信用卡欺诈是一件大事。 2015年,美国占全球信用卡欺诈的近一半(47%),这可能是由于美国缓慢采用芯片和PIN卡造成的。这种类型的欺诈在2015年在英国达到5.67亿英镑,加拿大落入某地中间的收入在2015年接近10亿美元。在澳大利亚,信用卡盗窃被认为是一种身份欺诈,2013年影响了4%的人口.
2013-14年澳大利亚的身份犯罪和滥用行为https://aic.gov.au/publications/rpp/rpp130
在过去的几十年中,精心设置了舞台以实现这些大规模的欺诈行为。首次发行信用卡时,它们很烦人。商店店员必须手动查阅印刷书籍或进行耗时的电话来验证每笔信用卡销售,这对给持卡人印象深刻。责任问题更多。持卡人并不热衷于随身携带这样的卡,如果卡丢失或被盗,它们可能会因数千美元的欺诈性费用而陷入困境。为了推动信用卡的采用,发行人必须使信用卡尽可能易于使用并消除负债.
所以,他们做到了.
不惜一切代价推动信用卡采用的那些努力已经创造了一个世界,在这个世界中,持卡人通常不承担欺诈性费用,因此几乎没有动力过分地保护信用卡。另一方面,发卡机构现在每年可赚取数十亿美元的利润。即使他们蒙受了欺诈造成的惊人损失,但注销并继续进行通常会减少麻烦。这就造成了这样一种情况:很少有人追捕最大的欺诈者,为大量的低级犯罪分子播种了肥沃的土地。.
- 他们为什么这样做?
- 怎么做?
- 网站数据泄露
- 读卡
- 手动复制抄送信息
- 电话和电子邮件诈骗
- 业界正在如何解决这个问题?
- 我该如何保护自己?
- 如果我的卡被盗了怎么办?
他们为什么这样做?
诱人的是,您只是想与一个想窃取您的卡以在他的车中加油的人抗衡,但实际情况却大不相同。试图窃取您的信用卡的人很可能只是更大的犯罪组织的关键人物。互联网上充斥着很多刷卡站点,买卖双方可以在其中交换成堆的被盗信用卡,而这些交易都从像您这样的个人信用卡开始。这些网站中有许多都存在于Darkweb市场上,例如Tor隐藏服务,但在常规互联网上也有许多所谓的“刷卡”网站.
小偷至少需要您的信用卡号,有效期和CVV(卡验证值)号。这些是使用信用卡的最低三个要求。但是,盗贼有多种方法可以提高您信用卡数据的转售价值.
为了获得最优惠的价格,小偷将通过“检查器”系统运行所有被盗的信用卡,以验证该卡是否仍处于活动状态。这些系统看起来像是小巧的,无害的购买,不会超出其剩余信用额度吃得太多,而且还可以确认该卡没有被取消.
更进一步,完整的个人数据包的价值不只是一个有效的信用卡号。如果小偷能够窃取有关您的详细个人信息,以使买家能够窃取您的身份,那么它的价值就更大。最有价值的一批信用卡数据通常包含足够的信息,以使购买者能够完全假定合法所有者的身份,或者至少具有足够的信息来进行诸如重定向所有者的邮件等操作,以作为窃取其身份的第一步.
值得注意的是,使用信用卡与使用银行借记卡时,如何处理欺诈性费用存在显着差异。在后一种情况下,客户通常应对任何欺诈行为负责,并且几乎没有或没有追索权,因为在交易发生时已经花掉了钱。另一方面,信用卡将信用卡公司作为中介,因此信用卡公司倾向于对欺诈行为负责。您所在国家/地区的法律和银行的惯例可能有所不同.
怎么做?
与任何操作一样,提供最高回报率的方法是首选。按照重要性顺序,确定窃取的信用卡数据的价值的主要标准是:
- 有效期: 不能取消卡并具有一定的权限
- 体积:一张信用卡不值那么多。多多益善
- 信用额度:更高价值的卡价值更高。从高收入人群聚集的地方盗取的信用卡数据可能价值更高
首选的盗窃方法将集中于这三个标准的最佳组合。以下是一些更常见的窃取信用卡方法.
网站数据泄露
网站上成功的数据泄露始于数量。安全性差的网站可能会同时导致成千上万张信用卡被盗。从那里,可以确定另外两个标准:有多少有效的,有多少属于高价值所有者.
高知名度网站的网站违规通常比从一次性的小型供应商网站上窃取要难,但是大多数网站违规有一个共同点。如果网站完全发现了该信息,则它可能需要一些时间才能知道该网站已被破坏。如果网站所有者确实发现网站已被违反,则发现违规范围并将通知发送给受影响的客户时通常会有所延迟。当所有这些延迟加在一起后,网站违规就很有吸引力了,因为它们可以使小偷有很长的提前期来出售卡,甚至还不知道它们被盗了。.
