Carding – Scenario ed evoluzione dei canali di vendita

Questa analisi è stata inserita nel REPORT CLUSIT 2019 – https://clusit.it/rapporto-clusit/

Introduzione

Il presente report redatto dal Team di Cyber Threat Intelligence di Lutech, ha lo scopo di presentare lo scenario attuale relativo alla compravendita illegale di carte di credito su internet, fenomeno noto come Carding.

Attraverso i nostri sistemi proprietari di ricerca, attivi su fonti pubbliche e private, presenti nel deepweb e nel darkweb, comprensivo anche del recente sistema di DNS basato su Blockchain, sono stati raccolti e analizzati dati riconducibili al tema del carding, sui diversi canali sul quale viene trattato.

Nelle successive sezioni viene descritto il fenomeno del carding in generale (“Il fenomeno del Carding”), viene presentato lo scenario attuale e le principali differenze con gli anni passati (“Blackmarket – Scenario attuale”), un aggiornamento sulle principali caratteristiche dei market e dei dati delle carte di pagamento che vengono vendute (“Caratteristiche dei Blackmarket” e Aggiornamento sui dati delle carte di pagamento – 2018”) e viene riportato un caso di un’operazione condotta dalla Guardia di Finanza che ha messo fine ad un’attività illecita che operava attraverso blackmarket presenti nel darkweb (“Operazione Darknet.Money”).

 

Il fenomeno del Carding

Con il termine Carding si identifica principalmente lo scambio e compravendita di informazioni riguardanti carte di credito, debito o account bancari, che vengono poi utilizzate per eseguire truffe di carattere finanziario acquistando beni o trasferendo fondi ai danni dei legittimi proprietari. Il carding è una delle attività più diffusa e popolare nell’underground; è possibile trovare numerosi market specializzati nella sola vendita di dati di carte di credito così come interi forum e thread dedicati all’argomento, con annunci di compravendita, guide e metodi sempre più aggiornati per riuscire a portare a termine questo tipo di truffe.

La maggior parte della compravendita di carte di credito avviene tramite i blackmarket, questo perché come per il normale e-commerce legale, è il canale più comodo sia per i compratori alla ricerca di questo prodotto che per i venditori che lo offrono. In questo modo i contatti fra le due parti vengono ridotte al minimo e la gestione della trattativa è affidata al market.

Questo sistema si è evoluto negli anni da semplici siti web a veri e propri marketplace di informazioni illegali, completi di filtri di ricerca, news sui prodotti aggiunti, servizi di feedback e customer care, rimborsi e altro ancora.

 

Blackmarket – Scenario attuale

Rispetto alla situazione analizzata nell’anno passato, il numero complessivo dei market è leggermente diminuito, ad ulteriore conferma della tendenza sulla minore durata della vita presentata nel rapporto Clusit 2017 (“Analisi blackmarket – Scenario e focus sul carding in Italia”); tuttavia in compenso è aumentato il numero di mirror dei market attivi e la loro presenza su canali alternativi, in particolare è stata rilevata una sempre maggiore presenza di tali market all’interno del sistema di DNS basato su blockchain, confermando quanto presentato nel rapporto Clusit 2018 (“Carding – Tecniche di vendita: evoluzioni recenti e future”).

Nelle immagini si possono vedere due annunci di market che pubblicizzano i loro sistemi; si può notare che entrambi hanno mirror presenti su blockchain DNS e utilizzano altri canali alternativi come Telegram

 

Caratteristiche dei Blackmarket

Dal punto di vista delle funzionalità dei market specializzati in carding, non sono stati introdotti elementi significativi rispetto agli anni passati, pertanto le loro caratteristiche sono rimaste coerenti con quanto mostrato nel rapporto Clusit 2017 (“Analisi blackmarket – Scenario e focus sul carding in Italia”).

La principale differenza riguarda la loro presenza in rete: i blackmarket tuttora attivi hanno aumentato il numero di mirror in modo da essere più resistenti a tentativi di takedown, in particolare è stato rilevato un sempre maggior utilizzo della tecnologia di DNS basata su blockchain.

 

 

 

Il numero di market presenti sul sistema di DNS basato su blockchain è elevato perché vengono registrati molti mirror dei market stessi utilizzando diversi domini, messi a disposizione da questa tecnologia quali .bazar, .lib, .emc, .bit, .coin, …

 

 

 

 

Aggiornamento sui dati delle carte di pagamento – 2018

In questa sezione viene riportato un aggiornamento sulle statistiche relative ai dati delle carte di pagamento estratti dai market di carding, su cui è stato possibile verificarne l’effettiva presenza. Vengono riportati diversi indicatori sulla distribuzione di vendita di tali informazioni.

