信用卡支付安全领域欺诈风险特征分析与防控建议

作者：中国邮政储蓄银行信用卡中心资产管理部 程华 周冲 刘琼

随着社会经济高速发展，银行卡产业规模呈现快速增长态势，但同时也面临各类风险挑战。随着外部环境变化和产业发展转型，风险特征迅速演变。电信网络欺诈、伪卡盗刷等风险事件层出不穷，各类风险的涉众性、交叉性、传染性不断增强，跨境、跨机构、跨网络风险日益突出，银行卡欺诈集团化、职业化趋势明显，作案手法向技术攻击、规则攻击、场景攻击转变。本文将从电信网络欺诈、伪卡盗刷两个方面展开，具体分析欺诈分子常见作案手法，并进一步提出风险防控对策建议。

一、电信网络欺诈的手法分析

电信网络欺诈是指欺诈分子通过第三方支付机构及网上支付渠道进行的诈骗犯罪行为。其具体表现为：一是欺诈分子编造虚假信息设置骗局，骗取受害人信任，借由设置钓鱼网站、植入木马程序及窃取服务器信息等方式完成受害人账户身份信息的采集，再通过第三方支付账户、电商平台、快捷支付、钱包类App等渠道套取、盗用或转移受害人银行卡资金；二是通过某些代还款类App，违规获取持卡人银行卡信息进行线上消费。

1.Pay类盗刷

近年来，Pay类欺诈盗刷交易异议数量猛增，且异议相关持卡人对信用卡开通激活Pay类支付功能均不知情，支付交易实际操作人为通过虚假网站链接获取持卡人信息的欺诈分子。比如，近期常见的作案手法是持卡人收到ETC过期需要重新认证的短信，点击短信链接进入ETC虚假网站，持卡人信以为真按照要求输入身份信息及信用卡信息，欺诈分子将这些信息绑定移动设备并激活设备卡。为躲避监测，欺诈分子通常在开通Pay类支付功能后间隔一段时间，再通过网上Pay类支付渠道或线下POS消费盗刷，盗刷完成后短时间内变现。

欺诈分子利用与人们日常生活息息相关的银行卡常用功能营造欺诈场景，通过制作迷惑性的虚假网站骗取持卡人信任，获取持卡人身份信息、银行卡信息、密码信息及动态短信验证码等个人敏感信息。比如，上述案例中欺诈分子利用人们对ETC过期无需重新认证的认知盲点和日常使用ETC时偶尔会出现异常的困境，向不特定的ETC用户大量发布诈骗短信，受害群体具有广泛性，一旦受害人主动提供个人信息则极易产生资金财产损失。

2.电商平台类盗刷

近年来电商平台类欺诈盗刷案件持续高发，持卡人收到虚假提额短信、贷款短信或者推广营销短信后，点击链接或者回拨对方电话，欺诈分子告知持卡人可以关注“官方公众号”或者添加QQ好友进行操作。持卡人关注虚假官方公众号后扫码进入提额或贷款申请页面，输入身份证号及银行卡号等信息后，即发生电商平台商户盗刷。涉及的电商平台交易常为虚拟交易，如购买游戏点卡等非实体商品，对银行进行交易拦截和及时止损形成阻碍。

欺诈分子利用某些持卡人贪图小利的心理或对高信用额度的特殊需求，抓住其安全意识薄弱、判断力差等特点，为不同受害群体“量身定做”不同的诈骗话术，利用手机、互联网等工具远程操作。此外，欺诈分子通过网上支付渠道转移资金不受时间限制，且较易变现。

3.代还款App泄露信息产生境外线上盗刷

近年来，持卡人名下信用卡境外线上盗刷交易时有发生,此类持卡人共同特点为：将信用卡绑定代还款App后，通过App二维码或线上渠道进行交易。其交易习惯相似，还款和消费的金额不大，交易间隔时间较短，且还款金额小于消费金额。

代还款App二维码交易或线上套现交易费率低，并且此类App抓住了部分持卡人对资金使用的高需求及法律意识淡薄的特点，以推荐新人获取高额返现的宣传话术吸引持卡人，通过代理信用卡还款赚取佣金，并利用获取到的持卡人卡片信息在境外网站进行盗刷变现。

