【51CTO.com快譯】

支付卡的普及不僅方便了消費者和企業(yè)，同時也方便了欺詐者。根據實體卡和移動支付行業(yè)出版物--《尼爾森報告(Nilson Report)》的最新數(shù)據：2018年全球支付卡欺詐損失已達278.5億美元。該報告認為：支付卡用戶每支出100美元，就有10.83美元的損失。而上一年度的該數(shù)字則為每100美元損失11.12美元。安全意識培訓提供商--KnowBe4，針對美國國防部的宣傳員Roger Grimes曾指出：讓大多數(shù)支付卡服務商擔心的不只是欺詐問題，合法交易的阻斷同樣值得他們嚴密關注。從簡單地監(jiān)控商品與服務價格的異常上漲，到運用各種科技手段的偵測，大多數(shù)系統(tǒng)雖然在持續(xù)更新和迭代中，但是它們對于支付卡欺詐攻擊的防御，也表現(xiàn)出了一些虛假的安全態(tài)勢。

[[336525]]

支付卡欺詐的范圍和趨勢

近年來，發(fā)卡機構通過使用EMV的PIN和芯片技術(請參見--https://www.csoonline.com/article/2685514/chip-and-pin-no-panacea-but-worth-the-effort-and-the-cost.html)提高了物理卡的安全性。EMV雖然是一個巨大的飛躍，能夠有效地打擊線下欺詐行為，但是線上支付卡欺詐案件仍在持續(xù)增加。

美聯(lián)儲于2018年發(fā)布的一項研究指出，在美國開始發(fā)行EMV類型卡的一年之后，使用實體支付卡進行欺詐交易的行為，從2015年的36.8億美元降低到了2016年降的29.1億美元。而在同一時期內，通過電話或在線交易的欺詐案件，則從34億美元增至45.7億美元。如今，無卡化(card-not-present)相關欺詐攻擊的發(fā)生率比起實體卡(card-present)的欺詐要高出81%。

由于EMV技術在全球范圍內的普及程度存在著參差不齊的現(xiàn)象，一些有組織的犯罪集團可以在支持EMV國家/地區(qū)的ATM機、或銷售終端上安裝帶有無線電的檢漏器(radio-enabled skimmer，一種在用戶不知情的情況下捕獲支付卡信息的硬件設備)，然后將收集到的數(shù)據發(fā)送給身處無EMV國家的同伙。他們往往可以在不到一分鐘的時間內獲取相關的信息，并打印出新的卡片。而且此類偽造卡在被使用時，不會發(fā)生任何EMV問題。

相比實體卡攻擊，攻擊者在無卡化環(huán)境中，更容易向目標網絡的所有潛在受害者發(fā)起釣魚攻擊，以直接套取信用賬戶的詳細信息;或者以感染惡意軟件的方式，竊取其詳細的信息。此外，他們可以使用僵尸網絡，來盡快操控更多的站點，包括使用偽裝的ID或IP地址來開展新的攻擊。例如，一些經驗豐富的攻擊者，會模擬出目標賬號經常進行在線交易的IP地址段。與此同時，他們可能會使用模擬器來生成智能移動設備，通過更改電腦系統(tǒng)上的時間，來匹配相關的時區(qū)，甚至使用虛擬機、或是被擦除的、已越獄的設備，來偽裝成普通用戶的交易設備。

隨著網絡協(xié)作效率的提升，針對無卡化信用賬戶的欺詐已成為了一個龐大的產業(yè)鏈。該鏈條中有著明確的分工與協(xié)作。從近年來發(fā)生的各種欺詐與數(shù)據泄露案例中，我們不難發(fā)現(xiàn)：在惡意軟件的創(chuàng)建者、非法支付系統(tǒng)的維護者、以及打包出售信用信息的人員之間，都形成了一套大規(guī)模的、有組織和協(xié)調能力的協(xié)作網絡。此外，他們還為新手攻擊者創(chuàng)建了端到端的服務，從而“反哺”和加快了漏洞利用技術的發(fā)展。

如今，賬戶盜用者也將數(shù)字錢包視為攻擊目標。在黑市上，那些被盜用賬戶里的余額，會被出售和加載到某些非存款類帳戶中。此類攻擊往往針對的是，被盜賬戶所購買的禮品卡、或無法綁定到個人現(xiàn)金賬戶的預付費卡。也就是說，此類卡中的金額完全可以在網上被匿名轉移和使用。

近年來，欺詐者的“購買習慣”也發(fā)生了變化?？紤]到實物商品很難別轉換成現(xiàn)金，而且很容易被執(zhí)法部門所追蹤到，因此他們避開了實物商品，轉而選擇更難追蹤的無形物品，例如：禮品卡、加密貨幣和數(shù)字商品等。此外，他們還會嘗試著從信用賬戶的積分計劃中獲得收益。

不過，隨著監(jiān)管的嚴格以及各國打擊手段的增強，最近有研究發(fā)現(xiàn)：信用賬戶欺詐呈現(xiàn)出了供過于求的趨勢，該產業(yè)的“從業(yè)人員”居然感受到了需求不足的壓力。這也直接反應在了黑市上：被盜賬戶的價格已經降低到了每張只值幾美元。

