信用卡和支付卡竊賊正變得越來越狡猾，因為芯片卡驅使他們實施賬戶接管和無卡計劃。

今年4月底，來自美國的Anton Hinton接到一個自稱是摩根大通(JPMorgan Chase)的人打來的電話。打電話的人知道Hinton的全名、電子郵件地址和賬戶的最后四位數字，并稱Hinton的借記卡號碼被盜，需要凍結。

打電話的人告訴Hinton，在大通把新卡寄到他在克利夫蘭的家中之前，得先設置一個數字錢包來購物。在通話過程中，Hinton收到了一封電子郵件，表面上看的確是來自大通銀行，里面有設置數字錢包的一次性激活碼。

掛斷電話后，Hinton發(fā)現自己在佛羅里達買了超過300美元的東西……

這就是千千萬萬起信用卡詐騙案中的尋常一起?？梢哉f，支付卡的普及不僅方便了消費者和企業(yè)，同時也方便了欺詐者。

疫情催發(fā)金融詐騙

據《華爾街日報》報道，在新冠病毒大流行期間，越來越多的欺詐者利用竊取的信用卡號碼和網絡釣魚來攻擊不堪重負的消費者和銀行。

根據美國富達國家信息服務公司(FIS)提供的數據顯示，自今年早些時候新冠病毒導致美國經濟陷入停滯以來，信用卡和借記卡詐騙案件數量大幅增加。該公司協助約3,200家美國銀行進行欺詐監(jiān)控。FIS指出，4月份試圖進行欺詐交易的美元數量較上年同期增長了35%，這一趨勢似乎在5月份仍在繼續(xù)。

可以說，欺詐是銀行長期存在的問題。根據實體卡和移動支付行業(yè)出版物《尼爾森報告(Nilson Report)》的最新數據顯示：2018年全球支付卡欺詐損失已達278.5億美元。相當于，支付卡用戶每支出100美元，就會產生10.83美元的損失，而上一年度該數字則為每100美元損失11.12美元。這也讓信用卡發(fā)卡行產生了欺詐行為已經得到控制的假象。

安全意識培訓提供商KnowBe4公司的防護專家Roger Grimes表示，

“大多數信用卡擔保人最擔心的不只是欺詐問題，他們更擔心的是不公平地阻斷了消費者的合法交易。雖然大多數系統都在持續(xù)更新和迭代，但是它們仍然無法很好地檢測信用卡欺詐行為，它們能做到的只是簡單地阻止合法交易來避免客戶損失。因此，也造成了這種令人震驚的現象——大多數活動都是在阻止“假陽性”交易，而并未切實地減少真正意義上的欺詐行為。”

欺詐對于消費者和企業(yè)的直接影響有限。如果一份數據被竊取，并且小偷開始瘋狂消費，其責任限額也僅為50美元。

消費者和企業(yè)可能會看到，隨著商家和信用卡發(fā)卡機構將損失成本轉嫁，欺詐成本將以商品和服務價格上漲的形式出現。消費者安全產品信息網站Comparitech.com的隱私權倡導者Paul Bischoff指出，

“最終，只要我們繼續(xù)使用信用卡，一定數量的欺詐行為就會一直存在。我們所有人支付的信用卡信息的很大一部分都用于補償欺詐行為。”

信用卡欺詐的范圍和趨勢

近年來，發(fā)卡機構通過使用EMV的PIN和芯片技術提高了物理卡的安全性。OneSpan(一家反欺詐和數字交易管理解決方案提供商)的高級經理Greg Hancell表示：

“EMV算得上一個巨大的飛躍。在采用該技術的國家中，信用卡欺詐行為一夜之間就消失了。但是麻煩是，隨著網絡和網購的發(fā)展，無卡欺詐(線上支付卡欺詐)案件仍在持續(xù)增加。”

美聯儲于2018年發(fā)布的一項研究指出，在美國開始發(fā)行EMV類型卡的一年之后，使用實體信用卡進行欺詐交易的行為，從2015年的36.8億美元下降到了2016年的29.1億美元。與此同時，在同一時期內，無卡詐騙，即通過電話或在線交易中使用信用卡號碼的詐騙，則從34億美元上升至45.7億美元。據Javelin Strategy&Research稱，在線欺詐一直呈持續(xù)增長的趨勢，到目前為止，“無卡化”欺詐攻擊的發(fā)生概率比起實體卡的欺詐要高出81%。

然而，由于EMV技術的采用并未實現全球一致，這也為一些全球性的犯罪團伙敞開了大門。有組織的犯罪集團可以在一個支持EMV國家/地區(qū)的ATM機或銷售終端上安裝帶有無線電的skimmer(一種在用戶不知情的情況下捕獲支付卡信息的硬件設備)，然后將這些skimmer收集到的數據發(fā)送給身處無EMV國家的同伙。他們往往可以在不到一分鐘的時間內獲取相關的信息，并打印出新的卡片。而且此類偽造卡在被使用時，不會發(fā)生任何EMV問題。

