• 找新知
  • 找课程
  • 找服务/产品
  • 找LIVE
  • 找活动
  • 找新知号/店
新知一下
海量新知
1 6 0 1 2 4 2

狩猎黑产: 国际信用卡批量盗刷事件追踪

同盾智能风控 | 同盾科技-专注于智能风控和分析 2019/10/09 14:12

声  明:

以下信息由同盾反欺诈情报团队定向监控手段获取,情报信息来自于社交群、暗网等多个渠道,经情报团队汇总整理后得出,数据采集时间为2019年4月至5月。文中涉及聊天记录,工具截图等信息只用于此文展示,未经允许不得转载、摘编。

(大家平时别乱逛暗网,文章里面提到的手段不能乱学,窝窝头警告!)

01背  景:

传统的跨境电商、航空公司、OTA网站、游戏公司,以及近年来持续火热的直播、短视频企业的出海,均为我国跨境支付业务带来了增长点。然而,随之而来的国际信用卡盗卡盗刷问题,始终是摆在跨境业务企业面前的一道难题。相较于国内银行卡支付,无论是国际信用卡的发卡政策、支付验证手段还是持卡人的消费投诉习惯等,都导致跨境银行卡收单的拒付撤款比例远高于国内银行卡交易。这些企业在不断拓展海外业务的同时,还需投入大量的人力、物力、技术资源、时间成本来防范信用卡盗卡盗刷风险,却始终收效甚微。究其原因便是依托于业务场景之上,寄生着大量黑产团伙,这些黑产团伙分工明确、组织严密、技术精良,已成为影响企业健康发展的毒瘤。

近日同盾反欺诈情报小分队潜伏在黑产内部多日,通过分析发现黑产获取到的信用卡数据分布极为广泛,涵盖各大卡组织如VisaMasterJCBAmericanExpressDiscover等机构发行的信用卡。由于欧州和美国地区信用卡业务发展较早,用户基数庞大业务形态成熟,成为了盗卡盗刷的重灾区。本文将以此情报数据为依托,揭开国际信用卡盗卡盗刷的来龙去脉。

02黑产专业术语

懂一点行话,才能混江湖。要想跟黑产搭上话,首先咱得掌握黑产行话,才能听得懂他们说啥、干啥、卖啥、吆喝啥。比如下图这段黑产话术:

新知图谱, 狩猎黑产: 国际信用卡批量盗刷事件追踪

为了让大家尽快掌握这门“外语”,情报小分队先给大家奉上《国内外盗卡盗刷黑产常用术语速成手册》

新知图谱, 狩猎黑产: 国际信用卡批量盗刷事件追踪

03作案流程

新知图谱, 狩猎黑产: 国际信用卡批量盗刷事件追踪

04产业链分工

随着黑产产业的发展,团伙化日趋明显,在产业链上下游中各角色分工明确。有人负责上游卡信息窃取;有人负责寻找目标买家在各平台兜售贩卖;有人负责售后工具协助,帮助买家提升盗刷成功率。

数据从何而来?

根据同盾反欺诈情报小分队的长期研究,发现主要有以下三种方式来获取卡料:

 1)POS机、ATM机测录 

黑产通过伪造POS机或在ATM机上安装测录工具的方式非法获取用户的信用卡信息,包括信用卡号、CVV码、取款密码等。

如果持卡人在被动过手脚的POS机上刷卡消费或者在被安装了测录工具的ATM机取现,则会直接将信用卡信息泄露给黑产团伙。这种手法完全在持卡人不知情的状态下,便可轻松窃取持卡人的卡片信息。如下图所示:

新知图谱, 狩猎黑产: 国际信用卡批量盗刷事件追踪

某些型号比较老的移动POS机使用GSM协议与银行进行通信。GSM协议中,数据通过明文方式传输,黑产利用相同的技术手段捕获信息,通过此类方式捕获到的银行卡、信用卡交易信息也称拦截料。如下图所示工具:

新知图谱, 狩猎黑产: 国际信用卡批量盗刷事件追踪

 2)拖库撞库 

黑产通过对一些大型支付网站、电商网站、运营商网站等第三方站点的数据库发起攻击,获取其中个人手机号信息,账单信息,卡号信息等。最终汇总成完整的个人信用卡数据贩卖,如下图所示:

新知图谱, 狩猎黑产: 国际信用卡批量盗刷事件追踪

 3)钓鱼&病毒木马软件 

这类方式在国内同样适用也较为常见,黑产搭建一个和官网极为相似的钓鱼网站引诱持卡人输入信用卡信息,或在某些软件中植入病毒、木马非法获取个人信用卡信息。具体植入的软件类型,每个地区有所不同。

这些信息又在哪里进行兜售?

