tor es más difícil; la mayoría de las PPG requieren que se envíe la IP de origen junto con la solicitud de transacción, en estos días, y ponen en la lista negra los puntos finales de Tor, lo que significa que no puede usar Tor con una PPG de buena reputación para hacer una transacción
- La indirección del punto final VPN es relativamente fácil; sin embargo, como un ISP, es probable que requiera una orden judicial, pero los proveedores de VPN generalmente preferirían entregar la información del cliente, en lugar de cerrarlo. Entonces, al contrario de la opinión pública, mantienen registros.
- Si se trata de una botnet, generalmente se acabó el juego … probablemente estés lidiando con la mafia rusa (de quien escuché que no existe), la mafia italiana (que también no existe, según los rumores), una tríada, una pinza o una organización terrorista que busca financiación por medios ilegales; entrar requiere trabajo de Interpol o de una agencia de inteligencia nacional
- Y luego, si tienes mucha suerte, obtienes el corredor; que luego intentas voltear; generalmente prefieren voltear que ir a la cárcel; sin embargo…
- Las fuerzas del orden público quieren que ellos inviertan a los compradores de tarjetas para que se salgan del atasco.
- El corredor quiere voltear a algunas de las personas que les venden tarjetas para comprarse fuera del atasco
- Y a partir de ahí, nunca más se supo de él, hasta que anunciaron que se rompió un anillo de fraude con tarjetas de crédito en Oakland, Shreveport o donde sea.
Y ese es el proceso de seguimiento … con la pequeña nota de que es posible que tenga que obtener varias órdenes judiciales en el camino, si indirectamente de una VPN a Tor a otra VPN, el comerciante puede no cooperar o puede que ya haya destruido registros, y el PPG probablemente no va a cooperar sin uno.
Como se puede imaginar, las fuerzas del orden público generalmente no están interesadas en perseguir casos de iceberg como sus $ 3. La cantidad de recursos que tendrían que gastar, solo para obtener a alguien acusado de hurto: no les vale la pena.
Además: gran parte de la policía carece de la experiencia para hacer este tipo de seguimiento de todos modos: por lo tanto, no solo no les importa, sino que probablemente contratarán ayuda externa para hacerlo por ellos.
Los fiscales no van a aceptar los gastos; incluso si es un trabajo sin orden judicial; Si se trata de un trabajo de orden judicial, es probable que tenga entre 3 y 5 órdenes, y potencialmente órdenes de arresto, para llegar al corredor.
Y luego, el corredor va a querer cambiar solo a sus proveedores, no a sus clientes, porque las personas que les robarán 5-10 números de tarjetas de crédito por semana son una moneda de diez centavos por docena, mientras que alguien que comprará 10,000 números a granel a la vez? Son difíciles de encontrar, y el corredor volverá a lo que estaban haciendo eventualmente (o venderá su “negocio” a otra persona, para obtener dinero y “manos limpias”).
¿Factible? Sí.
¿Probable? No.
A menos que usted mismo posea las habilidades necesarias y esté dispuesto a convertirlo en su proyecto favorito, potencialmente durante meses, y potencialmente participar en actividades cuasi legales (Nota: en realidad lo he hecho antes, pero me sentía particularmente enojado en ese momento , y tenía algo de tiempo libre para matar): no va a suceder.
¿Personalmente?
- Cancele la tarjeta y obtenga una nueva
- Ponga una ” vigilancia de crédito ” en su cuenta; si hace esto, casi sonará el teléfono para verificar cada transacción que realice, pero evitará que ocurran robos
- Considere un servicio de protección contra robo de identidad
- Considere un buzón de bloqueo (es decir, uno en el que la oficina de correos puede entregar, pero requiere una clave para recuperar el contenido)
- Utiliza habitualmente tus cartas; con eso, quiero decir que si tienes varias tarjetas, solo usa la tarjeta A para gas y comida para mascotas, solo usa la tarjeta B para comestibles, solo usa la tarjeta C para restaurantes y ferreterías, etc .; Esto facilita que las redes bayesianas utilizadas para la detección de fraudes en las compañías de tarjetas de crédito lo marquen muy, muy rápidamente.
- No compre cosas en línea, o si lo hace, asegúrese de que estén utilizando una puerta de enlace de buena reputación y que conozca a la compañía bastante bien; es decir, si alguien tiene una tienda de Amazon y también tiene su propio sitio web: incluso si cuesta un poco más: compre a través de Amazon
Para terminar, sin embargo …
Me gustaría decir que las tarjetas Chip-and-Pin arreglarán todo. También lo hará Target, después de su importante violación de datos. Pero no lo harán.
Hay al menos 9 ataques (hasta ahora) que se han demostrado contra tarjetas Chip-and-Pin, y lo único que van a hacer es cambiar la responsabilidad de las compañías de tarjetas de crédito y los minoristas (los minoristas generalmente se llevan la mayor parte de las pérdidas ) al consumidor. Por lo tanto, no solo no lo hacen más seguro, sino que también lo hacen más responsable del fraude que antes.
Si tiene un sitio web donde vende cosas y usa un PPG: asegúrese de que sea uno que requiera la dirección IP de donde provino la compra. Si no es así: obtenga una nueva PPG.
Aparte de eso:
Felicidades: ahora tiene un nuevo (al menos) número de 16 dígitos para memorizar, junto con un CVN. Bienvenido al futuro.