無卡的攻擊可能會成為更廣泛的威脅，因為它們可以隨著自動化的發(fā)展而擴大規(guī)模。如果在一臺機器上安裝skimmer，那么可能只有少數人會訪問該設備，而且skimmer也隨時存在被發(fā)現的風險。但是在無卡的環(huán)境中，攻擊者可以向目標網絡的所有潛在受害者發(fā)起釣魚攻擊，以直接套取信用賬戶的詳細信息，或者以感染惡意軟件的方式，竊取其詳細的信息。

當然，專業(yè)的欺詐者通常更喜歡大規(guī)模的攻擊活動，因為他們希望最大程度地提高投資回報率，所以，他們更傾向于使用僵尸網絡來盡快操控更多的站點，包括使用偽裝的ID或IP地址來開展新的攻擊。

隨著欺詐檢測系統變得越來越復雜和智能，網絡欺詐者正竭盡全力掩蓋自己的行跡。他們會嘗試使用各種代理來掩蓋自己的IP。而一些經驗豐富的攻擊者甚至會將IP地址定位在他們計劃使用的被盜卡的賬單地址附近。與此同時，他們還可能會使用模擬器來生成智能移動設備，通過更改電腦系統上的時間來匹配相關的時區(qū)，甚至使用虛擬機、已擦除或越獄的設備，來偽裝成正常用戶的交易設備。

如今，信用卡欺詐已經發(fā)展成為一個龐大且復雜的“企業(yè)”，甚至開始呈現出合法業(yè)務的特征。例如，它已經形成了明確的分工。從近年來發(fā)生的各種欺詐和數據泄露案例中，我們發(fā)現，在惡意軟件的創(chuàng)建者、非法支付系統的維護者、以及打包出售信用信息的人員之間，已經形成了一系列大規(guī)模、有組織和協調能力的協作網絡。

此外，信用卡盜賊也將數字錢包作為了攻擊目標。在黑市上，那些被盜用賬戶里的余額會被出售和加載到某些非存款類帳戶中。然后，這些余額就會通過“點對點”(peer-to-peer)的方式轉移到另一個購買禮品卡或預付卡的個人，這些卡在使用時不受個人約束。也就是說，此類卡中的金額完全可以在網上被匿名轉移和使用。

21世紀初，講俄語的地下組織成為了信用卡盜竊領域的領頭羊，直至如今，他們一直走在金融欺詐的最前沿，甚至建立了網絡犯罪即服務的模式。正是他們的存在，為有經驗的網絡罪犯和新手創(chuàng)造了端到端的服務，從而加快了漏洞利用技術的發(fā)展。

近年來，欺詐者的購買習慣也發(fā)生了變化。考慮到實物商品很難轉換成現金，而且很容易被執(zhí)法部門追蹤到，所以他們有選擇地避開了實物商品，轉而購買更難追蹤的無形物品，例如禮品卡、加密貨幣和數字商品等。此外，他們還會嘗試著從信用賬戶的積分計劃中獲得收益。

不過，這種欺詐行為的大爆發(fā)很可能反過來傷害了信用卡盜賊的利益。有數據表明，信用賬戶欺詐呈現出了供過于求的趨勢，想要使用它們的罪犯明顯表現出了需求不足的情況。而這種現象最直觀的體現就是，黑市上被盜賬戶的價格已經降低到了每張僅值幾美元。

支付卡欺詐類型

(1) 帳戶接管

如果惡意行為者獲得了某個帳戶的憑據，那么他們就可以通過與該帳戶綁定的任何支付卡購買商品。他們還可以查看賬戶持有人的個人資料，復制存儲在那里的任何信用信息，并用它來購買賬戶以外的東西。例如，如果有人破壞了一個亞馬遜賬戶，那么他們就可以使用與該賬戶相關的任何付款方式來購買商品，并添加商品的收貨地址。

攻擊者可以采用多種方式來獲得目標帳戶的信任憑據：在暗網上購買或通過欺騙手段獲取。一個人會收到電子郵件或短信提醒，說他們的賬戶出了問題。他們點擊鏈接就會進入到一個偽造的站點，從而套取他們的登錄憑據，然后，攻擊者就會使用該憑證來成功接管受害者的賬戶。

(2) Skimmers和shimmers

Skimmer主要是在卡的磁條上捕獲支付卡信息，而shimmer則是從EMV類型卡中獲取數據。它們通常被放置在ATM或收銀終端的硬件設備上，旨在竊取用于完成合法交易的信息。不過，由于安插此類硬件可能會耗費大量人力，且極易被發(fā)現，因此欺詐者通常會通過植入惡意軟件的方式來遠程路由并感染POS系統。

