卡片盗刷:后果、策略和预防措施
- 帕拉比特
- 2023年10月5日
- 阅读时长:17分钟
听 Rob Leiponis 和 Heather Glezen 与主持人 Daniel Litwin 畅谈银行业的一个常见问题:信用卡盗刷。聆听他们解答一些棘手的问题,例如盗刷行为的增多、盗刷的后果、银行和信用合作社可以采取的预防措施等等。
文字记录:
大家好,欢迎收听 Parabit 播客《A Bit About》的新一期。我是本期的主持人。B2B Folks 的代言人 Daniel Litwin,非常感谢您再次加入我们。我们将继续探讨当下热门话题、主要趋势、技术等等,它们正在塑造着更广阔的安全行业。
在我们探讨今天的主题时,请务必访问我们的网站 Parabit.com。再次强调,Parabit.com 不仅能收听我们播客的往期和后续节目,还能了解更多关于我们的解决方案和服务的信息,以及我们今天要探讨的主题的补充背景信息。所以,请务必订阅 Apple Podcasts 和 Spotify,以便收听后续节目,并在 A Bit About 上查看之前对话的完整目录。
所以今天这期播客显然很特别。我们今天和Parabit团队一起在演播室。今天,我们将讨论一个重要的趋势,它不仅是支付处理商、零售商、银行等机构面临的常见问题,而且实际上是一个日益严重的问题。它的普遍性和一些负面影响都在增加。
这个问题就是信用卡盗刷。没错,信用卡盗刷。根据FICO的数据,去年确实存在这种情况。
被盗卡的数量实际上大幅上升,从2022年到2023年,增长了令人担忧的77%。而且这种情况并非发生在那些不起眼的小店里。实际上,银行的情况更为普遍。因此,银行最近实际上成了盗刷卡器的热门目标,银行ATM机被盗刷的地点增加了约33%。
那么,这种趋势究竟是怎么回事呢?为什么信用卡盗刷现象会越来越普遍?会带来哪些后果?
实体店应该采取哪些策略,无论是运营策略、技术策略还是其他策略,来遏制这种不断上升的风险?我们想邀请Parabit团队来演播室讨论并分享他们的一些分析。让我们来听听他们的分享。我很高兴邀请到两位嘉宾,今天我们将简单介绍一下Parabit首席执行官Rob Leiponis和Parabit业务发展经理Heather Glezen。
希瑟,罗布。很高兴你们两位来参加节目。你们好吗?太好了。非常感谢。
非常感谢您的邀请。当然。感谢您加入我们。我们实际上是在 GSX 2023 的尾声进行这次讨论,当时是在达拉斯。
我很好奇,我们讨论的显然是卡片盗刷。这是大家关注的焦点吗?还是你在展会上从参观Parabit展位的人们那里听到的?或者只是偶然听到的?这是否是整个行业最关注的问题?
我认为这是业界最关心的问题。
您知道,各种自助服务技术以及销售点终端都存在大量的盗刷现象。ATM 制造商在为其 ATM 开发反盗刷或检测系统方面做得相当不错,但仍然有漏洞。您知道,我们的解决方案与 ATM 上已部署的解决方案配合使用,在阻止盗刷方面非常有效,但这仍然是行业中的一个重大问题。正如您所说,盗刷现象正在增多。
我们有几家客户正在评估我们的解决方案,美国排名前25的金融机构中有23家都在使用我们的解决方案,他们在防范盗刷方面取得了巨大成功。这确实帮助他们保护了品牌,因为盗刷在几年前刚出现时,给金融界带来了很大的声誉损失,很多客户的银行账户被盗刷,信息被盗用。银行在盗刷攻击上损失了数百万美元,声誉受损。我认为,有些机构对此比较免疫,可能视而不见,而现在这种情况已经不再发生了,他们要付出巨大的代价,才能真正意识到这一威胁。
是的。我想更全面地描述一下这种威胁。我在开场白里提到了一些FICO数据。这些数据实际上是8月初发布的,所以时间比较近。
但让我用一些其他相关数据来更全面地描述一下卡片盗刷趋势。平均每次入侵受影响的卡片数量增加了 48%。这是 2023 年上半年的数据,增长非常显著。
2023年上半年,我们发现数据泄露事件同比增长了约20%,从约525起报告跃升至2023年的625起。银行ATM再次成为热门攻击目标,但数据本身就说明了问题。我们发现银行ATM遭遇盗刷事件的数量增加了109%。这种情况主要发生在弗吉尼亚州、德克萨斯州、新泽西州、佛罗里达州和科罗拉多州等几个关键州。
所以这只是从更宏观的角度来描述。您刚才提到了您的答案,可能是自助服务亭的普及和兴起,以及品牌与客户之间关系的改善。但我很好奇,除了这些之外,或者从更宏观的角度来看,当前哪些趋势导致了卡片盗刷现象的增加?对吗?为什么在你们看来,这个问题越来越重要?
