Jak podaje Narodowy Bank Polski, w III kwartale 2024 roku na krajowym rynku przeprowadzono 2,8 mld transakcji z wykorzystaniem kart płatniczych. Ich łączna wartość wyniosła 336,2 mld zł. Udział transakcji bezgotówkowych to aż 95,5%. Konsumenci płacili kartami płatniczymi w internecie blisko 80 milionów razy, wydając 13 mld zł. Powszechność kart płatniczych poprawia wygodę konsumentów, pozwala firmom sprzedawać więcej i szybciej, ale też stwarza pewne zagrożenia. Jednym z nich jest carding.

Carding to przestępstwo polegające na wykorzystaniu kradzionych kart kredytowych lub płatniczych do nieautoryzowanych zakupów online. Przestępcy (tzw. carderzy) nielegalnie pozyskują dane kart, a następnie testują je masowo w internecie, w celu sprawdzenia, czy są aktywne i umożliwiają realizację płatności. Takie działanie to właśnie atak cardingowy. Zwykle odbywa się on w zautomatyzowany i masowy sposób. Na tym etapie przestępcy wykonują drobne transakcje, które nie przyciągają uwagi i łatwo je przeoczyć.

Na atak cardingowy w sklepie internetowym może wskazywać nagły wzrost zamówień, szczególnie na jeden adres, a także wyraźnie fałszywe dane osoby zamawiającej.

Carderzy używają zweryfikowanych w ten sposób danych kart płatniczych do transakcji na większe kwoty, które mają już przynieść im docelowe zyski. Przestępcy kupują przede wszystkim karty podarunkowe i doładowania kart prepaid, za które następnie nabywają rzeczy o dużej wartości, np. sprzęt RTV (nie wymaga on bowiem rejestracji i można go łatwo odsprzedać). Zdobyte dane kart płatniczych mogą też zostać sprzedane innym cyberprzestępcom. Na uwagę zasługuje też zjawisko skanowania kart płatniczych różnymi urządzeniami, np. flipper zero lub podobnym. Wystarczy, że przestępca stanie w pobliżu kogoś, kto płaci kartą (np. w sklepie lub za bilet w autobusie).

W darknecie można znaleźć strony, które nie tylko informują, jak działa carding, ale też udzielają pomocy w jego przeprowadzeniu.

Sklepy internetowe przetwarzają duże ilości transakcji online, co czyni je atrakcyjnymi celami dla cyberprzestępców. Hakerzy pozyskują dane kart płatniczych, wykorzystując luki w zabezpieczeniach systemów płatniczych i baz danych. Służy do tego m.in. złośliwy kod JavaScript umieszczany na stronach sklepów lub złośliwe oprogramowanie wykorzystujące znane podatności. Na takie ataki są narażone szczególnie te sklepy, które nie dbają o regularną aktualizację oprogramowania.

Przestarzałe systemy, słabe procedury autoryzacji czy brak monitoringu transakcji ułatwiają oszustom realizację nieautoryzowanych zakupów. Dopuszczenie do takich transakcji wiąże się z ryzykiem finansowym – środki pozyskane w wyniku transakcji trzeba będzie zwrócić, natomiast szanse na odzyskanie towaru są niewielkie.

Carding dotyczy głównie użytkowników indywidualnych, ale może zdarzyć się również sytuacja, w której przestępcy wykradają numery kart służbowych. Firmy także korzystają z kart płatniczych np. do realizacji różnego rodzaju wydatków, zakupu narzędzi online czy opłacania subskrypcji. Takie karty stanowią atrakcyjny cel dla cyberprzestępców, ponieważ zwykle mają wyższe limity transakcji i są rzadziej monitorowane niż prywatne, a więc carding, w przypadku takich kart, może przynieść większe zyski.

Dane kart firmowych mogą wyciekać na wiele sposobów. Jedną z najpopularniejszych metod na ich przechwytywanie jest phishing, w wyniku którego pracownicy nieświadomie podają dane logowania na fałszywych stronach. Przestępcy mogą również wykorzystywać złośliwe oprogramowanie, ataki typu Man-in-the-Middle na publicznych sieciach Wi-Fi, skimming (czyli nielegalne kopiowanie danych karty płatniczej z paska magnetycznego), a nawet zwykłą kradzież.

