【51CTO.com快譯】

支付卡的普及不僅方便了消費(fèi)者和企業(yè)，同時(shí)也方便了欺詐者。根據(jù)實(shí)體卡和移動(dòng)支付行業(yè)出版物--《尼爾森報(bào)告(Nilson Report)》的最新數(shù)據(jù)：2018年全球支付卡欺詐損失已達(dá)278.5億美元。該報(bào)告認(rèn)為：支付卡用戶每支出100美元，就有10.83美元的損失。而上一年度的該數(shù)字則為每100美元損失11.12美元。安全意識(shí)培訓(xùn)提供商--KnowBe4，針對(duì)美國(guó)國(guó)防部的宣傳員Roger Grimes曾指出：讓大多數(shù)支付卡服務(wù)商擔(dān)心的不只是欺詐問題，合法交易的阻斷同樣值得他們嚴(yán)密關(guān)注。從簡(jiǎn)單地監(jiān)控商品與服務(wù)價(jià)格的異常上漲，到運(yùn)用各種科技手段的偵測(cè)，大多數(shù)系統(tǒng)雖然在持續(xù)更新和迭代中，但是它們對(duì)于支付卡欺詐攻擊的防御，也表現(xiàn)出了一些虛假的安全態(tài)勢(shì)。

[[336525]]

支付卡欺詐的范圍和趨勢(shì)

近年來，發(fā)卡機(jī)構(gòu)通過使用EMV的PIN和芯片技術(shù)(請(qǐng)參見--https://www.csoonline.com/article/2685514/chip-and-pin-no-panacea-but-worth-the-effort-and-the-cost.html)提高了物理卡的安全性。EMV雖然是一個(gè)巨大的飛躍，能夠有效地打擊線下欺詐行為，但是線上支付卡欺詐案件仍在持續(xù)增加。

美聯(lián)儲(chǔ)于2018年發(fā)布的一項(xiàng)研究指出，在美國(guó)開始發(fā)行EMV類型卡的一年之后，使用實(shí)體支付卡進(jìn)行欺詐交易的行為，從2015年的36.8億美元降低到了2016年降的29.1億美元。而在同一時(shí)期內(nèi)，通過電話或在線交易的欺詐案件，則從34億美元增至45.7億美元。如今，無卡化(card-not-present)相關(guān)欺詐攻擊的發(fā)生率比起實(shí)體卡(card-present)的欺詐要高出81%。

由于EMV技術(shù)在全球范圍內(nèi)的普及程度存在著參差不齊的現(xiàn)象，一些有組織的犯罪集團(tuán)可以在支持EMV國(guó)家/地區(qū)的ATM機(jī)、或銷售終端上安裝帶有無線電的檢漏器(radio-enabled skimmer，一種在用戶不知情的情況下捕獲支付卡信息的硬件設(shè)備)，然后將收集到的數(shù)據(jù)發(fā)送給身處無EMV國(guó)家的同伙。他們往往可以在不到一分鐘的時(shí)間內(nèi)獲取相關(guān)的信息，并打印出新的卡片。而且此類偽造卡在被使用時(shí)，不會(huì)發(fā)生任何EMV問題。

相比實(shí)體卡攻擊，攻擊者在無卡化環(huán)境中，更容易向目標(biāo)網(wǎng)絡(luò)的所有潛在受害者發(fā)起釣魚攻擊，以直接套取信用賬戶的詳細(xì)信息;或者以感染惡意軟件的方式，竊取其詳細(xì)的信息。此外，他們可以使用僵尸網(wǎng)絡(luò)，來盡快操控更多的站點(diǎn)，包括使用偽裝的ID或IP地址來開展新的攻擊。例如，一些經(jīng)驗(yàn)豐富的攻擊者，會(huì)模擬出目標(biāo)賬號(hào)經(jīng)常進(jìn)行在線交易的IP地址段。與此同時(shí)，他們可能會(huì)使用模擬器來生成智能移動(dòng)設(shè)備，通過更改電腦系統(tǒng)上的時(shí)間，來匹配相關(guān)的時(shí)區(qū)，甚至使用虛擬機(jī)、或是被擦除的、已越獄的設(shè)備，來偽裝成普通用戶的交易設(shè)備。

