文档章节

银行卡诈骗新花样升级来袭

AllenOR灵感
 AllenOR灵感
发布于 2017/09/10 01:12
字数 1833
阅读 1
收藏 0

商户在安装POS机时要选择正规渠道,不可轻信银行工作人员以外的推销人员,持卡人还可给自己的信用卡、借记卡设定刷卡上限,以增强账户安全性


部分不法分子以赠送小礼品为诱饵,诱使持卡人用手机扫描二维码,进而将木马病毒植入持卡人手机,直接截留银行发送给持卡人的短信验证码

银行卡使用安全正面临新挑战。中国银行业协会日前发布的《中国银行卡产业发展蓝皮书(2017)》显示,2016年我国银行卡欺诈率为2.57基点,较上年上升0.68基点,欺诈手段突出表现为线下伪卡盗刷、线上账户盗用、电信诈骗。

与此同时,随着支付手段日益多样,特别是线上非面对面交易快速化、匿名化,欺诈手法也不断翻新,欺诈风险管控难度加大。应如何识别上述欺诈手段?如何有效防控银行卡欺诈风险?监管部门又如何形成合力?

“伪卡盗刷”链条

伪卡盗刷是信用卡欺诈的最主要类型。《蓝皮书》显示,2016年信用卡欺诈损失以伪卡交易为主,且占比较上年有所上升,其次是虚假身份、互联网欺诈;借记卡欺诈的主要类型则是电信诈骗,其次是互联网欺诈、伪卡盗刷。

银行业协会相关负责人介绍,所谓伪卡盗刷,是指不法分子将银行卡磁条信息侧录,包括账号密码等,再利用这些信息复制出一张伪卡,用伪卡在POS机、ATM机上实施盗刷。

“磁条信息侧录是核心。目前信用卡仍是磁条卡,更容易被侧录,借记卡中的磁条卡也容易被侧录,芯片卡就安全很多。”上述负责人说。

家住湖北省武汉市的胡女士发现自己的借记卡被人取走了24900元,取款地是重庆市某ATM机。然而,借记卡明明就在身边,怎么会在异地的ATM机上被盗刷了呢?

经侦破,重庆警方发现这里面包含了一个完整的“伪卡盗刷犯罪链条”——研发POS机盗录芯片、改造POS机、窃取银行卡刷卡信息、国外制作伪卡、国内盗刷提现。

具体来看,该案犯罪嫌疑人伙同他人共同研发出了侧录银行卡磁道信息及支付密码的芯片,然后用虚假商家身份骗取网络支付公司信任,申办了10余台POS机,把芯片嵌入POS机中完成改装,再通过支付公司代理人,将改装后的POS机推销到某些消费场所。

持卡人用上述POS机刷卡支付时,其银行卡账户信息、支付密码等数据就会被芯片侧录、窃取。此后,犯罪嫌疑人会以维修为借口,定期从芯片中导出数据,利用这些数据在境外制作“伪卡”,再拿伪卡回境内取现、消费。

“值得注意的是,近年来伪卡盗刷的商户合谋案件增多。”公安部相关负责人说,某些收单机构的商户入网审核不严,不法分子利用这一漏洞,虚假申请商户或者与商户合谋实施欺诈并快速转移账款。

规模化信息窃用

如何避免自己的银行卡信息被侧录窃用?业内人士提醒,针对借记卡,建议持卡人将磁条借记卡更换为安全性更高的“IC芯片卡”,同时定期更换支付密码,并绑定手机短信通知,第一时间了解自己的账户状态。

由于目前信用卡仍是磁条卡,建议持卡人刷卡时选择正规的营业场所。商户在安装POS机时要选择正规渠道,不可轻信银行工作人员以外的推销人员,避免被不法分子利用。

此外,持卡人可以给自己的信用卡、借记卡设定刷卡上限,如果消费金额超过该上限,必须通过手机验证码来确认,以增强账户的安全性。

“还有,不要在绑定第三方支付工具的银行卡上存放大量资金,以免不法分子利用第三方机构漏洞窃用信息。”银行业协会相关负责人说。

利用第三方机构漏洞批量化、规模化窃用信息,也是银行卡欺诈翻新手法之一。《蓝皮书》显示,近年来,第三方支付机构、外包服务商已成为不法分子攻击的对象。部分第三方机构违规留存银行卡磁条数据、敏感数据访问权限管理不善,不法分子用黑客技术恶意攻击第三方机构后台数据库,批量获取客户账户信息。

其中,“撞库”、“扫号”手法较为常见。黑客首先收集已泄露的、分散式的账户信息、密码,然后批量登录其他网站,把这些信息与各个持卡人的银行、支付宝账号等信息逐个匹配,最终“撞大运”似地“撞”出部分持卡人的可用信息。

