Dark Web tržište ukradenih kreditnih kartica

Kako podaci ukradeni iz online trgovina završe na prodaji u svega nekoliko sati i tko zapravo kupuje vašu karticu?

Zamisli da si upravo završio narudžbu na omiljenom webshopu. Kliknuo si “Plati”, dobio potvrdu i već razmišljaš kad će paket stići. Sve izgleda normalno. No, u pozadini, tvoji kartični podaci (broj kartice, datum isteka, CVC), već su presretnuti i poslani na server hakera.

Ono što se događa nakon toga nevjerojatno je brzo. U samo nekoliko sati tvoja kartica više nije tvoja. Ona postaje proizvod na digitalnoj tržnici zla – Dark Webu – gdje se prodaje za sitne iznose, ponekad i za manje od 10 eura. Kupac? Možda prevarant u drugoj zemlji koji će odmah iskoristiti podatke za online kupnju ili organizirana kriminalna grupa koja gomila kartice i prodaje ih dalje u paketu.

Ovo nije filmska scena. To je stvarnost eCommerce svijeta 2025. godine.

Što je Dark Web i zašto je pogodan za ovakvu trgovinu?

Dark Web je dio interneta kojem se ne može pristupiti običnim preglednicima. Za ulazak se koristi posebni softver poput Tor browsera, koji anonimizira korisnike i skriva njihove IP adrese.

Za kriminalce je Dark Web savršen poligon zato što:

• nudi anonimnost (prodavač i kupac teško se mogu pratiti),
• omogućuje kriptovalutna plaćanja (Bitcoin, Monero),
• ima već razvijene marketplaceove koji izgledaju gotovo identično kao eBay ili Amazon, samo što ondje ne kupuješ tenisice nego ukradene kartice, identitete i login podatke.

Takva tržišta često imaju sustave ocjenjivanja prodavača, “garancije”, pa čak i korisničku podršku. Ukradeni podaci tretiraju se kao roba, a trgovina funkcionira profesionalno, samo što je sadržaj ilegalan.

Put ukradene kartice: od checkout stranice do Dark Weba

Kako kartica završi na toj mračnoj tržnici?

1. Eksploatacija online trgovine.

○ Najčešće putem formjacking napada – maliciozne skripte ubačene u checkout koje presreću podatke.

○ Drugi vektor su ranjivi dodaci (pluginovi) ili nulled teme.

○ Ponekad su napadnuti i payment procesori ili hosting pružatelji.

2. Krađa podataka u stvarnom vremenu.

○ Skripta šalje kartične podatke na server pod kontrolom napadača.

○ Podaci se često odmah validiraju (provjerava se jesu li kartice aktivne i imaju li sredstva).

3. Distribucija.

○ Napadači obično rade u mrežama: onaj tko ubaci skriptu nije isti onaj tko prodaje podatke.

○ Postoji cijeli lanac: haker → posrednik → prodavač na Dark Webu.

4. Prodaja na tržištu.

○ Kartice se oglašavaju s detaljima: vrsta (Visa, Mastercard, Amex), zemlja, limit, prateći podaci (ime, adresa, email).

○ Kupci plaćaju kriptovalutama i dobivaju “svježe” podatke, često u roku od nekoliko sati od krađe.

Cijene i ponuda na Dark Webu

Na prvi pogled, cijene zvuče nevjerojatno niske:

• Kreditna kartica s osnovnim podacima: 5 – 15 eura.
• Kreditna kartica s punim osobnim podacima (fullz): 20 – 50 eura.
• Paketi od 1000 kartica: nekoliko tisuća eura, ovisno o kvaliteti.

Zašto tako jeftino? Jer je ponuda ogromna. Procjene sigurnosnih tvrtki govore da se svake godine ukrade desetine milijuna kartica, a eCommerce je glavni izvor.

Kako kriminalci koriste ukradene kartice?

Nakon što podaci završe na tržištu, koriste se na nekoliko načina:

1. Izravne kupnje. Prevaranti kupuju robu online dok kartica ne bude blokirana.

2. Preprodaja. Kartice se dalje prodaju manjim kriminalnim skupinama.

3. Izrada kloniranih kartica. Podaci se utiskuju u prazne kartice i koriste u fizičkim trgovinama.

4. Kombinacija s drugim podacima. Kada se kartica spoji s ukradenim identitetom (ime, adresa, OIB), dobiva se kompletan “paket” za veće prijevare.

Posljedice za eCommerce trgovce

Kad se vaša trgovina nađe kompromitirana i podaci kupaca završe na Dark Webu, posljedice mogu biti dalekosežne i višestruke. Riječ je o udaru koji pogađa financijski, operativno i reputacijski.

