信用卡欺詐:你需要了解的真相
信用卡和支付卡竊賊正變得越來越狡猾,因?yàn)樾酒?qū)使他們實(shí)施賬戶接管和無卡計劃。
今年4月底,來自美國的Anton Hinton接到一個自稱是摩根大通(JPMorgan Chase)的人打來的電話。打電話的人知道Hinton的全名、電子郵件地址和賬戶的最后四位數(shù)字,并稱Hinton的借記卡號碼被盜,需要凍結(jié)。
打電話的人告訴Hinton,在大通把新卡寄到他在克利夫蘭的家中之前,得先設(shè)置一個數(shù)字錢包來購物。在通話過程中,Hinton收到了一封電子郵件,表面上看的確是來自大通銀行,里面有設(shè)置數(shù)字錢包的一次性激活碼。
掛斷電話后,Hinton發(fā)現(xiàn)自己在佛羅里達(dá)買了超過300美元的東西……
這就是千千萬萬起信用卡詐騙案中的尋常一起??梢哉f,支付卡的普及不僅方便了消費(fèi)者和企業(yè),同時也方便了欺詐者。
疫情催發(fā)金融詐騙

據(jù)《華爾街日報》報道,在新冠病毒大流行期間,越來越多的欺詐者利用竊取的信用卡號碼和網(wǎng)絡(luò)釣魚來攻擊不堪重負(fù)的消費(fèi)者和銀行。
根據(jù)美國富達(dá)國家信息服務(wù)公司(FIS)提供的數(shù)據(jù)顯示,自今年早些時候新冠病毒導(dǎo)致美國經(jīng)濟(jì)陷入停滯以來,信用卡和借記卡詐騙案件數(shù)量大幅增加。該公司協(xié)助約3,200家美國銀行進(jìn)行欺詐監(jiān)控。FIS指出,4月份試圖進(jìn)行欺詐交易的美元數(shù)量較上年同期增長了35%,這一趨勢似乎在5月份仍在繼續(xù)。
可以說,欺詐是銀行長期存在的問題。根據(jù)實(shí)體卡和移動支付行業(yè)出版物《尼爾森報告(Nilson Report)》的最新數(shù)據(jù)顯示:2018年全球支付卡欺詐損失已達(dá)278.5億美元。相當(dāng)于,支付卡用戶每支出100美元,就會產(chǎn)生10.83美元的損失,而上一年度該數(shù)字則為每100美元損失11.12美元。這也讓信用卡發(fā)卡行產(chǎn)生了欺詐行為已經(jīng)得到控制的假象。
安全意識培訓(xùn)提供商KnowBe4公司的防護(hù)專家Roger Grimes表示,
“大多數(shù)信用卡擔(dān)保人最擔(dān)心的不只是欺詐問題,他們更擔(dān)心的是不公平地阻斷了消費(fèi)者的合法交易。雖然大多數(shù)系統(tǒng)都在持續(xù)更新和迭代,但是它們?nèi)匀粺o法很好地檢測信用卡欺詐行為,它們能做到的只是簡單地阻止合法交易來避免客戶損失。因此,也造成了這種令人震驚的現(xiàn)象——大多數(shù)活動都是在阻止“假陽性”交易,而并未切實(shí)地減少真正意義上的欺詐行為。”
欺詐對于消費(fèi)者和企業(yè)的直接影響有限。如果一份數(shù)據(jù)被竊取,并且小偷開始瘋狂消費(fèi),其責(zé)任限額也僅為50美元。
消費(fèi)者和企業(yè)可能會看到,隨著商家和信用卡發(fā)卡機(jī)構(gòu)將損失成本轉(zhuǎn)嫁,欺詐成本將以商品和服務(wù)價格上漲的形式出現(xiàn)。消費(fèi)者安全產(chǎn)品信息網(wǎng)站Comparitech.com的隱私權(quán)倡導(dǎo)者Paul Bischoff指出,
“最終,只要我們繼續(xù)使用信用卡,一定數(shù)量的欺詐行為就會一直存在。我們所有人支付的信用卡信息的很大一部分都用于補(bǔ)償欺詐行為。”
信用卡欺詐的范圍和趨勢
近年來,發(fā)卡機(jī)構(gòu)通過使用EMV的PIN和芯片技術(shù)提高了物理卡的安全性。OneSpan(一家反欺詐和數(shù)字交易管理解決方案提供商)的高級經(jīng)理Greg Hancell表示:
