【51CTO.com快译】
支付卡的普及不仅方便了消费者和企业,同时也方便了欺诈者。根据实体卡和移动支付行业出版物--《尼尔森报告(Nilson Report)》的最新数据:2018年全球支付卡欺诈损失已达278.5亿美元。该报告认为:支付卡用户每支出100美元,就有10.83美元的损失。而上一年度的该数字则为每100美元损失11.12美元。安全意识培训提供商--KnowBe4,针对美国国防部的宣传员Roger Grimes曾指出:让大多数支付卡服务商担心的不只是欺诈问题,合法交易的阻断同样值得他们严密关注。从简单地监控商品与服务价格的异常上涨,到运用各种科技手段的侦测,大多数系统虽然在持续更新和迭代中,但是它们对于支付卡欺诈攻击的防御,也表现出了一些虚假的安全态势。
支付卡欺诈的范围和趋势
近年来,发卡机构通过使用EMV的PIN和芯片技术(请参见--https://www.csoonline.com/article/2685514/chip-and-pin-no-panacea-but-worth-the-effort-and-the-cost.html)提高了物理卡的安全性。EMV虽然是一个巨大的飞跃,能够有效地打击线下欺诈行为,但是线上支付卡欺诈案件仍在持续增加。
美联储于2018年发布的一项研究指出,在美国开始发行EMV类型卡的一年之后,使用实体支付卡进行欺诈交易的行为,从2015年的36.8亿美元降低到了2016年降的29.1亿美元。而在同一时期内,通过电话或在线交易的欺诈案件,则从34亿美元增至45.7亿美元。如今,无卡化(card-not-present)相关欺诈攻击的发生率比起实体卡(card-present)的欺诈要高出81%。
由于EMV技术在全球范围内的普及程度存在着参差不齐的现象,一些有组织的犯罪集团可以在支持EMV国家/地区的ATM机、或销售终端上安装带有无线电的检漏器(radio-enabled skimmer,一种在用户不知情的情况下捕获支付卡信息的硬件设备),然后将收集到的数据发送给身处无EMV国家的同伙。他们往往可以在不到一分钟的时间内获取相关的信息,并打印出新的卡片。而且此类伪造卡在被使用时,不会发生任何EMV问题。
相比实体卡攻击,攻击者在无卡化环境中,更容易向目标网络的所有潜在受害者发起钓鱼攻击,以直接套取信用账户的详细信息;或者以感染恶意软件的方式,窃取其详细的信息。此外,他们可以使用僵尸网络,来尽快操控更多的站点,包括使用伪装的ID或IP地址来开展新的攻击。例如,一些经验丰富的攻击者,会模拟出目标账号经常进行在线交易的IP地址段。与此同时,他们可能会使用模拟器来生成智能移动设备,通过更改电脑系统上的时间,来匹配相关的时区,甚至使用虚拟机、或是被擦除的、已越狱的设备,来伪装成普通用户的交易设备。
随着网络协作效率的提升,针对无卡化信用账户的欺诈已成为了一个庞大的产业链。该链条中有着明确的分工与协作。从近年来发生的各种欺诈与数据泄露案例中,我们不难发现:在恶意软件的创建者、非法支付系统的维护者、以及打包出售信用信息的人员之间,都形成了一套大规模的、有组织和协调能力的协作网络。此外,他们还为新手攻击者创建了端到端的服务,从而“反哺”和加快了漏洞利用技术的发展。
如今,账户盗用者也将数字钱包视为攻击目标。在黑市上,那些被盗用账户里的余额,会被出售和加载到某些非存款类帐户中。此类攻击往往针对的是,被盗账户所购买的礼品卡、或无法绑定到个人现金账户的预付费卡。也就是说,此类卡中的金额完全可以在网上被匿名转移和使用。
近年来,欺诈者的“购买习惯”也发生了变化。考虑到实物商品很难别转换成现金,而且很容易被执法部门所追踪到,因此他们避开了实物商品,转而选择更难追踪的无形物品,例如:礼品卡、加密货币和数字商品等。此外,他们还会尝试着从信用账户的积分计划中获得收益。
不过,随着监管的严格以及各国打击手段的增强,最近有研究发现:信用账户欺诈呈现出了供过于求的趋势,该产业的“从业人员”居然感受到了需求不足的压力。这也直接反应在了黑市上:被盗账户的价格已经降低到了每张只值几美元。
信用账户欺诈的类型
帐户接管
虽然攻击者可以采用不同的方式来获得目标帐户的信任凭据,但是最普遍的方法莫过于:在暗网上直接购买,或是通过邮件钓鱼等欺骗的手段来捕获。一旦攻击者获得了目标帐户的信任凭据,他们除了可以直接使用该帐户所绑定的支付卡购买商品之外,还可以添加或修改既有的个人资料,例如:添加新的商品寄送地址等。
Skimmers和shimmers
