信用卡和支付卡窃贼正变得越来越狡猾,因为芯片卡驱使他们实施账户接管和无卡计划。
今年4月底,来自美国的Anton Hinton接到一个自称是摩根大通(JPMorgan Chase)的人打来的电话。打电话的人知道Hinton的全名、电子邮件地址和账户的最后四位数字,并称Hinton的借记卡号码被盗,需要冻结。
打电话的人告诉Hinton,在大通把新卡寄到他在克利夫兰的家中之前,得先设置一个数字钱包来购物。在通话过程中,Hinton收到了一封电子邮件,表面上看的确是来自大通银行,里面有设置数字钱包的一次性激活码。
挂断电话后,Hinton发现自己在佛罗里达买了超过300美元的东西……
这就是千千万万起信用卡诈骗案中的寻常一起。可以说,支付卡的普及不仅方便了消费者和企业,同时也方便了欺诈者。
疫情催发金融诈骗
据《华尔街日报》报道,在新冠病毒大流行期间,越来越多的欺诈者利用窃取的信用卡号码和网络钓鱼来攻击不堪重负的消费者和银行。
根据美国富达国家信息服务公司(FIS)提供的数据显示,自今年早些时候新冠病毒导致美国经济陷入停滞以来,信用卡和借记卡诈骗案件数量大幅增加。该公司协助约3,200家美国银行进行欺诈监控。FIS指出,4月份试图进行欺诈交易的美元数量较上年同期增长了35%,这一趋势似乎在5月份仍在继续。
可以说,欺诈是银行长期存在的问题。根据实体卡和移动支付行业出版物《尼尔森报告(Nilson Report)》的最新数据显示:2018年全球支付卡欺诈损失已达278.5亿美元。相当于,支付卡用户每支出100美元,就会产生10.83美元的损失,而上一年度该数字则为每100美元损失11.12美元。这也让信用卡发卡行产生了欺诈行为已经得到控制的假象。
安全意识培训提供商KnowBe4公司的防护专家Roger Grimes表示,
“大多数信用卡担保人最担心的不只是欺诈问题,他们更担心的是不公平地阻断了消费者的合法交易。虽然大多数系统都在持续更新和迭代,但是它们仍然无法很好地检测信用卡欺诈行为,它们能做到的只是简单地阻止合法交易来避免客户损失。因此,也造成了这种令人震惊的现象——大多数活动都是在阻止“假阳性”交易,而并未切实地减少真正意义上的欺诈行为。”
欺诈对于消费者和企业的直接影响有限。如果一份数据被窃取,并且小偷开始疯狂消费,其责任限额也仅为50美元。
消费者和企业可能会看到,随着商家和信用卡发卡机构将损失成本转嫁,欺诈成本将以商品和服务价格上涨的形式出现。消费者安全产品信息网站Comparitech.com的隐私权倡导者Paul Bischoff指出,
“最终,只要我们继续使用信用卡,一定数量的欺诈行为就会一直存在。我们所有人支付的信用卡信息的很大一部分都用于补偿欺诈行为。”
信用卡欺诈的范围和趋势
近年来,发卡机构通过使用EMV的PIN和芯片技术提高了物理卡的安全性。OneSpan(一家反欺诈和数字交易管理解决方案提供商)的高级经理Greg Hancell表示:
“EMV算得上一个巨大的飞跃。在采用该技术的国家中,信用卡欺诈行为一夜之间就消失了。但是麻烦是,随着网络和网购的发展,无卡欺诈(线上支付卡欺诈)案件仍在持续增加。”
美联储于2018年发布的一项研究指出,在美国开始发行EMV类型卡的一年之后,使用实体信用卡进行欺诈交易的行为,从2015年的36.8亿美元下降到了2016年的29.1亿美元。与此同时,在同一时期内,无卡诈骗,即通过电话或在线交易中使用信用卡号码的诈骗,则从34亿美元上升至45.7亿美元。据Javelin Strategy&Research称,在线欺诈一直呈持续增长的趋势,到目前为止,“无卡化”欺诈攻击的发生概率比起实体卡的欺诈要高出81%。
