信用卡和支付卡竊賊正變得越來越狡猾，因?yàn)樾酒?qū)使他們實(shí)施賬戶接管和無卡計劃。

今年4月底，來自美國的Anton Hinton接到一個自稱是摩根大通(JPMorgan Chase)的人打來的電話。打電話的人知道Hinton的全名、電子郵件地址和賬戶的最后四位數(shù)字，并稱Hinton的借記卡號碼被盜，需要凍結(jié)。

打電話的人告訴Hinton，在大通把新卡寄到他在克利夫蘭的家中之前，得先設(shè)置一個數(shù)字錢包來購物。在通話過程中，Hinton收到了一封電子郵件，表面上看的確是來自大通銀行，里面有設(shè)置數(shù)字錢包的一次性激活碼。

掛斷電話后，Hinton發(fā)現(xiàn)自己在佛羅里達(dá)買了超過300美元的東西……

這就是千千萬萬起信用卡詐騙案中的尋常一起?？梢哉f，支付卡的普及不僅方便了消費(fèi)者和企業(yè)，同時也方便了欺詐者。

疫情催發(fā)金融詐騙

據(jù)《華爾街日報》報道，在新冠病毒大流行期間，越來越多的欺詐者利用竊取的信用卡號碼和網(wǎng)絡(luò)釣魚來攻擊不堪重負(fù)的消費(fèi)者和銀行。

根據(jù)美國富達(dá)國家信息服務(wù)公司(FIS)提供的數(shù)據(jù)顯示，自今年早些時候新冠病毒導(dǎo)致美國經(jīng)濟(jì)陷入停滯以來，信用卡和借記卡詐騙案件數(shù)量大幅增加。該公司協(xié)助約3,200家美國銀行進(jìn)行欺詐監(jiān)控。FIS指出，4月份試圖進(jìn)行欺詐交易的美元數(shù)量較上年同期增長了35%，這一趨勢似乎在5月份仍在繼續(xù)。

可以說，欺詐是銀行長期存在的問題。根據(jù)實(shí)體卡和移動支付行業(yè)出版物《尼爾森報告(Nilson Report)》的最新數(shù)據(jù)顯示：2018年全球支付卡欺詐損失已達(dá)278.5億美元。相當(dāng)于，支付卡用戶每支出100美元，就會產(chǎn)生10.83美元的損失，而上一年度該數(shù)字則為每100美元損失11.12美元。這也讓信用卡發(fā)卡行產(chǎn)生了欺詐行為已經(jīng)得到控制的假象。

安全意識培訓(xùn)提供商KnowBe4公司的防護(hù)專家Roger Grimes表示，

“大多數(shù)信用卡擔(dān)保人最擔(dān)心的不只是欺詐問題，他們更擔(dān)心的是不公平地阻斷了消費(fèi)者的合法交易。雖然大多數(shù)系統(tǒng)都在持續(xù)更新和迭代，但是它們?nèi)匀粺o法很好地檢測信用卡欺詐行為，它們能做到的只是簡單地阻止合法交易來避免客戶損失。因此，也造成了這種令人震驚的現(xiàn)象——大多數(shù)活動都是在阻止“假陽性”交易，而并未切實(shí)地減少真正意義上的欺詐行為。”

欺詐對于消費(fèi)者和企業(yè)的直接影響有限。如果一份數(shù)據(jù)被竊取，并且小偷開始瘋狂消費(fèi)，其責(zé)任限額也僅為50美元。

消費(fèi)者和企業(yè)可能會看到，隨著商家和信用卡發(fā)卡機(jī)構(gòu)將損失成本轉(zhuǎn)嫁，欺詐成本將以商品和服務(wù)價格上漲的形式出現(xiàn)。消費(fèi)者安全產(chǎn)品信息網(wǎng)站Comparitech.com的隱私權(quán)倡導(dǎo)者Paul Bischoff指出，

“最終，只要我們繼續(xù)使用信用卡，一定數(shù)量的欺詐行為就會一直存在。我們所有人支付的信用卡信息的很大一部分都用于補(bǔ)償欺詐行為。”

信用卡欺詐的范圍和趨勢

近年來，發(fā)卡機(jī)構(gòu)通過使用EMV的PIN和芯片技術(shù)提高了物理卡的安全性。OneSpan(一家反欺詐和數(shù)字交易管理解決方案提供商)的高級經(jīng)理Greg Hancell表示：

