Alguien robó mi tarjeta de crédito. ¿Qué tan factible es rastrear la dirección IP donde compraron algo en línea y atrapar al ladrón?

Es bastante trivial rastrear a alguien así.

Dicho esto, en general, la aplicación de la ley no está interesada y (en su mayoría) no tiene el conocimiento de dominio para hacer el seguimiento.

No dijiste si robaron tu tarjeta o solo el número de la tarjeta. Asumiré que era solo el número, en lugar de la tarjeta física. Sin embargo, para una compra en línea, por lo general tienen o tienen acceso a la tarjeta física.

Para los robos en línea, esto se debe a que para realizar la transacción, generalmente necesitan el CVN ( Número de verificación de la tarjeta ), que se encuentra en el bloque de firma en la parte posterior de la tarjeta física.

Alternativamente, tenían acceso a una base de datos almacenada de números que se mantuvieron en violación de la PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) como resultado de una compra previa en línea realizada por usted.

Para evitar el problema con el incumplimiento de PCI DSS, siempre debe usar ” números de tarjeta de crédito únicos “; casi todos los proveedores de tarjetas los respaldan, generalmente a través del emisor, en lugar del proveedor de la tarjeta; la versión B de A ( Bank Of America ) se llama ShopSafe, CitiBank llama a su VAN ( Número de cuenta virtual ), y así sucesivamente.

Estos servicios generan alias para su número de tarjeta de crédito, que luego utiliza en lugar del número de tarjeta; El término genérico para esto es un número de pago controlado (y la página a la que va este enlace proporciona mucha información sobre ellos).

Sin embargo, hay momentos en que estos no son utilizables; Casi todos tienen que ver con la verificación en persona mediante tarjeta de crédito, y generalmente son situaciones como:

Reservaciones de hotel
Tickets de avión
Alquiler de autos

… en otras palabras: tienden a estar relacionados con los viajes. Es irónico en extremo, pero en el lugar en que es más probable que desee utilizar el servicio, los proveedores exigen que no lo use.

Asumiendo que el problema era el acceso físico a su tarjeta real, es bastante fácil dar marcha atrás a la transacción que estaba un poco “equivocada”; Por ejemplo, conozco un restaurante en particular en San Francisco donde no usaré una tarjeta de crédito, casi nunca .

Pero, ¿cuál es el proceso de robo y cuál es el proceso de seguimiento de robo?

El proceso de robo

¿Cómo operan los ladrones, en general?

Acceden a los datos de su tarjeta de crédito.
Registran la información (que puede no incluir el CVN)
Tienden a vender las tarjetas a un corredor / cámara de compensación; típicamente, las tarjetas con CVN son más valiosas por un factor de 2X-3X
El corredor realizará un pequeño cargo a través de una PPG ( pasarela de procesamiento de pagos ).
Esto normalmente significa ejecutar un montón de números a través de una compra de una cantidad relativamente pequeña de un proveedor en línea que no requiere un CVN para las compras; esta es una cámara de compensación, y potencialmente ejecutarán miles de tarjetas a través de la puerta de enlace, generalmente utilizando múltiples puertas de enlace para distribuir la carga y no ser sospechosas para la compañía de tarjetas; este es tu cargo de $ 3
Si no se rechaza el cargo: la tarjeta sigue siendo válida y se agrega a la base de datos de “tarjeta válida”, y al ladrón se le paga por el número de la tarjeta; su parte en los eventos ha terminado
Las buenas tarjetas con CVN se pueden vender para ventas en línea; estos son más valiosos, ya que puede utilizar una ” mula remailer “; Si alguien sugiere que puede “¡ Ganar miles, trabajando desde casa! “, es probable que quiera que usted sea una mula de reenvío por fraude con tarjetas de crédito:

Se realiza una compra de boleto grande para la entrega a la mula
La mula vuelve a empaquetar y reenvía el artículo a una dirección, generalmente fuera del país.
La mula se paga al recibir el paquete
Sabes que es fraude o contrabando, o simplemente usarían una empresa de transporte de carga legal, no alguien con un garaje grande
El artículo del boleto grande generalmente se revende (ocasionalmente se devuelve, si no se requiere verificación) para lavar el dinero
En general, las mulas tienen problemas bastante profundos con la policía local, ya que es un negocio de gran volumen, y pueden estar violando las leyes de exportación de artículos prohibidos / contrabando. Generalmente: no drogas, más como enviar hardware criptográfico en Rusia o China en violación de ITAR ( Reglamento Internacional de Tráfico de Armas )

