Los tipos de ciberataques, como el Carding, no paran de aumentar. Por ello, es importante conocerlos para poder protegerse y no caer en estas estafas.
El Carding no es exactamente una forma de estafa. Más bien es una metodología de ataque de ingeniería social que engloba otras técnicas de engaño, como el phishing, smishing, shoulder surfing… entre otras.
Qué es el Carding
El nombre Carding viene del inglés “card” (tarjeta). Y tal como indica el INCIBE, es un tipo de fraude que utiliza los datos de las tarjetas de crédito/débito robadas, para cometer fraudes.
Cuando los ciberdelincuentes consiguen los datos de las tarjetas de pago, realizan pequeñas compras. Esto les permite verificar que los datos que han obtenido son válidos, para, posteriormente, poder realizar estafas con importes superiores.
Las campañas de phishing y smishing que utilizan la técnica del Carding, aumentan en periodos de campañas comerciales, como rebajas, Navidad, Black Friday, Ciber Monday, y fechas señaladas. Épocas donde las compras online aumentan considerablemente. Por lo que es importante estar atentos en estas fechas a dos cosas:
- A los SMS y mails que llegan con promociones fantásticas y enlaces donde se pide introducir los datos de la tarjeta.
- A los movimientos de la cuenta bancaria. Ya que, si se han hecho con los datos con anterioridad, aprovechan estos momentos de mayores compras para que estas estafas intenten pasar desapercibidas.
Cómo obtienen, los estafadores, los datos de la tarjeta
Como comentábamos anteriormente, el carding es el hecho de que los estafadores se hagan con los datos de las tarjetas de pago. Pero para conseguirlo, utilizan ciertas técnicas de ingeniería social como las que mencionamos a continuación:
Phishing o Smishing: son las técnicas más populares, mediante las cuales, se manda un mail o un SMS. En ellos se incita al usuario a clicar en enlaces que redirige a web fraudulentas. Estas suelen suplantar la identidad de alguna empresa y donde piden introducir los datos de la tarjeta. Los mensajes que se mandan suelen tener un carácter de urgencia, o alguna promoción fantástica. Estos es así, para que el usuario, sin pensarlo mucho, clique en estos enlaces.
Vishing: más conocido como la estafa de la doble llamada. Al igual que en el caso anterior, suplantan a empresas de servicios o entidades bancarias. Llaman con contra ofertas o llamadas de alarma que hacen que el usuario facilite sus datos sin darle mucho tiempo a pensar.
Shoulder Surfing. Se trata de la técnica de mirar por encima del hombro, para espiar todo lo que el usuario escribe en su ordenador o móvil.
Malware. Consiste en distribuir, virus, troyanos, ransomware… y otros tipos de software malicioso. En muchas ocasiones se hace mediante phishing o smishing. Una vez instalados en los equipos, permite a los hackers, hacerse con el control de los dispositivos y acceder de forma remota para robar los datos de las tarjetas. Ya sea porque están almacenados en el propio equipo, o bien porque teniendo el control de estos, pueden controlar todo lo que se hace, ver por donde se navega, los datos que se introducen etc.
Skiming: en este caso, los estafadores utilizan lectores inalámbricos de RFID o NFC que consiguen interceptar los datos de tarjetas, a una distancia inferior a los 15 centímetros, sin que el usuario se dé cuenta.
Cómo evitar el Carding
Para intentar evitar ser víctima de estos tipos de fraude es bueno tener ciertas consideraciones que también recomiendan desde el INCIBE.
- No abrir correos o SMS de remitentes desconocidos o sospechosos y sobre todo no clicar en sus enlaces.
- No facilitar información personal o financiera a través de estos enlaces, webs sospechosas o por teléfono, recordar que los bancos y las empresas de servicio nunca piden ciertos datos como el PIN de la tarjeta a través de estos medios.
- Antes de realizar una transacción a través de una web, asegurarse que se trata de una página legítima, buscando los datos “personales” de la web, una dirección fiscal, un documento de identidad, un teléfono o mail de contacto…
- Utilizar tarjetas desechables, monedero o virtuales, que permiten pagar online de forma más segura y solo tener la cantidad de dinero necesario para realizar la transacción.
- Proteger los dispositivos con software de seguridad actualizado o contratar servicios como Conexión Segura y sobre todo evitar descargar programas o archivos de fuentes no fiables, sobre todo si provienen de mails o SMS con enlaces.
- En caso de estar en lugares públicos, evitar introducir datos sensibles, como los de la tarjeta de crédito o credenciales de una aplicación bancaria.
- Si es posible, desactivar el sistema NFC del móvil mientras no se use.
- Revisar los movimientos bancarios con frecuencia.
En caso de tener sospechas de haber sido víctima de algún fraude de este tipo, lo primero es contactar con la entidad bancaria para informar del problema y suspender la tarjeta y a continuación, denunciar los hechos ante las Fuerzas y Cuerpos de Seguridad del Estado aportando todas las evidencias de las que dispongas.
