周末,一则“央广主持人信用卡被盗刷5万,自救挽回损失”的消息快速刷屏。虽然最后结局有惊无险,但信用卡被盗刷的事件仍常有发生。因此,与事后措施相比,事前反欺诈、防盗刷显得更加迫切。对此,雷锋网咨询了业内安全专家的意见。
所谓信用卡盗刷,为不法分子通过不法手段骗取持卡人的信用卡卡号等核心信息后制作伪卡,再通过网络支付盗刷信用卡资金的行为。
据雷锋网此前报道,信用卡信息恶意获取的形式包括几类:一是冒充购物网站工作人员以“交易未成功需退款”由头要用户在退款链接上输入信用卡交易密码、手机验证码等;二是冒充银行客服以“提升额度”等由头要求提供信用卡信息(有效期、CVV2等);三是利用伪基站群发银行营销活动短信,诱导用户点击钓鱼链接,并通过木马病毒盗取持卡人信息。此外还包括免费WiFi窃取个人信息 、改装POS机窃取银行卡信息等。
360首席反诈骗专家裴智勇博士介绍,钓鱼网站的更新速度非常快,每天都有5000到8000个新的钓鱼网站被监测到。
总而言之是,欺诈者通过各种方式获取持卡人的关键信用卡信息——信用卡卡号、过期时间、CVV2码(通俗说是信用卡背面3-4位的数字,其是信用卡交易的关键凭证)、姓名、联系方式等,然后寻找支持信用卡交易的网站,欺诈者在商户平台注册,从而实现消费盗刷。除了以上方式,当然还包括生活中各种不小心泄露信用卡信息的情景,毕竟,信息就印在或者储存在信用卡表面。
在获取了关键信息后,如果是刷卡(线下)支付,欺诈者只需要卡片和签名,部分时候有设置的话也需要交易密码。
而和刷卡(线下)支付不一样,网络支付不需要卡片。如果消费环节中的商户对绑卡的要求只是简单的验证卡号、姓名等,无其他强校验时,欺诈者就很容易绑卡成功。同样,消费过程中只需要信用卡的卡号、过期时间及CVV2等即可进行消费,那么在商家缺乏风控手段的情况下,资金极其容易被刷走,比如Uber、易到、Paypal这种预授权交易。
因此,在盗刷悲剧发生之前,我们有必要想办法阻止其发生。对此, 360首席反诈骗专家裴智勇博士建议:
一、尽量在正规商店购物,避免被恶意POS机盗取信用卡信息。
二、不要点开陌生人通过短信或社交软件发来的链接,更不要从链接上下载任何东西,以防中毒。如果是熟人发来的链接,最好也电话核实一下再点开。
三、如果一个网站要求您同时输入帐号、密码、支付密码或验证码,那么就要仔细检查网址,看是否是正规电商网站或银行网站。
四、尽量使用芯片卡更换老式的磁条卡,因为芯片卡的防盗能力要好得多。因为磁条卡的信息都是明文存储,因而可以通过设备随意读写,使得复制卡成为可能。
如果不幸发生了被盗刷,裴智勇博士表示,这时应当及时向银行报案并挂失信用卡。如果还有其他银行卡使用了相同的密码,需立即修改。
利用信用卡消费明显涉及多方操作,除了消费者,还包括卡组织、银行、商户。因此,每一环都应采取相应的措施来降低欺诈风险。比如,信用卡消费是否可以增加指纹识别、声纹识别等唯一性的基础防护?是否应当增强绑卡和消费的校验条件?
此外,于这些组织和企业机构而言,裴智勇博士表示,在信用卡反欺诈过程中,现代大数据技术起到了重要的作用,它可以对业务进行监控,在欺诈发生前加以识别。他说道:
结合大数据技术可以实现对对用户账户的异常登陆行为和异常支付行为的快速检测。因为用户的信用卡在被盗刷时的行为特征与日常使用特称是有明显区别的,通过大数据分析就可以发现这些问题。比如,一个人经常在北京市朝阳区刷卡,而且一个小时前刚刚又在朝阳区某店铺刷果卡,但现在突然跑到广西去刷了一次卡,或者是在广东登陆了网银进行了消费,那么显然,这次支付就是不正常的支付。系统通过大数据分析,就可以拦截这次支付,避免用户的卡被盗刷。
再比如,近期国家大力推行实名制,强制所有手机用户和银行用户进行实名制登记。但实际上,很多犯罪分子使用的银行卡,是从黑市上收购来的,二黑市上交易的银行卡本身,可能也是用户实名注册的,只不过是这些“不明真相的群众”把自己的卡买给了卡贩子,卡贩子再把这些卡卖给犯罪团伙。
如此一来,犯罪分子就绕过了实名制的保护限制。但是,骗子对银行卡的使用行为与普通人是明显不一样的。普通人可能每月都有工资到账,时不时的消费一下。但骗子手中的银行卡,可能平时从来就没有任何资金流动,偶尔突然有很多钱转入,但不到10分钟,又被犯罪分子把钱转导了其他若干个账户上。这也是明显的异常行为,可以被大数据技术发现,而且比实名制更有效。
裴智勇还表示,
我们主张建立警企民联动大家网络犯罪机制。例如猎网平台,就是一个360公司和北京网安联合成立的,面向全体网民的网络诈骗举报平台。用户的举报信息不仅会同步给全国各地公安,同时还会同步给360的云安全服务器,从而实现对网络诈骗信息的第一时间捕获,第一时间拦截,第一时间打击。同时,今年5月再猎网平台基础上进一步成立的猎网联盟,又再一次大大拓展了互联网企业之间的合作。用户向猎网平台的举报,如果涉及到联盟成员,平台就会在第一时间通报给加入联盟的企业。目前,加入猎网联盟的企业已有69余家。2016年第三季度,猎网平台共向联盟成员通报用户举报信息397条,277条已经处理