(3) 劫持(Formjacking)

Formjacking的流行很大程度上要歸功于Magecart，該組織包括至少7個犯罪集團，這些犯罪集團通過skimming惡意軟件感染了成千山萬個電子商務站點的購物車，他們攻擊過的目標包括Ticketmaster、英國航空公司以及新蛋網(Newegg)等。

網絡安全公司JunIPer Networks的威脅實驗室負責人Mounir Hahad表示，

“劫持是欺詐者最常用的技術之一。一個惡意腳本被注入到受感染商家網站的付款頁面中，以竊取毫無戒心的購物者所輸入的信用卡信息，并將其發(fā)送給攻擊者。”

(4) 利用漏洞

欺詐者還可以利用軟件中存在的漏洞從設備中竊取各種信息，包括信用卡數據。例如，Magecart攻擊曾利用MAGMI(一個基于Magneto在線商店的插件)中的錯誤，在其網站上植入了惡意代碼，從而導致用戶支付信息被竊取。

(5) 網絡釣魚

似乎無論我們如何警告用戶，他們仍然會控制不住地點擊陌生電子郵件中的各種鏈接。單擊此類鏈接通常會被重定向至惡意網站上，該網站會試圖在受害者計算機上植入惡意軟件，進而竊取所有文本類的簡單的鍵盤記錄，或是去查找和解析復雜的信用卡等相關數據。

(6) 內部威脅

金融機構、信用卡制造/發(fā)行商、飯店、零售商或是幾乎所有的卡密交易企業(yè)的不良員工都可能參與欺詐活動。

(7) 反欺詐法規(guī)

處理來自主要提供商的信用卡的組織必須遵守支付卡行業(yè)數據安全標準(PCI DSS)。無論是商戶、獨立軟件開發(fā)商(ISV)，還是任何存儲、處理、傳輸或以其他方式操縱持卡人數據的人，以及能夠影響持卡人數據安全性的服務供應商，都必須符合PCI DSS的要求，具體包括：

• 安裝并維持防火墻的配置，以保護持卡人的數據;
• 不要將供應商提供的默認值用于系統的密碼和其他安全參數;
• 保護已存儲的持卡人數據;
• 在開放式公共網絡中加密傳輸持卡人的數據;
• 使用并定期更新防病毒軟件或程序;
• 開發(fā)和維護安全的系統和應用程序;
• 根據業(yè)務須知原則，限制對持卡人數據的訪問;
• 為具有計算機訪問權限的每個人分配唯一性的ID;
• 限制對持卡人數據的物理訪問;
• 跟蹤和監(jiān)控對于網絡資源和持卡人數據的所有訪問;
• 定期測試安全系統和流程;
• 堅持對所有人宣傳信息安全的相關策略;

Saviynt的Kaufman表示：

“PCI已經做了很多工作，通過強制控制、滲透測試和年度審計，來幫助組織確保自己的信用卡交易和銀行卡數據存儲的安全。雖然這并不能限制欺詐交易，但它確實增加了侵入銀行卡處理器并帶走數千張卡的難度，這確實限制了欺詐的可能性。”

行業(yè)組織已經開始探索更深層次的合作方式，以解決欺詐問題。雖然很多這樣的項目都因為數據共享的問題而受阻，但是新的無提供者(providerless)選項已經開始出現，可以在數據層面上進行協作，而無需真正共享任何個人用戶數據。隨著公司和行業(yè)組織間合作得越發(fā)緊密，他們打擊欺詐者的效率也將越來越高。

信用卡欺詐緩解建議

以下是目前業(yè)界普遍公認的預防支付卡欺詐的最佳做法：

• 加密保存有信用卡數據的數據庫;
• 將定期檢查落實實踐，以便及時發(fā)現使用skimmer與已知命令和控制(C&C)服務器進行的通信;
• 定期掃描目標網站上是否存在漏洞和惡意軟件;
• 審核由合作伙伴或內容分發(fā)網絡加載的第三方代碼是否存在惡意軟件;
• 使購物車軟件和其他服務保持最新狀態(tài)并定期打補丁;
• 使用強密碼策略并以最小權限原則限制訪問目標網站的后臺管理頁面;
• 監(jiān)視暗網中是否存在被盜取的卡密數據;
• 使用異常檢測軟件來識別和標記可疑的活動;
• 鼓勵客戶選擇多因素身份驗證，尤其是在更改個人信息和付款信息時;
• 對客戶進行培訓和教育，以發(fā)現和識別賬號已被盜用的跡象，并鼓勵他們勇于舉報任何可疑的行為;

“天下無賊”不過是烏托邦式的理想世界，我們能做的是加強防范，最大限度地降低欺詐行為帶來的影響。