“EMV算得上一個巨大的飛躍。在采用該技術(shù)的國家中，信用卡欺詐行為一夜之間就消失了。但是麻煩是，隨著網(wǎng)絡(luò)和網(wǎng)購的發(fā)展，無卡欺詐(線上支付卡欺詐)案件仍在持續(xù)增加。”

美聯(lián)儲于2018年發(fā)布的一項(xiàng)研究指出，在美國開始發(fā)行EMV類型卡的一年之后，使用實(shí)體信用卡進(jìn)行欺詐交易的行為，從2015年的36.8億美元下降到了2016年的29.1億美元。與此同時，在同一時期內(nèi)，無卡詐騙，即通過電話或在線交易中使用信用卡號碼的詐騙，則從34億美元上升至45.7億美元。據(jù)Javelin Strategy&Research稱，在線欺詐一直呈持續(xù)增長的趨勢，到目前為止，“無卡化”欺詐攻擊的發(fā)生概率比起實(shí)體卡的欺詐要高出81%。

然而，由于EMV技術(shù)的采用并未實(shí)現(xiàn)全球一致，這也為一些全球性的犯罪團(tuán)伙敞開了大門。有組織的犯罪集團(tuán)可以在一個支持EMV國家/地區(qū)的ATM機(jī)或銷售終端上安裝帶有無線電的skimmer(一種在用戶不知情的情況下捕獲支付卡信息的硬件設(shè)備)，然后將這些skimmer收集到的數(shù)據(jù)發(fā)送給身處無EMV國家的同伙。他們往往可以在不到一分鐘的時間內(nèi)獲取相關(guān)的信息，并打印出新的卡片。而且此類偽造卡在被使用時，不會發(fā)生任何EMV問題。

無卡的攻擊可能會成為更廣泛的威脅，因?yàn)樗鼈兛梢噪S著自動化的發(fā)展而擴(kuò)大規(guī)模。如果在一臺機(jī)器上安裝skimmer，那么可能只有少數(shù)人會訪問該設(shè)備，而且skimmer也隨時存在被發(fā)現(xiàn)的風(fēng)險。但是在無卡的環(huán)境中，攻擊者可以向目標(biāo)網(wǎng)絡(luò)的所有潛在受害者發(fā)起釣魚攻擊，以直接套取信用賬戶的詳細(xì)信息，或者以感染惡意軟件的方式，竊取其詳細(xì)的信息。

當(dāng)然，專業(yè)的欺詐者通常更喜歡大規(guī)模的攻擊活動，因?yàn)樗麄兿Ｍ畲蟪潭鹊靥岣咄顿Y回報率，所以，他們更傾向于使用僵尸網(wǎng)絡(luò)來盡快操控更多的站點(diǎn)，包括使用偽裝的ID或IP地址來開展新的攻擊。

隨著欺詐檢測系統(tǒng)變得越來越復(fù)雜和智能，網(wǎng)絡(luò)欺詐者正竭盡全力掩蓋自己的行跡。他們會嘗試使用各種代理來掩蓋自己的IP。而一些經(jīng)驗(yàn)豐富的攻擊者甚至?xí)P地址定位在他們計劃使用的被盜卡的賬單地址附近。與此同時，他們還可能會使用模擬器來生成智能移動設(shè)備，通過更改電腦系統(tǒng)上的時間來匹配相關(guān)的時區(qū)，甚至使用虛擬機(jī)、已擦除或越獄的設(shè)備，來偽裝成正常用戶的交易設(shè)備。

如今，信用卡欺詐已經(jīng)發(fā)展成為一個龐大且復(fù)雜的“企業(yè)”，甚至開始呈現(xiàn)出合法業(yè)務(wù)的特征。例如，它已經(jīng)形成了明確的分工。從近年來發(fā)生的各種欺詐和數(shù)據(jù)泄露案例中，我們發(fā)現(xiàn)，在惡意軟件的創(chuàng)建者、非法支付系統(tǒng)的維護(hù)者、以及打包出售信用信息的人員之間，已經(jīng)形成了一系列大規(guī)模、有組織和協(xié)調(diào)能力的協(xié)作網(wǎng)絡(luò)。

此外，信用卡盜賊也將數(shù)字錢包作為了攻擊目標(biāo)。在黑市上，那些被盜用賬戶里的余額會被出售和加載到某些非存款類帳戶中。然后，這些余額就會通過“點(diǎn)對點(diǎn)”(peer-to-peer)的方式轉(zhuǎn)移到另一個購買禮品卡或預(yù)付卡的個人，這些卡在使用時不受個人約束。也就是說，此類卡中的金額完全可以在網(wǎng)上被匿名轉(zhuǎn)移和使用。