然而,由于EMV技术的采用并未实现全球一致,这也为一些全球性的犯罪团伙敞开了大门。有组织的犯罪集团可以在一个支持EMV国家/地区的ATM机或销售终端上安装带有无线电的skimmer(一种在用户不知情的情况下捕获支付卡信息的硬件设备),然后将这些skimmer收集到的数据发送给身处无EMV国家的同伙。他们往往可以在不到一分钟的时间内获取相关的信息,并打印出新的卡片。而且此类伪造卡在被使用时,不会发生任何EMV问题。
无卡的攻击可能会成为更广泛的威胁,因为它们可以随着自动化的发展而扩大规模。如果在一台机器上安装skimmer,那么可能只有少数人会访问该设备,而且skimmer也随时存在被发现的风险。但是在无卡的环境中,攻击者可以向目标网络的所有潜在受害者发起钓鱼攻击,以直接套取信用账户的详细信息,或者以感染恶意软件的方式,窃取其详细的信息。
当然,专业的欺诈者通常更喜欢大规模的攻击活动,因为他们希望最大程度地提高投资回报率,所以,他们更倾向于使用僵尸网络来尽快操控更多的站点,包括使用伪装的ID或IP地址来开展新的攻击。
随着欺诈检测系统变得越来越复杂和智能,网络欺诈者正竭尽全力掩盖自己的行迹。他们会尝试使用各种代理来掩盖自己的IP。而一些经验丰富的攻击者甚至会将IP地址定位在他们计划使用的被盗卡的账单地址附近。与此同时,他们还可能会使用模拟器来生成智能移动设备,通过更改电脑系统上的时间来匹配相关的时区,甚至使用虚拟机、已擦除或越狱的设备,来伪装成正常用户的交易设备。
如今,信用卡欺诈已经发展成为一个庞大且复杂的“企业”,甚至开始呈现出合法业务的特征。例如,它已经形成了明确的分工。从近年来发生的各种欺诈和数据泄露案例中,我们发现,在恶意软件的创建者、非法支付系统的维护者、以及打包出售信用信息的人员之间,已经形成了一系列大规模、有组织和协调能力的协作网络。
此外,信用卡盗贼也将数字钱包作为了攻击目标。在黑市上,那些被盗用账户里的余额会被出售和加载到某些非存款类帐户中。然后,这些余额就会通过“点对点”(peer-to-peer)的方式转移到另一个购买礼品卡或预付卡的个人,这些卡在使用时不受个人约束。也就是说,此类卡中的金额完全可以在网上被匿名转移和使用。
21世纪初,讲俄语的地下组织成为了信用卡盗窃领域的领头羊,直至如今,他们一直走在金融欺诈的最前沿,甚至建立了网络犯罪即服务的模式。正是他们的存在,为有经验的网络罪犯和新手创造了端到端的服务,从而加快了漏洞利用技术的发展。
近年来,欺诈者的购买习惯也发生了变化。考虑到实物商品很难转换成现金,而且很容易被执法部门追踪到,所以他们有选择地避开了实物商品,转而购买更难追踪的无形物品,例如礼品卡、加密货币和数字商品等。此外,他们还会尝试着从信用账户的积分计划中获得收益。
不过,这种欺诈行为的大爆发很可能反过来伤害了信用卡盗贼的利益。有数据表明,信用账户欺诈呈现出了供过于求的趋势,想要使用它们的罪犯明显表现出了需求不足的情况。而这种现象最直观的体现就是,黑市上被盗账户的价格已经降低到了每张仅值几美元。
支付卡欺诈类型
(1) 帐户接管
如果恶意行为者获得了某个帐户的凭据,那么他们就可以通过与该帐户绑定的任何支付卡购买商品。他们还可以查看账户持有人的个人资料,复制存储在那里的任何信用信息,并用它来购买账户以外的东西。例如,如果有人破坏了一个亚马逊账户,那么他们就可以使用与该账户相关的任何付款方式来购买商品,并添加商品的收货地址。
攻击者可以采用多种方式来获得目标帐户的信任凭据:在暗网上购买或通过欺骗手段获取。一个人会收到电子邮件或短信提醒,说他们的账户出了问题。他们点击链接就会进入到一个伪造的站点,从而套取他们的登录凭据,然后,攻击者就会使用该凭证来成功接管受害者的账户。
(2) Skimmers和shimmers
Skimmer主要是在卡的磁条上捕获支付卡信息,而shimmer则是从EMV类型卡中获取数据。它们通常被放置在ATM或收银终端的硬件设备上,旨在窃取用于完成合法交易的信息。不过,由于安插此类硬件可能会耗费大量人力,且极易被发现,因此欺诈者通常会通过植入恶意软件的方式来远程路由并感染POS系统。