W przypadku dużych transakcji firma może mieć problem z szybkim odzyskaniem pieniędzy, zwłaszcza jeśli nie wdrożyła odpowiednich zabezpieczeń. Ponadto, taki incydent może odbić się negatywnie na działalności ze względu na brak środków na koncie lub problemy z dostępem do nich.

Według raportu „E-commerce w Polsce 2024” aż 78% internautów przyznaje, że robi zakupy online. W badanej grupie 43% osób zadeklarowało, że opłaca z góry zamówienia właśnie kartą płatniczą. Raport „Polski internet w Q4 2024” wskazuje z kolei, że średnia dzienna liczba realnych użytkowników internetu w naszym kraju w badanym okresie wyniosła 26,1 mln osób. Wynika z tego, że w polskich sklepach internetowych znajdują się dane milionów kart płatniczych, które mogą stać się celem cyberprzestępców.

Według danych udostępnionych przez NBP w I kwartale 2024 roku banki odnotowały ponad 90 tys. oszukańczych transakcji z użyciem kart płatniczych na kwotę ponad 24 mln zł. W tym ponad 70 tys. stanowiły transakcje bez użycia karty, a więc wykonywane np. w sklepach internetowych. Ich wartość to ponad 21,3 mln zł. W skali całego obrotu w polskim e-commerce może się to wydawać niewiele, ale przytoczone dane obrazują, że carding w Polsce to realny problem. Może on dotknąć każdej firmy, która nie zadba o wystarczająco wysoki poziom zabezpieczeń.

W przypadku kradzieży firmowej karty trzeba ten fakt jak najszybciej zgłosić do banku. Infolinie są czynne codziennie, 24 godziny na dobę, i często zdarza się, że na IVR (Interactive Voice Response) pod numerem 1 jest opcja „zastrzeż kartę”. Warto również wypracować odpowiednie procedury, szczególnie jeśli w organizacji zatrudnionych jest wielu pracowników korzystających z kart, którzy np. podróżują po kraju jako przedstawiciele handlowi.

Poufne dane kart kredytowych przetwarzane w systemie płatności do użytku wewnętrznego mogą zostać zamienione na bezpieczne tokeny. Minimalizuje to ryzyko ich ujawnienia i kradzieży. Dane powinny być także chronione przez szyfrowanie end-to-end.

Dostęp do danych kart płatniczych powinny posiadać wyłącznie te osoby, którym jest to niezbędne. Wdrożenie mechanizmów kontroli dostępu opartych na rolach minimalizuje ryzyko wycieku spowodowanego błędem ludzkim lub celowym działaniem nieuczciwego pracownika.

Firmy, które wiedzą, na czym polega carding, mogą efektywniej się przed nim chronić – jak choćby weryfikując autentyczność transakcji poprzez analitykę behawioralną. Polega ona na analizie zachowań użytkowników w celu wykrywania anomalii, np. zakupów o niestandardowych godzinach czy z nietypowych lokalizacji. Pozwala to wykryć potencjalne próby oszustwa i zablokować takie transakcje do czasu ich dodatkowej weryfikacji. Monitorowaniem aktywności sieciowej w sklepie internetowym mogą zająć się specjaliści z Security Operations Center.

Przedsiębiorstwa przetwarzające transakcje z wykorzystaniem kart płatniczych muszą przestrzegać wymagań PCI DSS. Zalicza się do nich wdrożenie rozwiązań z zakresu cyberbezpieczeństwa, w tym zapory sieciowej. Warto również zwrócić uwagę na usługę Managed WAF, która nie tylko zabezpiecza aplikację przed kradzieżą danych kart kredytowych, ale również chroni przed ich użyciem dzięki funkcji Fortiguard.

Ponadto trzeba także zadbać o opracowanie oraz przestrzeganie polityki bezpieczeństwa i wykorzystywanie zgodnej z wymaganiami infrastruktury sieciowej, np. takiej w centrach danych i chmurze obliczeniowej Netii.