Por lo general, se usan buenas tarjetas sin CVN, junto con espacios en blanco para tarjetas o tarjetas “lavadas” (tarjetas de crédito con todas las características de seguridad intactas, a las que solo se les ha reescrito su banda magnética, ya que el número de tarjeta que aparece en el lector no está verificado por el cajero con el número de tarjeta impreso en el frente)

Son menos valiosos porque tienen que usarse en persona.
El dinero generalmente se lava a través de ” devoluciones de regalos “: compre un “regalo” para “alguien”, obtenga un recibo de regalo
El “alguien” lo devuelve a otra ubicación de la misma cadena de tiendas por dinero en efectivo.

Los números de tarjeta con CVN se venden ocasionalmente a través de ambos canales, a diferentes grupos, y los números de tarjeta generalmente los vende un corredor 3-5 veces, por lo que su tarjeta se cargará en varios lugares en un corto período de tiempo

Ese es el proceso. Ahora a la captura …

El proceso de seguimiento de robos

La mayoría de las compañías de tarjetas no se preocupan por los anillos de fraude, aparte de sacar al corredor y sus compradores intermedios del negocio. ¿Cómo se hace esto con un cargo de tarjeta de $ 3?

El cargo de la tarjeta se realizará a través de una pasarela de procesamiento de pagos, y habrá un cargo, generalmente del 5-6%, al comerciante por el procesamiento del cargo.
Si bien esto generalmente significa solo de $ 0.15 a $ 0.18 centavos por cada $ 3, eso va a sumar, particularmente si el proveedor se conoce bien como un ” portal abierto “, al no requerir un CVN; 1,000 cargos fraudulentos al mes significa que están fuera de $ 180, personalmente
Esto significa que tienden a cooperar con las fuerzas del orden o con las compañías de tarjetas (pero estas son precisamente las personas que no estarán lo suficientemente interesadas como para mirar); PCI DSS significa que el proveedor literalmente no puede cooperar con otras personas, si quiere mantener su PPG: por lo que llamarlas generalmente significará: sin suerte
Sin embargo, a menudo pueden ser de ingeniería social, y también pueden responder a una carta redactada por un abogado (abogado), siempre que tenga la fecha y hora aproximadas de la transacción (esto estará en su estado de cuenta), y los últimos cuatro dígitos del número de tarjeta (PCI DSS requiere que se registre, por transacción)
Algunas compañías purgan esta información intencionalmente (PCI DSS no especifica cuánto tiempo se deben mantener los registros, más allá de un mínimo, solo que se deben mantener), momento en el que debe ir a la PPG, en lugar de al comerciante, pero obtenerlo de algún pequeño comerciante (bastante fácil) en lugar de, por ejemplo, PayPal (bastante cerca requiere una orden judicial), es el camino a seguir si puede
De esto, obtendrá la dirección IP del corredor en el momento:

Esta será una dirección IP estática, en cuyo caso puede ubicarlos físicamente con bastante facilidad, o …
Es una dirección IP dinámica, en cuyo caso tendrá que pasar por el ISP que posee el bloque de direcciones para localizar al agente, o …
Es una dirección de enrutamiento de cebolla Tor o similar, en cuyo caso … buena suerte … o …
Es un punto final VPN, o …
Es una botnet que funciona como un puente de reenvío

