由于芯片卡驱使他们实施账户接管和无卡计划,信用卡和支付卡小偷变得越来越狡猾。
今年4月底,来自美国的Anton Hinton接到一个自称是摩根大通的人(JPMorgan Chase)人们打来的电话。打电话的人知道Hinton的全名、电子邮件地址和账户的最后四位数字,并称Hinton借记卡号被盗,需要冻结。
打电话的人告诉我Hinton,在大通把新卡寄到克利夫兰家之前,他必须设置一个数字钱包来购物。在通话过程中,Hinton从表面上看,我收到了一封来自大同银行的电子邮件,里面有一个一次性激活码,里面有一个数字钱包。
挂断电话后,Hinton发现自己在佛罗里达买了超过300美元的东西……
这是成千上万的信用卡诈骗案件中常见的一起。可以说,支付卡的普及不仅方便了消费者和企业,也方便了欺诈者。
疫情催发金融诈骗
据《华尔街日报》报道,在新冠肺炎流行期间,越来越多的欺诈者利用窃取的信用卡号码和网络钓鱼来攻击负担不起的消费者和银行。
根据美国富达国家信息服务公司(FIS)数据显示,自今年早些时候新冠肺炎导致美国经济停滞以来,信用卡和借记卡诈骗案件数量大幅增加。该公司协助约3200家美国银行进行欺诈监控。FIS4月份试图进行欺诈交易的美元数量比去年同期增加了35%,这一趋势似乎在5月份继续。
可以说,欺诈是银行长期存在的问题。尼尔森报告根据实体卡和移动支付行业的出版物(Nilson Report)》最新数据显示,2018年全球支付卡欺诈损失已达到278.51亿美元。相当于支付卡用户每支出100美元,就会产生10.83美元的损失,去年的损失是每100美元11.12美元。这也让信用卡发卡行产生了欺诈已经得到控制的错觉。
安全意识培训提供商KnowBe4公司保护专家Roger Grimes表示,
“大多数信用卡担保人最担心的不仅仅是欺诈,还有阻止消费者合法交易的不公平。虽然大多数系统都在不断更新和迭代,但他们仍然无法很好地检测信用卡欺诈,他们所能做的就是简单地防止合法交易,以避免客户损失。因此,它也造成了这种令人震惊的现象——大多数活动都被阻止了“假阳性”交易并没有真正减少欺诈。”
欺诈对消费者和企业的直接影响有限。如果数据被盗,小偷开始疯狂消费,责任限额只有50美元。
消费者和企业可能会看到,随着商家和信用卡发卡机构转移损失成本,欺诈成本将以商品和服务价格上涨的形式出现。消费者安全产品信息网站Comparitech.com隐私倡导者Paul Bischoff指出,
“最后,只要我们继续使用信用卡,一定数量的欺诈将永远存在。我们所有人支付的大部分信用卡信息都用于补偿欺诈。”
信用卡欺诈的范围和趋势
近年来,发卡机构通过使用EMV的PIN芯片技术提高了物理卡的安全性。OneSpan高级经理(反欺诈和数字交易管理解决方案提供商)Greg Hancell表示:
“EMV这是一个巨大的飞跃。在使用该技术的国家,信用卡欺诈一夜之间消失了。但麻烦是,随着互联网和网上购物的发展,无卡欺诈(在线支付卡欺诈)案件继续增加。”
2018年美联储发布的一项研究指出,它开始在美国发行EMV类型卡一年后,从2015年开始使用实体信用卡进行欺诈交易。36.82016年,亿美元跌至2016年29.11亿美元。同时,在同一时期,无卡欺诈,即通过电话或在线交易使用信用卡号码的欺诈,从34亿美元上升到45.7亿美元。据Javelin Strategy&Research到目前为止,呈持续增长趋势,到目前为止,“无卡化”欺诈攻击的发生概率比起实体卡的欺诈要高出81%。
然而,由于EMV技术的采用并没有实现全球一致,这也为一些全球犯罪团伙打开了大门。有组织的犯罪集团可以支持EMV国家/地区ATM有无线电的安装在机器或销售终端上。skimmer(一种在用户不知情的情况下捕获支付卡信息的硬件设备)skimmer收集到的数据发送给身体EMV这个国家的同伙。他们通常可以在不到一分钟的时间内获得相关信息,并打印新卡。这种伪造的卡在使用时不会发生EMV问题。
随着自动化的发展,无卡攻击可能会成为更广泛的威胁。如果安装在机器上skimmer,那么可能只有少数人会访问该设备,而且skimmer随时都有被发现的风险。然而,在无卡环境中,攻击者可以直接从信用账户获取详细信息,或通过感染恶意软件窃取目标网络的所有潜在受害者。
当然,专业的欺诈者通常更喜欢大规模的攻击,因为他们想要最大限度地提高投资回报,所以他们更喜欢使用僵尸网络尽快控制更多的网站,包括伪装ID或IP地址进行新的攻击。
随着欺诈检测系统变得越来越复杂和智能化,网络欺诈者正在尽最大努力掩盖自己的行为。他们会试图用各种代理来掩盖自己IP。一些有经验的攻击者甚至会IP地址位于他们计划使用的被盗卡的账单地址附近。同时,他们也可以使用模拟器生成智能移动设备,通过更改计算机系统上的时间来匹配相关时间区域,甚至使用虚拟机、被清除或越狱的设备来伪装成正常用户的交易设备。
如今,信用卡欺诈已经发展成为一个巨大而复杂的“企业”,甚至开始呈现合法业务的特点。例如,它已经形成了明确的分工。从近年来的各种欺诈和数据泄露案例中,我们发现恶意软件的创建者、非法支付系统的维护者以及包装和销售信用信息的人员之间形成了一系列大规模、有组织和协调的合作网络。