Pravne i financijske kazne. Regulative poput GDPR-a i NIS2 u Europi jasno definiraju odgovornost trgovca za zaštitu osobnih podataka kupaca. Ako se dokaže da trgovina nije poduzela osnovne mjere zaštite – primjerice, da nije ažurirala platformu ili dodatke, da nije koristila sigurne metode plaćanja ili nije provodila redovite sigurnosne provjere – kazne mogu biti enormne. Za manji webshop u regiji, kazna od nekoliko desetaka tisuća eura može biti pogubna. Veliki međunarodni igrači pak mogu biti izloženi milijunskim tužbama i zahtjevima za odštetu od korisnika čiji su podaci kompromitirani.

Gubitak povjerenja. Povjerenje kupaca u digitalne trgovine krhko je, a vijest da je vaš shop izvor krađe kartica širi se munjevito putem društvenih mreža i foruma. Kupci ne vole čekati dok vi rješavate problem, nego odlaze konkurenciji. Čak i ako problem sanirate, mnogi će trajno promijeniti navike kupnje.

Troškovi forenzike i sanacije. Uklanjanje maliciozne skripte, analiza logova, provjera cjelokupnog koda i dodataka te testiranje svih integracija zahtijevaju angažman specijaliziranih stručnjaka. Trošak takvog procesa često doseže tisuće eura, što uključuje i vrijeme koje vaš tim ne provodi u razvoju poslovanja.

Reputacijski udarac. Povratak nakon incidenta traje dugo. Čak i kada se trgovina tehnički vrati u funkcionalno stanje, reputacija je oštećena. Klijenti se sjećaju incidenata i često traže alternativne opcije za buduće kupnje.

Kako se zaštititi

Prevencija je ključna. Napadi se odvijaju brzo, a povratak nakon incidenta često je spor i skup. Evo nekoliko konkretnih strategija koje trgovci mogu implementirati:

Koristi provjerene payment procesore. Umjesto da sami obrađujete kartične podatke i riskirate kompromitaciju, prepustite to sigurnim i poznatim providerima kao što su Stripe, Adyen ili PayPal. Oni investiraju milijune u sigurnosne sustave, što individualni trgovac teško može nadmašiti.

Redovno ažuriraj platformu i dodatke. Velik dio napada cilja zastarjele verzije WooCommercea, Magenta i njihovih ekstenzija. Svaki plugin koji nije ažuriran može biti ulazna točka za hakere. Ažuriranja često uključuju sigurnosne zakrpe koje rješavaju poznate ranjivosti, stoga ih se ne smije zanemariti.

Provodi sigurnosne audite. Redovita provjera koda i ekstenzija može otkriti maliciozne skripte prije nego što postanu problem. Analiza mrežnog prometa, usporedba hash vrijednosti i praćenje svih integracija su ključni.

Primijeni Content Security Policy (CSP). CSP omogućava ograničavanje učitavanja skripti samo s pouzdanih domena. To znači da čak i ako netko ubaci maliciozni kod u vašu stranicu, on se neće izvršiti jer nije autoriziran u CSP-u. Primjena CSP-a može značajno smanjiti rizik od formjacking napada.

Obrazuj tim. Čak i najbolji sigurnosni sustavi ne pomažu ako ljudi koji upravljaju trgovinom nisu svjesni rizika. Tim treba prepoznati potencijalno opasne dodatke, sumnjive integracije, nelicencirane (nulled) teme i edukaciju o phishingu i socijalnom inženjeringu.

Redovno backupiranje. Iako backup ne sprječava napad, omogućava brzi oporavak i minimalizira gubitak podataka. Idealno je imati backup po principu 3-2-1: tri kopije, na dva različita medija, jedna van lokacije.

Praćenje transakcija u realnom vremenu. Sustavi koji prate neobične obrasce plaćanja i automatski flagiraju sumnjive narudžbe mogu spriječiti daljnju štetu i detektirati ukradene kartice prije nego što završe na Dark Webu.

Usklađenost s NIS2 direktivom i DORA. Za trgovce u EU i Hrvatskoj važno je razumjeti regulatorni okvir. NIS2 direktiva zahtijeva da ključni i digitalni pružatelji usluga implementiraju visoku razinu kibernetičke sigurnosti, uključujući redovito testiranje sustava, prijavu incidenata i dokumentiranje mjera zaštite.

Nevidljiva ekonomija krađe

Dark Web tržište ukradenih kartica pokazuje koliko je eCommerce ranjiv ekosustav. Ono što kupci smatraju sigurnim i rutinskim – unos kartičnih podataka – u stvarnosti može biti prva karika u lancu globalnog kriminala. Za trgovce je poruka jasna: sigurnost checkouta nije “opcija” nego osnovna obaveza. Svaka rupa u sustavu, svaki neprovjereni plugin, svaka nulled tema može značiti da će podaci tvojih kupaca sutra završiti na prodaju za nekoliko eura na mračnoj tržnici interneta. A kad jednom izgubiš povjerenje kupaca, nema tog marketing budžeta koji ga može vratiti.