嗯,我认为主要原因是,正如我之前提到的,ATM 制造商和其他第三方反盗刷解决方案虽然做得不错,但并非一个完整的端到端解决方案。因此,犯罪分子仍然会找到一些漏洞,利用这些漏洞入侵 ATM 读卡器,并在 ATM 上安装密码采集设备。
一次盗刷尝试可能造成的声誉损害,远远大于我们解决方案的成本增加,因为在他们的银行环境中没有解决方案来保护他们的客户。而且,你知道,这种情况确实在发生,过去几年发生的有趣的事情是,我们实际上有一些金融机构过去没有建立带有ATM大厅的分支机构,因为他们更担心的是,他们不得不花费更多资金来保护这个环境,但这确实为他们的ATM客户提供了一个更安全的环境来使用机器。
这样他们就可以使用机器,把钱存起来,然后再离开。对于那些使用免下车或步行式ATM的人来说,没有什么可以阻止有人跑到他们面前,或者假装成顾客站在他们身后,取走他们的钱,或者抢劫他们,然后离开。所以它确实提供了ATM大厅。我的意思是,就我而言,它为客户提供了更好的品牌银行环境。
因为你可以去一家分行,从你的储蓄账户里取20美元,而这家分行周围有价值10万美元的安保措施。但在免下车自动取款机(ATM)上,这种24小时银行环境的安保措施非常有限。这给客户带来了一种妥协的局面,你知道,有些银行的ATM取款限额是上千美元。所以,我的意思是,这对那些盗刷用户以及攻击使用这些机器的客户的人来说非常有吸引力,这就像把客户暴露在外,从我们的角度来看,这真的不是一个安全舒适的银行环境。
除了客户安全之外,这还涉及资产安全,而大厅环境创造了一个更安全、更隔离的地方,如果你仔细观察,就会发现风险略高一些。你知道,这些犯罪分子非常擅长盗刷,而且他们的行动非常活跃。是的。好吧,进一步说,我很好奇你们最近是否看到或听说过信用卡盗刷手段的任何演变。对吗?比如,这种事件激增是否仅与更大的宏观因素有关,还是与自助服务亭的扩展有关?或者,信用卡盗刷者的策略本身是否也有所改进,或者他们是否有新的技术来入侵并获取信息。
你们也听到过类似的说法吗?我认为目前使用的技术还没有真正发展到更难检测的程度。我认为现在仍然还是那些多年来一直使用的传统盗读和密码采集设备。
我认为,由于新冠疫情,也可能是因为那段时间 ATM 交易量的减少,银行总体上遭遇的盗刷攻击有所减少,但现在,你知道,经济正在复苏,许多金融机构的 ATM 交易量也在增加,这为犯罪分子打开了大门,让他们有了这个欲望,重新在 ATM 上添加盗刷解决方案。
现在我很好奇,你知道,另一个与之相关的趋势是支付方式生态系统的不断发展。对吗?
显然,消费者现在使用的支付方式很多,不仅仅是银行卡,甚至银行卡本身也融入了新技术。比如轻触支付,本质上就是非接触式支付。我很好奇,这对盗刷策略和盗刷风险缓解措施是否有影响?对吗?
