研究人员对被盗的借记卡和信用卡的流通市场大放异彩


信用:CC0公共领域

世界上许多地区已将嵌入式防伪EMV(Europay,MasterCard,Visa)芯片转换为信用卡,但在美国采用率却很低。因此,在交易过程中,相当大比例的美国人口容易受到“窃听”和其他从磁条中窃取数据的手段的盗窃,然后被用于生产伪造卡或通过其他非法活动将数据货币化。

纽约大学坦顿工程学院计算机科学与工程学助理教授戴蒙·麦科伊(Damon McCoy)和坦顿的一个团队分析了2015年至2019年的数据,这些数据是从地下市场BriansClub提取的,该市场用于购买被盗和泄露的信用卡信息。

这项名为“刷卡:分析被盗借记卡和信用卡市场的真实数据”的研究是对地下被盗信用卡和借记卡市场的首次内部分析,发现如果拥有者使用芯片卡不能保证安全性仍在擦除数据条:调查人员发现,在泄漏数据的最近两年中,被盗的磁条数据中有85%来自启用了EMV芯片的卡。

McCoy说:“当前的激励措施可能不足以减少磁条交易的风险使用和接受。” “甚至在责任转移到EMV芯片的三年后,仍然有少量但持续的新发行的无芯片卡供应,特别是在预付卡中。”他说,此类非EMV帐户的需求比EMV帐户要大得多,并且在负债转移后占非法商店总收入的30.4%。

该数据库是由一名白帽黑客于2019年从BriansClub窃取的,该黑客提取了盗贼从网上商店和实体商店偷走的超过2600万张信用卡和借记卡记录。这些已提供给出版物《安全克雷布斯》。然后,安全新闻和调查新闻网站与McCoy等共享数据库。

该团队包括博士后研究员Tobias Lauinger;以及Maxwell Aliapoulios,Rasika Bhalerao和Cameron Ballard博士。在McCoy的指导下,应聘者对泄漏的交易数据进行了分析,以表征BriansClub的商业模式,卖方,客户和财务状况。在2015年至2019年期间,这家商店的总收入接近1.04亿美元,并列出了超过1900万个唯一的待售卡号。他们发现,虽然97%的库存来自亲自交易中拍摄的磁条,但客户仅购买了40%的库存。相比之下,BriansClub售出了83%的不存在信用卡的库存,用于在线欺诈,这似乎供不应求。需求和定价并不统一,因为买家似乎认为一些银行在防范欺诈方面的对策较弱。

此外,在商店中列出的1900万个帐户中,尽管价格仅为21美分,但仍有60%找不到买家。

麦科伊说:“我们调查了造成如此大比例的被盗账户显然对恶意分子不利的原因,发现他们更喜欢购买某些银行发行的磁条账户,而不是其他银行。” “尤其是盗贼似乎更喜欢中小型银行的账户。”

调查结果包括:

芯片卡的增加推动了电子商户/无卡欺诈的增加,仅购买了27%的美国运通卡数据;大型机构中最小的数量是在特定州(例如南卡罗来纳州)发行的卡的可能性更大,美国的购买目标是拥有较少区域锁定的储蓄银行USAA,BriansClub通过出售被盗的信用卡信息获利2400万美元仅仅四年

相关阅读:

Posted in: 隐私安全