我失窃的信用卡资料在4500英里外被使用，我试图找出它是怎么发生的

当网络安全记者丹尼·帕尔默(Danny Palmer)发现他的信用卡显示在另一个大陆被使用时，他打算了解更多情况。

 

2月的一个星期四，当我晚上收到银行发来的短信休息时，我正在放松地看电视。

 

“您将很快收到一条短信，请确认您的卡上最近的活动。”

 

我很困惑。那天我没有买任何的东西，所以这是怎么回事?大约30秒后，我在第二条短信中找到了答案。

 

他说，大约一分钟前，我的信用卡信息被人使用，试图在一家陌生名字的商店支付108英镑。

 

在线快速搜索显示，它是苏里南帕拉马里博市的一家超市，苏里南是南美东北海岸的一个小国，与巴西、圭亚那和法属圭亚那接壤。离我在伦敦的家很远，所以我很确定自己在过去的60秒钟内没有去那家商店购买任何东西。

 

警报要求我通过回复“是”或“否”来确认交易。我的确想到，也许这是一个双重或三重诈骗，如果回复一个意外的短信，我就犯了一个大错误。为了以防万一，我选择给银行打电话。

 

他们证实，确实有人在离伦敦4500英里远的地方试图使用我的信用卡信息，但由于尝试付款可疑而被阻止，所以没有钱被盗。

 

鉴于其他人有我的详细信息，我注销了我的信用卡，并订购了一张新卡。但是作为记者，我想知道这是怎么发生的？

 

为什么我的银行信息不知怎么被偷了，传到了世界另一端的某人那里，又几乎被成功地用在了苏里南一家看起来像是小零售商的地方?

 

信用卡是一种解决方案，也是问题的一部分

 

借记卡和信用卡是我们日常生活的熟悉存在一部分，但就在不久以前，对于那些使用实物货币购物的人来说，它们还是一个奇怪的概念。英国在1966年发行了第一张信用卡，而第一张借记卡直到1987年才出现在英国。

 

现在，英国有超过5100万的借记卡持卡人，占成年人的96%，而超过3200万的英国成年人拥有信用卡。据英国金融行业协会统计，2018年信用卡和借记卡消费总额超过8000亿英镑，全年交易超过200亿笔。

 

在网上购物和实体店非接触式支付的帮助下，信用卡支付越来越受欢迎，已经超过现金成为英国最常见的支付方式，而且信用卡支付的数量还在不断增长。

 

我们也在网上习惯地使用它们。这使我们所有人都可以更轻松地购买各种商品和服务，但是这也意味着，如果骗子有你的详细信息，即使实体卡放在口袋里，他们也可以使用您的帐户，因为在线购物只需要输入信用卡号，则无需显示该卡。

 

不幸的是，由于大小企业不断发生数据泄露的事故，骗子可以使用许多信用卡号。

 

那么，网络犯罪分子是如何获取所有这些数据的？他们是如何进行交易的？以及这种非法地下经济的规模有多大呢?

 

“这是一个非常有趣的问题，因为它没有一个明确的答案。这听起来真的很荒谬，但是只有未知的未知数。”《Have I Been Pwned?》的作者特洛伊·亨特说。

 

《Have I Been Pwned?》目前包含来自450多个网站的近100亿个受害帐户的数据和黑客已公开发布的数据转储，但几乎可以肯定的只是这些年来被盗的信息的皮毛,因为有很多数据泄露的数据还没有被黑客公开抛售。

 

亨特说:“我们知道，有大量的事件登上了新闻头条，而这些事件并不在我们的系统中。”

 

一些规模较小的公司也发生了数据入侵事件，这些事件可能不会成为头条新闻，但仍可能涉及成千上万人的个人数据被盗。

 

企业需要更加谨慎地处理您的数据

犯罪分子可以通过多种方式窃取数据

 

一个典型的例子就是PoS机恶意软件，这种恶意软件被安装在PoS机上，商店、餐馆、酒吧和其他零售商使用这些PoS机来接受信用卡支付——这几乎所有零售业务的关键部分。

 

