金融反欺诈-海外信用卡黑色产业链

时间 2019-12-08

标签金融欺诈海外信用卡黑色产业链繁體版

原文原文链接

阿里巴巴云誉 · 2016/04/06 15:18html

0x00 概述

上篇文章金融反欺诈-交易基础介绍咱们详细介绍了银行卡的相关内容，以及银行卡的可复制的风险。本篇文章主要介绍下海外信用卡欺诈的相关内容，并初步探讨下信用卡反欺诈的方式。web

0x01 基础介绍

一）基础名词：

Credit Card：
信用卡，有必定的信用额度，并能够提早预支资金用于消费的卡。算法

CVV2：
一般指咱们平时所说的信用卡的CVV，其真实叫法为CVV2(Card Verification Value 2->Visa)，Visa卡组织叫CVV2，MasterCard卡组织叫CVC2(Card Validation Code->MasterCard),在国内，中国银联称之为CVN2。 CVV2的设计是主要用于线上的交易卡的合法性校验，通常是3-4位数字，打印在银行卡的背面。浏览器

EMV(Europay、MasterCard与Visa缩写):
EMV是指国际金融业界对于智能支付卡与可以使用芯片卡的POS终端机以ATM机等所制定的标准，最初由Europay、MasterCard、Visa三家卡组织制定。
符合EMV标准的支付卡叫作芯片卡，即EMV智能卡(一般也称为IC卡)。芯片卡的信息储存在集成电路中而非过去的磁条里，但大部分EMV卡有能够向下兼容的磁条。安全

CNP(card not present transaction)：
通俗来说，是指不须要出示物理卡便可进行消费的交易，好比线上的信用卡交易、电话购物等。服务器

Chargeback:
拒付，即若持卡人查看本身的消费帐单时发现并不是本身的交易，或者对交易不满意(好比购买的物品不符合商家描述、货物不对等)，向发卡行提出申请退款的请求。拒付有多种状况，其中因为信用卡欺诈产生的拒付较多。网络

Fallback Charge:
回退交易，是指芯片卡(EMV)的交易本该使用芯片进行交易，但由于各类问题(技术问题、伪造卡、攻击等)，使得经过不支持EMV的POS机或者支持EMV卡的POS机，使用磁条信息进行了交易。并发

二）欺诈消费流程：

一次信用卡欺诈的消费过程以下：机器学习

说明：ide

欺诈者经过各类方式获取持卡人的信用卡信息(信用卡卡号、过时时间、CVV2码、姓名、联系方式等)，而后寻找支持信用卡交易的网站，欺诈者在商户平台注册，并进行绑卡消费。

若是商户在绑卡过程当中只是简单的验证卡号、姓名等，无其余的强校验，那欺诈者很容易绑卡成功。同时在消费处理过程当中，也是如此，一般只须要信用卡的卡号以及过时时间及CVV2等便可进行消费。商家无本身的风控系统，欺诈者就很容易得到利益。

商家请求收单行进行资金清算，有扣款成功或扣款失败的状况。

扣款失败，卡里的信用额度不够，无充足资金。或者绑卡成功了，但在消费过程当中卡失效了。

扣款成功，此时持卡人以后会收到消费帐单，在收到消费帐单后非本身消费，从而产生拒付。

三）拒付(chargeback):