读卡
信用卡撇取与旧信用卡取现技术不同。这种类型的略读是指在合法的读卡器上附加某种机械设备以记录信用卡数据。在采用芯片和PIN技术的国家/地区,通常还会设置一个摄像头来记录PIN输入.
亚伦·波芬伯格,
https://www.flickr.com/photos/27047834@N02/5562783372
撇去卡片后,可以使用几种方法。已经收集了足够的信息,因此该卡可以在线使用或在其他非PIN情况下使用。如果还收集了PIN,则可以克隆卡,并且可以创建和出售使用有效信用卡数据编程的合法外观信用卡.
使用撇油器的盗贼通常会在短时间内移走设备。如果发现了撇渣器,通常可以确定部署它的时间范围。信用卡公司可以从那里取消并替换在该时间段内在该站点使用的卡。这会使整张卡片一文不值.
撇渣器通常部署在人员监督很少的机器上。气泵,隔离式自动售货机和洗车机是撇油器的成熟目标。已知由照相机或安全人员(例如银行机器)监控的高度吸引人的区域不太可能用于撇取操作.
手动复制抄送信息
手动复制信用卡数据的目的与略读相同,但是不涉及任何机器。手动复制的最佳环境是您希望在短时间内(例如在餐馆付款时)从视图中取出信用卡的地方。在那一刻,服务器可以在将信用卡退还给您之前复制您的信用卡号,有效期和CVV.
在芯片和PIN卡已广泛部署的国家/地区,手动复制效果不佳,因为服务器在复制时无法立即访问您的PIN。最好的情况是尝试观察客户输入PIN并在事后记录.
电话和电子邮件诈骗
有时,技术含量较低的骗局会奏效,尤其是对那些不太习惯使用互联网的人而言。典型的电话骗局将具有与电子邮件骗局相同的标记。除非您立即使用信用卡支付一定的金额,否则诈骗者会描绘出一些坏事即将发生的画面。.
大多数骗局都可以通过电话或电子邮件进行,并且可以包括以下承诺:
- 便宜的假期,需要立即付款以确保您的位置
- 慈善机构竭尽全力阻止可怕的暴行
- 优惠购买通常不可用的药品或打折的药品
- 来自政府机构的法律或逮捕威胁
电话诈骗会尝试在通话中获取您的信用卡信息。电子邮件网络钓鱼诈骗更深入一点,因为它们将包含指向实际外观的付款页面的链接,以希望您能进入那里并输入敏感的信用卡信息.
业界正在如何解决这个问题?
迄今为止,卡安全性方面的最大进步是EMV(即芯片和PIN).
最初,商家只需要捕获客户的签名即可处理销售。这种可笑的安全措施已经存在了数十年,并且在当今的某些国家中仍然存在。现代支付处理器发行的卡中带有加密芯片,并且可以要求卡所有者输入PIN进行购物。卡上的集成芯片为每次交易生成一次性代码。即使芯片内容能够被复制,芯片所复制的交易代码对于后续的销售也将无效。.
这些类型的信用卡称为EMV卡,指的是Europay,Mastercard和Visa;该标准的三个创始伙伴。通俗地说,这些卡被称为芯片卡和PIN卡,尽管芯片卡和签名卡用于技术含量较低的领域。目前,EMV卡的背面仍像前EMV卡那样具有磁条,以实现向后兼容。有些机器无法处理EMV,有时机器会损坏,因此磁条可能会存在一段时间.
完全实施EMV卡的供应商只有在客户输入PIN后才能处理信用卡销售。在那些情况下,EMV卡具有固有的保护作用,可以防止历史盗窃方法的发生,例如从邮政邮件中被盗。甚至与新卡一起发送的初始PIN都以不同的邮件发送,因此,需要小偷将受害者的邮政邮件控制几天。但是,并非所有供应商都完全实现了“芯片和PIN”的“ PIN”部分。最值得注意的是,美国仍未广泛采用EMV卡的PIN输入,并且仍对大多数交易使用签名.
EMV芯片,加上饭店中无线支付终端的兴起,还减少了卡离开卡所有者视线的次数,这有助于减少手动复制的机会.
EMV卡还可以抵抗机械掠读。信用卡数据被编码在磁条上,并且可以被撇渣器复制,但是不能复制加密的芯片数据。这增加了掠夺攻击的复杂性,因为攻击者不仅必须贴上不起眼的撇渣器,而且还必须部署摄像头或其他方法来捕获PIN。每增加一件设备,都会增加被发现的风险.