正是因为它们是“家具”的一部分，许多这些系统如此脆弱，因为组织忘记了它们是计算机系统，可能包含漏洞，需要更新。商家可能很多年都没有意识到每次交易时客户的支付信息都被复制和窃取了。

 

在PoS机上物理安装恶意软件是可能的，但由于黑客活动，此类系统也可能在整个公司网络范围内受到攻击。

 

攻击可能始于针对粗心员工的网络钓鱼电子邮件，或者针对网络面向Internet的远程端口的更具技术性的方法，以此作为进入网络并跨网络移动到PoS单元以安装恶意软件的一种方式。

 

这是可能的，因为大多数PoS系统运行在一个修改版本的Windows上，这意味着计算机可以像其他Windows设备一样容易受到攻击。虽然网络上的大多数Windows系统应该定期接受安全补丁，以确保它们不会成为攻击的受害者，但PoS终端很容易被遗忘。

 

零售商Dixons Carphone的情况就是如此，在2017年7月至2018年4月期间，该公司在5000多个终端上用了安装了PoS恶意软件，超过500万客户的银行卡信息被黑客窃取。

 

英国信息专员办公室(Information Commissioner’s Office)的一份报告指出，这家零售商在保护个人数据和管理网络安全方面存在“系统性失误”，包括未能针对已知漏洞对系统打补丁。

 

在很大程度上，大型企业会在需要时为IT安全和网络升级做预算，但对于小型企业来说，这种方法可能不那么简单——但他们也会成为黑客的攻击目标，尤其是当他们被视为容易攻击的目标时。

 

“改变对每个人来说都很难，尤其是对小企业。如果信用卡终端还能用，你愿意花几百美元升级到一个你必须学会使用的新系统吗?”Kevin Lee说，他是Sift公司的数字信任和安全架构师，该公司是一家防止支付欺诈的公司。

 

这就是PoS恶意软件如此普遍的原因——也是我的银行卡信息被盗的潜在原因。但这不是唯一可能发生的方式。

 

另一种银行卡信息被盗的常见方式是直接从自动取款机上盗取。显然在提款机上远程安装恶意软件是可能的——毕竟，这些提款机大多是Windows电脑，而且通常是旧版本的Windows——物理上篡改设备为攻击者提供了一种更简单的窃取银行详细信息的方法。

 

这些掠夺攻击使犯罪分子将他们自己的读卡组件放置在真实设备的顶部，不仅使他们能够看到磁条中包含的卡的详细信息，而且能够看到PIN码——为他们提供支付和取款所需的所有数据——或者收集这些信息以便出售。

 

“很有可能，你在自动取款机上用过的卡，被一个读卡器读取了，然后有人想出了克隆你的卡并在网上出售的方法。”这是完全可行的——你的银行卡可能根本没有被入侵，只是一次略浏览而已。网络研发实验室商业安全研究主管莱-安妮•加洛韦表示。

 

“仍然有大量的“撇取物”在流通。它们仍然很受欢迎，因为它们有效。”

 

您的数据可能在地下市场

 

在某些情况下，犯罪分子会利用这些偷来的信用卡信息，简单地利用这些信息克隆信用卡，或者在网上购物。但是，把用偷来的信用卡购物的行为会直接与自己的身份联系起来，很可能会让他们很快就被抓住。

 

这就是为什么对于拥有大量信用卡信息的罪犯来说，在网上出售被盗的信用卡信息是风险较低的选择。由于大规模数据泄露如此普遍，专门交易被盗信息的网络地下犯罪市场极其繁忙。

 

“网络犯罪分子只是在寻找将他们获得的数据货币化的方法，而且通常情况比人们意识到的要复杂得多。”如果你擅长编写恶意软件，但你不知道如何处理信用卡信息，这就是为什么你会转向地下组织的原因，”Blueliv的威胁情报分析师Liv Rowley说。她表示:“在大数据泄露之后，有时情况很明显，它们会被交易。”

 