而且,你知道,我们的芯片密码或非接触式技术有助于防止盗刷,或者说,盗刷也已经适应了这些不断发展的技术。你们看到了什么?盗刷实际上仍然针对磁条卡和NFC卡。你知道,我们有几个客户已经在他们的ATM上启用了移动交易。
幸运的是,我们开发的解决方案内置了蓝牙门禁控制功能。因此,从客户体验的角度来看,我们开发了一个 SDK,金融机构可以将其集成到他们的银行应用程序中,客户可以利用该应用程序进入大厅并在 ATM 上处理交易。此外,它还是一个经过多重身份验证的设备。
所以,这才是金融机构真正减少其机器和任何大厅设备被盗刷的有效途径。因为只要有卡,无论是NFC、蓝牙、NFC非接触式、EMV芯片还是磁条卡,这都是一个容易妥协的折衷点。而且,我知道业界有消除磁条卡的目标,但只要有卡,就仍然会有盗刷。我们的解决方案基本上可以让金融机构最终在某个时候消除卡,然后基本上利用他们的移动设备提供非接触式交易。
你们提到金融机构时,我想知道能否给我举一些具体的例子或轶事,基本上就是你们从客户那里听到的关于这个问题本身的反馈,以及他们的应对措施。银行是否采取了任何具体或常见的措施来降低信用卡盗刷的风险,尤其是在ATM机上?是的。因为盗刷是一个长期存在的问题。你知道,我认为银行不愿意真正讨论和分享他们的经验,因为这是他们容易受到攻击的地方,这完全可以理解。
你知道,他们正在研究、调查和部署许多有助于缓解这一问题的解决方案,但我认为这并非无止境。我认为,利用非接触式支付以及数字支付或移动数字交易,才是我们合作的许多金融机构正在研究的方向。其中一些机构已经部署了这项技术,但我认为仍然有很多小型金融机构没有足够的资金来真正整合这项技术,因为它比目前用于提取现金或处理交易的廉价银行卡要贵得多。
是的。您从银行和金融机构那里听到了什么消息?也有类似的事情吗?或者您能想到什么具体的轶事吗?
嗯,我知道,磁条可能是最容易被破解、风险最高的。你同意吗,Rob?NFC,你知道,联系NFC,确保万无一失。
是的。所以,迁移到非接触式技术至关重要。而且,你知道,我认为人们越来越意识到这种日益增长的威胁。至少,很高兴听到这些与支付处理和支付触点相关的改进,都伴随着针对传统盗刷技术的根深蒂固的安全措施。
但正如您所说,任何形式的长期淘汰磁条或易受攻击的卡上芯片的计划可能都需要一段时间。因此,短期内,金融机构、零售商和支付流程都需要一些策略来应对这种日益严重的威胁,或者至少像您提到的那样,在新冠疫情后恢复到以前的状态。Parabit 显然是这个生态系统的一部分。另外,我想在这里为大家详细介绍一下 Parabit 的 Skim 防护技术。您能否向我们详细介绍一下这项技术,以及它如何帮助实体店及其自助服务点免受卡片盗刷风险的影响。我们早在 2013 年就开发了这项技术,并于 2021 年 9 月发布了最新的两点式 MMR 读卡器,该读卡器支持 Magstrype 非接触式 NFC 和蓝牙门禁。
这确实有助于减少信息窃取,因为我们的阅读器内置了物理覆盖检测功能,可以检测窃取设备(RFID)的窃取行为。所以,如果有人把射频干扰窃取器放在阅读器旁边,它也能检测到。
最近的改进是我们开发了冲击检测、检测读卡器何时被更换。
卡的物理设计可以防止闪光器安装在我们的读卡器内部。
除了篡改读卡器之外,我们还监控读卡器线缆的剪断情况。因此,我认为我们的读卡器已被证明是美国金融机构的旗舰产品。美国排名前25的金融机构中有23家都在使用我们的产品,这足以证明这一点。此外,还有成千上万的小型信用合作社和银行正在慢慢了解我们的产品。
它确实帮助执法部门侦查和抓捕了那些在我们的读卡器上安装了盗刷设备以及在 ATM 上安装了密码捕获设备的犯罪分子。
执法部门与我们讨论了他们在设置诱捕行动,抓捕那些将这些设备连接到ATM机上的犯罪分子方面取得的成功,我们对此感到非常自豪。遗憾的是,我们目前没有这方面的统计数据,因为这不是我们真正想公开的信息,但我们正在努力保持……我为我们创造了一个如此可靠的解决方案而感到非常自豪。它基本上可以防止人们的银行账户在不知情的情况下被盗用。我很好奇,你们能否详细谈谈,你们认为Skimgard在实体店,尤其是金融机构可能会部署的更大的战略和技术生态系统中,如何融入其中,以加强其防范卡片盗刷的安全措施?对吗?您认为它会如何与这个生态系统互补并融入其中?
