广东
2025年9月10号左右,浦发银行万事达“红沙宣”信用卡发生大规模境外盗刷事件:数百名持卡人在毫不知情、未离开国内的情况下,收到来自巴西的高额消费账单,盗刷交易集中在9月9日至11日期间,地点多指向巴西。
浦发银行信用卡中心于9月13日发布说明,同步监测到部分万事达无价世界卡(即“红沙宣”卡)发生未经授权的交易,已联合万事达卡组织启动应急响应,及时发现和阻断了风险。
并在后续,也最大程度避免了持卡人的损失:截至目前,大部分受害人被盗刷的账单已被银行冻结清零,持卡人暂无需偿付。
然而,这起事件对信用卡行业的信息安全防线提出了严峻挑战:当“人在家中坐,账单海外来”,攻击者究竟利用了哪些手段来完成的此次大规模攻击?
本报告将围绕这个问题展开深入分析,最后提出针对性的安全改进建议。
一、攻击者使用的技术手段分析
1.1黑产如何获取第一批信用卡数据
大规模同步盗刷的前提是攻击者已批量掌握了红沙宣信用卡的关键信息(卡号、有效期、CVV等)。
这里面有几种可能:
①、黑客攻破了某些包含信用卡信息的数据库,批量窃取了持卡人信用卡资料;
②、黑灰产利用钓鱼、木马等手段,从用户手中获取了信用卡信息;
③、攻击者通过非法渠道收购了这些信用卡的卡信息。
比如以下,是黑产表示通过发送钓鱼链接得到的信用卡的案例:
(黑产表示通过发送钓鱼链接得到的 案例1)
(黑产表示通过发送钓鱼链接得到的 案例2)
再比如,盗刷料商,会在TG、暗网等渠道,出售新鲜有效的信用卡CVV信息,并宣称持有特定银行BIN段的卡片可成功绕过风控,并且直接标记出物料盗刷的成功率。
这次的盗刷基本上都集中在少量固定卡bin(均为特定BIN段的万事达红沙宣卡),也能侧面验证这点。
(黑产在Tg上售卖借记卡 举例:100刀的商品,卡余额有850刀)
(Tg上售卖“原料卡”截图)
1.2黑产通过信用卡测活+小额测试来测试该卡片是否能盗刷
绝大多数受害人报告其盗刷交易遵循:“一小三大”模式:即先有一笔几元人民币的小额消费试探,确认卡片可用后,紧接着数分钟内发生2-3笔不超过5000巴西雷亚尔(约合¥6000)的较大金额消费。
例如:一位持卡人9月9日账户先出现约3元人民币的小额扣款,随后两笔4999.99巴西雷亚尔(约¥1.3万元)的消费紧接入账。
这种模式说明攻击者有组织地批量测试卡片有效性:先用小额交易“探路”,再在短时间内最大化盗刷金额。
而大额交易,我们也观察到,消费金额都是被控制了5000巴西雷亚尔以内,但每一笔又会尽可能在不到5000雷亚尔的范围内最大程度盗刷,这个其实就是盗刷份子在控制阈值的约束下,尽可能盗刷更多钱的行为。
从一定程度上,能够反映出来,这是有一定经验的盗刷团伙,摸透了银行和卡组织的风控规则,因此能够比较精确的避开交易验证和额度限制。
1.3黑产利用境外的盗刷通道进行盗刷
这次的盗刷,主要集中在巴西一个国家,也不是偶然,从盗刷黑产的行为画像进行分析,威胁猎人判断是盗刷份子发现了巴西地区的盗刷通道。
“盗刷通道(黑产称‘现金通道’)并非单一技术点,而是一整套可被重复利用的‘变现路径(path-to-cash)’。
通道通常由若干互相联动的环节构成:好刷的 BIN 段、对风险检查较宽松的商户/收单行或支付网关、便于提现的本地出款渠道(本地银行、电子钱包、礼品卡或兑换商),以及用于批量‘测活’的代理/指纹与自动化工具。
当这些环节长期稳定可用并持续放款时,就形成了可被规模化利用的“盗刷通道”。
黑产会把预先准备好的‘原料卡’在检测站进行批量测活;若结果显示为 ‘Approved’,通常意味着这批卡通过了 Stripe 等支付通道的预授权校验。
确认有效后,犯罪团伙可能会用这些活卡在目标平台(例如某款游戏)进行小额充值、购买点券或虚拟物品,再通过已有的下游兑换/提现路径把价值兑现,从而形成并稳固一个可复用的盗刷通道。
(黑产使用准备好的原料卡,在检查站测活,若显示Approved则说明这批卡通过了stripe的预授权)
(某黑产使用黑卡充值某游戏点卷)
1.4黑产利用第一批被盗的卡,形成循环盗刷链路
在发生盗刷的时候,我们在黑产盗刷核心Telegram群组中发现,黑产以被泄露/被盗刷的“真卡”作为种子(seed card),在群组/市场中传播并用于生成大量“推测卡”进行碰撞测试(网关测活),一旦确认卡片可用,则进行大批量、多次的盗刷行为。
成功的被刷卡随后被用作生成衍生卡的种子,形成“人为扩大”的泄露—清洗—再传播循环链条,持续扩大泄露面与可用卡池。
(已捕捉到该卡bin,组织化生成信用卡卡号)
(受害者在社交软件上展示扣款失败截图)
二、总结
综上,浦发“红沙宣”此次的盗刷事件,是一起典型的黑灰产有组织攻击:攻击者通过非法手段获取信用卡数据,并摸索出风控规则后,利用境外不规范支付渠道实现规模化资金盗取。
威胁猎人通过持续的对黑灰产渠道的运营,目前已经监控超过2700w个被泄露的信用卡情报,每日新监控15W+信用卡情报,通过及时获取这些被泄露的数据卡情报,金融机构和相关企业可以:
识别高风险卡号和BIN段:精准定位被黑产高频利用的卡号和BIN段,加强这些卡段的风控策略。
预警潜在盗刷风险:在大规模盗刷发生前,根据泄露情报提前采取预防措施,如对受影响卡片进行监控或冻结。
应急处置:在大规模盗刷发生后,结合泄漏规模,研判是否需开展进一步安全加固或客户告警。
如您的企业也有类似问题
请咨询威胁猎人安全专家
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
