信用卡和支付卡窃贼越来越狡猾,因为芯片卡促使他们进行帐户接管和无卡计划。今年4月底,来自美国的AntonHinton接到了一个自称摩根大通(JPMorganChase)人士的电话。来电者知道Hinton的全名、电子邮件地址和账户的最后四位数字,称Hinton的借记卡号码被盗,需要冻结。在大通将新卡寄到他在克利夫兰的家中之前,来电者告诉Hinton设置一个数字钱包来进行购买。在通话期间,Hinton收到了一封电子邮件,表面上是来自大通银行,其中包含用于设置数字钱包的一次性激活码。挂断电话后,Hinton发现自己在佛罗里达州购买了价值300多美元的商品……这只是数千起信用卡骗局中的一件。可以说,支付卡的普及,不仅方便了消费者和商家,也方便了骗子。疫情催生金融诈骗据《华尔街日报》报道,在新冠病毒大流行期间,越来越多的诈骗分子利用窃取的信用卡号和网络钓鱼来攻击不堪重负的消费者和银行。根据FidelityNationalInformationServices(FIS)提供的数据,自今年早些时候冠状病毒使美国经济陷入停滞以来,信用卡和借记卡欺诈案件的数量大幅增加。该公司协助约3,200家美国银行进行欺诈监控。FIS指出,4月份试图进行欺诈交易的美元数量比去年同期增长了35%,这一趋势似乎在5月份仍在继续。可以说,欺诈是银行长期存在的问题。根据实体卡和移动支付行业刊物《尼尔森报告(Nilson Report)》的最新数据,2018年全球支付卡欺诈损失高达278.5亿美元。这相当于支付卡用户每消费100美元损失10.83美元,相比之下,每消费100美元损失11.12美元。前一年花费100美元。它还让信用卡发行商产生欺诈已得到控制的错觉。安全意识培训提供商KnowBe4的保护专家RogerGrimes表示,“大多数信用卡担保人更担心欺诈而不是欺诈。他们更担心不公平地阻止消费者进行合法交易。虽然大多数系统都在不断更新和迭代,但他们仍然不能很好地检测信用卡欺诈,他们所能做的就是简单地阻止合法交易以避免客户流失。因此出现了令人担忧的现象——大多数活动旨在阻止“误报”交易,而实际上并没有减少真正的欺诈行为。“欺诈对消费者和企业的直接影响有限。如果数据副本被盗,小偷开始大肆消费,责任限额仅为50美元。消费者和企业可能会看到,作为商家和信用卡发行商的通行证关于损失的成本,欺诈的成本将以商品和服务价格上涨的形式出现。消费者安全产品信息网站Comparitech.com的隐私权倡导者PaulBischoff指出,“最终,只要随着我们继续使用信用卡,一定数量的欺诈将始终存在。我们支付的信用卡信息中有很大一部分用于补偿欺诈。“信用卡欺诈的范围和趋势近年来,发卡机构通过使用EMV的PIN和芯片技术提高了实体卡的安全性。反欺诈和数字交易管理解决方案提供商OneSpan的高级经理GregHancell表示,说:“EMV是一个巨大的飞跃。信用卡欺诈在采用该技术的国家一夜之间消失了。但麻烦的是,随着互联网和网络购物的发展,无卡诈骗(网上支付卡诈骗)案件不断增多。美联储在2018年发布的一项研究指出,在美国开始发行EMV类卡一年后,使用实体信用卡进行的欺诈交易从2015年的36.8亿美元下降到2016年的29.1亿美元。与此同时,信用卡号码用于电话或在线交易的无卡欺诈在同一时期从34亿美元增加到45.7亿美元。根据JavelinStrategy&Research的数据,在线欺诈持续增长,迄今为止,“无卡”欺诈攻击的可能性比实体卡欺诈高81%。