因为犯罪分子试图交易偷来的细节，任何时候都有几十个不同的卡片商店，同时也逃避法律的制裁。有些还能经营很长时间，而另一些则被关闭了——要么被执法部门关闭，要么被经营者自己为避免被抓而关闭。其中规模最大、最成功的是“小丑藏宝”(Joker’s Stash)，它经常被用来随时出售数百万张信用卡信息和其他个人信息的方式。

 

这个特别的论坛还与Fin7有联系，Fin7是一个多产的黑客组织，多年来从零售商、餐馆、赌场和其他地方窃取了数百万张信用卡的详细信息。如果是Fin7造成的数据泄露，这些信息通常会在Joker's Stash上出售。

 

今年早些时候，美国当局在一份起诉书中直接将Fin7与Joker's Stash以及其他梳理论坛直接关联，逮捕了被控是该黑客组织成员的乌克兰国民。

 

然而，我的个人资料被盗似乎与这些泄露事件无关——至少与任何公开的泄露事件无关——那么，如果我的个人资料被盗还有什么其他原因吗?

 

在一些更小的梳理论坛上，用户会出现在那里出售他们偷来的数据，而潜在的买家可以用易货的方式来购买任意数量的物品，——有时一张被盗的卡的详细信息价值不到一美元。

 

在很多情况下，这个过程是完全自动化的，用户可以通过之前买家留下的评论来确定谁是值得信任的——就像任何其他p2p在线零售环境一样。

 

“你真的不需要和任何人互动，你只要去那里，搜索你想要的东西，然后买下来就行了。这对网络罪犯来说很好，因为这是一个无痛的过程，”Rowley说。当然，受害者反而会感受到痛苦。

 

两秒钟就能改变一切

 

可能是我的卡的详细信息在到达南美之前经过了几番不同的尝试，但是为什么在所有地方都是加油站或小型便利店，看起来像卡的副本在试图被使用?

 

对罪犯来说，打印卡片是一个相对简单的过程，他们需要的物理工具并不违法。毕竟，许多工作场所都有塑料身份证，他们需要能够打印出来，同时也可以购买并使用压花机将凸起的银行信息和个人信息压在卡片上，这样卡片看起来就像真的一样。

 

“你是一个网络罪犯，你购买了这些数据，而这些数据只是原始数据。你拿着这些数据，拿着一张塑料卡，打印出正确的银行信息，然后弹出上面的名字和数字的字母，然后你把信息写在磁条上，这样就可以了，”她补充道。

 

对于网络罪犯来说，测试这些卡——以及他们偷来的银行信息的最佳地点是小零售商，因为他们通常没有完善的安全措施。

 

“加油站是测试信用卡号码的好地方，因为你不需要和加油站服务员打交道——你把卡插进去，如果它管用，你就能得到一箱免费汽油，然后继续加油。”如果不奏效，试一试也无妨。如果它在加油站起作用，那就是为进行大额交易开了绿灯。”凯文·李说。

 

我们无法得知使用我的信息的人想买什么，但如果交易成功，他们很可能会试图从我的银行账户中榨取比108英镑多得多的钱。幸运的是，银行几乎立即发现并停止了使用我的卡的尝试。

 

英国劳埃德银行（Lloyds Bank）零售欺诈主管保罗·戴维斯（Paul Davis）表示：“我们有2秒钟的时间做出决定。我们会在前2秒钟内决定拒绝这么做。”

 

劳埃德银行集团(Lloyds Banking Group)有12个不同的系统来分析不寻常的支付交易，它与外部公司和Visa合作，检查每天发生的巨额支付。这些系统需要在标记潜在可疑活动的同时，又不能妨碍常规交易之间找到平衡。

 

戴维斯解释说：欺诈引擎将查看您想要付款的人，您向他们付款的金额，您以前是否曾付款过这样的事情——指出我的信用卡意外的支付地点，可能起到了识别潜在可疑的作用。

 

他说：“我不知道我们有多少客户在苏里南进行交易，可能不是很多，因此更有可能发出警报。”

 

地点、商家、其他交易的历史——以及这些交易是否存在欺诈——以及支付的金额，这些都有助于银行做出决定。在这种情况下，它正确地判断了交易是欺诈的——但这些决定必须迅速做出，而且不能阻止真正的购买使用。