(3) 劫持(Formjacking)
Formjacking的流行很大程度上要归功于Magecart,该组织包括至少7个犯罪集团,这些犯罪集团通过skimming恶意软件感染了成千山万个电子商务站点的购物车,他们攻击过的目标包括Ticketmaster、英国航空公司以及新蛋网(Newegg)等。
网络安全公司JunIPer Networks的威胁实验室负责人Mounir Hahad表示,
“劫持是欺诈者最常用的技术之一。一个恶意脚本被注入到受感染商家网站的付款页面中,以窃取毫无戒心的购物者所输入的信用卡信息,并将其发送给攻击者。”
(4) 利用漏洞
欺诈者还可以利用软件中存在的漏洞从设备中窃取各种信息,包括信用卡数据。例如,Magecart攻击曾利用MAGMI(一个基于Magneto在线商店的插件)中的错误,在其网站上植入了恶意代码,从而导致用户支付信息被窃取。
(5) 网络钓鱼
似乎无论我们如何警告用户,他们仍然会控制不住地点击陌生电子邮件中的各种链接。单击此类链接通常会被重定向至恶意网站上,该网站会试图在受害者计算机上植入恶意软件,进而窃取所有文本类的简单的键盘记录,或是去查找和解析复杂的信用卡等相关数据。
(6) 内部威胁
金融机构、信用卡制造/发行商、饭店、零售商或是几乎所有的卡密交易企业的不良员工都可能参与欺诈活动。
(7) 反欺诈法规
处理来自主要提供商的信用卡的组织必须遵守支付卡行业数据安全标准(PCI DSS)。无论是商户、独立软件开发商(ISV),还是任何存储、处理、传输或以其他方式操纵持卡人数据的人,以及能够影响持卡人数据安全性的服务供应商,都必须符合PCI DSS的要求,具体包括:
- 安装并维持防火墙的配置,以保护持卡人的数据;
- 不要将供应商提供的默认值用于系统的密码和其他安全参数;
- 保护已存储的持卡人数据;
- 在开放式公共网络中加密传输持卡人的数据;
- 使用并定期更新防病毒软件或程序;
- 开发和维护安全的系统和应用程序;
- 根据业务须知原则,限制对持卡人数据的访问;
- 为具有计算机访问权限的每个人分配唯一性的ID;
- 限制对持卡人数据的物理访问;
- 跟踪和监控对于网络资源和持卡人数据的所有访问;
- 定期测试安全系统和流程;
- 坚持对所有人宣传信息安全的相关策略;
Saviynt的Kaufman表示:
“PCI已经做了很多工作,通过强制控制、渗透测试和年度审计,来帮助组织确保自己的信用卡交易和银行卡数据存储的安全。虽然这并不能限制欺诈交易,但它确实增加了侵入银行卡处理器并带走数千张卡的难度,这确实限制了欺诈的可能性。” |
行业组织已经开始探索更深层次的合作方式,以解决欺诈问题。虽然很多这样的项目都因为数据共享的问题而受阻,但是新的无提供者(providerless)选项已经开始出现,可以在数据层面上进行协作,而无需真正共享任何个人用户数据。随着公司和行业组织间合作得越发紧密,他们打击欺诈者的效率也将越来越高。
信用卡欺诈缓解建议
以下是目前业界普遍公认的预防支付卡欺诈的最佳做法:
- 加密保存有信用卡数据的数据库;
- 将定期检查落实实践,以便及时发现使用skimmer与已知命令和控制(C&C)服务器进行的通信;
- 定期扫描目标网站上是否存在漏洞和恶意软件;
- 审核由合作伙伴或内容分发网络加载的第三方代码是否存在恶意软件;
- 使购物车软件和其他服务保持最新状态并定期打补丁;
- 使用强密码策略并以最小权限原则限制访问目标网站的后台管理页面;
- 监视暗网中是否存在被盗取的卡密数据;
- 使用异常检测软件来识别和标记可疑的活动;
- 鼓励客户选择多因素身份验证,尤其是在更改个人信息和付款信息时;
- 对客户进行培训和教育,以发现和识别账号已被盗用的迹象,并鼓励他们勇于举报任何可疑的行为;
“天下无贼”不过是乌托邦式的理想世界,我们能做的是加强防范,最大限度地降低欺诈行为带来的影响。