【.com快译】支付卡的普及不仅方便了消费者和商家,也方便了诈骗分子。据实体卡和移动支付行业刊物--《尼尔森报告(Nilson Report)》最新数据显示:2018年全球支付卡欺诈损失达278.5亿美元。报告显示,支付卡用户每消费100美元,就会损失10.83美元。相比之下,去年每100美元亏损11.12美元。安全意识培训提供商KnowBe4的美国国防部布道者RogerGrimes曾指出,欺诈并不是大多数支付卡服务提供商担心的唯一事情。阻止合法交易也值得他们密切关注。从简单的商品和服务异常涨价监测,到各种技术手段的检测,虽然大部分系统都在不断更新迭代,但其对支付卡诈骗攻击的防御也呈现出一些虚假的安全态势。支付卡诈骗的范围和趋势近年来,发卡机构纷纷采用EMV的PIN和芯片技术(参见——https://www.csoonline.com/article/2685514/chip-and-pin-no-panacea-but-worth-the-effort-and-the-cost.html)提高了物理卡的安全性。尽管EMV在有效打击线下欺诈方面取得了巨大飞跃,但在线支付卡欺诈仍在继续增加。美联储在2018年发布的一项研究指出,在美国开始发行EMV卡一年后,使用实体支付卡进行的欺诈交易从2015年的36.8亿美元下降到2016年的29.1亿美元。同期,涉及电话或在线交易的欺诈案件从34亿美元增加到45.7亿美元。如今,与无卡相关的欺诈攻击比有卡欺诈高81%。由于EMV技术在全球的普及程度参差不齐,一些有组织的犯罪集团可以安装配备无线电的检漏器(radio-enabledskimmer,一种在用户不知情的情况下捕获支付卡信息的硬件设备),然后将收集到的数据发送给同伙在无EMV的国家。他们通常可以在不到一分钟的时间内获得相关信息并打印一张新卡。并且使用这种假卡时,不会出现EMV问题。与实体卡攻击相比,攻击者更容易在无卡环境下对目标网络的所有潜在受害者发起钓鱼攻击,直接提取信用账户信息;或者通过感染恶意软件来窃取他们的详细信息。信息。此外,他们还可以利用僵尸网络尽快控制更多站点,包括使用虚假ID或IP地址发起新的攻击。例如,一些有经验的攻击者会模拟目标账户经常进行网上交易的IP地址段。同时,他们可能利用仿真器生成智能移动设备,更改计算机系统上的时间以匹配相关时区,甚至利用虚拟机、擦除和越狱设备,冒充普通用户的交易设备.随着网络协同效率的提高,针对无卡信用账户的诈骗已经成为一条庞大的产业链。这条链条上有明确的分工协作。从近年来发生的各类诈骗和数据泄露案件中,不难发现:恶意软件的制作者、非法支付系统的维护者、信用信息的打包销售者之间,形成了一个规模庞大的体系。.具有组织和协调能力的协作网络。此外,他们还为新手攻击者创建了端到端服务,从而“反馈”并加速漏洞利用技术的发展。如今,账户劫持者也将目标锁定在数字钱包上。在黑市上,这些受损账户的余额被出售并存入某些非存款账户。此类攻击通常针对从被盗账户购买的礼品卡,或无法与个人现金账户绑定的预付卡。也就是说,这类卡内的金额可以在网上完全匿名转移和使用。近年来,骗子的“购买习惯”也发生了变化。考虑到实物商品难以兑换成现金且容易被执法部门追踪,他们避开实物商品,转而购买更难以追踪的无形物品,例如礼品卡、加密货币和数字商品。此外,他们还会尝试从信用账户的积分计划中获取收益。然而,随着各国监管趋严和打击手段加强,近期研究发现:信用账户诈骗呈现供过于求的趋势,该行业的“从业人员”感受到了需求不足的压力。这直接体现在黑市上:被盗账号的价格已经降到只有几美元一个。信用账户诈骗类型账户接管虽然攻击者可以使用不同的方法获取目标账户的信任凭证,但最常见的方法是:直接在暗网上购买,或者通过电子邮件钓鱼等欺诈手段捕获。攻击者一旦获得目标账户的信任凭证,除了可以直接使用该账户绑定的支付卡购买商品外,还可以添加或修改已有的个人信息,如添加新的商品收货地址等。