信用賬戶欺詐的類型

帳戶接管

雖然攻擊者可以采用不同的方式來獲得目標帳戶的信任憑據，但是最普遍的方法莫過于：在暗網上直接購買，或是通過郵件釣魚等欺騙的手段來捕獲。一旦攻擊者獲得了目標帳戶的信任憑據，他們除了可以直接使用該帳戶所綁定的支付卡購買商品之外，還可以添加或修改既有的個人資料，例如：添加新的商品寄送地址等。

Skimmers和shimmers

Skimmer主要是在卡的磁條上捕獲支付卡信息;而shimmer(請參見--https://www.csoonline.com/article/3104393/black-hat-atm-spits-out-cash-after-chip-and-pin-hack.html)則是從EMV類型卡中獲取數(shù)據。它們通常被植入ATM或收銀終端等硬件設備中，竊取用于完成合法交易的信息。不過，由于安插此類硬件費時費力且風險性大，因此攻擊者通常會采用惡意軟件，去遠程路由并感染POS(point of sale)系統(tǒng)(請參見--https://www.csoonline.com/article/2459967/nearly-600-business-impacted-by-pos-malware-attack.html)。

Formjacking

作為一種最常見的在線欺詐形式，F(xiàn)ormjacking是讓惡意腳本被注入到目標站點的付款頁面中，以竊取購物者輸入的支付卡信息，并及時轉發(fā)給攻擊者。此類攻擊的經典案例是：由至少七個犯罪集團組成的Magecart，曾利用數(shù)千個惡意軟件感染了數(shù)千個電子商務站點的購物車。他們攻擊過的目標包括：Ticketmaster、British Airways和Newegg等。

利用漏洞

此類攻擊利用的是支付程序中的缺陷，進而從設備中竊取卡密數(shù)據與信息。例如，Magecart曾利用MAGMI(一個基于Magneto在線商店的插件)中的錯誤，在其網站上植入了惡意代碼，從而導致用戶支付信息被盜取。

網絡釣魚

正所謂“好奇害死貓”。無論我們如何警告用戶，他們仍然會心存僥幸地去點擊陌生電子郵件中的各種鏈接，最終導致被重定向到惡意網站上。該網站會試圖在受害者計算機上植入惡意軟件，進而竊取文本類簡單的鍵盤記錄，或是去查找和解析復雜的數(shù)據樣式。

內部威脅

常言道：“禍起蕭墻”。無論是金融機構、支付卡制造商、還是線上電商、線下零售店，幾乎所有的卡密交易企業(yè)，都需要嚴密監(jiān)控內部員工不當和不法的欺詐行為。

反欺詐法規(guī)

如今，無論是提供卡密交易服務的企業(yè)商家，還是獨立軟件開發(fā)商(Independent Software Vendors，ISV)，只要涉及到存儲、處理、傳輸、或以其他方式處置持卡人數(shù)據、以及可能影響到持卡人數(shù)據的安全性，都必須遵守支付卡行業(yè)數(shù)據安全標準(PCI-DSS，請參見--https://www.csoonline.com/article/3566072/pci-dss-explained-requirements-fines-and-steps-to-compliance.html)。其具體要求包括：

• 安裝并維持防火墻的配置，以保護持卡人的數(shù)據。
• 不要將供應商提供的默認值，用于系統(tǒng)的密碼和其他安全參數(shù)。
• 保護已存儲的持卡人數(shù)據。
• 在開放式公共網絡中加密傳輸持卡人的數(shù)據。
• 使用并定期更新防病毒軟件或程序。
• 開發(fā)和維護安全的系統(tǒng)和應用程序。
• 根據業(yè)務須知原則，限制對持卡人數(shù)據的訪問。
• 為具有訪問權限的每個人分配唯一性的ID。
• 限制對持卡人數(shù)據的物理訪問。
• 跟蹤和監(jiān)控對于網絡資源和持卡人數(shù)據的所有訪問。
• 定期測試安全系統(tǒng)和流程。
• 堅持對所有人宣傳信息安全的相關策略。

此外，授權控制、滲透測試和年度審計，也能夠幫助組織來保護卡密交易與存儲的安全。

減少支付卡欺詐的實踐

以下是目前業(yè)界普遍公認的預防支付卡欺詐的最佳做法：

• 對保存有支付卡數(shù)據的數(shù)據庫進行加密。
• 通過定期檢查，發(fā)現(xiàn)那些使用skimmer與已知命令和控制(command-and-control，C&C)服務器之間的通信。
• 定期掃描目標網站上是否存在漏洞和惡意軟件。
• 審核由合作伙伴或內容分發(fā)網絡，所加載過來的第三方代碼是否存在惡意軟件。
• 對購物車軟件和其他服務保持更新，并定期打補丁。
• 使用強密碼策略，并以最小權限原則限制訪問目標網站的后臺管理頁面。
• 監(jiān)視暗網，及時發(fā)現(xiàn)是否有被盜取的卡密數(shù)據。
• 使用異常檢測軟件，以識別和標記可疑的活動。
• 鼓勵客戶選用多因素身份驗證，尤其是在更改個人信息和付款方式的場景中。
• 通過培訓和教育，讓用戶能發(fā)現(xiàn)和識別賬號已被盜用的跡象，并鼓勵他們勇于舉報任何可疑的行為。

【原標題】Credit card fraud: What you need to know now (作者: Stacy Collett)

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】