Ngày 12 tháng 3 năm 2024
Một đồng nghiệp của tôi đăng nhập vào ứng dụng ngân hàng của cô ấy và nhận thấy một vài giao dịch bất thường - một vài xu được trả cho nhiều doanh nghiệp ở các bang khác, bao gồm một khoản phí cho một xu cho một nhà hàng ở Minnesota, nơi cô ấy chưa bao giờ đến.
Vì nền tảng của mình trong ngành thanh toán, cô ngay lập tức nhận ra mức phí đó là: công việc của một tổ chức thử nghiệm thẻ.
Trong nhiều năm qua, các vụ vi phạm dữ liệu đã ảnh hưởng đến hàng trăm triệu thẻ thanh toán, khi tin tặc bán thông tin thẻ trên các thị trường tội phạm trên cả internet công cộng cũng như dark web. Khách hàng của họ - những kẻ lừa đảo - mong đợi những thẻ này hoạt động, vì vậy tin tặc sử dụng dịch vụ kiểm tra thẻ để đảm bảo thẻ vẫn còn hiệu lực và hoạt động. (Dịch vụ chăm sóc khách hàng tốt là điều quan trọng, ngay cả với tội phạm.)
Khi một giao dịch thử nghiệm thẻ thành công, nó có thể dẫn đến việc mua hàng bị tranh chấp, gây đau đầu cho chủ thẻ, người bán và ngân hàng của họ. Những nỗ lực không thành công - khi thẻ bị từ chối - vẫn là vấn đề đối với người bán, bởi vì tỷ lệ giảm giá cao hơn có thể khiến các doanh nghiệp này có vẻ rủi ro đối với các ngân hàng mua lại của họ. Các ngân hàng sau đó có thể dễ bị từ chối mua hàng hơn, khiến các thương nhân mất nhiều doanh số hơn. Và, đáng lo ngại nhất, kiểm tra thẻ là tiền thân của gian lận thực sự - về cơ bản là một cuộc chạy khô khan đối với tội phạm.
Trong thế giới công nghệ, mô hình kinh doanh “như một dịch vụ” đang phát triển nhanh chóng và các tổ chức tội phạm đã làm theo, với ransomware là một dịch vụ và phần mềm độc hại là một dịch vụ trong số các dịch vụ của họ. Các doanh nghiệp kiểm tra thẻ cũng không khác. Họ phục vụ cho những tội phạm mạng mua số thẻ tín dụng bị đánh cắp trên mạng đen, bán quyền truy cập vào phần mềm tự động để kiểm tra thẻ bị xâm nhập nào vẫn còn hiệu lực và có sẵn tiền.
Trong một trường hợp gần đây được Bộ Tư pháp Hoa Kỳ phát hiện, dịch vụ kiểm tra thẻ Try2Check - được mô tả là “tiêu chuẩn vàng” của các nền tảng xác minh thẻ tín dụng bất hợp pháp - đã cung cấp một menu các giao dịch thử nghiệm khác nhau. Sau đó, dịch vụ sẽ chạy hàng triệu lần thử xác thực trước trên các thẻ bị đánh cắp, ít có khả năng kích hoạt các quy tắc gian lận hoặc bị chủ thẻ hợp pháp phát hiện. Một sự chấp thuận xác nhận rằng thẻ có giá trị. Sau khi dữ liệu thẻ bị xâm phạm được bán, "chủ sở hữu" mới có thể sử dụng thông tin thẻ đó để thực hiện các giao dịch mua gian lận.
Vào tháng 5, Bộ Tư pháp đã xác định được kẻ chủ mưu bị cáo buộc đứng sau Try2check, buộc tội anh ta gian lận thiết bị truy cập, xâm nhập máy tính và rửa tiền. Nền tảng này đã thực hiện hàng chục triệu séc mỗi năm, mang lại cho bị cáo - người vẫn là kẻ chạy trốn - ít nhất 18 triệu đô la bitcoin.
Ngay cả với bản cáo trạng và gỡ bỏ một dịch vụ thử nghiệm lớn như Try2Check, hoạt động thử nghiệm vẫn là một trụ cột không thể tránh khỏi và quan trọng trong vòng đời gian lận mạng thẻ thanh toán. Hàng triệu giao dịch thử nghiệm được thực hiện mỗi năm và tội phạm tiếp tục điều chỉnh các kỹ thuật của họ khi hệ sinh thái thanh toán phát triển.
Hiểu các mẫu và phát hiện nhanh chóng là chìa khóa để ngăn chặn chu kỳ kiểm tra thẻ.
Tại Mastercard, nhóm Cyber & Intelligence giám sát các lỗ hổng và mối đe dọa và có thể phát hiện hoạt động thử nghiệm này trong thời gian thực - giống như một lượng lớn yêu cầu ủy quyền cho các giá trị đô la thấp trong một khoảng thời gian ngắn. Nhóm sẽ cảnh báo các ngân hàng phát hành nếu thẻ của họ có vẻ như đang tham gia vào một chương trình thử nghiệm và Mastercard Safety Net, nơi giám sát các giao dịch trên cấp độ mạng lưới toàn cầu, có thể phát hiện ngay các cuộc tấn công thử nghiệm trên quy mô lớn và từ chối các giao dịch.
Nhóm cũng liên hệ với các ngân hàng của thương gia để cảnh báo khách hàng rằng doanh nghiệp của họ đang được sử dụng để thử nghiệm. Và khi công nghệ tiến bộ và tội phạm phát triển chiến thuật của họ, đội ngũ tại Mastercard đang thúc đẩy tư duy mới và không ngừng mở rộng khả năng phát hiện và ngăn chặn gian lận.
Đối với chủ thẻ, cảnh giác là chìa khóa. Bạn có thể đã xem lại báo cáo hàng tháng của mình, nhưng khách hàng ngân hàng di động có thể kiểm tra tài khoản của họ chỉ bằng một nút bấm. Liên hệ với ngân hàng của bạn nếu bạn thấy một khoản phí mà bạn không nhận ra, cho dù nhỏ đến đâu - hoặc trong trường hợp này, đặc biệt là nếu nó nhỏ.