Skimmers和shimmersSkimmers主要捕获卡磁条上的支付卡信息;whileshimmers(参见——https://www.csoonline.com/article/3104393/black-hat-atm-spits-out-cash-after-chip-and-pin-hack.html)是从EMV获取数据类型卡。它们通常嵌入到ATM或收银机终端等硬件设备中,以窃取用于完成合法交易的信息。然而,由于安装此类硬件既费时又冒险,攻击者通常使用恶意软件远程路由和感染POS(销售点)系统(参见--https://www.csoonline.com/article/2459967/nearly-600-business-impacted-by-pos-malware-attack.html)。Formjacking作为最常见的网络欺诈形式之一,通过在目标站点的支付页面注入恶意脚本,窃取购物者输入的支付卡信息,并及时转发给攻击者。此类攻击的一个典型示例:Magecart,一个至少由七个犯罪集团组成的集团,用恶意软件感染了数千个电子商务网站的购物车。他们攻击的目标包括:Ticketmaster、BritishAirways和Newegg等。利用漏洞这种类型的攻击利用支付程序中的缺陷从设备中窃取卡加密数据和信息。例如,Magecart曾利用基于Magneto网店的插件MAGMI中的漏洞,在其网站植入恶意代码,导致用户支付信息被盗。网络钓鱼就是所谓的“好奇害死猫”。无论我们如何警告用户,他们仍然会点击不熟悉的电子邮件中的各种链接并最终被重定向到恶意网站而逃脱惩罚。该网站试图在受害者的计算机上植入恶意软件,以窃取简单的文本键盘记录器,或查找和解析复杂的数据模式。内部威胁俗话说:“祸从墙外”。无论是金融机构、支付卡制造商、在线电子商务公司,还是线下零售店,几乎所有的卡加密交易公司都需要密切监控内部员工的不正当和非法欺诈行为。反欺诈法规如今,无论是提供卡加密交易服务的企业商户,还是独立软件供应商(IndependentSoftwareVendors,ISV),只要涉及存储、处理、传输或以其他方式处置持卡人数据,以及可能影响持卡人数据安全的必须符合支付卡行业数据安全标准(PCI-DSS,参见--https://www.csoonline.com/article/3566072/pci-dss-explained-requirements-fines-and-steps-to-compliance.html)。具体要求包括:安装和维护防火墙配置以保护持卡人数据。不要使用供应商提供的默认系统密码和其他安全参数。保护存储的持卡人数据。跨开放公共网络加密传输持卡人数据。使用并定期更新防病毒软件或程序。开发和维护安全的系统和应用程序。根据开展业务需要做什么来限制对持卡人数据的访问。为每个具有访问权限的人分配一个唯一的ID。限制对持卡人数据的物理访问。跟踪和监控对网络资源和持卡人数据的所有访问。定期测试安全系统和流程。坚持对每个人进行信息安全教育的政策。此外,授权控制、渗透测试和年度审计也可以帮助组织保护卡交易和存储。减少支付卡欺诈的最佳实践以下是当前业界公认的防止支付卡欺诈的最佳实践:加密保存支付卡数据的数据库。通过定期检查,使用skimmer的人可以与已知的命令和控制(C&C)服务器进行通信。定期扫描目标网站的漏洞和恶意软件。审核由合作伙伴或CDN加载的第三方代码是否存在恶意软件。定期更新和修补您的购物车软件和其他服务。使用强密码策略,以最小权限原则限制对目标网站管理页面的访问。监控暗网,及时发现卡片加密数据是否被盗。使用异常检测软件识别和标记可疑活动。鼓励客户选择多重身份验证,尤其是在更改个人信息和支付方式时。通过培训和教育,使用户能够发现并识别其帐户已被盗用的迹象,并鼓励他们报告任何可疑行为。【原标题】信用卡诈骗:你现在需要知道的(作者:StacyCollett)
