什麼是信用卡盜刷(Carding)?
信用卡盜刷是指一種詐騙行為,使用被竊取的信用卡或借記卡信息來充值預付卡、購買禮品卡或協助其他非法計劃。被竊的卡可以用來購買品牌店的禮品卡,這些禮品卡可以出售或用來購買其他可以轉賣換取現金的商品。被盜的卡信息也可以出售給其他人。進行這類詐騙的信用卡和借記卡竊賊被稱為「信用卡盜刷者」。
關鍵要點
- 信用卡盜刷是對個人財務信息的第三方攻擊。
- 卡片論壇是出售信用卡和借記卡信息及犯罪技術的網上場所。
- 較新的技術如CVV、CAPTCHA和多因素身份驗證保護用戶免受信用卡盜刷者的侵害。
信用卡盜刷是如何運作的
信用卡盜刷通常從黑客獲取某個商店或網站的信用卡處理系統開始,黑客獲取最近用於購物的信用卡或借記卡列表。黑客可能會利用安全軟體和技術中的漏洞,這些軟體和技術本應保護信用卡賬戶。黑客也可能使用掃描儀來複製磁條上的編碼。
信用卡信息可能也會通過訪問賬戶持有人的其他個人信息而被洩露,例如黑客已經獲得訪問權限的銀行賬戶,針對信息的來源。隨後,黑客將信用卡或借記卡號碼的列表出售給第三方——信用卡盜刷者——後者使用被盜的信息來購買禮品卡。
卡片論壇
卡片論壇是指教導詐騙者這類非法貿易的網站。詐騙者利用這些網站購買和出售非法獲取的信用卡和借記卡信息。他們還將這些網站用於洗錢。
PIN碼和晶片技術使在銷售點交易中使用被盜卡變得更加困難,但非現場交易仍是信用卡盜刷者的主要攻擊方式,在卡片論壇中討論頻繁。
大多數信用卡公司為持卡人提供被盜報告的保護,但在卡片被取消之前,信用卡盜刷者通常已經完成了購買。禮品卡用於購買高價值商品,如手機、電視和電腦,這些商品不需要註冊並且可以稍後轉賣。如果信用卡盜刷者從電子產品零售商(如亞馬遜)購買禮品卡,他們可能會使用第三方來接收商品,然後將其運送到其他地方。這樣可以減少引起注意的風險。信用卡盜刷者還可能在提供一定匿名度的網站上銷售商品。
術語
信用卡盜刷有其專屬語言。以下介紹了一些術語。
Fullz
Fullz是「完整信息」的俚語。它指的是包含一個人的真實姓名、地址和身份證明形式的完整信息包。這些信息用於身份盜竊和財務詐騙。被出售「Fullz」的人並不是交易的一方。
信用卡轉儲
信用卡轉儲是指犯罪分子未經授權地製作信用卡的數字副本。這可以通過物理地複製卡片信息或黑客入侵發卡方的支付網絡而實現。儘管這種技術並不新,但其規模近年來大大增大,有些攻擊涉及數百萬受害者。
公司如何防範信用卡盜刷
公司正在實施各種技術來領先於信用卡盜刷者。其中一些有趣的最新變化包括要求用戶提供更多的信息,這些信息不易被信用卡盜刷者獲得。
地址驗證系統 (AVS)
AVS系統將線上購物結帳時提供的賬單地址與信用卡公司存檔的地址進行比對。結果立即返回給賣家,結果可能是完全匹配、地址匹配、郵編匹配或完全不匹配。正常運作的AVS系統可以在卡片被報告遺失或被盜時阻止不匹配交易。對於僅地址匹配或僅郵編匹配的情況,賣家有自由裁量權是否接受。AVS目前在美國、加拿大和英國使用。
IP地理位置檢查
IP地理位置系統將用戶計算機的IP位置與結帳頁面輸入的賬單地址進行比對。如果不匹配,可能表明詐騙。雖然由於旅行等合法原因也可能導致不匹配,但這些情況通常需要進一步調查。
卡驗證值 (CVV)
卡驗證值(CVV)碼是信用卡上的三位數或四位數的數字,為非現場購物增加了一層額外的安全保障。由於該碼位於卡片本身,因此可以驗證通過電話或在線購物的實際持卡人確實擁有該卡的實物副本。如果你的卡號被盜,沒有CVV碼的賊難以使用該卡。CVV碼可以存儲在卡片的磁條或晶片中。賣家提交CVV碼及其他數據作為交易授權請求的一部分。發卡方可以根據其程序批准、參考或拒絕未通過CVV驗證的交易。
多因素身份驗證 (MFA)
多因素身份驗證(MFA)是一種安全技術,需要來自獨立憑據的多種身份驗證方法來驗證用戶登錄或其他交易。它可以使用兩個或多個獨立的信息,如密碼、身份驗證令牌或生物特徵數據。使用MFA創建了一個分層過程,使未授權人員更難訪問其目標,因為攻擊者可能無法破解所有層。MFA最初僅使用兩個因素,但如今使用更多因素已不罕見。
CAPTCHA
CAPTCHA (完全自動化公開圖靈測試用於區分計算機和人類)是一種挑戰-響應身份驗證類型的安全措施。它通過要求用戶完成一個測試來保護用戶,該測試證明測試者是人類而不是試圖破解賬戶的計算機。
CAPTCHA通常在一組隨機圖像中要求用戶識別圖像。例如,點擊有摩託車的方塊。這些挑戰設計為對人類易於完成,而對計算機則較難。
速度檢查
速度檢查查看相同卡片或網站訪客在每秒或每分鐘內嘗試的交易數量。通常,用戶不會在短時間內進行多次支付,特別是反應速度超出人類能力範圍的支付。速度可以通過金額、用戶IP位址、賬單地址、銀行識別號(BIN)和設備進行監控。
常見問題
什麼是信用卡扒手設備?
信用卡扒手設備是放置在合法讀卡器(如自動提款機(ATM)或加油站泵內)的欺詐工具,用來複製在該ATM或泵中使用的卡片信息。
罪犯如何竊取信用卡信息?
詐騙者以各種方式竊取信用卡信息。他們使用扒手設備,這些設備竊取自動提款機和加油站泵中的信用卡和借記卡信息。他們還通過網釣詐騙、網站漏洞利用和購買卡片論壇上的信息來獲取信息。
什麼是信用卡盜刷攻擊?
信用卡盜刷攻擊指在網站上迅速連續地進行多次欺詐訂單的嘗試。這通常表現為訂單數量突然激增,通常有相同的送貨地址。給出的客戶信息通常明顯是欺詐性的。
如何保護自己免受信用卡盜刷?
作為賣家,可以通過使用CAPTCHA和CVV等新開發的防欺詐方法來保護自己免受信用卡盜刷。持卡人也應該小心保管卡片,並在使用自動提款機和加油站時注意是否有任何篡改跡象。
總結
信用卡盜刷是一種犯罪,通常涉及購買禮品卡,這些禮品卡可以用於購買相對難以追蹤的商品,然後這些商品會被再次在線或其他地方出售。信用卡或借記卡信息也可能被轉賣給其他人,用於各種非法活動,如身份盜竊和洗錢。
從長遠來看,僅當持卡人和接受卡片的人積極利用所有可用的方法來防範信用卡盜刷時,才能防止信用卡盜刷。賣家應盡其所能使用所有實際可行的防範措施,而持卡人應在使用自動提款機或加油站時注意是否有任何篡改跡象。