Faking und Carding.
Ich möchte euch mit diesem Post einmal die Methode des Faking, Cardings veranschaulichen. Aufgrund dessen, dass die Meisten hier womöglich weder ein Bankkonto - und noch unwahrscheinlicher - eine Kreditkarte besitzen, eines vorweg: Werft Kreditkarten und Bankkarten bzw. -konten nicht in einen Topf.
Der einzige Grund für diesen Thread ist, euch diese Methode wirklich nur näher zu bringen und das Verständnis dafür zu stärken, jedoch keine Hinweise zur erfolgreichen Anwendung zu geben. Aufgrund dessen, gehe ich NICHT auf Sicherheitsmaßnahen zum verschleiern der eigenen Identität ein.
Ein Proxy bzw VPN heißt noch lange nicht, dass man dadurch effektiv die IP verschleiert hat. Es gibt viele von Polizeien und Geheimdiensten betriebene oder überwachte Anbieter solcher Dienste, die auch so ganz einfach an eure IP kommen. Und bitte vergesst den "Ich zieh den Kabel ausm Router Trick". Die Polizei ist nicht doof und findet euch trotzdem mit 0% Mehraufwand.
Grundlegende Informationen
Spoiler anzeigen
Bankkonto
Der Begriff "Bankkonto" ist die umgangsprachliche Bezeichnung für sämtliche Kontodienstleistungen von Banken. Es gibt zum einen Sparkonto, konten auf denen in erster Linie eine Geldeinzahlung, aber keine bis seltene Entnahme erfolgt. Bei einem Giro- bzw Kontokorrentkonto liegt das Hauptaugenmerk auf ein Konto, mit welchem effektiv viele Transaktionen mit positiven (eingehenden, z.B. Lohn) und negativen (ausgehenden, z.B. Rechnungen) Geldbeträgen statt finden.
Insgesamt gesehen, sind Banken sehr träge. Eine Übewerweisung bedarf in der Regel 1 bis 2 Tage, und trotz der inzwischen automatischen Verarbeitung solcher Anträge werden solche Gelder z.B. Sonntags nicht gut geschrieben. Und genau dieses Loch schließt die Kreditkarte.
Kreditkarte
Die "Kreditkarte" wird nicht von der Bank, sondern von einem Kreditinstitut (z.B. Visa oder MasterCard) ausgestellt. Die Vorteile für die Verkäufer sind dabei ganz klar: Sie erhalten das Geld garantiert und schnell, unabhängig davon, ob das Bankkonto des Kunden belastbar ist und können die Echtheit der Kreditkarteninformationen in Echtzeit verifizieren. Diesen Service lassen sich die Kreditinstitute natürlich gut bezahlen. Mit jeder Kreditkartentransaktion nimmt man praktisch einen Kredit (also Schulden) auf. Das Geld wird dir (zum Beispiel) von MasterCard vorgestreckt.
Deshalb wird fast überall die Zahlung per Kreditkarte akzeptiert und - zumindest beim ersten Kauf - lieber als solche, welche über das Lastschrift bzw Überweisungsverfahren laufen angeboten.
Faking
Sammelbegriff für die Methode des Bank- bzw Kreditkartenbetrugs um an virtuelle Güter (z.B. Logins zu Bezahlseiten wie Spotify) zu gelangen.
Carding
Sammelbegriff für die Methode des Bank- bzw Kreditkartenbetrugs um an reelle Güter (z.B. Computer) zu gelangen.
Kredit bzw. Bankdaten beschaffen
Spoiler anzeigen
Für das Faking bzw. Carding bedarf es je nach Gutgläubigkeit des Verkäufers nichts bis hin zu einer Menge an Vorbereitung.
Bei den gutgläubigen Händler von nebenan, braucht man, sollte es sich um virtuelle Güter handeln, nichts weiter, als einen Computer. Aufgrund dessen, dass die Echtheit eines Kontos nicht in Echtzeit bestätigt werden kann, ist die Lastschriftverfahrensweise deshalb so interessant, weil man keine echten Informationen angeben muss. Wenn die Rücklastschrift erfolgt ist - dem Händler mitgeteilt wurde, dass es sich bei dem Angegeben Girokonto nicht um ein echtes Konto handelt - und die Ware schon den Weg zum Bösewicht gefunden hat, ist es sowieso schon für den Händler zuspät. Deswegen verlangen viele Händler (z.B. OVH) bei der ersten Zahlung eine Überweisung zu ihrem Bankkonto um sicherzustellen, dass es sich hierbei um ein echtes, belastbares Konto handelt.
