为什么信用卡诈骗仍然存在

几年前，大多数文明世界都转向要求支付卡中安装计算机芯片，这使得窃贼克隆和使用支付卡芯片的成本和难度要高得多。一个值得注意的例外是美国，它仍在蹒跚地朝着这个目标前进。下面让我们来看看LAG造成的严重破坏，从去年被黑客入侵的地铁最大的被盗信用卡商店之一的购买模式中可以看出这一点。

2019年10月，有人入侵了BriansClub，这是一个很受欢迎的盗卡集市，在营销中使用了这位作者的肖像和名字。无论是谁侵入了这家商店，都窃取了数百万信用卡账户的数据，这些账户是在四年时间里通过各种非法手段从全球合法的黑客企业那里获得的-但主要来自美国商家。该数据库被泄露给KrebsOnSecurity，后者随后与帮助打击支付卡欺诈的多个消息来源共享了该数据库。

达蒙·麦考伊(Damon McCoy)是纽约大学坦登工程学院(Tandon School Of Engineering)的副教授，也是获奖者之一[完全披露：纽约大学一直是本博客的长期广告商]。麦考伊调查了世界上一些最大的垃圾邮件提供者使用的信用卡系统，极大地丰富了我2014年出版的书“垃圾邮件国家”(Spam Nation)中使用的数据，我想确保他和他的同事也能破解BriansClub的数据。

McCoy和纽约大学的研究人员发现，从2015年到2019年初，BriansClub的毛收入接近1.04亿美元，并列出了1900多万个唯一的卡号出售。大约97%的库存是被盗的磁条数据，通常用于生产用于面对面支付的假卡。

麦考伊说：“最让我吃惊的是，这里仍然有很多人刷卡交易。”

2015年，主要信用卡协会制定了新规则，使得美国商家继续允许客户刷条纹而不是蘸芯片的风险更高，潜在成本也更高。使这种转变变得复杂的是，许多发卡的美国银行花了数年时间将客户卡库存更换为芯片卡，无数零售商在更新支付终端以接受芯片卡方面拖拖拉拉。

事实上，三年后，美国联邦储备委员会(PDF)估计，43.3%的面对面卡支付仍在通过读取磁条而不是芯片进行处理。如果许多商家的支付终端没有受到恶意软件的攻击，这些软件在顾客刷卡时复制数据，这可能不是什么大不了的事。

在2015年债务转移之后，BriansClub广告中超过84%的非芯片卡售出，而同期仅有35%的芯片卡售出。

或许令人惊讶的是，麦考伊和他的纽约大学研究人员同事发现，BriansClub的客户只购买了其总库存的40%。但他们确实购买的东西支持了这样的观点，即骗子通常倾向于金融机构发行的卡，这些卡被认为对欺诈的保护较少或更松懈。

虽然美国最大的10家发卡商占BriansClub挂牌出售账户的近一半，但这些账户中只有32%被售出-而且价格大约是中小型机构发行账户的一半。

相比之下，中小机构发行的被盗卡有一半以上是从诈骗店铺购买的。尽管截至2018年底，中型机构出售的卡中有91%是基于芯片的，小银行和信用社出售的卡中有89%是基于芯片的，但情况的确如此。到那时，美国十大信用卡发行商发行的几乎所有卡(98%)都是芯片支持的。

研究人员发现，BriansClub的客户强烈喜欢由美国特定地区的金融机构发行的卡，特别是科罗拉多州、内华达州和南卡罗来纳州。

麦考伊说：“无论出于什么原因，人们都认为这些地区的反欺诈系统较低，或者效率不高。”

来自南卡罗来纳州商家的折衷卡需求特别高，欺诈者愿意在这些卡上的人均花费是其他任何一个州的两倍-大约是每个居民1美元。

这种销售趋势也反映在BriansClub客户提交的支持罚单上，他们经常被告知，与美国东南部捆绑在一起的卡不太可能被限制在该地区以外的地区使用。

麦考伊说，没有区域锁定也使得中国银行发行的被盗信用卡成为热门商品，尽管这些卡的价格要高得多(每个账户通常超过100美元)：纽约大学的研究人员发现，几乎所有可用的中国卡在上市后不久就销售一空。出售的公司和名片相对较少，情况也是如此。