当我们的客户走近 ATM 机时,如果我们有一个金融解决方案,将门禁控制 SDK 集成到他们的网上银行应用中,那么为什么街上到处都是拿着手机的人呢?对吧?所以,如果客户必须在 ATM 机前或 ATM 机大厅前拔出银行卡才能使用 ATM 机,那么他们就把自己置于危险之中,因为他们拔出银行卡后,别人就有可能上前拿走他们的卡,或者强迫他们去 ATM 机上办理交易。
将我们的 SDK 集成到解决方案中可以提供双重身份验证,我们在 ATM 接入点对客户进行身份验证,然后银行也在 ATM 上对他们进行身份验证。除此之外,利用我们的 SDK 还可以让银行进行零售集成,当客户进入 ATM 大厅时,该客户的凭证可以与其个人资料关联。因此,当他们走到 ATM 或走进分行时,他们可以根据其人口统计数据更改数字标牌。
他们可以向分行内部的工作人员发送信息,询问该客户的个人资料,然后允许我们设置或创建更有针对性的营销问题,以向客户追加销售服务,例如通知客户在账单储蓄账户中有数千美元。现在,出纳员可以提出更具吸引力的问题,或者建议您咨询我们的投资服务。多年来,银行一直在努力培训其分行人员如何向客户追加销售,但您知道,利用我们的系统提供此类通知服务的优势在于,银行可以让分行人员做好准备,在客户到访时向他们提供更具吸引力、更有针对性的问题和建议。
是的。所以,正如您所说,这确实为金融机构提供了另一种工具,使其能够为客户提供优质服务。但我也发现,Parabit 与金融机构的合作不仅仅是提供解决方案并最终实现目标,而是实际上帮助金融机构利用该解决方案来改进和发展相关策略,包括信用卡盗刷风险缓解以及更普遍的安全策略。
我很好奇,你们是否可以详细说明一下你们与金融机构建立的伙伴关系和合作,以及你们对这些更广泛的、更全面的合作伙伴关系的好处的看法。
嗯,我认为,当安全集成商、解决方案提供商、最终用户(也就是金融机构本身)之间进行合作时,他们会以透明的方式了解哪些方面的风险最高?哪些方面存在风险?当你考虑部署类型时,正如Rob提到的ATM大厅周围的安全性,便利性可能会更高,但风险也最高。
所以,解决方案各有利弊。有时候,市场流行度和特定市场可能会推动对某些类型 ATM 部署的偏好。
但是,一旦你将封闭的技术和资产放入一个更安全的环境中,那里有更完善的监控,安全系数更高,风险就会降低。如果你是一名犯罪分子,正在评估你的目标,比如暴露在路边,暴露在建筑物侧面,容易被人开车带走,或者在你必须进入的封闭安全空间内。对,我们也一直在做一件事,那就是在我们开发的很多产品中,我们总是会评估和研究哪些类型的零售应用可以从我们开发的安全产品中受益。
正如我之前提到的,通知分行人员谁刚刚进入了他们的大厅,以便能够更有效地与他们互动,并将其融入数字标牌。所以,零售业是一个利润中心,而安防是一个成本中心。因此,如果您创建的解决方案能够帮助零售业提供更好、更快捷的客户体验,同时又能保护客户,那么对安防和零售业来说,这将是一个双赢的局面。
这就是我们,你知道,这就是我们作为一家公司在开发产品时的使命,因为你知道,安全部门很难筹集和创建资金来支持这样的举措,因为他们正在扑灭很多火灾,但不幸的是犯罪并没有减少,所以他们一直在努力领先于所有犯罪分子,你知道,那些犯罪分子正在对他们采取行动,为他们制造坏事,损害他们的资产,损害他们的客户。
我的意思是,ATM 的盗窃案数量相当可观。德克萨斯州可能是发生此类事件最多的州之一,盗窃者从岛屿和偏远地区偷盗 ATM。所以,从资产角度来看,目前还没有真正有效的解决方案来缓解这种情况。ATM 盗窃案仍然时有发生,爆炸袭击也是如此。还有一些穿墙式 ATM,它们仍然可能受到盗刷设备的攻击,虽然它们不太可能遭受爆炸攻击,但仍然有可能。
而对于银行来说,位于受保护环境内的 ATM 以及为客户提供愉快的银行体验可能是最佳做法,因为他们既保护了自己的资产,也保护了客户。
我认为,作为解决方案提供商、顾问和安全集成商,对话中的一些协作也有助于银行理解,即使这是一场安全对话,我如何才能吸引其他分支机构同事的参与,才能真正实现这种协作带来的好处,从而真正为银行的预期目标提供资金支持。这是一种观念上的转变,即对实际交付的解决方案类型的看法。对。它仅仅是一个安全解决方案,还是我们如何让其他利益相关者参与进来,让他们了解并理解零售业务的益处。
因此,考虑到这一点,当我们开始结束对话时,如果您必须向前看,因为我们在对话中早些时候提到的 FICO 数据还显示,信用卡盗刷只是更大的欺诈生态系统的一部分,其他类型的欺诈行为会影响实体店,特别是金融机构,也正在增加,例如授权推送支付诈骗。
这只是一个例子。我建议各位去看看那份报告,因为它非常详细。但你们如何看待信用卡盗刷策略的总体情况,以及 ATM 安全的整体情况?你们认为未来几年这个生态系统将如何发展?