然而,EMV技术在全球范围内的采用并不统一,这为全球一些犯罪团伙敞开了大门。有组织的犯罪集团可以在启用EMV的国家/地区的ATM或销售点终端上安装配备无线电的窃取器(一种在用户不知情的情况下捕获支付卡信息的硬件设备),然后将这些收集的数据发送给skimmer被发送给无EMV国家的合作伙伴。他们通常可以在不到一分钟的时间内获取相关信息并打印出新卡片。并且当使用此类假卡时,它们不会出现任何EMV问题。无卡攻击可能会成为更广泛的威胁,因为它们可以通过自动化进行扩展。如果在机器上安装了窃取器,则可能只有少数人可以访问该设备,并且窃取器总是有被发现的风险。但在无卡环境中,攻击者可以对目标网络的所有潜在受害者发起网络钓鱼攻击,直接勒索信用账户详细信息,或者通过感染恶意软件来窃取他们的详细信息。当然,专业的诈骗者通常更喜欢大规模的活动,因为他们想要最大化投资回报率,所以他们更喜欢使用僵尸网络来尽快控制更多的站点,包括使用虚假的ID或IP地址来进行新的攻击。随着欺诈检测系统变得更加复杂和智能,在线欺诈者会竭尽全力掩盖他们的踪迹。他们会尝试使用各种代理来掩盖他们的IP。一些经验丰富的攻击者甚至会将IP地址定位在他们计划使用的被盗卡的账单地址附近。同时,他们还可能使用仿真器生成智能移动设备,更改计算机系统上的时间以匹配相关时区,甚至使用虚拟机、擦除或越狱设备,伪装成普通用户设备进行交易。如今,信用卡诈骗已经发展成为一个庞大而复杂的“企业”,甚至开始呈现出合法企业的特征。比如,形成了明确的分工。从近年来发生的各种欺诈和数据泄露事件中,我们发现恶意软件的创建者、非法支付系统的维护者、打包者和打包者之间存在着一系列规模庞大、功能强大的网络。出售信用信息。组织和协调能力的协作网络。此外,信用卡窃贼也将目标锁定在数字钱包上。在黑市上,这些受损账户中的余额被出售并存入某些非存款账户。然后,这些余额将“点对点”转移给购买礼品卡或预付卡的另一个人,该礼品卡或预付卡可以独立于个人使用。也就是说,这类卡内的金额可以在网上完全匿名转移和使用。说俄语的地下组织在2000年代初期在信用卡盗窃方面处于领先地位,如今他们仍然处于金融欺诈的最前沿,甚至建立了网络犯罪即服务模型。正是它们的存在为经验丰富的网络罪犯和新手创建了端到端的服务,从而加速了漏洞利用技术的发展。近年来,骗子的购买习惯也发生了变化。鉴于实物商品难以兑换成现金且容易被执法部门追查,他们有选择地避开实物商品,转而选择更难以追查的无形物品,例如礼品卡、加密货币和数字商品。此外,他们还会尝试从信用账户的积分计划中获取收益。然而,这种欺诈的爆发很可能反过来伤害信用卡盗贼的利益。数据显示,信用账户欺诈供过于求,而想要使用它们的犯罪分子显然缺乏需求。这种现象最直观的表现就是黑市上被盗账号的价格已经降到只有几美元一个。支付卡欺诈的类型(1)账户接管如果恶意行为者获得了账户凭证的访问权限,他们就可以通过与该账户绑定的任何支付卡购买商品。他们还可以查看账户持有人的个人资料,复制存储在那里的任何信用信息,并用它来购买账户外的东西。例如,如果有人泄露了亚马逊账户,那么他们可以使用与该账户关联的任何支付方式来购买商品并为该商品添加送货地址。攻击者可以通过多种方式获取目标帐户的可信凭据:在暗网上购买或通过欺骗获得。一个人会收到一封电子邮件或短信提醒,告知他们的帐户出了问题。当他们单击该链接时,他们会被带到一个假网站,该网站会提取他们的登录凭据,然后攻击者会使用这些凭据成功接管受害者的帐户。(2)Skimmer和shimmersSkimmer主要是抓取卡片磁条上的支付卡信息,而shimmer是抓取EMV类卡片的数据。