La indirecta a través de una IP dinámica de ISP es bastante fácil: obtenga la cooperación del ISP, obtenga el cliente que estaba usando la IP en ese momento
El indirecto a través de Tor es más difícil; la mayoría de las PPG requieren que se envíe la IP de origen junto con la solicitud de transacción, en estos días, y ponen en la lista negra los puntos finales de Tor, lo que significa que no puede usar Tor con una PPG de buena reputación para hacer una transacción
La indirección del punto final VPN es relativamente fácil; sin embargo, como un ISP, es probable que requiera una orden judicial, pero los proveedores de VPN generalmente preferirían entregar la información del cliente, en lugar de cerrarlo. Entonces, al contrario de la opinión pública, mantienen registros.
Si se trata de una botnet, generalmente se acabó el juego … probablemente estés lidiando con la mafia rusa (de quien escuché que no existe), la mafia italiana (que también no existe, según los rumores), una tríada, una pinza o una organización terrorista que busca financiación por medios ilegales; entrar requiere trabajo de Interpol o de una agencia de inteligencia nacional
Y luego, si tienes mucha suerte, obtienes el corredor; que luego intentas voltear; generalmente prefieren voltear que ir a la cárcel; sin embargo…

Las fuerzas del orden público quieren que ellos inviertan a los compradores de tarjetas para que se salgan del atasco.
El corredor quiere voltear a algunas de las personas que les venden tarjetas para comprarse fuera del atasco

Y a partir de ahí, nunca más se supo de él, hasta que anunciaron que se rompió un anillo de fraude con tarjetas de crédito en Oakland, Shreveport o donde sea.

Y ese es el proceso de seguimiento … con la pequeña nota de que es posible que tenga que obtener varias órdenes judiciales en el camino, si indirectamente de una VPN a Tor a otra VPN, el comerciante puede no cooperar o puede que ya haya destruido registros, y el PPG probablemente no va a cooperar sin uno.

Como se puede imaginar, las fuerzas del orden público generalmente no están interesadas en perseguir casos de iceberg como sus $ 3. La cantidad de recursos que tendrían que gastar, solo para obtener a alguien acusado de hurto: no les vale la pena.

Además: gran parte de la policía carece de la experiencia para hacer este tipo de seguimiento de todos modos: por lo tanto, no solo no les importa, sino que probablemente contratarán ayuda externa para hacerlo por ellos.

Los fiscales no van a aceptar los gastos; incluso si es un trabajo sin orden judicial; Si se trata de un trabajo de orden judicial, es probable que tenga entre 3 y 5 órdenes, y potencialmente órdenes de arresto, para llegar al corredor.

Y luego, el corredor va a querer cambiar solo a sus proveedores, no a sus clientes, porque las personas que les robarán 5-10 números de tarjetas de crédito por semana son una moneda de diez centavos por docena, mientras que alguien que comprará 10,000 números a granel a la vez? Son difíciles de encontrar, y el corredor volverá a lo que estaban haciendo eventualmente (o venderá su “negocio” a otra persona, para obtener dinero y “manos limpias”).

¿Factible? Sí.

¿Probable? No.

A menos que usted mismo posea las habilidades necesarias y esté dispuesto a convertirlo en su proyecto favorito, potencialmente durante meses, y potencialmente participar en actividades cuasi legales (Nota: en realidad lo he hecho antes, pero me sentía particularmente enojado en ese momento , y tenía algo de tiempo libre para matar): no va a suceder.

¿Personalmente?

Cancele la tarjeta y obtenga una nueva
Ponga una ” vigilancia de crédito ” en su cuenta; si hace esto, casi sonará el teléfono para verificar cada transacción que realice, pero evitará que ocurran robos
Considere un servicio de protección contra robo de identidad
Considere un buzón de bloqueo (es decir, uno en el que la oficina de correos puede entregar, pero requiere una clave para recuperar el contenido)
Utiliza habitualmente tus cartas; con eso, quiero decir que si tienes varias tarjetas, solo usa la tarjeta A para gas y comida para mascotas, solo usa la tarjeta B para comestibles, solo usa la tarjeta C para restaurantes y ferreterías, etc .; Esto facilita que las redes bayesianas utilizadas para la detección de fraudes en las compañías de tarjetas de crédito lo marquen muy, muy rápidamente.
No compre cosas en línea, o si lo hace, asegúrese de que estén utilizando una puerta de enlace de buena reputación y que conozca a la compañía bastante bien; es decir, si alguien tiene una tienda de Amazon y también tiene su propio sitio web: incluso si cuesta un poco más: compre a través de Amazon

Para terminar, sin embargo …

Me gustaría decir que las tarjetas Chip-and-Pin arreglarán todo. También lo hará Target, después de su importante violación de datos. Pero no lo harán.