此外,信用卡小偷还以数字钱包为攻击目标。在黑市中,被盗账户中的余额将被出售并加载到一些非存款账户中。然后,这些余额将通过“点对点”(peer-to-peer)转移到另一个购买礼品卡或预付卡的个人,这些卡在使用时不受个人限制。换句话说,此类卡中的金额可以在互联网上匿名转移和使用。
21本世纪初,俄罗斯地下组织成为信用卡盗窃领域的领导者。到目前为止,他们一直处于金融欺诈的前沿,甚至建立了网络犯罪即服务的模式。正是他们的存在为经验丰富的网络罪犯和新手创造了端到端服务,从而加快了漏洞利用技术的发展。
近年来,欺诈者的购买习惯也发生了变化。考虑到实物商品难以转化为现金,容易被执法部门追踪,他们有选择地避免实物商品,购买礼品卡、加密货币、数字商品等更难跟踪的无形商品。此外,他们还将尝试从信用账户的积分计划中获利。
然而,这种欺诈的爆发可能会反过来损害信用卡小偷的利益。数据显示,信用账户欺诈呈供过于求的趋势,想要使用它们的罪犯显然表现出需求不足。这种现象最直观的表现是,黑市中被盗账户的价格已经降低到每个账户只有几美元。
支付卡欺诈类型
(1) 接管账户
恶意行为人取得账户凭证的,可以通过与账户绑定的任何支付卡购买商品。他们还可以查看账户持有人的个人信息,复制存储在那里的任何信用信息,并使用它购买账户以外的东西。例如,如果有人破坏了亚马逊账户,他们可以使用任何与该账户相关的支付方式来购买商品,并添加商品的接收地址。
攻击者可以通过各种方式获得目标账户的信任凭证:在暗网上购买或通过欺骗获得。一个人会收到电子邮件或短信提醒,说他们的账户有问题。他们点击链接进入伪造网站以获取登录凭证,然后攻击者将使用该凭证成功接管受害者的账户。
(2) Skimmers和shimmers
Skimmer支付卡信息主要在卡的磁条上捕获,shimmer则是从EMV在类型卡中获取数据。它们通常被放置在ATM或者在出纳终端的硬件设备上,旨在窃取用于完成合法交易的信息。然而,由于安装此类硬件可能需要大量的人力,而且很容易被发现,欺诈者通常通过植入恶意软件远程路由并感染POS系统。
(3) 劫持(Formjacking)
Formjacking流行在很大程度上归功于Magecart,该组织包括至少7个犯罪集团通过skimming恶意软件感染了成千山万个电子商务网站的购物车,其目标包括Ticketmaster、英国航空公司和新蛋网(Newegg)等。
网络安全公司JunIPer Networks威胁实验室负责人Mounir Hahad表示,
“劫持是欺诈者最常用的技术之一。一个恶意脚本被注入感染商家网站的支付页面,窃取购物者输入的信用卡信息,并发送给攻击者。”
(4) 利用漏洞
欺诈者还可以利用软件中的漏洞从包括信用卡数据在内的设备中窃取各种信息。Magecart攻击曾利用MAGMI(一个基于Magneto恶意代码植入其网站,导致用户支付信息被盗。
(5) 网络钓鱼
似乎无论我们如何警告用户,他们仍然无法控制地点击陌生电子邮件中的各种链接。单击此类链接通常被重定向到恶意网站。该网站将试图在受害者的计算机上植入恶意软件,然后窃取所有文本的简单键盘记录,或搜索和分析复杂信用卡等相关数据。
(6) 内部威胁
几乎所有卡密交易企业的金融机构、信用卡制造商/发行商、酒店、零售商或不良员工都可能参与欺诈。
(7)反欺诈法规
主要供应商的信用卡组织必须遵守支付卡行业的数据安全标准(PCI DSS)。无论是商家还是独立软件开发商(ISV),任何存储、处理、传输或以其他方式操纵持卡人数据的人,以及能够影响持卡人数据安全的服务提供商,都必须符合要求PCI DSS具体要求包括:
- 安装并维持防火墙的配置,以保护持卡人的数据;
- 系统密码等安全参数不得使用供应商提供的默认值;
- 保护已存储的持卡人数据;
- 持卡人数据在开放式公共网络中加密传输;
- 定期使用和更新防病毒软件或程序;
- 开发和维护安全系统和应用程序;
- 根据业务说明原则,限制访问持卡人数据;
- 为每个有计算机访问权限的人分配独特性ID;
- 限制对持卡人数据的物理访问;
- 所有访问网络资源和持卡人数据的跟踪和监控;
- 安全系统和流程的定期测试;
- 坚持宣传信息安全的相关策略;
缓解信用卡欺诈的建议
以下是预防支付卡欺诈的最佳做法:
- 信用卡数据数据库加密保存;
- 定期检查实施实践,及时发现使用skimmer已知命令和控制(C&C)通信服务器;
- 定期扫描目标网站上是否存在漏洞和恶意软件;
- 审查合作伙伴或内容分发网络加载的第三方代码是否存在恶意软件;
- 保持购物车软件等服务的最新状态,定期补丁;
- 使用强密码策略,限制访问目标网站的背景管理页面;
- 监控暗网中是否有被盗卡密数据;
- 使用异常检测软件识别和标记可疑活动;
- 鼓励客户选择多因素身份验证,特别是在更改个人信息和付款信息时;
- 培训和教育客户,发现和识别账户被盗的迹象,鼓励他们报告任何可疑行为;