缺乏区域锁也可能导致盗卡者倾向于从USAA购买尽可能多的卡。USAA是一家储蓄银行，为现役和退役军人及其直系亲属提供服务。研究人员发现，超过83%的可用USAA卡是在2015年至2019年期间售出的。

尽管Visa卡占挂牌出售账户(1210万)的一半以上，但只售出了36%。万事达卡是数量第二多的卡(372万张)，但其中超过54%的卡售出了。

美国运通(American Express)和探索(Discover)与Visa和万事达卡(MasterCard)不同，它们是所谓的“闭环”网络，不依赖第三方金融机构发卡和管理欺诈行为，它们分别购买了28.8%和33%的被盗信用卡。

一些担心借记卡和信用卡欺诈祸害的人选择购买预付卡，这些卡通常享有同样的持卡人保护，免受欺诈性交易的影响。但纽约大学的研究小组发现，被泄露的预付账户的购买费率远远高于正常的借记卡和信用卡。

这里可能有几个因素在起作用。首先，相对较少的待售预付卡是基于芯片的。McCoy说，有一些数据表明，其中许多预付款发放给了领取政府福利(如失业和食品援助)的人。具体地说，与这些预付卡相关的“服务代码”信息显示，许多卡被限制在酒类商店和赌场等场所使用。

麦考伊说：“这是一个相当令人难过的发现，因为如果你没有银行，这可能就是你拿工资的方式。”“这些卡片的目标不成比例。不幸而引人注目的是，对预付卡的绝对需求和缺乏(芯片)支持。此外，这些信用卡可能对欺诈者更具吸引力，因为(发行商的)反欺诈对策没有达到标准，可能是因为他们对客户和典型的购买历史知之甚少。

纽约大学的研究人员估计，BriansClub在四年内获得了大约2400万美元的利润。他们计算这个数字的方法是，取总销售额超过1亿美元，减去支付给向商店提供新鲜商品的盗卡贼的佣金，以及退还给买家的卡的价格。BriansClub和许多其他被盗信用卡商店一样，如果买家能证明信用卡在购买时不再活跃，就会为某些购买提供退款。

平均而言，BriansClub向供应商支付的佣金从售出信用卡总价值的50%-60%不等。卡不在场(CNP)账户-即那些从在线零售商那里窃取并被欺诈者购买的账户，主要用于诈骗其他在线商家-获得了80%的更高的供应商佣金，但主要是因为这些卡的需求如此之高，供应如此之少。

纽约大学的研究小组发现，卡不在场的销售额仅占所有收入的7%，尽管盗卡者现在显然有更高的动机瞄准在线商家。

去年这里的一篇报道指出，正是这种供需拉锯战帮助大幅提高了地下多家被盗信用卡商店的卡不在场账户的价格。不久前，CNP账户的价格还不到卡现账户的一半。如今，这些价格大致相当。

这种转变的一个可能原因是，美国是20国集团中最后一个完全过渡到更安全的基于芯片的支付卡的国家。在很久以前进行芯片卡转型的所有其他国家，他们都看到了同样的动态：当他们让窃贼更难伪造实体卡时，欺诈并没有消失，而是转移到了在线商家身上。

美国现在也在发生同样的事情，只是被盗的CNP数据仍然远远供不应求。这可能解释了为什么在过去的几年里，我们看到电子商务网站被黑客攻击的数量出现了如此巨大的上升。

麦考伊说：“每个人都指出了这种从送卡到不送卡诈骗的位移效应。”“但如果供应不在那里，那么这种置换发生的空间就只有这么大了。”

毫无疑问，信用卡诈骗的流行极大地受益于被黑客攻击的零售连锁店-特别是餐馆-这些连锁店仍然允许顾客刷基于芯片的卡。但正如我们将在明天发表的一篇文章中看到的那样，新的研究表明，窃贼正开始部署巧妙的方法，将某些基于芯片的交易中的卡数据转换为实体假卡。