Hay al menos 9 ataques (hasta ahora) que se han demostrado contra tarjetas Chip-and-Pin, y lo único que van a hacer es cambiar la responsabilidad de las compañías de tarjetas de crédito y los minoristas (los minoristas generalmente se llevan la mayor parte de las pérdidas ) al consumidor. Por lo tanto, no solo no lo hacen más seguro, sino que también lo hacen más responsable del fraude que antes.

Si tiene un sitio web donde vende cosas y usa un PPG: asegúrese de que sea uno que requiera la dirección IP de donde provino la compra. Si no es así: obtenga una nueva PPG.

Aparte de eso:

Felicidades: ahora tiene un nuevo (al menos) número de 16 dígitos para memorizar, junto con un CVN. Bienvenido al futuro.

¿Cuáles son algunas posibles razones por las que Yelp ha bloqueado mi dirección IP?

¿Por qué el ISP envía paquetes incluso cuando la navegación por Internet no está activada?

¿Qué sucede si uso una máscara de subred de clase A con una dirección IP de clase C?

¿Puede la TI de mi trabajo ver la actividad de mi iPhone a través de wifi, teniendo en cuenta que tienen la IP de mi iPhone?

¿Cuál puede ser una mejor manera de prepararse para el ingeniero informático AAI JE?

¿Cuánta IP se necesita para enviar 10,000 correos electrónicos por día?

Factible, como en “posible”, sin duda. ¿Probable? No.

Una pérdida de tres dólares es suficiente para que su compañía de tarjeta de crédito cancele esa tarjeta y emita una nueva. Eso es todo lo que van a hacer. Las compañías de tarjetas de crédito regularmente sufren pérdidas de millones de dólares y dedican pocos recursos a identificar a los autores a menos que puedan identificar un patrón. Si se identifica un patrón, entonces pueden tratar de hacer que la policía presente un caso. Con la misma frecuencia, las fuerzas del orden nunca lo escuchan.

Por ejemplo, hace unos años vi dos cargos a alibaba.com, por un total de aproximadamente $ 1300, en mi cuenta de American Express. Llamé a AMEX, inmediatamente cancelaron la tarjeta y me enviaron una nueva, y ese fue el final de mi participación. No me pidieron que hiciera un informe policial, ya que todavía tenía la tarjeta física en mi poder.

Las compañías de tarjetas de crédito han aprendido a aceptar esto como un costo de hacer negocios. La pérdida se recupera a través de los cargos cobrados a los comerciantes que aceptan sus tarjetas, y de los pagos de intereses y otras tarifas. El fraude con tarjetas de crédito es un problema importante, pero todavía están ganando dinero (aunque las acciones de AMX están deprimidas en este momento).

Bill Stein

Los 3 dólares son una prueba para ver si ha cancelado la tarjeta. Los ladrones a menudo hacen esto para asegurarse de que la tarjeta sigue siendo válida antes de vender los números o intentar usarla.

Si la persona es inteligente, usó la tarjeta de una manera que hace que sea difícil, si no imposible, rastrearlo. Las compañías de tarjetas y las autoridades lo saben. Como resultado, tanto las autoridades como las compañías de tarjetas de crédito no estarían dispuestas a tomarse el tiempo cuando están peleando una batalla mucho más grande que este ladrón en particular.

Desafortunadamente, es común que se roben las tarjetas de crédito en estos días. Su mejor apuesta es suspirar y seguir adelante. Las compañías de tarjetas de crédito y las autoridades están en una especie de carrera armamentista con los ladrones. Esa es la realidad en la que nos encontramos en este momento.

Manuel López

Probablemente no puedan atrapar al ladrón, per se, debido a que las IP dinámicas son bastante comunes con los ISP (aunque con el tiempo exacto y una orden judicial, el ISP puede divulgar los detalles de quién estaba usando esa dirección IP en ese momento – todavía tomaría una orden, y si viniera de un netcafe, o algo similar, entonces no habría ninguna posibilidad). Si el ‘ladrón’ fuera estúpido y no usara una VPN y / o un proxy doble, entonces podría, pero las posibilidades no lo son.