 

戴维斯说：“我们拥有的数据越多，这个系统越好，我们越有可能阻止更多的欺诈行为，并减少真正的案件。”

 

在某些情况下，更容易发现欺诈的企图正在发生，例如，如果犯罪分子使用连续的卡号同时提出许多请求——表明他们正在按顺序处理一个清单。在这种情况下，对尚未测试的卡号的交易尝试可以被预先阻止。

 

“如果有一个我们从未见过的商家，突然间我们收到了1万笔几乎连续付款，这些付款的编号几乎是连续的，或者有某种模式，这些付款就会显得可疑。”我们甚至在这些款项进入欺诈检测引擎之前就*了它们，”戴维斯解释道。

 

过去，网络犯罪分子能够逃脱这种欺骗手段，这就是导致攻击者能够在2016年11月从9,000家乐购银行客户中窃取超过200万英镑的原因 ，但是欺诈检测的进步意味着他们更容易被*。

 

在某些情况下，公司甚至可能没有意识到自己被侵犯了。

 

“入侵并不总是会被报道。根据我们的经验，有可能被入侵但还没有注意到的商家的数量要多得多。”戴维斯说。“很多人的银行卡数据都是在网上交易的，所以为了保证系统安全，我们依赖于我们在银行运行的系统。”

 

信用卡欺诈绝非罕见

 

但是，网络罪犯不仅可以通过直接窃取银行信息来获得他们需要的东西，从而滥用个人数据进行欺诈。姓名、社交媒体账户、地址、生日和其他各种信息都可能存在，这些信息可能被用来建立虚假的个人资料，或者通过社会工程把受害者变成网络犯罪的受害者。这种情况甚至发生在一些瞩目的政客身上。

 

IntSights的网络威胁情报顾问Charity Wright表示:“通常，你可以从社交媒体上收集到足够的信息来登录他们的账户或通过回答安全问题登录。”

 

被盗账户的信息可以在地下论坛上出售，如果受害者在其他重要账户上重复使用了自己的电子邮件密码，这将很容易为攻击者提供获取更多信息的手段，甚至可能拥有在线银行帐户。

 

Wright的角色是在公开和地下网络中搜索关于ceo、执行官和其他知名人士的信息，看看那里有什么信息——这对阻止网络犯罪分子使用和滥用这些信息至关重要。她还查看了关于我的信息，也许令人惊讶的是，考虑到我的工作，从我的名字上找不到什么信息。

 

“据我所知，你的数字足迹仅限于专业和社交媒体，考虑到你在媒体上的公众形象，这一点非常好，”她说。

 

尽管如此，通过略读、PoS恶意软件或其他东西，网络犯罪分子还是能够获取我的银行信息——尽管我每天都在写关于网络安全的文章，并且知道如何采取预防措施来保护自己。

 

然而，我当然不是我所知道的唯一一个银行信息或其他个人信息被盗的人，我也不会是最后一个;很多人都成为了类似欺诈的受害者，甚至许多与我交谈过的安全研究人员，在试图查明我的银行卡信息发生了什么时，都曾在某种程度上遭到网络犯罪分子的攻击。

 

“我认为信用卡欺诈并没有给人以太多的耻辱；我认为现在没有多少人会感到这种耻辱。这只是其中发生的事情之一，而且在很多时候完全不在你的控制范围内，您不知道它发生在哪里或如何发生，” Malwarebytes首席恶意软件情报分析师Chris Boyd说。

 

“如果PoS恶意软件可以在网络上潜伏一年甚至更长时间，你又怎么能知道呢?”