话虽如此,无卡交易(CNP)交易市场巨大。这些是不在销售点的任何类型的信用卡交易。互联网和电话销售是CNP交易的最常见示例。由于不存在该卡,因此无法输入PIN,因此仅使用卡号,有效期和CVV来处理交易。一些处理CNP销售的供应商试图通过收集其他信息(例如送货地址)来降低风险,然后将其与卡的账单地址相匹配。一些发卡行已经创建了经过验证的程序,在该程序中,持卡人必须通过转到发卡行的网站在线完成单独的步骤。但是,这些程序与以前的原始信用卡验证方法一样笨拙,并且没有获得太大的吸引力。这意味着EMV卡仍然可以不受限制地在线使用.
我该如何保护自己?
我们大多数人可能不会花很多时间担心信用卡被盗。自2015年10月起,如果在美国发生信用卡欺诈,则EMV要求最低的一方将对损失承担责任,而该方将永远不是持卡人。发卡机构必须证明疏忽或共谋,才能将责任转移给持卡人,这是很难做到的。因此,看起来最糟糕的结果是更换信用卡时不得不几天没有信用卡。实际上,您的信用卡数据可以作为您生活中的立足点,成为窃取身份的第一步,因此更有价值.
第一步是首先尝试防止盗窃。在互联网上使用信用卡时,请确保仅通过Web浏览器中的HTTPS加密连接输入信用卡。虽然并非所有的HTTPS连接都可以保证站点的可信赖性,但它至少可以保护您的数据在通过Internet传输到站点的过程中不被窃取。在互联网之外,请保持警惕以防盗录。将卡插入任何机器时,请查看它是否看起来很奇怪。虽然我们都不知道地球上每台信用卡机的确切模样,但可能会有一些迹象表明一台机器被篡改。带有不合适的框架,松散的胶带和设计不当的指示牌的卡槽都是潜在掠夺的迹象.
亚伦·波芬伯格(Aaron Poffenberger),https://www.flickr.com/photos/dabdiputs/5713351185
即使您不知道您的卡信息已被略读,您仍然可以采取一些措施来保护自己.
收集大量信用卡的最有效方法是,不会以电报的方式告知您信用卡已被盗。网站违规行为和机械窃听者会偷偷窃取您的信用卡信息,您甚至可能不知道它已经发生了。但是,小偷会希望验证您的卡,以增加其在转售市场上的价值。通常,这是通过在卡上收取少量费用来完成的,这是一个警告标志。如果您发现不明的小额费用,则可能是验证成功。在这种情况下,您需要与您的信用卡公司联系并进行举报.
不断检查您的信用卡余额和交易可能很耗时。一些信用卡公司提供了设置交易警报的功能。信用卡公司可以提供的警报类型没有标准,但是如果您能够设置交易通知,则可以提前向您发出问题警告。请记住,验证费用通常很小,因此将您的警报设置为在所有交易上触发,而不仅仅是高价值交易。一些信用卡发行商开始对所有交易提供两因素验证。这意味着在终端上完成交易后,您会收到一条短信,确认交易有效,然后再将其发布到您的帐户中。如果PIN并非可行的安全措施,这可以帮助打击CNP欺诈,如果您的卡提供了PIN,则应启用它.
最后,请注意,没有合法的银行或政府机构会给您打电话,并要求您提供信用卡信息。要非常警惕通过电话提供此类信息,并且只有在您100%确定与之交谈的人的身份时才这样做。一个好的策略是要求提供一个电话号码以回叫此人。骗子通常不愿提供这样的号码,在这种情况下,您几乎可以确定这是骗局。如果他们确实提供了电话号码,请挂断电话,然后使用互联网搜索引擎(例如Google)搜索该电话号码。您很可能会很快找到该号码是否属于该人声称来自的组织,并且还可能会发现该号码先前已被用于欺诈。如果您根本找不到该号码的任何信息,则表示这是一个骗局,这是一个危险信号.
如果我的卡被盗了怎么办?
尽快向发卡机构报告任何可疑或实际的信用卡欺诈行为。他们通常会立即取消您的卡并进行更换。这将防止任何进一步的欺诈性指控。在大多数情况下,信用卡发卡机构还会在调查后撤消欺诈性收费.
下一步是与您所在国家或地区的适用的征信机构联系,以报告您的卡被盗。虽然征信机构无法为您的卡更换或退还欺诈性购买行为,但可以在您的文件上放置欺诈警报。如果由于信用卡盗窃而对您造成进一步的身份欺诈,这可能会有所帮助.
处理完当前的问题后,请向您所在国家/地区的主管部门举报欺诈行为。这可以帮助验证盗窃行为,并且您的信用卡发卡行可能会要求警方报告作为调查的一部分.
在所有国家/地区,向您当地的警察报告信用卡欺诈行为。信用卡盗窃和欺诈属于犯罪行为,您当地的警察部队将举报并采取任何适当的措施.
在英国,“欺诈行为”也将处理您的欺诈报告,但尚不清楚他们如何处理此信息。您可能还希望将其报告给当地警察.