拒付流程：

持卡人向发卡行提出拒付的申请，发卡行会要求持卡人提供书面的问题说明、也可能要求收单行提供相关的交易收据。

发卡行确认拒付申请后，经过卡组织网络将拒付申请反馈给收单行。

收单行处理解决拒付请求或将问题转发给商户。

商户收到收单行的拒付处理，选择接受或拒绝。并将结果反馈给收单行。

收单行：若商户赞成拒付，则会撤销扣款，返回给持卡人。若商户拒绝，则收单行将结果反馈给卡组织。
卡组织：卡组织对拒付进行仲裁，最终判断损失由谁来承担。

坏帐：
若商户没法得到应收的款项，则称为坏帐。

拒付率：
若是商户的拒付率太高，那么卡组织会请求商户进行整改，严重的话可能取消商户的交易通道。

在坏帐中，商户中的角色很重要，若是没有作好风控，没有进行强的安全校验，则极可能遭受损失。

0x02 海外信用卡黑色产业链

产业链：

说明：
在这条黑色产业链里，绿色箭头表示数据的流向、红色箭头表示利益流向。

攻击者一般是售卖者，其经过各类方式获取用户的银行卡信息，并经过售卖平台售卖。

售卖平台将全部的卡信息等按卡组织、卡类型、区域等进行分类，供购买者购买，其在卖家与买家之间赚取手续费。

买卡信息者经过匿名支付，并经过匿名网络下载卡信息，将得到的卡信息拿取套现，从中获利。在套现过程当中还有各类其余的角色提供套现服务，从中收取手续费。

一）匿名保障

在整条信用卡欺诈的黑色产业链里，匿名的网络、匿名的交易使得欺诈者没法被追踪，也正是这些匿名保障使得这条产业链滋生发展。

1.Tor(The Onion Router)网络

Tor俗称洋葱路由器，Tor网络即为匿名网络，能够经过Tor在互联网上匿名交流，匿名访问网站，其通讯信息是通过层层加密的，使得Tor的用户不容易被追踪。联入匿名网络须要使用其定制的浏览器，才能够访问到。

2.DeepWeb

DeepWeb是指深网，即在互联网上那些不能被标准搜索引擎索引的网络内容。将互联网比做大海，这些网络内容则位于大海深处，不易被传统的搜索引擎检索到。深网的网站连接通常是以onion结尾，须要经过Tor浏览器才能够进行访问。这些网站中充斥着各类信用卡倒卖、ID倒卖、毒品、犯罪等信息。

3.bitcoin

比特币是一种全球通用的加密互联网货币。比特币是一种点对点网络支付系统和虚拟计价工具，被一些人称为数字货币，最先在2009年由中本聪以开源软件形式推出。因为其采用密码技术来控制货币的生产和转移，所以比特币也被认为是一种加密电子货币。比特币的获取能够经过交易购买或者运行程序计算来获取，经过大量的计算来得到比特币的过程，即咱们一般所说的“挖矿”。

二）数据窃取

数据窃取主要是指获取信用卡的原始磁道信息或者能够用于支付的信用卡信息。

漏洞攻击：
经过攻击，并植入恶意软件去窃取信用卡信息。好比经过渗透测试等方式，入侵到商户或收单行的支付网络，经过在POS机或者ATM机(Windows主机占多数)植入后门，后门可以从内存里获取Dumps数据。
或者是经过挂马、社会工程学等各类方式攻击普通用户，用户在运行软件后会被植入恶意后门，软件检测到网银的登录或支付信息后会记录并发给控制端。

钓鱼方式：
钓鱼方式主要指伪造银行的页面，引导用户登陆，并记录用户信息。好比将伪造的银行网站经过邮件、伪基站等方式发送给用户。缺少安全意识的用户可能会直接输入信用卡等相关信息。好比咱们经过伪基站伪造招商银行，并发钓鱼连接给用户，安全意识较差的用户是很难去察觉是伪造的银行地址的。如图

社会工程学：
社会工程学一般结合数据泄露、钓鱼等实施。当欺诈者经过各类方式掌握了用户的相关信息，并可经过进一步的方式得到更多的信息。好比根据掌握持卡人泄露的卡号、姓名等信息，假装银行的工做人员去试探获取持卡人的PIN密码、CVV2码等。

线下获取方式：
线下的获取方式一般有偷盗用户信用卡、侧录信用卡。好比在ATM机安装测录仪器，用户在无感知的状况下刷卡取钱，致使信用卡被复制。好比POS机安装测录仪器，经过优惠活动等引导用户刷卡、或与商户勾结，趁用户不注意时候复制信用卡。

三）数据倒卖

1.术语

Dumps：
Dumps是指银行卡的原始磁条信息，能够经过MSR等读卡器读取或者在POS机、ATM机里安装后门直接从内存里读取。

Fullz：
是欺诈术语，是指可用于实现交易的信息，其携带了持卡人的一些详细信息，好比姓名、住址、信用卡信息、社保号码、出生日期等。

Checker：
交易平台中会有给购买卡信息的用户提供check的服务，check卡信息是否有效，其经过扣除小款的金额，并查看返回码，确认卡的有效性，并从中收取费用。

咱们来看几个银行卡信息交易平台

如图1.

如图2.

如图3.