Wenn man sich nun bei einschlägigen Onlineshops Onlinebankinginformationen kauft und damit eine Überweisung ausführen möchte, bedarf es einer TAN. Entweder lässt man sich am Bankschalter eine Liste mit TANs ausdrucken, bestellt sich ein Gerät zum generieren dieser TAN oder lässt sie sich (wie ich es mache und bevorzuge) per SMS zusenden. Wenn ich Herrn Mustermann 200€ überweisen möchte, werde ich zur Eingabe der an mein Handy gesendeten TAN "gezwungen". Dies ist der Grund weshalb das Faking/Carding mit Bankinformationen wenig Anklang findet.
Bei Kreditkarten gibt es keine Sicherheitsüberprüfung welche mit der Sicherheit des TAN-Verfahrens mithalten kann. Einzig und allein ein 3 stelliger Code auf der Rückseite der Kreditkarte diehnt hier als Hürde. Da man diese Kreditkarteninformationen, anders als Bankkontoinformationen, nicht einfach, aufgrund der möglichen echtzeit Überprüfung, zusammenwürfeln kann, muss man sich diese irgendwoher besorgen. Auch hier gibt es Onlineshops, welche gegen ein paar Euros (per Bitcoin oder PaysafeCards bezahlt) für wenige Euros solche Datensätze anbieten. Diese umfassen nahezu alle auf der Kreditkarte einsehbaren Informationen: Kartennummer, Ablaufdatum, Vor- und Nachname sowie dem Sicherheitscode. Welche durch Trojaner oder Keylogger zuvor aufgezeichnet wurden.
Abgreifen virtueller oder reeller Güter
Spoiler anzeigen
Wer etwas faked oder cardet muss davon ausgehen, dass der Betrug auffliegt. Wenn ich mir, zum Beispiel, World of WarCraft Spielzeit bei Blizzard fake, habe ich 2 Tage Spielspaß und 3 Tage später einen gesperrten Account. Der einzige Weg an Spielzeit zu kommen ist daher nicht den Schaden Blizzard, sondern einem Händler, welcher Spielzeit verkauft zuzufügen. Man könnte sich auf Ebay zum Beispiel einen solchen Code faken.
Bei dem abgreifen reeller Güter ist das schon schwieriger. Es ist eine dumme Idee, sich das Paket von Amazon und von Max Mustermanns Kreditkarte an die eigene Adresse zu schicken. Also sucht man ein leerstehndes Haus oder eine DHL Packstation in ausreichender Entfernung. Für die Methode der Packstation benötigt man eine Mitgliedschaft bei diesem Verfahren. Da dort die Personalien kontrolliert werden, muss man sich solche Zugangsdaten auch in einschlägigen Onlineshops kaufen. Nach 2,3 Tagen kann man seinen Hintern zur nächsten Packstation bewegen und sein brandneues MacBook in den Händen halten.
Nicht nachmachen
Geleichnamig wie die ZDF Sendung "Nicht nachmachen!" rate ich euch vom Einsetzen dieser Methoden ab. Nicht nur, dass es ehtisch verwerflich ist, andere Menschen zu betrügen, auch die Kriminalpolizei ist sehr stark hinter solchen Fällen her. Mich würde es nicht wundern, wenn die ein oder andere Packstation oder das ein oder andere leerstehende Haus beschattet würde, sollte der Betrug früh genug auffallen. Auch ist es schwierig im Internet zu 100% seine IP Adresse zu verbergen. Nicht nur aus dem Grund, dass VPNs und Proxys auch mit einer - für den Betrüger - bösen Absicht betrieben werden können, ist zum Beispiel die Gefahr eines DNS-Leaks oder einer anderen Form der Identifizierung existent. Und nein: Das rausziehen des Kabels aus dem Router bringt euch rein garnichts, da genau festgehalten wird, von wann bis wann welcher Kunde, welche IP-Adresse zugewiesen bekommen hatte.
