作者：Sangyoon2019年4月24日一步一步地演练我们系统中的真实订单，跟踪个人信息首先是如何被窃取、被中间商和欺诈者出售以及用于欺诈订单的2016年感恩节前一天凌晨1点49分，约瑟夫·坦纳**在我们称为eCards的数字礼品卡市场订购了一张价值100美元的电子礼品卡。它将被送到卡斯珀格里森在他的gmx.com网站带有简短信息的电子邮件地址："嗨。"Tanner用美国银行万事达信用卡付款，卡号为2527，帐单地址为纽约韦伯斯特。约瑟夫通过谷歌Chrome浏览器在他的T-Mobile Android 6手机上下了订单，使用的是西雅图的IP地址。电子礼品卡的发送者和接收者都使用相同的电子邮件地址，这是那些喜欢自己打印和亲手递送卡片细节的人的常见做法。也许，纽约人约瑟夫在西雅图过感恩节，在最后一刻购物给他的朋友或亲戚卡斯帕一个惊喜。情况也并非如此。Kasper Gleason是一个利用Tanner的姓名、信用卡号码和帐单地址非法购买礼品卡的诈骗犯。自从Joseph Tanner的名字和信用卡出现在Riskified系统的第一次欺诈性订单尝试已经两年多了，但是这些具体的订单细节仍然具有持久性。时至今日，我们看到欺诈者在我们几十家商户中使用Tanner的信息，但都没有成功，有时每月多次使用！仅在2019年，在黑暗网络中，就有44篇新文章提到坦纳的资历。那么格里森（如果那是他的真名）是如何第一次获得坦纳的个人信息的？有人怎么盗用你的身份？坦纳的个人信息是如何在黑暗的网络上传播的？格里森是怎么骗埃卡兹批准他的订单的？eCards和Riskified如何阻止这些类型的攻击？零售商和商家可以做些什么来保护自己免受电子商务欺诈？以下是我们系统中真实订单的一步一步的走查，追踪个人信息首先是如何被窃取、被中间商和欺诈者出售，以及如何在eCards的欺诈订单中使用。我们还将重点关注网络罪犯邪恶过程的具体部分。这篇与IntSights Cyber Intelligence合作的博客文章也将概述零售商可以做些什么来消除非法使用被盗凭证的行为。**所有细节均已匿名，以确保持卡人的隐私。坦纳的信用卡第一次出现在黑暗网络上是什么时候？约瑟夫·坦纳的个人信息和信用卡凭证从2014年开始出现在多个黑暗网络论坛上。不幸的是，坦纳的详细资料是作为一批更大一批被盗信用卡的免费样本提供的，卖家用这种做法来证明自己是合法的卖家，以及他们的商品质量。2018年9月4日，约瑟夫·坦纳（Joseph Tanner）在一个受欢迎的信用卡被盗信用卡交易市场上免费分享了他的社保卡号。几乎不可能追查和查明坦纳的细节被盗的确切时间。他本可以在一个受损的加油泵、自动取款机或销售点设备上刷卡，这些设备安装有撇取器，从磁条或EMV芯片上复制客户的信息。有人可能从门廊或邮箱里偷走了他的银行对账单。或者更可能的是，他的电子邮件帐户或在该商家的移动应用程序或电子商务网站上的帐户在一次重大黑客攻击或数据泄露中被泄露，零售商、政府机构、金融机构等都受到了打击。阅读更多关于地下经济中被盗信用卡的生命周期。事实上，大量泄露的信用卡数据和其他在线资产继续阻碍着打击不存在信用卡欺诈行为的斗争。尽管近年来执法部门取得了许多进展，但信用卡店和其他类型的非法市场仍然是地下经济的主要方面，也是CNP欺诈的关键促成因素。尤其是信用卡商店已经成为欺诈者和网络犯罪者获取被盗支付卡数据的主要手段，因为它们让欺诈者无需自己购买被盗数据。这降低了那些能力较低或资源有限的人进入的门槛。数据泄露现在几乎成了现实。黑客可以抓到你的社会安全号码，银行账号，以及银行登录信息，字面上在几分钟内。根据身份盗窃资源中心（ITRC）的数据，2018年，每年的违规数量从2005年的157起激增至1244起。这意味着，在短短10年多的时间里，泄密频率增加了8倍多。这就是为什么根据LexisNexis Risk Solutions的数据，零售商（尤其是销售数字商品的中大型商业商户）遭受的欺诈损失中，有相当一部分（39%）是由于身份盗用而造成的。