在这些交易平台中都是支持比特币交易，实现匿名性。同时网站还会提供一些代理服务、服务器、付费教程，以及售卖paypal、ebay等帐号信息。

四）盗卡的获利

1.角色：

Dropper：
Dropper角色是指为购买线上实体物品的欺诈者提供合法收货地址的服务人员。他们一般是利用伪造的ID去租赁一个合法的住址，而后用于给欺诈者提供接收商品的服务。

Runner：
Runner角色是指经过伪造的卡直接去ATM机取现的人。

Shopper：
Shopper角色是指，经过拿伪造的银行卡去实体的商店进行消费套现的人。

2.线上获利：

购买线上商品,去线上购买实体物品。

购买线上的虚拟物品，主要是指去在线游戏、赌博的网站进行充值、购买虚拟货币、购买色情网站的会员等等。

同时这些欺诈者一般会去提供云主机服务的厂商购买主机，而后用“挖矿”的方式获利。由于不少云主机提供后付费的模式，即先使用主机，再付款，且其结算资金可能有必定的周期，那欺诈者只要绑卡成功，厂商未风险识别到，那就有套现的可能。

3.线下获利：

线下获利主要有利用伪造的卡去ATM机器取现，这种方式最快捷，但风险也较大。

其次能够去线下的实体店进行刷卡消费，进行获利。

4.其余：

在整条黑色产业链里，也避免不了黑吃黑的现象。好比卡信息的屡次转卖，提供套现服务的人不守信用等。

五）盗刷后的责任方

对于伪造卡的欺诈消费一般是由发卡行来承担责任，去年10月份，卡组织增长了新的规定，若是欺诈者复制了芯片卡上的磁条数据，并经过刷磁条的方式进行了交易，那收单行或商户须要承担责任。伪造卡欺诈的责任方以下表

卡类型	卡在什么样的POS机消费	责任方
纯磁条卡	支持EMV或不支持	发卡行
芯片卡	支持EMV	发卡行
从芯片卡磁条复制出的伪造卡	不支持EMV	收单行或商户
从芯片卡磁条复制出的伪造卡	支持EMV	发卡行

0x03 信用卡反欺诈方式

一）发卡行、卡组织

针对日益增加的信用卡欺诈现象，卡组织也采起了各类方式来遏制，好比升级卡的类型，采起较强的安全校验机制等。

1.芯片卡

普通的磁条卡面临复制的风险，从而推出了芯片卡，使得卡信息得以加密，不容易被复制。

2.3D Secure(Three-Domain secure)

即3D校验，Visa针对网络交易确认持卡人身份采用的一种方案，其中MasterCard也采用了此方案，其称为MasterCard SecureCode。3D校验须要发卡行支持，当用户在购买商品进行支付的时候，跳转到发卡行的页面，输入在发卡行设置的安全码进行身份确认。一般须要特定类型的卡，国内的话能够查看下兴业银行的3D校验使用指南

3.信用机制

卡组织以及各个发卡行都有用户的信用信息，一些信用较差有不良记录的可能会禁止交易。其中Visa子公司cybersource就基于信用信息等为商户或银行提供信用卡反欺诈服务。

二）持卡人

盗取用户信用卡数据的方式有不少，持卡人可去银行将磁条卡升级为芯片卡，并须要有安全意识：

1.线下场景：

信用卡的CVV2码要遮挡，在正规的地方刷卡，保证卡在视线范围内。

对于一些线下刷卡消费的诱人活动，要谨慎参加

线下取钱仔细查看ATM机器卡槽口是否被改造过

2.线上环境：

电脑要安装杀毒软件，不打开来历不明的连接、软件等

在登录敏感的交易网站时候，要确认网站的域名正确

手机安装应用经过正规的应用商城

收到关于金钱类的消息，请不要随意输入本身的帐号密码信息

三）商户[重点]

在信用卡的欺诈中，商户受影响较大，一般商户会产生资损(损失实物而且须要返回持卡人盗刷的钱、虚拟物品等)，并出现坏帐。在发生拒付时候商户须要支出拒付所产生的手续费以及拒付处理的服务费用等，同时若商户的拒付率太高，卡组织会通知商户采起相关措施进行整改，若拒付率超出容许范围可能会关闭商户的交易帐户。

因此，商户有责任对信用卡欺诈采起相应的防控手段。

一）基础防御

1.设备指纹
在欺诈中，一般是伴随多个帐号用于欺诈。因此须要一种可以惟一标识用户的方法，其中经过设备指纹识别用户是一种很重要的方法。商户能够本身创建设备指纹信誉库，或者购买一些权威的第三方服务。

