犯罪分子使用多种方法进行欺诈。使用移动支付进行店内购买（尤其是在大流行期间）的趋势日益增加，这导致犯罪分子越来越多地将精力集中在通过在线欺诈和诈骗对人们进行欺诈上。

欺诈和诈骗转移到网上

Verizon DBIR 2020报告表明，针对零售商的出于经济动机的攻击已从销售点（POS）设备和控制器转移到Web应用程序。这在很大程度上遵循了将交易主要转移到更注重Web的基础结构的行业趋势。随着基础架构的变化，对手也随之变化以采用最简单的数据路径。

图1：零售行业中的Web应用程序违规。资料来源：Verizon DBIR 2020

Web应用程序的攻击模式由三个主要的动作类型组成：被盗凭据的使用、在线浏览、以及对应用程序漏洞的利用。即使银行组织正在升级安全状态以保护敏感的金融信息，黑客也可以通过将已知漏洞捆绑在一起来智能地窃取数据，并将其证明是潜在的攻击。

凭证被盗

如英国《金融欺诈报告：事实》 2020年报告中所述，通过数据泄露窃取个人和财务数据是造成2019年欺诈损失的主要原因。被盗数据既用于直接欺诈，也用于间接欺诈。例如，被盗用的卡详细信息用于在网上进行未经授权的购买，而个人详细信息用于接管帐户或以他人的名义申请信用卡。犯罪分子使用个人和财务数据来冒充客户，并为欺诈行为增加明显的真实性。

在线浏览

在线浏览是一种不利行为，它会通过嗅探器感染电子商务网站，从而在无卡交易中窃取付款信息。注入恶意软件后，很难在网站上检测到它的踪迹。在访问零售商的付款页面后，攻击者在交易过程中开始浏览付款信息，例如账单地址、CVV2、PAN、卡到期日期等，而客户和服务提供商都不知道。

安全研究人员通常使用“ magecart”一词来指代执行各种类型的掠夺式攻击的不同网络犯罪分子。最近，PCI SSC发布了一个公告，警告电子商务商人和服务提供商要注意新兴的在线卡欺诈行为，其中提到了潜在的威胁以及应采取的预防措施。

漏洞利用

当不良行为者没有针对您的基础架构使用其他人的密钥和凭据时，他们将利用您的Web应用程序中未修补的漏洞来获取访问权限。随着越来越多的人和企业依赖移动银行应用程序，它们变得容易遭受欺诈。实际上，最近的报告强调“所有移动银行应用程序中的一半容易受到攻击”。由于COVID-19危机而涌入的新移动用户，导致银行迅速为其应用程序添加了新功能，以满足客户不断增长的需求。再加上在发现后的第一季度内，仅零售行业中所有漏洞的大约一半已得到修补，因此很容易理解犯罪分子欺诈的风险。

保护数字交易

银行和金融业正在采取积极措施来保护在线和非接触式交易。随着数字经济在我们的生活中扮演越来越重要的角色，电子支付的安全性、便捷性和所有人的访问权限至关重要。

强大的客户认证（SCA）

该支付服务指令2（PSD2）旨在确保网上交易的支付服务供应商（PSP）。因此，它引入了增强的安全措施，并要求对欧洲经济区（EEA）内的所有电子支付（包括邻近，远程和m支付）应用强客户身份验证（SCA）。SCA强制性要求通过一些有限豁免加以补充，这些豁免旨在在交易风险较低时支持无摩擦的客户体验。

在新的EMV 3DS协议的支持下，SCA要求PSP通过至少两个因素对付款人进行身份验证，每个因素都必须来自不同的类别，如表1所示。

表1：强大的客户认证因素。表由Visa提供

因素必须是独立的，这样如果一个因素受到损害，另一因素的可靠性就不会受到损害。

另外，要求PSP具有有效的交易监控机制，以检测未经授权或欺诈的付款交易。这些机制应允许捕获以下信息：

• 受损或被盗的身份验证元素列表

  
  

• 每次付款交易的金额

  
  

• 已知的欺诈情况

  
  

• 在身份验证过程的任何会话中都有恶意软件感染的迹象

  
  

• 如果访问设备或软件是由PSP提供的，则该访问设备或软件的使用以及任何异常使用的日志。

大数据和EMV 3DS

欺诈检测是大数据和机器学习派上用场的地方。EMV 3DS协议提供的数据（例如设备渠道和付款历史记录）比以前的版本多10倍，以提供自适应身份验证并在交易被视为高风险的情况下采用更强大的身份验证方法。使用机器学习，算法可以遍历大量交易数据集以发现异常行为。

银行部门对大数据分析的使用可以增强欺诈检测和更好的风险评估。在增强的计算能力的支持下，银行系统可以分析数十亿次实时交易，并结合包括设备，地理，行为和威胁情报输入在内的其他数据。通过将其与历史数据相结合，银行可以建立客户行为的概况，以便识别并举报任何异常和潜在的欺诈行为。

银行也越来越多地使用“行为生物识别”工具来识别潜在的欺诈案件并在可能的情况下进行预防。一些银行已经采用了一种软件，该软件可以监视用户登录银行应用程序时在其设备上打字和滑动的方式，或者在握持方面如何握住其设备。

保护卡上文件交易

文件上卡交易是持卡人授权零售商存储持卡人的卡付款详细信息（也称为PAN，主帐号）的交易。然后，持卡人授权该零售商向持卡人的存储卡帐户开票。这些存储的凭据中包含的信息是敏感的，如果攻击者掌握了它们，就可以冒充合法客户并进行欺诈性交易。有两种保护客户PAN的方法，即加密和令牌化。

零售和银行业可以使用付款硬件安全模块（HSM）来加密文件上的卡信息，并保护付款交易的后续处理。支付HSM为所有主要的卡方案支付应用程序提供本机加密支持，并在FIPS 140-2和PCI HSM等全球方案下接受严格的独立硬件认证。

除了加密之外，通过文件卡上的令牌化，持卡人的PAN会替换为通过支付过程提交的支付令牌。分配令牌代替卡号可确保付款信息保持安全，因为该信息对可能遇到的任何人（如黑客、欺诈者等）都是毫无意义的。令牌化有两种方法，即PCI令牌化和EMV令牌化，分别以引入该标准的各个组织。

金融服务提供商必须采取严格的安全措施，以保护客户数据免受不良行为者和其他网络威胁的侵害。若想了解更多相关信息，请联系揽阁信息

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• Thales提前完成收购Imperva交易

• 经验教训：2023年全球网络安全的五个要点

• 数据安全的未来是什么

• 简化密钥和证书的审核和修复