概要
クレジットカード詐欺は、盗まれたカードやマルウェア、サポートなどがパッケージ化されて販売されるサービス型の犯罪経済へと進化しています。地下「dump shops」のようなFindsome、UltimateShop、Brian’s Clubは、合法的な電子商取引プラットフォームを模倣し、使いやすさやスケーラビリティ、顧客中心主義で機能する完全なカーディング・アズ・ア・サービス(CaaS)マーケットプレースとなっています。
クレジットカードデータの取引
このエコシステムの核心は、異なる種類の支払いデータに対する構造化された取引です。カード番号(「CVV」)には通常、口座番号、名義人名、有効期限、CVV2コード、住所や電話番号が含まれており、オンラインストアでの非対面型詐欺を可能にします。
「Dump」と「Fullz」
「Dump」は磁気ストライプトラックデータで、物理カードのクローン化や店舗での購入、ATM引き出しに使用されます。一方、「Fullz」はカード情報と生年月日や国番号などの個人情報を組み合わせたもので、身分盗難やアカウント乗っ取りを可能にします。
Carding-as-a-Service マーケットプレース
Findsome、UltimateShop、Brian’s Clubは、BIN、国、発行銀行、カード種類、特定の「ベース」などに基づいて検索可能なインベントリを提供する主要なハブとなっています。購入者は価格や地理的な位置、追加のPII(個人情報)の有無でソートでき、カードが即座に確認される統合またはサードパーティのチェックサービスを利用できます。
市場規模と分布
Findsomeは約57.6%、UltimateShopは26.6%、Brian’s Clubは15.8%を占めています。これらのプラットフォームでは、Visaカードが約60.4%、Mastercardが32.3%、American Expressが4.3%、Discoverが3%となっています。
防御戦略
組織は、個々の取引に焦点を当てた従来の詐欺モニタリングだけでは十分ではなく、クレジットカードと個人情報データの盗難から長期間にわたる収益化に対処するため、複数層防御戦略が必要です。