IntSights和Riskified在一份零售和电子商务威胁形势联合报告中发现，2018年7月至9月，为获取客户凭证而设计的仿冒零售网站数量同比激增297%。网络犯罪分子越来越多地通过数字社交渠道瞄准零售商及其客户，因为零售商利用这些渠道来增加收入机会。阅读完整的报告去幕后的电子商务欺诈，地下盗用凭证经济，和非法信用卡凭证交易。经理们怎么看的？我们之前提到，Kasper Gleason于2016年11月23日凌晨1:49下订单。这不是他下的唯一命令。一分钟后，他又下了同样的订单，没有改变细节。六分钟后，又一次点击。凌晨1点58分，格里森下了当天的最后一笔订单，同样没有更改订单细节。这些2016年11月23日清晨的订单是"约瑟夫·坦纳"首次向eCards下订单。约瑟夫·坦纳（Joseph Tanner）的新eCards账户于一天前于2016年11月22日创建。虽然这不能保证是欺诈的迹象，但新账户下的订单和新客户的订单往往会引起欺诈经理的注意。这张在2527年结束的信用卡的邮政编码与韦伯斯特、纽约州的账单地址和纽约州的电话号码相匹配。如前所述，订单是使用T-Mobile Android手机下的，报告的是西雅图的IP地址。没有使用代理或VPN试图屏蔽IP地址。"Kasper Gleason"的送货电子邮件地址是kgs337373@gmx.com，拥有瑞士和德国的电子邮件客户端。一些随机的电子邮件句柄，如kgs337373，通常比诸如卡斯帕·格里森@gmail.com网站或者kgleason@gmail.com。这是有道理的。欺诈者规模很大，需要大量的电子邮件地址，因此他们使用免费服务，随意创建，快速查找尚未使用的地址。欺诈经理在真空中审查这一订单或这一系列的四个订单尝试，可能难以做出决定。有一些可疑的标记，但没有上下文可用于决策。然而，Riskified强大的数据库和行为分析专业知识建立在与1600多家商户多年的合作基础上，使eCards能够立即准确地审查这些可疑的细节，正确地拒绝所有这些订单。在我们与领先的礼品卡和其他数码商品商家合作的经验中，我们了解到在凌晨购买礼品卡是一种高风险的购买行为。欺诈者安排这些订单，希望有人工审查员的商家能够在休息时间休息，并在一夜之间建立相对宽松的欺诈管理系统。更重要的是，Riskified的弹性链接技术在微秒内将Joseph Tanner的卡号、地址以及Kasper Gleason的电子邮件地址与我们系统中的历史数据进行了交叉检查。坦纳并没有使用2527信用卡的合法订单，也没有在纽约州以外的IP地址购物。最后，格里森试图在十分钟内下四次同样的订单，这一事实表明格里森并不那么老练。格里森没有更改任何信息，也没有尝试使用代理服务器清理他的位置，以及他下订单的时间间隔很短，这说明格里森多次点击"签出"按钮，希望其中一个订单能够通过。我们经常在试图测试某个商家的欺诈审查系统的欺诈者中看到这种行为。这些欺诈者可能是业余爱好者，他们可能是想碰碰运气的业余人士，也可能是更老练的欺诈者，他们正在为更复杂的攻击（例如僵尸网络攻击）做更深入的研究。事实上，格里森使用的信用卡——坦纳的——是一个广泛可用的免费样本，这让我们得出结论，格里森更多的是前者而不是后者。时至今日，在我们工作的1600多家商户中，仍有多达数十起利用坦纳姓名和2527卡号的变体进行欺诈未遂的尝试。每一次尝试都有助于我们和我们的系统更好地了解欺诈者使用的数据类型，并不断改进我们的技术以防止攻击。跟踪欺诈行为和工具黑暗的网络趋势和工具不断发展。为了最大限度地获取利益，欺诈者使用复杂、自动化和定制的工具对零售商实施欺诈。其中一个例子是"帐户检查程序"，它们自动处理一个被破坏的用户名和密码对或凭证填充列表的花名册，将它们注入登录表单字段中，并系统地交叉检查其中是否有任何一个将