Pero, puede ser sorprendente lo que las compañías de tarjetas de crédito recogerán … Estaba viajando hace unos años cuando recibí una llamada telefónica en mi teléfono móvil: era la compañía de tarjetas de crédito. Sin mucho preámbulo, declararon: “Sabemos que viajó a Hawái en noviembre y sabemos que se encuentra actualmente en [país xyz]. ¿Utilizó su AMEX en Hong Kong?” Cuando respondí “No”, me dijeron que podía seguir usando la otra tarjeta vinculada pero que habían detectado una transacción potencialmente fraudulenta y que estaban cancelando la tarjeta involucrada. Tenga en cuenta que estaba literalmente en tránsito en ese momento …

Jennifer Ellis

A2A, pero hay demasiadas buenas respuestas para mí como para agregar algo significativo que no sea resumir lo que ya has escuchado:

El cargo de $ 3 era un “cargo de prueba” para ver si la tarjeta realmente funcionaba. Los delincuentes pueden usar estos cargos en “lotes” para encontrar números de tarjetas de trabajo de las listas de números robados.

Luego usarán las tarjetas o revenderán los números como números “conocidos buenos”, suponiendo que la mayoría de las personas no van a atrapar el cargo de $ 3 a tiempo para hacer algo al respecto. Un delincuente puede procesar dos o tres cargos válidos antes de que se desactive la tarjeta.

Pero las compañías de tarjetas de crédito se están volviendo más inteligentes en su reconocimiento de patrones, y si algo no se ajusta a su patrón normal de gasto, rechazarán el cargo y se comunicarán con usted.

Esto me pasó anualmente. Voy de vacaciones a Florida con mi familia. Cada vez que entro en Walmart para comprar refrigerios y artículos diversos, mi tarjeta de crédito se rechaza en la caja registradora, y tanto mi esposa como mis teléfonos comienzan a zumbar con mensajes de texto y a sonar con llamadas. La aplicación del banco también registra las notificaciones.

Ahora, puedo notificar al banco por adelantado que voy a estar de vacaciones. Menos posibilidades de que mis cargos válidos sean rechazados cuando esté allí.

Acantilado Gilley

No hace mucho, mi SIL fue engañado en una estafa de adopción de cachorros por alrededor de $ 3000. Teníamos un nombre, un número de teléfono y una cuenta bancaria y llamamos a la santidad del FBI por fraude. Después de darle a la persona desinteresada los detalles, nos dieron las gracias. Les pregunté qué tan pronto sabríamos cualquier información. Nos informaron que solo se registraría para uso futuro si el tipo se convirtiera en un problema. Afirmaron además que cualquier valor por debajo de 10k no se investiga realmente.

El único lado positivo, mientras buscábamos en el sitio del FBI para registrar la queja, había una escritura en negrita roja brillante en la parte superior que decía “si siente que su vida está en peligro, llame a la policía al 911”. Tan malo como perder 3000 fue, supongo que siempre podría ser peor.

Tai Fu

La mayoría de las personas que roban 3 dólares no son lo suficientemente inteligentes como para usar una VPN o no dejar un rastro de papel cuando usan un punto de acceso público.

Entonces, sí, la policía podría pedirle al minorista la dirección IP, luego citar al ISP que posee la dirección IP para obtener información sobre quién estaba usando esa IP en ese momento. Si se tratara de un punto de acceso público, podrían solicitar a la empresa que mantiene esa red (Boingo, por ejemplo) la dirección de correo electrónico utilizada para iniciar sesión y la dirección MAC del dispositivo que utilizó su red. Luego podrían pedirle a otros ISP, operadores de telefonía celular y proveedores de puntos de acceso importantes que vigilen ese MAC. Cuando nuestro Gustava inicie sesión, podrían enviar un equipo SWAT para derribarlo.

El problema es que todo lo anterior le costará a la policía decenas de miles (si no cientos de miles) de dólares. Por lo tanto, el resultado más probable es que te reirían de la estación de policía si incluso intentaras presentar un informe policial.

A menos que esté en el negocio de presentar informes de tarjetas perdidas y que se reviertan los cargos, lo más probable es que su banco ni siquiera lo interrogue cuando informe el cargo fraudulento; instantáneamente revertirían la carga.