2.机器行为
商户应该有本身的机器行为检测方式，经过多种方式来识别是不是机器行为。

3.防垃圾注册
商户应该具备垃圾注册防控的机制，对于批量注册、批量登录有防控机制。固然基于ip的拦截会显得不是那么有效，对于欺诈者来说，切换ip的成本很低。垃圾注册的防控一般须要结合设备指纹、机器行为检测。

4.加强绑卡校验

a.利用3D校验
即用户在绑卡的时候须要提供设置的网上交易密码，认证经过后肯定用户的合法身份。

b.利用Micro-Charge
即绑卡过程当中，向用户扣除一随机的金额，而后用户在收到扣款帐单后，填写此金额来确认身份。其中paypal在绑卡中是向信用卡扣除1.95$，而后返回给用户一个四位数的验证码，经过验证码来确认。

c.不容许绑定特殊类型的卡
好比GiftCard，用户拿着这些卡去绑定，等消费完成商户进行扣款(先使用后付费的模式)时候，会发现没法扣款等。

d.黑卡黑名单，卡Bin黑名单
即对于出现欺诈较多的小银行、出现盗卡较多的区域，拒绝绑定或进行风险打标。

5.消费校验

a.0$、1$ authentication
0元或1元校验，是指经过扣取0元或1元的方式，来确认绑定的卡是否有效。好比有以下的场景，在提供“先使用后付款”服务的商户中，用户绑卡经过了，可是其过了很长时间才进行了消费，用户消费完成后，商户执行扣款时发现卡可能已经失效。

b.AWS(Address Verification System)校验
即用户地址的校验，在购买实体物品时候能够对其进行校验。

c.预冻结金额
好比在提供“先使用后付款”服务的商户中，若用户购买了大量金额的服务，但等到商家进行资金清算时，发现所绑卡的余额不足。因此在超过必定金额的消费后，能够采起冻结金额的方式。

6.业务监控
商户应该有本身的业务监控系统。好比基于用户的，基于设备的、基于IP的交易数据监控。及时查看异常交易，并采起相应的确认措施。好比邮件确认、电话回访或者人工确认。

二）基于机器学习的信用卡反欺诈

其实在信用卡欺诈检测中，机器学习扮演了重要的角色，好比利用神经网络、贝叶斯、SVM等算法，构建风控模型，从而有效识别交易中的风险。

经过监督学习，提供一些有标签的交易数据，好比这次交易是属于欺诈交易、仍是属于正常的交易。经过贝叶斯分类算法或者SVM算法进行分类预测，从而创建防控模型。国外基于机器学习的信用卡反欺诈资料较多，感兴趣的可在参考给出的连接里查看。

1.训练样本

不管采用监督学习仍是非监督学习，不管采起哪一种算法，都须要有充足的训练样本。同时样本必需要有一些基础的因子才能有更好的效果，具体的信息可参考下表，固然商户可根据本身的业务场景进行相应的添加或修改。

分类	内容
设备信息	操做系统、系统区域语言、系统时间、浏览器信息、flash信息、设备信誉等
用户信息	注册时间、注册是否为代理注册、性别、国家地区、年龄、认证信息、邮箱、手机号等
行为信息	最近登陆时间、最近的登陆ip、ip是否在风险库里出现、最近的登陆是否为代理、登陆坏境的变动(设备更换、浏览器更换等)、最近的购买行为、最近的浏览行为等
交易信息	支付类型、交易金额、卡bin、交易时用户的行为特征、当天的累积交易金额、近一月的消费记录等
其余信息	好比创建的用户信誉分值

2.风控模型

商户应该基于用户的各项交易信息构建用户黑白名单，并综合各项信息构建本身的风控模型。

好比在一次交易流程中，大体流程以下：

在反欺诈中，用户的全部行为信息须要联通，而不仅是在消费的时候针对当前的用户行为、设备信息等进行判断。而是从用户注册开始，记录用户的行为信息(好比是否风险ip、是否代理等)，在登录时也如此，这些信息反馈到绑卡阶段。同时绑卡流程中继续将信息累积，最终反馈到交易行为。继而再结合全部的信息造成信用体系，来构建风控模型。

固然风控模型没法识别的，则须要进行人工审核，并不断完善模型。

0x04 总结

信用卡欺诈产生已久，卡组织、银行、商户都应采起相应的措施来减小风险。对于商户来说，创建本身的风控模型尤其重要。