目前一些暗网论坛和全球通用的社交软件,是黑产兜售信用卡信息的最佳平台。每天有大量黑产贩卖窃取到的信用卡信息、测录工具、洗钱教程等在这类平台上出售。具体价格与信用卡发卡国家、发卡银行、交易通过率等因素有关联。高质量的信息往往价格高昂,出售的方式一般会根据不同的卡组织、卡bin国家、发卡行进行分类,一定数量的卡信息打包出售,批量购买时会给予折扣。售卖信息如下图所示:

新知图谱, 狩猎黑产: 国际信用卡批量盗刷事件追踪

同时为了隐藏犯罪痕迹,避免银行账户被追踪,黑产往往要求购买者使用比特币或西联付款进行交易。

划重点这段要考—变现途径有哪些?

a.  线上交易

线上交易方式在数据变现过程中最为常用,黑产可直接将获取到的信用卡信息在游戏网站、电商网站、航空公司订票网站上消费,再将获得的商品、游戏内虚拟道具、机票(代买)等转卖给其他人以获取利益。

关于信用卡线上交易,不同的网站对卡信息校验的方式不同,部分网站风控意识较高,需动态密码验证,一定程度上給变现提升了难度。黑产需进行换卡、试密操作来完成支付动作。我们在研究中还发现部分黑产热衷于购买Google play、Visa、Master、Amazon、walmart, Best buy 这类平台礼品卡。此类礼品卡的特点为保值率高,易转卖,风险低。如下图所示:

新知图谱, 狩猎黑产: 国际信用卡批量盗刷事件追踪

此外为了提升礼品卡的盗刷成功率,黑产混迹于各大黑客论坛,钻研电商、支付公司等网站的漏洞,编写完整详细的教程,总结如何规避平台风控,如下图所示某大型境外电商网礼品卡的盗刷方式在黑产活动群内传播:

新知图谱, 狩猎黑产: 国际信用卡批量盗刷事件追踪

b.  线下交易

线下交易前提是要根据获取到的卡信息制造出伪卡。黑产通过专业的、成套的制卡工具,将卡信息直接写入到卡片后,制造出以假乱真的各类信用卡。在ATM上直接取现或到线下商场、奢侈品专卖店刷卡消费,购买一些流行的数码电子产品,钻石、黄金等。

新知图谱, 狩猎黑产: 国际信用卡批量盗刷事件追踪

此外也可通过NFC设备进行线下消费,类似于国内某宝免密支付,小额支付。黑产通过安装作弊软件,将获取到的信用卡/账户通过NFC设备消费。

c.  洗钱套现:

通过多次线上转账汇款的方式将卡内余额转移到自己账户内达到洗钱的目的。

尤其现在很多电商网站、第三方支付公司都提供钱包业务,黑产可以利用此类钱包功能将多张卡内的余额转移到同一个账户里再进行提现。根据我们的情报获取信息了解到某印度电商的钱包账户已被黑产作为教学案例用来洗钱。黑产将如何利用该钱包业务洗钱总结了经验,如下图所示:

新知图谱, 狩猎黑产: 国际信用卡批量盗刷事件追踪

另外某知名第三方支付公司的钱包业务也成了黑产的目标平台。教程如下图所示:

新知图谱, 狩猎黑产: 国际信用卡批量盗刷事件追踪

售后服务哪家强 盗卡周边一站式服务

为了降低风险获得稳定的收入,部分黑产已经开始转向贩卖卡信息获利,并提供完整的售后服务。不仅出售批量的信用卡信息,还售卖各种作案工具,例如ATM测录设备、制卡机器等。出售信息前会提前告知买家该批次信用卡的预估交易通过率,并在一定条件下提供更换和退款服务,提供教学视频来帮助购买者提升盗刷成功率,如下图所示:

新知图谱, 狩猎黑产: 国际信用卡批量盗刷事件追踪

05应对之策

基于传统的黑名单匹配、专家规则等手段防范国际信用卡盗卡盗刷的弊端已逐步显现,面对不断翻新的黑产作案手法与技术,同盾反欺诈提出应用机器学习技术,基于用户行为分析的全链路解决方案。在尽可能减少对用户的打扰前提下,精准判断欺诈风险,做出风险分析决策,以达到及时止损的目的。让跨境业务企业减少信用卡拒付困扰,没有后顾之忧,倾力投入业务发展。

当然,同盾反欺诈情报小分队会持续潜伏在各大黑产聚集地,为大家带来更多内幕,好了先说到这儿了,下期再聊。

新知精选