隨著網(wǎng)絡(luò)協(xié)作效率的提升，針對(duì)無卡化信用賬戶的欺詐已成為了一個(gè)龐大的產(chǎn)業(yè)鏈。該鏈條中有著明確的分工與協(xié)作。從近年來發(fā)生的各種欺詐與數(shù)據(jù)泄露案例中，我們不難發(fā)現(xiàn)：在惡意軟件的創(chuàng)建者、非法支付系統(tǒng)的維護(hù)者、以及打包出售信用信息的人員之間，都形成了一套大規(guī)模的、有組織和協(xié)調(diào)能力的協(xié)作網(wǎng)絡(luò)。此外，他們還為新手攻擊者創(chuàng)建了端到端的服務(wù)，從而“反哺”和加快了漏洞利用技術(shù)的發(fā)展。

如今，賬戶盜用者也將數(shù)字錢包視為攻擊目標(biāo)。在黑市上，那些被盜用賬戶里的余額，會(huì)被出售和加載到某些非存款類帳戶中。此類攻擊往往針對(duì)的是，被盜賬戶所購(gòu)買的禮品卡、或無法綁定到個(gè)人現(xiàn)金賬戶的預(yù)付費(fèi)卡。也就是說，此類卡中的金額完全可以在網(wǎng)上被匿名轉(zhuǎn)移和使用。

近年來，欺詐者的“購(gòu)買習(xí)慣”也發(fā)生了變化。考慮到實(shí)物商品很難別轉(zhuǎn)換成現(xiàn)金，而且很容易被執(zhí)法部門所追蹤到，因此他們避開了實(shí)物商品，轉(zhuǎn)而選擇更難追蹤的無形物品，例如：禮品卡、加密貨幣和數(shù)字商品等。此外，他們還會(huì)嘗試著從信用賬戶的積分計(jì)劃中獲得收益。

不過，隨著監(jiān)管的嚴(yán)格以及各國(guó)打擊手段的增強(qiáng)，最近有研究發(fā)現(xiàn)：信用賬戶欺詐呈現(xiàn)出了供過于求的趨勢(shì)，該產(chǎn)業(yè)的“從業(yè)人員”居然感受到了需求不足的壓力。這也直接反應(yīng)在了黑市上：被盜賬戶的價(jià)格已經(jīng)降低到了每張只值幾美元。

信用賬戶欺詐的類型

帳戶接管

雖然攻擊者可以采用不同的方式來獲得目標(biāo)帳戶的信任憑據(jù)，但是最普遍的方法莫過于：在暗網(wǎng)上直接購(gòu)買，或是通過郵件釣魚等欺騙的手段來捕獲。一旦攻擊者獲得了目標(biāo)帳戶的信任憑據(jù)，他們除了可以直接使用該帳戶所綁定的支付卡購(gòu)買商品之外，還可以添加或修改既有的個(gè)人資料，例如：添加新的商品寄送地址等。

Skimmers和shimmers

Skimmer主要是在卡的磁條上捕獲支付卡信息;而shimmer(請(qǐng)參見--https://www.csoonline.com/article/3104393/black-hat-atm-spits-out-cash-after-chip-and-pin-hack.html)則是從EMV類型卡中獲取數(shù)據(jù)。它們通常被植入ATM或收銀終端等硬件設(shè)備中，竊取用于完成合法交易的信息。不過，由于安插此類硬件費(fèi)時(shí)費(fèi)力且風(fēng)險(xiǎn)性大，因此攻擊者通常會(huì)采用惡意軟件，去遠(yuǎn)程路由并感染POS(point of sale)系統(tǒng)(請(qǐng)參見--https://www.csoonline.com/article/2459967/nearly-600-business-impacted-by-pos-malware-attack.html)。

Formjacking

作為一種最常見的在線欺詐形式，F(xiàn)ormjacking是讓惡意腳本被注入到目標(biāo)站點(diǎn)的付款頁(yè)面中，以竊取購(gòu)物者輸入的支付卡信息，并及時(shí)轉(zhuǎn)發(fā)給攻擊者。此類攻擊的經(jīng)典案例是：由至少七個(gè)犯罪集團(tuán)組成的Magecart，曾利用數(shù)千個(gè)惡意軟件感染了數(shù)千個(gè)電子商務(wù)站點(diǎn)的購(gòu)物車。他們攻擊過的目標(biāo)包括：Ticketmaster、British Airways和Newegg等。

利用漏洞

此類攻擊利用的是支付程序中的缺陷，進(jìn)而從設(shè)備中竊取卡密數(shù)據(jù)與信息。例如，Magecart曾利用MAGMI(一個(gè)基于Magneto在線商店的插件)中的錯(cuò)誤，在其網(wǎng)站上植入了惡意代碼，從而導(dǎo)致用戶支付信息被盜取。

