網絡犯罪份子從銀行卡盜竊的方法及應對

雖然現時很多銀行卡都已經轉換成載有晶片的版本,但它並非萬能藥,保護自己的最佳方法依然是提高警覺,避免掉入犯罪份子的陷阱,以下就是網絡犯罪份子從銀行卡盜竊的常用手法。

複製卡

在卡資料還是記錄在磁帶的年代,騙徒很容易就能製作出完全相同的複製品,並且能夠在商店付款或在提款機提取現金,只需要一部專門的讀卡裝置,攻擊者可以把它放在提款機或商店的刷卡機上,再配合一台攝錄機或刷卡卡的特別鍵盤,取得卡的密碼,就有足夠夠資料複製到一張空白卡之上,然後在商店或ATM使用。這種技術在世界上某些地方仍然有效,但隨著昌片卡的引入,這種方法的成效大幅減少。

複製具有晶片的卡並不容易,這也是犯罪份子開始利用惡意程式感染付款終端的完因,在合法的購物過程中從卡上複製資料,隨後騙徒巧妙地使用這些資料進行付費請求,不過他們只是發送原本記錄在磁帶上的資料,卻標記該交易是透過晶片進行,如果銀行不進行互相參照的話騙徒就可能有機可乘。

也有攻擊者使用更加精密的技倆,當受害者進行合法的付費時,受感染的終端會要求受害者插入卡並產生額外的詐騙交易,卡本身並不會被複製,但額外的款項就會從戶口中扣減。

使用手機的無觸碰式付款有較佳的保護,如果仍需要插卡到終端的話,小心查看鍵盤有沒有可疑的改裝,輸入密碼時用手或其他物件遮掩,如果終端突然不接受無觸碰式支付,或要求重複輸入密碼的話,大家就要提高警覺,最好是即時檢查帳號又或者降低該卡的付款額。

經由互聯網盜取卡資料

騙徒十分渴求銀行卡資料,這樣他們就能透過網上付款,當中包括卡號碼、到期日、核實碼(CVV/CVC),此外,因應不同國家,卡持有人的姓名、郵政編碼或護照號碼也同樣是需要的資料,而至少有3種方法收集這些資料:

  1. 架設假網上商店,複製真的網店然後進行網絡釣魚,又或者以慈善籌款作為藉口。
  2. 透過感染真的網店或受害者的電腦或智能電話,截取有關的資料。
  3. 入侵真的網店並盜取儲存的客戶付費卡資料,要注意商店並不應該儲存完整的卡資料,但總有人不依規則做事。

雖然以上並非新方法,但卻十分有效,根據Kaspersky的分析,銀行資料盜竊攻擊在2022年間上升了1倍

應對方法是首先準備一張虛擬卡專門為網上付費而設,如果費用不太昂貴,最好每年出一張新虛擬卡並封鎖舊那張,然後是對網上付款卡設定低限額,甚至只保存少量金錢,第三是確保銀行經常要求一次性密碼確去確定你的網上付款,第四是小心檢查輸入資料的付款表格和網站地址。

古老的卡和電話盜竊

這是最容易察覺和明顯的盜竊方法,但依然十分常見,犯罪份子可以利用卡到無需輸入額外核實碼的網上商店付款,簡單但效果不差的方法是用盜卡進行無接觸式付款,在一定限額內無需輸入密碼,不過在某些國家,在3到5次這類型的付款後該卡就會被封鎖,不過以英國為例,受害人可以因為這種方法損失500鎊。電話更是十分有盜竊的價值,如果啟動了Google Pay,即使被封鎖但只要在限額以內仍能完成支付。

保安研究人員更發現即使因為輸入3次錯誤密碼而令卡被封鎖,仍能透過無接觸式付款,攻擊者更能以被封鎖的電話交換部份資料,並以修改後的紀錄進行一次詐騙付款。

最佳的應對方法是設定卡的每日限額越少越好,如果銀行容許,不妨分開無接觸式付款至最低限額,當然大家應該確保當有需要時能立即增加限額,另一種方法是把低限額的虛擬卡連繫到Google/Apple/Samsung Pay上使用,如果付款程式能設定只容許付款在已解鎖的電話進行,就應該盡快設定。

資料來源:Kaspersky Blog