 

我很幸运，有人试图使用我的银行账户，但被发现了;很多人就没那么幸运了——他们被犯罪分子利用信用卡信息进行大额消费。博伊德发现自己成了其中一个阴谋的牺牲品。

 

他解释说:“简单来说，就是有人联系我，说我的卡有欺诈行为。”“通常你听到的都是小额索赔，人们会掌握卡的详细信息，到处乱花一点，但这大约是1.4万英镑！”

 

就像我的案子一样，我们无法确定信用卡细节是如何被偷的，但在这个例子中，购买的规模是不寻常的。

 

博伊德说:“不知怎么的，有人拿到了我的信用卡信息，他们去找了一家专业的葡萄酒供应商，这家公司向商店出售大量葡萄酒，他们下了一份莫名其妙的1.4万英镑的葡萄酒订单。”

 

正如他所描述的，“伟大的葡萄酒抢劫案”恰恰表明，即使是那些对安全有深刻了解的人也可能成为网络犯罪的受害者——而且在大多数情况下，他们也不太可能知道它是如何发生的。

 

博伊德解释说:“你意识到只有很少的地方是你经常买东西时的所到处，而且离群值更小，所以很容易就能知道你每天的活动和花销。”

 

他补充道:“但之后你还是碰壁了，因为这些信息对于查明你的信息到底怎么了没有任何用处。”

 

有些人似乎还没有积极成为欺诈行为的受害者，但仍然感觉事情的发生只是时间问题。

 

“对我来说，作为一个美国人，我有一个社会保险号，而且我毫不怀疑我的社会保险号就在某个黑暗的网络上，只是幸运的是我的身份还没有被偷。”这就是我们所面临的问题，你很容易失去对数据的控制。” Liv Rowley说。

 

采取预防措施以确保数据安全

 

你可能会觉得，由于大量的组织成为黑客和恶意软件活动的受害者，你的银行卡信息被盗是不可避免的。尽管如此，预防信用卡诈骗还是有可能的。

 

不要让你的卡离开你的视线。控制好你的卡，因为如果你放弃了它，你不知道它是被浏览了还是被读写了细节，”保罗·戴维斯说。

 

虽然我们不可能知道是否有组织会成为数据泄露的受害者，但总的来说，我们建议人们从值得信任的供应商那里使用数据。因此在最坏的情况下，即使确实泄漏了详细信息，也会出现有关泄漏的信息最终暴光。如果人们从网上或其他商店购买物品，而这些商店的设立目的是为了窃取个人数据，那么情况可能就不是这样了。

 

然而，个人在保证网络安全方面所能做的也就这么多了，最终要落到处理个人数据以防止其丢失的机构头上。

 

《一般数据保护条例》(General Data Protection Regulation, GDPR)等法规为企业保护客户和消费者的个人数据安全提供了额外的激励机制，因为如果企业成为数据泄露的受害者，并被判定为不负责任地管理安全性，它们可能会面临巨额罚款。

 

例如，英国航空公司(British Airways)因50多万客户的个人信息(包括银行信息)被盗而被处以1.83亿英镑的罚款，原因是“安全措施不到位”。

 

但是，如果你的和很多其他人个人信息被大量窃取，虽然这不是你的错，但是你还是觉得你的银行账户或密码被使用了，这是一种人身攻击。

 

“大多数时候，这不是针对个人的，就像账户侵占和学历造假一样——你是名单上一百万人中的一员。”特洛伊·亨特说。

 

据我询问的一位研究人员说，我的一些信息看起来确实在出售，在一个地下论坛上有几张与我的卡号至少部分匹配的卡片，价格为25美元。

 

没有关于我的地址的信息被列出来，这似乎表明我的信息更有可能被一个skimmer或PoS恶意软件窃取，而不是一个在线零售商，他们也需要我的地址来发送邮件。

 

那都是我受过教育的猜测。我不太可能知道我的信用卡信息是如何被偷的，它们是如何被带到南美洲的，以及谁试图使用它们。不过，幸运的是，这家银行设法发现了可疑活动，并阻止了任何活动的发生——许多其他人就没有这么幸运了。

 

但只要银行信息和其他个人数据还存在，网络犯罪分子就会继续窃取、交换和利用这些信息，这种事情就会继续发生。对于受害者来说，虽然这可能令人沮丧，但也许知道他们没有成为单独的目标可以获得一些安慰，即使他们也从未真正弄清楚这是如何发生的。

 

*本文出自SCA安全通信联盟，转载请注明出处。