攻击手机移动端

除了线下、线上信息窃用,手机移动端也正成为银行卡欺诈重灾区。“近期,部分不法分子以赠送小礼品为诱饵,诱使持卡人用手机扫描二维码,进而将木马病毒程序植入持卡人手机,直接截留银行发送给持卡人的短信验证码。”公安部相关负责人说。

众多周知,短信验证码是支付密码外的第二道安全保障,由此,非法截取、骗取验证码就成为银行卡欺诈的关键一步。

目前手机移动端的常见攻击手法有二:一是不法分子修改持卡人预留手机号,进而实施网络盗刷。例如,不法分子利用变号软件,伪装成持卡人给银行客服系统打电话,要求修改预留手机号码、密码。

二是不法分子编造积分兑换、额度调整、退货退款等理由,向持卡人手机发送钓鱼网站链接,持卡人点击该链接后,交易验证号码即被盗取,不法分子进而完成盗刷。

面对以上新手法,部分银行已采用“虚拟手机号”、“非预留电话”等技术升级信息保护。目前,浦发银行信用卡为客户传输信息时,不再显示客户真实的手机号码,以动态虚拟号代替;民生银行则推出了“非预留电话进线”、“交互式动态语音验证”功能,设置了周期性多次致电提醒、账户争议及处理提醒等多项风险业务提示,以更加有效地防范风险。

本文转载自:http://www.jianshu.com/p/6427f9f53565

AllenOR灵感
粉丝 11
博文 2635
码字总数 83001
作品 0
程序员
私信 提问
以2018年世界杯为主题的恶意邮件来袭

        2018年俄罗斯世界杯就要在6月14号隆重开幕了,每当这时,全球的目光都会被这个赛事所吸引,当然,其中还包括不少网络攻击者。为了蹭热度,他们已经很早就利用与2018年世界杯为...

嘶吼RoarTalk
2018/05/30
0
0
一夜之间收到上百条短信,账户空了... 这种诈骗方式的背后技术原理

(给程序员的那些事加星标) 在刚刚过去的 2018 年底,233 名冒充公检法机关工作人员实施电信网络诈骗的犯罪嫌疑人被我公安机关押解回广州。这次集中打击行动,破获了 2000 多起跨国跨境的电...

程序员的那些事_
01/06
0
0
女朋友遭遇网购诈骗,实名制下依然很无奈

     人不会两次掉进同一个坑,但第二次掉进去的可能是你的女朋友。近期,笔者一向机灵的女朋友却一时犯了傻,让骗子钻了空子……      前段时间,我正在外地出差,晚上跟朋友一起吃...

FreeBuf
2018/08/10
0
0
Apple Pay来抢滩了!求所有被鄙视群体的心理阴影面积

翘首近两年,Apple Pay终于在昨天来到了中国大陆。但经过各媒体平台对Apple Pay铺天盖地的详细介绍,相信不少人都从满心期待的跃跃欲试,转变成“然并卵”的叹息无奈。下面就来看看,大家是怎...

DBAplus社群
2016/02/19
0
0
WiFi连接风险造成个人信息外泄 网络安全需加强

随着电子商务快速发展,吃饭、打车、购物、看电影、充值、发红包……人们的日常行为已经与移动支付密不可分。与此同时,一些不法分子也瞄准这一新生事物,利用移动支付领域存在的技术漏洞、监...

玄学酱
2018/04/19
0
0

没有更多内容

加载失败,请刷新页面

加载更多

大数据最核心的关键技术——32个算法,记得收藏!

奥地利符号计算研究所的Christoph Koutschan博士在自己的页面上发布了一篇文章,提到他做了一个调查,参与者大多数是计算机科学家,他请这些科学家投票选出最重要的算法,以下是这次调查的结...

大数据金罗
2分钟前
2
0
spring boot The server time zone value 'PDT' is unrecognized or represents more than one time zone.

spring boot启动项目时,发现数据库抛如下错误 Caused by: com.mysql.cj.exceptions.InvalidConnectionAttributeException: The server time zone value 'PDT' is unrecognized or represen......

huangkejie
22分钟前
1
0
正则表达式匹配

请实现一个函数用来匹配包括 '.' 和 '*' 的正则表达式。模式中的字符 '.' 表示任意一个字符,而 '*' 表示它前面的字符可以出现任意次(包含 0 次)。 在本题中,匹配是指字符串的所有字符匹配...

Garphy
今天
7
0
Laravel 5.1的多路由文件的配置

默认的路由配置文件只有一个, \app\Http\routes.php。 在同一个文件中写路由容易起冲突,文件会越来越大,就需要定义多个路由文件。 找到加载\app\Http\routes.php的文件, 打开\app\Provid...

mdoo
今天
5
0
Hibernate 5 开始使用指南前言

同时在面向对象软件和关系型数据库进行工作,可能会非常复杂和费时。数据在对象和数据库之间可能会不一致,然后导致开发成本会非常高。 Hibernate 是一个针对 Java 环境的对象关系映射(Obj...

honeymoose
今天
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部