21世紀(jì)初，講俄語的地下組織成為了信用卡盜竊領(lǐng)域的領(lǐng)頭羊，直至如今，他們一直走在金融欺詐的最前沿，甚至建立了網(wǎng)絡(luò)犯罪即服務(wù)的模式。正是他們的存在，為有經(jīng)驗(yàn)的網(wǎng)絡(luò)罪犯和新手創(chuàng)造了端到端的服務(wù)，從而加快了漏洞利用技術(shù)的發(fā)展。

近年來，欺詐者的購買習(xí)慣也發(fā)生了變化。考慮到實(shí)物商品很難轉(zhuǎn)換成現(xiàn)金，而且很容易被執(zhí)法部門追蹤到，所以他們有選擇地避開了實(shí)物商品，轉(zhuǎn)而購買更難追蹤的無形物品，例如禮品卡、加密貨幣和數(shù)字商品等。此外，他們還會嘗試著從信用賬戶的積分計劃中獲得收益。

不過，這種欺詐行為的大爆發(fā)很可能反過來傷害了信用卡盜賊的利益。有數(shù)據(jù)表明，信用賬戶欺詐呈現(xiàn)出了供過于求的趨勢，想要使用它們的罪犯明顯表現(xiàn)出了需求不足的情況。而這種現(xiàn)象最直觀的體現(xiàn)就是，黑市上被盜賬戶的價格已經(jīng)降低到了每張僅值幾美元。

支付卡欺詐類型

(1) 帳戶接管

如果惡意行為者獲得了某個帳戶的憑據(jù)，那么他們就可以通過與該帳戶綁定的任何支付卡購買商品。他們還可以查看賬戶持有人的個人資料，復(fù)制存儲在那里的任何信用信息，并用它來購買賬戶以外的東西。例如，如果有人破壞了一個亞馬遜賬戶，那么他們就可以使用與該賬戶相關(guān)的任何付款方式來購買商品，并添加商品的收貨地址。

攻擊者可以采用多種方式來獲得目標(biāo)帳戶的信任憑據(jù)：在暗網(wǎng)上購買或通過欺騙手段獲取。一個人會收到電子郵件或短信提醒，說他們的賬戶出了問題。他們點(diǎn)擊鏈接就會進(jìn)入到一個偽造的站點(diǎn)，從而套取他們的登錄憑據(jù)，然后，攻擊者就會使用該憑證來成功接管受害者的賬戶。

(2) Skimmers和shimmers

Skimmer主要是在卡的磁條上捕獲支付卡信息，而shimmer則是從EMV類型卡中獲取數(shù)據(jù)。它們通常被放置在ATM或收銀終端的硬件設(shè)備上，旨在竊取用于完成合法交易的信息。不過，由于安插此類硬件可能會耗費(fèi)大量人力，且極易被發(fā)現(xiàn)，因此欺詐者通常會通過植入惡意軟件的方式來遠(yuǎn)程路由并感染POS系統(tǒng)。

(3) 劫持(Formjacking)

Formjacking的流行很大程度上要?dú)w功于Magecart，該組織包括至少7個犯罪集團(tuán)，這些犯罪集團(tuán)通過skimming惡意軟件感染了成千山萬個電子商務(wù)站點(diǎn)的購物車，他們攻擊過的目標(biāo)包括Ticketmaster、英國航空公司以及新蛋網(wǎng)(Newegg)等。

網(wǎng)絡(luò)安全公司JunIPer Networks的威脅實(shí)驗(yàn)室負(fù)責(zé)人Mounir Hahad表示，

“劫持是欺詐者最常用的技術(shù)之一。一個惡意腳本被注入到受感染商家網(wǎng)站的付款頁面中，以竊取毫無戒心的購物者所輸入的信用卡信息，并將其發(fā)送給攻擊者。”

(4) 利用漏洞

欺詐者還可以利用軟件中存在的漏洞從設(shè)備中竊取各種信息，包括信用卡數(shù)據(jù)。例如，Magecart攻擊曾利用MAGMI(一個基于Magneto在線商店的插件)中的錯誤，在其網(wǎng)站上植入了惡意代碼，從而導(dǎo)致用戶支付信息被竊取。