Tai Fu

En primer lugar, cancele sus tarjetas de inmediato si aún no lo ha hecho.

Además, usted no es responsable de los cargos fraudulentos. Disputarlos de inmediato, independientemente de la cantidad. Incluso si no se hace nada a los ladrones, al menos no pierdes dinero por esto.

Las compañías de tarjetas de crédito son responsables de los cargos fraudulentos y de protegerlo de esos fraudes. Es una de las razones por las cuales usar una tarjeta de crédito es una mejor idea que usar cheques / giro postal, ya que puede devolver el cargo si alguien roba la información de su cuenta.

Además, si los ladrones roban a sabiendas la información de la tarjeta de crédito, se supone que encontrarán formas de enmascarar su dirección IP.

Liam Carolan

Cero. La policía tomará un informe y no investigará. La compañía de la tarjeta de crédito cancelará los $ 3 y no investigará.

Si gastaras tu propio dinero para investigar y encontrar y probar a la persona que lo hizo, a la policía y a la compañía de tarjetas de crédito todavía no les importaría.

Es posible, pero un robo de $ 3 no se procesa sin algunas circunstancias atenuantes.

Terry Lambert

Hace unos años recibí una llamada de una de mis compañías de tarjetas de crédito por sospecha de uso fraudulento.

Cuatro cargos habían sido hechos ese mismo día. La persona que llamó mencionó cada cargo y me preguntó si los había hecho:

1- cobrar en un hotel en Bronx por $ 3

2 – cobrar en Bronx Burgers por $ 18.nn

3 – cobrar en un supermercado en Bronx por $ 83.nn

4 – carga en una tienda de tatuajes en Dallas

Los primeros tres no eran legítimos; El cuarto cargo fue hecho por mí.

Las compañías de tarjetas de crédito buscan patrones y ubicaciones. Como otros han mencionado, la “carga pequeña” inicial se usa como prueba para ver si la tarjeta aún funciona.

A la pregunta original, diría que las posibilidades de atrapar al estafador mediante el uso de la dirección IP son cero, incluso si no usaran una VPN.

Si el cargo se realizó en el punto de venta, ya sabe dónde se realizó. Tener la dirección IP no agregaría ningún valor.

Tai Fu

Si fuera mi caso, y hubieran comprado algo en una tienda de ladrillo y mortero, trataría de obtener un video de vigilancia. Como se trataba de una compra en línea, es muy poco probable que haya alguna forma de atraparlos. Haría un breve informe para que le dé a su compañía de tarjeta de crédito para revertir los cargos, y eso sería todo. La víctima aquí es en realidad su compañía de tarjeta de crédito, no usted. Te reembolsarán y se harán cargo del costo. Están mejor equipados para investigar este tipo de cosas que yo, y no están pidiendo mi ayuda. Si preguntaran, entonces ofrecería lo que pudiera ofrecer para ayudar a atrapar al malo.

Esa cosa de tres dólares probablemente fue solo una prueba de funcionamiento. La mayoría de las personas no lo atraparían, y demuestra que la tarjeta es buena cuando la venden en un lote entero de números a algún equipo del crimen organizado.

Bill Stein

El banco emisor de su tarjeta de crédito hará esto por usted y eliminará su responsabilidad por el cargo. Son mucho mejores en eso que tú … déjalos hacer el trabajo.

-LFC

Bill Stein

More Interesting

Cómo obtener una dirección IP de un nombre de usuario de Skype

¿Cómo se usan las IP en la piratería?

Cómo identificar el esquema de direccionamiento IPv4 apropiado utilizando VLSM y resumen para satisfacer los requisitos de direccionamiento en un entorno LAN / WAN

Cuando me conecto a una red privada virtual, ¿cambiará mi dirección IP?

¿Cómo se generan las direcciones IP?

Cómo configurar correctamente una dirección IP estática local con una PC conectada a un enrutador secundario

¿Cómo rastrea Google las direcciones IP?

Alguien intentó iniciar sesión en mi Steam y veo su IP. ¿Sería legal hacer DDoS?

Dado el tiempo que dura la ley de Moore, ¿cuándo se va a agotar el conjunto de direcciones IPv6?