“EMV算得上一個巨大的飛躍。在采用該技術(shù)的國家中,信用卡欺詐行為一夜之間就消失了。但是麻煩是,隨著網(wǎng)絡(luò)和網(wǎng)購的發(fā)展,無卡欺詐(線上支付卡欺詐)案件仍在持續(xù)增加。”
美聯(lián)儲于2018年發(fā)布的一項(xiàng)研究指出,在美國開始發(fā)行EMV類型卡的一年之后,使用實(shí)體信用卡進(jìn)行欺詐交易的行為,從2015年的36.8億美元下降到了2016年的29.1億美元。與此同時,在同一時期內(nèi),無卡詐騙,即通過電話或在線交易中使用信用卡號碼的詐騙,則從34億美元上升至45.7億美元。據(jù)Javelin Strategy&Research稱,在線欺詐一直呈持續(xù)增長的趨勢,到目前為止,“無卡化”欺詐攻擊的發(fā)生概率比起實(shí)體卡的欺詐要高出81%。
然而,由于EMV技術(shù)的采用并未實(shí)現(xiàn)全球一致,這也為一些全球性的犯罪團(tuán)伙敞開了大門。有組織的犯罪集團(tuán)可以在一個支持EMV國家/地區(qū)的ATM機(jī)或銷售終端上安裝帶有無線電的skimmer(一種在用戶不知情的情況下捕獲支付卡信息的硬件設(shè)備),然后將這些skimmer收集到的數(shù)據(jù)發(fā)送給身處無EMV國家的同伙。他們往往可以在不到一分鐘的時間內(nèi)獲取相關(guān)的信息,并打印出新的卡片。而且此類偽造卡在被使用時,不會發(fā)生任何EMV問題。
無卡的攻擊可能會成為更廣泛的威脅,因?yàn)樗鼈兛梢噪S著自動化的發(fā)展而擴(kuò)大規(guī)模。如果在一臺機(jī)器上安裝skimmer,那么可能只有少數(shù)人會訪問該設(shè)備,而且skimmer也隨時存在被發(fā)現(xiàn)的風(fēng)險。但是在無卡的環(huán)境中,攻擊者可以向目標(biāo)網(wǎng)絡(luò)的所有潛在受害者發(fā)起釣魚攻擊,以直接套取信用賬戶的詳細(xì)信息,或者以感染惡意軟件的方式,竊取其詳細(xì)的信息。
當(dāng)然,專業(yè)的欺詐者通常更喜歡大規(guī)模的攻擊活動,因?yàn)樗麄兿M畲蟪潭鹊靥岣咄顿Y回報率,所以,他們更傾向于使用僵尸網(wǎng)絡(luò)來盡快操控更多的站點(diǎn),包括使用偽裝的ID或IP地址來開展新的攻擊。
隨著欺詐檢測系統(tǒng)變得越來越復(fù)雜和智能,網(wǎng)絡(luò)欺詐者正竭盡全力掩蓋自己的行跡。他們會嘗試使用各種代理來掩蓋自己的IP。而一些經(jīng)驗(yàn)豐富的攻擊者甚至?xí)P地址定位在他們計劃使用的被盜卡的賬單地址附近。與此同時,他們還可能會使用模擬器來生成智能移動設(shè)備,通過更改電腦系統(tǒng)上的時間來匹配相關(guān)的時區(qū),甚至使用虛擬機(jī)、已擦除或越獄的設(shè)備,來偽裝成正常用戶的交易設(shè)備。
如今,信用卡欺詐已經(jīng)發(fā)展成為一個龐大且復(fù)雜的“企業(yè)”,甚至開始呈現(xiàn)出合法業(yè)務(wù)的特征。例如,它已經(jīng)形成了明確的分工。從近年來發(fā)生的各種欺詐和數(shù)據(jù)泄露案例中,我們發(fā)現(xiàn),在惡意軟件的創(chuàng)建者、非法支付系統(tǒng)的維護(hù)者、以及打包出售信用信息的人員之間,已經(jīng)形成了一系列大規(guī)模、有組織和協(xié)調(diào)能力的協(xié)作網(wǎng)絡(luò)。
此外,信用卡盜賊也將數(shù)字錢包作為了攻擊目標(biāo)。在黑市上,那些被盜用賬戶里的余額會被出售和加載到某些非存款類帳戶中。然后,這些余額就會通過“點(diǎn)對點(diǎn)”(peer-to-peer)的方式轉(zhuǎn)移到另一個購買禮品卡或預(yù)付卡的個人,這些卡在使用時不受個人約束。也就是說,此類卡中的金額完全可以在網(wǎng)上被匿名轉(zhuǎn)移和使用。