(5) 網(wǎng)絡(luò)釣魚

似乎無論我們?nèi)绾尉嬗脩?，他們?nèi)匀粫刂撇蛔〉攸c(diǎn)擊陌生電子郵件中的各種鏈接。單擊此類鏈接通常會被重定向至惡意網(wǎng)站上，該網(wǎng)站會試圖在受害者計算機(jī)上植入惡意軟件，進(jìn)而竊取所有文本類的簡單的鍵盤記錄，或是去查找和解析復(fù)雜的信用卡等相關(guān)數(shù)據(jù)。

(6) 內(nèi)部威脅

金融機(jī)構(gòu)、信用卡制造/發(fā)行商、飯店、零售商或是幾乎所有的卡密交易企業(yè)的不良員工都可能參與欺詐活動。

(7) 反欺詐法規(guī)

處理來自主要提供商的信用卡的組織必須遵守支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)。無論是商戶、獨(dú)立軟件開發(fā)商(ISV)，還是任何存儲、處理、傳輸或以其他方式操縱持卡人數(shù)據(jù)的人，以及能夠影響持卡人數(shù)據(jù)安全性的服務(wù)供應(yīng)商，都必須符合PCI DSS的要求，具體包括：

• 安裝并維持防火墻的配置，以保護(hù)持卡人的數(shù)據(jù);
• 不要將供應(yīng)商提供的默認(rèn)值用于系統(tǒng)的密碼和其他安全參數(shù);
• 保護(hù)已存儲的持卡人數(shù)據(jù);
• 在開放式公共網(wǎng)絡(luò)中加密傳輸持卡人的數(shù)據(jù);
• 使用并定期更新防病毒軟件或程序;
• 開發(fā)和維護(hù)安全的系統(tǒng)和應(yīng)用程序;
• 根據(jù)業(yè)務(wù)須知原則，限制對持卡人數(shù)據(jù)的訪問;
• 為具有計算機(jī)訪問權(quán)限的每個人分配唯一性的ID;
• 限制對持卡人數(shù)據(jù)的物理訪問;
• 跟蹤和監(jiān)控對于網(wǎng)絡(luò)資源和持卡人數(shù)據(jù)的所有訪問;
• 定期測試安全系統(tǒng)和流程;
• 堅持對所有人宣傳信息安全的相關(guān)策略;

Saviynt的Kaufman表示：

行業(yè)組織已經(jīng)開始探索更深層次的合作方式，以解決欺詐問題。雖然很多這樣的項(xiàng)目都因?yàn)閿?shù)據(jù)共享的問題而受阻，但是新的無提供者(providerless)選項(xiàng)已經(jīng)開始出現(xiàn)，可以在數(shù)據(jù)層面上進(jìn)行協(xié)作，而無需真正共享任何個人用戶數(shù)據(jù)。隨著公司和行業(yè)組織間合作得越發(fā)緊密，他們打擊欺詐者的效率也將越來越高。

信用卡欺詐緩解建議

以下是目前業(yè)界普遍公認(rèn)的預(yù)防支付卡欺詐的最佳做法：

• 加密保存有信用卡數(shù)據(jù)的數(shù)據(jù)庫;
• 將定期檢查落實(shí)實(shí)踐，以便及時發(fā)現(xiàn)使用skimmer與已知命令和控制(C&C)服務(wù)器進(jìn)行的通信;
• 定期掃描目標(biāo)網(wǎng)站上是否存在漏洞和惡意軟件;
• 審核由合作伙伴或內(nèi)容分發(fā)網(wǎng)絡(luò)加載的第三方代碼是否存在惡意軟件;
• 使購物車軟件和其他服務(wù)保持最新狀態(tài)并定期打補(bǔ)丁;
• 使用強(qiáng)密碼策略并以最小權(quán)限原則限制訪問目標(biāo)網(wǎng)站的后臺管理頁面;
• 監(jiān)視暗網(wǎng)中是否存在被盜取的卡密數(shù)據(jù);
• 使用異常檢測軟件來識別和標(biāo)記可疑的活動;
• 鼓勵客戶選擇多因素身份驗(yàn)證，尤其是在更改個人信息和付款信息時;
• 對客戶進(jìn)行培訓(xùn)和教育，以發(fā)現(xiàn)和識別賬號已被盜用的跡象，并鼓勵他們勇于舉報任何可疑的行為;

“天下無賊”不過是烏托邦式的理想世界，我們能做的是加強(qiáng)防范，最大限度地降低欺詐行為帶來的影響。