它们通常放置在ATM或收银机的硬件设备上,旨在窃取用于完成合法交易的信息。然而,由于安装此类硬件可能需要大量人力且易于检测,因此欺诈者通常会插入恶意软件以远程路由和感染POS系统。(3)FormjackingFormjacking的流行主要归功于Magecart,其中包括至少7个犯罪集团,他们用skimming恶意软件感染了数千个电子商务网站的购物车。之前的目标包括Ticketmaster、英国航空公司和Newegg。“劫持是欺诈者最常用的技术之一,”网络安全公司JunIPerNetworks威胁实验室负责人MounirHahad说。“恶意脚本被注入受感染商家网站的支付页面,以从不知情的购物者那里窃取信息。”输入信用卡信息并将其发送给攻击者。”(4)利用欺诈者还可以利用软件中的漏洞从设备中窃取各种信息,包括信用卡数据。例如,Magecart攻击利用基于Magneto在线商店的插件MAGMI中的一个漏洞,在其网站植入恶意代码,导致用户支付信息被盗。(5)网络钓鱼似乎不管我们怎么警告用户,他们还是忍不住点击陌生邮件中的各种链接。单击此类链接通常会被重定向到一个恶意网站,该网站试图在受害者的计算机上植入恶意软件以窃取所有文本,就像键盘记录器一样简单,或者查找和解析复杂的信用卡等相关数据。(6)内部威胁金融机构、信用卡制造商/发行商、餐馆、零售商或几乎所有卡和加密业务的不良员工都可能参与欺诈活动。(7)反欺诈法规处理主要提供商信用卡的组织必须遵守支付卡行业数据安全标准(PCIDSS)。商家、独立软件供应商(ISV)以及存储、处理、传输或以其他方式操纵持卡人数据的任何人,以及可能影响持卡人数据安全的服务提供商,都必须遵守PCIDSS要求,包括:安装和维护防火墙配置以保护持卡人数据;不使用供应商提供的默认系统密码和其他安全参数;保护存储的持卡人数据;通过公共网络加密传输持卡人数据;使用并定期更新防病毒软件或程序;开发和维护安全系统和应用程序;为每个有权限的人分配唯一的ID;限制对持卡人数据的物理访问;跟踪和监控对网络资源和持卡人数据的所有访问;定期测试安全系统和流程;相关攻略;Saviynt的考夫曼说:“PCI通过强制控制、渗透测试和年度审计,在帮助组织保护信用卡交易和卡数据存储方面做了大量工作。虽然这不会限制欺诈交易,但它确实使黑客更难侵入卡处理器并带走数千张卡,这确实限制了欺诈的可能性。”行业团体已开始探索更深入的合作方式来应对欺诈。虽然其中许多项目因数据共享问题而受阻,但新的无提供者选项已经开始出现,可以在数据级别进行协作,而无需实际共享任何个人用户数据。随着公司和行业团体更紧密地合作,他们将更有效地打击欺诈者。信用卡欺诈缓解建议以下是目前业界广泛接受的防止支付卡欺诈的最佳做法:加密持有信用卡数据的数据库;将定期审查实施实践,以检测使用已知命令和控制(C&C)服务器的skimmer定期扫描目标网站的漏洞和恶意软件;审计合作伙伴或内容分发网络加载的第三方代码是否存在恶意软件;使购物车软件和其他服务保持最新状态并定期打补丁;使用强密码策略,根据最小权限原则限制访问目标网站的后台管理页面;监控暗网以获取被盗的卡加密数据;使用异常检测软件来识别和标记可疑活动;鼓励客户选择多因素身份验证,尤其是在更改个人和支付信息时;培训和教育客户发现和识别账户被盗的迹象,并鼓励他们报告任何可疑行为;一个没有盗贼的世界不过是一个乌托邦式的理想世界,我们能做的就是加强防范,将欺诈行为的影响降到最低。