21世紀(jì)初,講俄語的地下組織成為了信用卡盜竊領(lǐng)域的領(lǐng)頭羊,直至如今,他們一直走在金融欺詐的最前沿,甚至建立了網(wǎng)絡(luò)犯罪即服務(wù)的模式。正是他們的存在,為有經(jīng)驗(yàn)的網(wǎng)絡(luò)罪犯和新手創(chuàng)造了端到端的服務(wù),從而加快了漏洞利用技術(shù)的發(fā)展。
近年來,欺詐者的購買習(xí)慣也發(fā)生了變化。考慮到實(shí)物商品很難轉(zhuǎn)換成現(xiàn)金,而且很容易被執(zhí)法部門追蹤到,所以他們有選擇地避開了實(shí)物商品,轉(zhuǎn)而購買更難追蹤的無形物品,例如禮品卡、加密貨幣和數(shù)字商品等。此外,他們還會嘗試著從信用賬戶的積分計劃中獲得收益。
不過,這種欺詐行為的大爆發(fā)很可能反過來傷害了信用卡盜賊的利益。有數(shù)據(jù)表明,信用賬戶欺詐呈現(xiàn)出了供過于求的趨勢,想要使用它們的罪犯明顯表現(xiàn)出了需求不足的情況。而這種現(xiàn)象最直觀的體現(xiàn)就是,黑市上被盜賬戶的價格已經(jīng)降低到了每張僅值幾美元。
支付卡欺詐類型
(1) 帳戶接管
如果惡意行為者獲得了某個帳戶的憑據(jù),那么他們就可以通過與該帳戶綁定的任何支付卡購買商品。他們還可以查看賬戶持有人的個人資料,復(fù)制存儲在那里的任何信用信息,并用它來購買賬戶以外的東西。例如,如果有人破壞了一個亞馬遜賬戶,那么他們就可以使用與該賬戶相關(guān)的任何付款方式來購買商品,并添加商品的收貨地址。
攻擊者可以采用多種方式來獲得目標(biāo)帳戶的信任憑據(jù):在暗網(wǎng)上購買或通過欺騙手段獲取。一個人會收到電子郵件或短信提醒,說他們的賬戶出了問題。他們點(diǎn)擊鏈接就會進(jìn)入到一個偽造的站點(diǎn),從而套取他們的登錄憑據(jù),然后,攻擊者就會使用該憑證來成功接管受害者的賬戶。
(2) Skimmers和shimmers
Skimmer主要是在卡的磁條上捕獲支付卡信息,而shimmer則是從EMV類型卡中獲取數(shù)據(jù)。它們通常被放置在ATM或收銀終端的硬件設(shè)備上,旨在竊取用于完成合法交易的信息。不過,由于安插此類硬件可能會耗費(fèi)大量人力,且極易被發(fā)現(xiàn),因此欺詐者通常會通過植入惡意軟件的方式來遠(yuǎn)程路由并感染POS系統(tǒng)。
(3) 劫持(Formjacking)
Formjacking的流行很大程度上要?dú)w功于Magecart,該組織包括至少7個犯罪集團(tuán),這些犯罪集團(tuán)通過skimming惡意軟件感染了成千山萬個電子商務(wù)站點(diǎn)的購物車,他們攻擊過的目標(biāo)包括Ticketmaster、英國航空公司以及新蛋網(wǎng)(Newegg)等。
網(wǎng)絡(luò)安全公司JunIPer Networks的威脅實(shí)驗(yàn)室負(fù)責(zé)人Mounir Hahad表示,
“劫持是欺詐者最常用的技術(shù)之一。一個惡意腳本被注入到受感染商家網(wǎng)站的付款頁面中,以竊取毫無戒心的購物者所輸入的信用卡信息,并將其發(fā)送給攻擊者。”
(4) 利用漏洞
欺詐者還可以利用軟件中存在的漏洞從設(shè)備中竊取各種信息,包括信用卡數(shù)據(jù)。例如,Magecart攻擊曾利用MAGMI(一個基于Magneto在線商店的插件)中的錯誤,在其網(wǎng)站上植入了惡意代碼,從而導(dǎo)致用戶支付信息被竊取。
(5) 網(wǎng)絡(luò)釣魚
似乎無論我們?nèi)绾尉嬗脩?,他們?nèi)匀粫刂撇蛔〉攸c(diǎn)擊陌生電子郵件中的各種鏈接。單擊此類鏈接通常會被重定向至惡意網(wǎng)站上,該網(wǎng)站會試圖在受害者計算機(jī)上植入惡意軟件,進(jìn)而竊取所有文本類的簡單的鍵盤記錄,或是去查找和解析復(fù)雜的信用卡等相關(guān)數(shù)據(jù)。