I dati numerici relativi ad ogni blackmarket sono stati estratti durante la fase di raccolta delle informazioni.

 

 

 

La maggior parte dei dati messi in vendita sui blackmarket è relativa a carte di pagamento statunitensi, poiché l’utilizzo del chip elettronico integrato non è frequente e la banda magnetica non è una protezione adeguata; tuttavia, anche se in numero minore, ormai quasi tutti i market elencano dati di carte emesse da istituti di altri paesi, fra cui l’Italia.

 

 

Esempio dei risultati di una ricerca di carte emesse da istituti italiani

 

Mediamente, il numero complessivo di dati di carte di pagamento presenti sui market è aumentato rispetto all’anno passato in cui sulla prevalenza di essi era messo in vendita un numero inferiore alle 10 mila unità. Ad oggi i market elencano un numero compreso fra le 10 mila e le 100 mila unità di dati di carte di pagamento.

Il conteggio di tali quantità è stato estratto dai market tuttavia è necessario precisare che non è indicativo dell’effettivo volume di vendita dei market in quanto può riferirsi al numero di carte di credito in vendita in quel momento, a quelle non scadute oppure all’intero storico di informazioni che sono state presenti sui market stessi.

Confermando la situazione degli anni precedenti, il prezzo delle carte di pagamento messe in vendita sui market si attesta intorno ai 20 dollari, dipendentemente dalla quantità di informazioni disponibili, quali:

  • Solo dati della carta (Numero, scadenza e CVV)
  • Nome intestatario
  • Indirizzo
  • Numero di telefono
  • PIN

 

Operazione Darknet.Money

Il sempre maggior utilizzo di tecnologie che rendono più facile l’anonimato degli utenti e conseguentemente più difficile il tracciamento degli stessi, rendono indubbiamente più complicato il lavoro e atto a contrastare questi fenomeni di compravendita illegale.

Nonostante questa difficoltà crescente, sono state condotte con successo operazioni da parte delle forze dell’ordine come quella denominata “Darknet.Money” da parte del Nucleo Speciali Frodi Tecnologiche della Guardia di Finanza di Roma, coordinato dalla Procura della Repubblica di Brescia che ha messo fine ad una fiorente attività illecita dedita alla falsificazione di banconote e di metalli preziosi, all’utilizzo di carte di credito e SIM telefoniche clonate, alla vendita di documenti falsi, all’accesso abusivo a sistema informatico e riciclaggio.

L’indagine di questo nucleo speciale della GdF ha avuto inizio dall’analisi degli annunci di vendita presenti sui vari market, che ha permesso di ricavare informazioni che sono state successivamente elaborate arrivando ad accertare come il soggetto principale svolgesse la propria attività illegale insieme ad altri due soggetti, nella città di Napoli. Ulteriori riscontri svolti sul campo hanno consentito di appurare che i tre erano dediti alla compravendita di banconote false e oro contraffatto, oltre ad utilizzare i proventi dell’utilizzo di carte di credito e SIM telefoniche clonate per acquistare beni di consumo da rivendere sul mercato locale. In particolare, le carte di credito clonate appartenevano per lo più ad ignari cittadini spagnoli e tedeschi i cui codici di accesso erano oggetto di compravendita sui blackmarket.

Gli investigatori del Nucleo Speciale Frodi Tecnologiche della Guardia di Finanza di Roma hanno quindi ricostruito l’intero sodalizio criminale attraverso le fonti di prova attribuibili ai tre soggetti e su disposizione dell’Autorità Giudiziaria di Brescia, hanno eseguito tre misure cautelari consistenti rispettivamente in una ordinanza di custodia in carcere, una ordinanza di custodia agli arresti domiciliari e un obbligo di firma presso l’Autorità di Polizia.

 

Conclusioni

Il mercato di compravendita illegale di carte di credito è tuttora florido e conta un numero considerevole di marketplace dedicati che sempre più spesso creano dei mirror presenti nel clearweb, darknet e nel più recente sistema di DNS basato su Blockchain; al fine di rendere più difficile il controllo ed evitare la chiusura e il tracciamento dei market stessi, potendo registrare e gestire tali domini in maniera anonima.

Ciononostante queste pratiche illegali vengono contrastate con successo attraverso sofisticate indagini tecniche come quella condotta dal Nucleo Speciale Frodi Tecnologiche della Guardia di Finanza di Roma qui presentata, in cui gli investigatori sono riusciti a mettere fine ad un’attività illecita che operava attraverso blackmarket presenti nel darkweb.

 

Authors

Luca Sangalli, Luca Dinardo

Leave a Comment

Your email address will not be published.