Skimmer主要是在卡的磁条上捕获支付卡信息;而shimmer(请参见--https://www.csoonline.com/article/3104393/black-hat-atm-spits-out-cash-after-chip-and-pin-hack.html)则是从EMV类型卡中获取数据。它们通常被植入ATM或收银终端等硬件设备中,窃取用于完成合法交易的信息。不过,由于安插此类硬件费时费力且风险性大,因此攻击者通常会采用恶意软件,去远程路由并感染POS(point of sale)系统(请参见--https://www.csoonline.com/article/2459967/nearly-600-business-impacted-by-pos-malware-attack.html)。
Formjacking
作为一种最常见的在线欺诈形式,Formjacking是让恶意脚本被注入到目标站点的付款页面中,以窃取购物者输入的支付卡信息,并及时转发给攻击者。此类攻击的经典案例是:由至少七个犯罪集团组成的Magecart,曾利用数千个恶意软件感染了数千个电子商务站点的购物车。他们攻击过的目标包括:Ticketmaster、British Airways和Newegg等。
利用漏洞
此类攻击利用的是支付程序中的缺陷,进而从设备中窃取卡密数据与信息。例如,Magecart曾利用MAGMI(一个基于Magneto在线商店的插件)中的错误,在其网站上植入了恶意代码,从而导致用户支付信息被盗取。
网络钓鱼
正所谓“好奇害死猫”。无论我们如何警告用户,他们仍然会心存侥幸地去点击陌生电子邮件中的各种链接,最终导致被重定向到恶意网站上。该网站会试图在受害者计算机上植入恶意软件,进而窃取文本类简单的键盘记录,或是去查找和解析复杂的数据样式。
内部威胁
常言道:“祸起萧墙”。无论是金融机构、支付卡制造商、还是线上电商、线下零售店,几乎所有的卡密交易企业,都需要严密监控内部员工不当和不法的欺诈行为。
反欺诈法规
如今,无论是提供卡密交易服务的企业商家,还是独立软件开发商(Independent Software Vendors,ISV),只要涉及到存储、处理、传输、或以其他方式处置持卡人数据、以及可能影响到持卡人数据的安全性,都必须遵守支付卡行业数据安全标准(PCI-DSS,请参见--https://www.csoonline.com/article/3566072/pci-dss-explained-requirements-fines-and-steps-to-compliance.html)。其具体要求包括:
- 安装并维持防火墙的配置,以保护持卡人的数据。
- 不要将供应商提供的默认值,用于系统的密码和其他安全参数。
- 保护已存储的持卡人数据。
- 在开放式公共网络中加密传输持卡人的数据。
- 使用并定期更新防病毒软件或程序。
- 开发和维护安全的系统和应用程序。
- 根据业务须知原则,限制对持卡人数据的访问。
- 为具有访问权限的每个人分配唯一性的ID。
- 限制对持卡人数据的物理访问。
- 跟踪和监控对于网络资源和持卡人数据的所有访问。
- 定期测试安全系统和流程。
- 坚持对所有人宣传信息安全的相关策略。
此外,授权控制、渗透测试和年度审计,也能够帮助组织来保护卡密交易与存储的安全。
减少支付卡欺诈的实践
以下是目前业界普遍公认的预防支付卡欺诈的最佳做法:
- 对保存有支付卡数据的数据库进行加密。
- 通过定期检查,发现那些使用skimmer与已知命令和控制(command-and-control,C&C)服务器之间的通信。
- 定期扫描目标网站上是否存在漏洞和恶意软件。
- 审核由合作伙伴或内容分发网络,所加载过来的第三方代码是否存在恶意软件。
- 对购物车软件和其他服务保持更新,并定期打补丁。
- 使用强密码策略,并以最小权限原则限制访问目标网站的后台管理页面。
- 监视暗网,及时发现是否有被盗取的卡密数据。
- 使用异常检测软件,以识别和标记可疑的活动。
- 鼓励客户选用多因素身份验证,尤其是在更改个人信息和付款方式的场景中。
- 通过培训和教育,让用户能发现和识别账号已被盗用的迹象,并鼓励他们勇于举报任何可疑的行为。
【原标题】Credit card fraud: What you need to know now (作者: Stacy Collett)
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】