二、伪卡盗刷的手法分析

伪卡盗刷是指欺诈分子利用各种非法形式复制、窃取他人银行卡信息，盗刷银行卡资金的违法犯罪行为。其具体表现为非法获取他人银行卡磁道信息及密码，制作伪卡写入已侧录的磁道信息，继而盗刷。伪卡盗刷前欺诈分子通常会进行小额测试，或反复进行余额查询，确定卡中有较多余额后再进行盗刷。

1.“一分钱换购咖啡券”批量伪卡盗刷

涉案账户历史交易特征高度类似，持卡人均曾参与“一分钱换购咖啡券”活动，其卡片发生过一笔金额为一分钱的刷卡交易。

欺诈分子利用小额优惠活动吸引持卡人，利用其占利心理，通过改装的POS侧录卡片信息，现场记录持卡人的卡片账号和密码，后期制作伪卡实施境外ATM盗刷，且在窃取卡片信息时如实发送客户兑换成功的信息以降低持卡人心理防范意识。

2.“一元刷卡洗车”活动集中伪卡盗刷

涉案账户历史交易特征高度相似，持卡人均曾参与“一元刷卡洗车”活动。欺诈分子通过洗车行推广POS刷卡优惠活动，表示只要持卡人在指定POS刷卡一元即可洗车，并返给洗车行每辆车10～20元不等的佣金，同时在洗车行店面以海报形式虚假宣传多家银行参与此活动，吸引大量客户参与。

欺诈分子定点侧录卡片信息，诱骗商户，冒充银行发起促销活动，并通过改装POS和侧录器窃取持卡人卡片磁道信息，进行境外取现，实现盗刷。该手法侧录盗刷周期长，侧录点变换频繁，不利于银行监控及收单机构进行风险管理，亦增加公安机关调查及破案难度。

三、交易端欺诈风险防控建议

1.加强银行卡网上支付风险管理

发卡机构及第三方支付机构需定期对自身互联网业务进行检查，对发现的问题及时完善，如采取及时关闭境外或线上等渠道交易功能、进行限额管理等风险控制措施；向持卡人提供安全可靠的身份验证措施，对验证强度不高的交易进行限额控制；加强异常交易识别，在持续优化现有系统及规则基础上，积极引入外部成熟系统，研发智能风控模型，精准高效防控交易欺诈风险。

2.加强互联网商户管理

建议收单机构主管部门进一步规范支付受理终端市场，通过持续完善法律法规、加强行政监管等方式，落实责任主体，细化管理流程，加强对收单机构的准入和管理。同时，规范收单机构交易数据，加强收单机构风险监测，设置高风险收单机构黑名单，净化收单市场。

在收单机构层面，应从商户准入前的资格审查、转入后的日常管理等方面加强对商户的全方位管理，设置商户分级管理制度，对不同风险等级商户采取针对性风险防控措施；建立严格的商户身份识别及审核机制，加大对POS申领商户审核力度，加强对布放机具的日常巡检及终端安全检查，以便及时发现终端机具被改装或被加装可疑装置的情况；重点加强侧录高发时段、地区的人工巡查，实时定位POS机具，定时检查并注意留存监控录像，以便配合公安机关调查。

3.加强金融部门信息共享、联合协作

各金融部门应加强信息共享互通，搭建信息共享平台，定期分享电信网络欺诈、伪卡盗刷防控经验及案例，探索风险用户名单共享方式，建立有效的风险监测体系，健全金融系统风控机制。此外，各级监管部门应加强对互联网金融市场的监督管理，各金融部门应与公安机关合作建立联合协作应急机制，快速精准地排查或认定风险客户，确保相关案件发生后能够迅速反应，及时止损追赃。

4.加强持卡人风险防范教育

防患于未然，信用卡行业各经营主体应秉持“预防为主、防治结合、综合治理”的原则，将持卡人合规用卡理念教育放在首位。采用多样化方式对持卡人进行安全用卡教育，定期整理安全用卡常识、近期银行卡侧录风险点、电信诈骗案例及防范措施建议，以宣传册、小贴士、微信公众号等多样化形式广泛传播，引导持卡人合规用卡，提高持卡人的风险防范能力及个人账户信息保护意识，维护健康有序的用卡环境。

本文刊于《中国信用卡》2021年第12期

声明：本文来自中国信用卡，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。