網(wǎng)絡(luò)釣魚

正所謂“好奇害死貓”。無論我們?nèi)绾尉嬗脩簦麄內(nèi)匀粫?huì)心存僥幸地去點(diǎn)擊陌生電子郵件中的各種鏈接，最終導(dǎo)致被重定向到惡意網(wǎng)站上。該網(wǎng)站會(huì)試圖在受害者計(jì)算機(jī)上植入惡意軟件，進(jìn)而竊取文本類簡(jiǎn)單的鍵盤記錄，或是去查找和解析復(fù)雜的數(shù)據(jù)樣式。

內(nèi)部威脅

常言道：“禍起蕭墻”。無論是金融機(jī)構(gòu)、支付卡制造商、還是線上電商、線下零售店，幾乎所有的卡密交易企業(yè)，都需要嚴(yán)密監(jiān)控內(nèi)部員工不當(dāng)和不法的欺詐行為。

反欺詐法規(guī)

如今，無論是提供卡密交易服務(wù)的企業(yè)商家，還是獨(dú)立軟件開發(fā)商(Independent Software Vendors，ISV)，只要涉及到存儲(chǔ)、處理、傳輸、或以其他方式處置持卡人數(shù)據(jù)、以及可能影響到持卡人數(shù)據(jù)的安全性，都必須遵守支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS，請(qǐng)參見--https://www.csoonline.com/article/3566072/pci-dss-explained-requirements-fines-and-steps-to-compliance.html)。其具體要求包括：

• 安裝并維持防火墻的配置，以保護(hù)持卡人的數(shù)據(jù)。
• 不要將供應(yīng)商提供的默認(rèn)值，用于系統(tǒng)的密碼和其他安全參數(shù)。
• 保護(hù)已存儲(chǔ)的持卡人數(shù)據(jù)。
• 在開放式公共網(wǎng)絡(luò)中加密傳輸持卡人的數(shù)據(jù)。
• 使用并定期更新防病毒軟件或程序。
• 開發(fā)和維護(hù)安全的系統(tǒng)和應(yīng)用程序。
• 根據(jù)業(yè)務(wù)須知原則，限制對(duì)持卡人數(shù)據(jù)的訪問。
• 為具有訪問權(quán)限的每個(gè)人分配唯一性的ID。
• 限制對(duì)持卡人數(shù)據(jù)的物理訪問。
• 跟蹤和監(jiān)控對(duì)于網(wǎng)絡(luò)資源和持卡人數(shù)據(jù)的所有訪問。
• 定期測(cè)試安全系統(tǒng)和流程。
• 堅(jiān)持對(duì)所有人宣傳信息安全的相關(guān)策略。

此外，授權(quán)控制、滲透測(cè)試和年度審計(jì)，也能夠幫助組織來保護(hù)卡密交易與存儲(chǔ)的安全。

減少支付卡欺詐的實(shí)踐

以下是目前業(yè)界普遍公認(rèn)的預(yù)防支付卡欺詐的最佳做法：

• 對(duì)保存有支付卡數(shù)據(jù)的數(shù)據(jù)庫(kù)進(jìn)行加密。
• 通過定期檢查，發(fā)現(xiàn)那些使用skimmer與已知命令和控制(command-and-control，C&C)服務(wù)器之間的通信。
• 定期掃描目標(biāo)網(wǎng)站上是否存在漏洞和惡意軟件。
• 審核由合作伙伴或內(nèi)容分發(fā)網(wǎng)絡(luò)，所加載過來的第三方代碼是否存在惡意軟件。
• 對(duì)購(gòu)物車軟件和其他服務(wù)保持更新，并定期打補(bǔ)丁。
• 使用強(qiáng)密碼策略，并以最小權(quán)限原則限制訪問目標(biāo)網(wǎng)站的后臺(tái)管理頁(yè)面。
• 監(jiān)視暗網(wǎng)，及時(shí)發(fā)現(xiàn)是否有被盜取的卡密數(shù)據(jù)。
• 使用異常檢測(cè)軟件，以識(shí)別和標(biāo)記可疑的活動(dòng)。
• 鼓勵(lì)客戶選用多因素身份驗(yàn)證，尤其是在更改個(gè)人信息和付款方式的場(chǎng)景中。
• 通過培訓(xùn)和教育，讓用戶能發(fā)現(xiàn)和識(shí)別賬號(hào)已被盜用的跡象，并鼓勵(lì)他們勇于舉報(bào)任何可疑的行為。

【原標(biāo)題】Credit card fraud: What you need to know now (作者: Stacy Collett)

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】