(6) 內(nèi)部威脅
金融機(jī)構(gòu)、信用卡制造/發(fā)行商、飯店、零售商或是幾乎所有的卡密交易企業(yè)的不良員工都可能參與欺詐活動。
(7) 反欺詐法規(guī)
處理來自主要提供商的信用卡的組織必須遵守支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)。無論是商戶、獨(dú)立軟件開發(fā)商(ISV),還是任何存儲、處理、傳輸或以其他方式操縱持卡人數(shù)據(jù)的人,以及能夠影響持卡人數(shù)據(jù)安全性的服務(wù)供應(yīng)商,都必須符合PCI DSS的要求,具體包括:
- 安裝并維持防火墻的配置,以保護(hù)持卡人的數(shù)據(jù);
- 不要將供應(yīng)商提供的默認(rèn)值用于系統(tǒng)的密碼和其他安全參數(shù);
- 保護(hù)已存儲的持卡人數(shù)據(jù);
- 在開放式公共網(wǎng)絡(luò)中加密傳輸持卡人的數(shù)據(jù);
- 使用并定期更新防病毒軟件或程序;
- 開發(fā)和維護(hù)安全的系統(tǒng)和應(yīng)用程序;
- 根據(jù)業(yè)務(wù)須知原則,限制對持卡人數(shù)據(jù)的訪問;
- 為具有計算機(jī)訪問權(quán)限的每個人分配唯一性的ID;
- 限制對持卡人數(shù)據(jù)的物理訪問;
- 跟蹤和監(jiān)控對于網(wǎng)絡(luò)資源和持卡人數(shù)據(jù)的所有訪問;
- 定期測試安全系統(tǒng)和流程;
- 堅持對所有人宣傳信息安全的相關(guān)策略;
Saviynt的Kaufman表示:
“PCI已經(jīng)做了很多工作,通過強(qiáng)制控制、滲透測試和年度審計,來幫助組織確保自己的信用卡交易和銀行卡數(shù)據(jù)存儲的安全。雖然這并不能限制欺詐交易,但它確實(shí)增加了侵入銀行卡處理器并帶走數(shù)千張卡的難度,這確實(shí)限制了欺詐的可能性。” |
行業(yè)組織已經(jīng)開始探索更深層次的合作方式,以解決欺詐問題。雖然很多這樣的項(xiàng)目都因?yàn)閿?shù)據(jù)共享的問題而受阻,但是新的無提供者(providerless)選項(xiàng)已經(jīng)開始出現(xiàn),可以在數(shù)據(jù)層面上進(jìn)行協(xié)作,而無需真正共享任何個人用戶數(shù)據(jù)。隨著公司和行業(yè)組織間合作得越發(fā)緊密,他們打擊欺詐者的效率也將越來越高。
信用卡欺詐緩解建議
以下是目前業(yè)界普遍公認(rèn)的預(yù)防支付卡欺詐的最佳做法:
- 加密保存有信用卡數(shù)據(jù)的數(shù)據(jù)庫;
- 將定期檢查落實(shí)實(shí)踐,以便及時發(fā)現(xiàn)使用skimmer與已知命令和控制(C&C)服務(wù)器進(jìn)行的通信;
- 定期掃描目標(biāo)網(wǎng)站上是否存在漏洞和惡意軟件;
- 審核由合作伙伴或內(nèi)容分發(fā)網(wǎng)絡(luò)加載的第三方代碼是否存在惡意軟件;
- 使購物車軟件和其他服務(wù)保持最新狀態(tài)并定期打補(bǔ)丁;
- 使用強(qiáng)密碼策略并以最小權(quán)限原則限制訪問目標(biāo)網(wǎng)站的后臺管理頁面;
- 監(jiān)視暗網(wǎng)中是否存在被盜取的卡密數(shù)據(jù);
- 使用異常檢測軟件來識別和標(biāo)記可疑的活動;
- 鼓勵客戶選擇多因素身份驗(yàn)證,尤其是在更改個人信息和付款信息時;
- 對客戶進(jìn)行培訓(xùn)和教育,以發(fā)現(xiàn)和識別賬號已被盜用的跡象,并鼓勵他們勇于舉報任何可疑的行為;
“天下無賊”不過是烏托邦式的理想世界,我們能做的是加強(qiáng)防范,最大限度地降低欺詐行為帶來的影響。