那么,这会如何创造更多或减少卡片盗刷的机会呢?实际上,这会提高潜在卡片盗刷事件的安全性吗?您怎么看?
正如我之前提到的,许多银行正在考虑将凭证从银行卡转移到移动设备,因为人们随时随地都拿着移动设备。他们可以通过手机、ATM 或支付终端进行身份验证。所以,我认为这确实是一种控制信息的首选方法,因为复制手机很难,但复制银行卡却很容易。所以我认为这将需要几年时间。我知道 Visa 和 Mastercard 希望看到这些卡片最终消失,但出于同样的原因,他们也希望保留这些卡片,因为这是他们的品牌。但使用移动凭证处理交易才是真正减少销售点设备和 ATM 机盗刷的终极方法。
我们已经看到,由于近场通信 (NFC) 技术,实际的移动设备也可以通过卡进行身份验证。因此,可以实现多层级的身份验证,例如虹膜识别、面部识别、在移动设备上输入密码,以及将卡贴到移动设备背面。为了实现多步骤身份验证,通过迁移到移动解决方案,以及移动系统骨干网背后的加密技术,可以减少未来在销售点终端的盗刷或入侵。
是的。我认为,随着人们意识的增强,那些行动迟缓的银行很快就会意识到这一点的重要性。我们仍然看到一些客户甚至还没有转换到NFC。这是必须要做的事情,因为风险很大。如果你看看那些被入侵的销售点终端,犯罪分子可以很快地贴上覆盖层。即使在零售环境中,从消费者的角度来看,保护你的密码也非常重要。而且,我认为随着消费者意识的增强,这应该有助于推动银行和信用合作社确保它们与时俱进,这对未来的成功至关重要。好了,我想就此结束,我们继续讨论。
非常感谢两位在演播室接受我们的采访,分享你们对信用卡盗刷的更大威胁、其演变、对金融机构和其他实体机构的影响,以及 Parabit 技术如何融入战略技术生态系统等观点,从而帮助降低这些风险。再次感谢两位。真是太棒了。
是的,当然。各位,我们之前一直在和 Parabit 的首席执行官 Rob Leiponis 以及 Parabit 的业务发展经理 Heather Glezen 聊。现在各位想进一步了解一下你们的解决方案,特别是关于卡片盗刷或其他方面,我们应该如何指导他们呢?
很简单,对吧?没错。在我们的资源下,我们有一个媒体中心,里面有一些视频。我们有一个主页,里面存放着“关于一点”(A Bit About)页面的剪辑。
太完美了!好的。Parabit.com 的朋友们,一定要去那里观看之前的节目。此外,您还可以了解更多关于 Parabit 的信息,包括卡片盗刷、风险缓解解决方案,以及他们为行业提供的更全面的安全解决方案生态系统。
再次感谢你,罗布。再次感谢你,希瑟。非常感谢和你们两位聊天。塞恩,谢谢你们。
感谢大家收听 Parabit 播客“A bit About”的新一期。正如我们所说,请访问我们的网站 Parabit.com 收听往期节目,并订阅 Apple Podcasts 和 Spotify 播客,即可查看往期节目的完整目录,并在我们发布新节目时收到通知。我是主持人 Daniel Litwin,B2B 的代言人。我们下期节目“A bit About”见。
联系 Parabit 团队,邮箱:sales@parabit.com。
