CVV全称是card verification value ,即借记卡或信用卡的安全码,由三位或四位数字组成,用于确认交易者的身份,但在黑产领域,CVV特指线上盗刷,即用他人的信用卡(credit card)或储蓄卡(debit card),利用线上消费平台牟利的过程。作为更为广义的身份欺诈类犯罪中的重要组成部分,CVV行业已经成为当前最为成熟、门槛最低、产业分工最为明确、牟利最多的黑产行业之一。与CVV相对应的是Dumps,特指复制他人卡片,并于线下通过实体卡牟利,但由于技术门槛和资金门槛更高,从事该行业的人数要远远小于CVV行业。
截至2023年第一季度,每一百美元的交易中,就有8.2美分是被盗刷的。CVV盗刷产业每年造成的损失高达数百亿美元,如Flashpoint在2021年估算约有超过两千万张信用卡和储蓄卡在黑市上被出售,Nelson Report则指出当年盗刷犯罪在全球造成了近300亿美元的损失。
受疫情蔓延以及经济下行的影响,2021下半年和2022全年,这一数据持续激增:2022年在各个黑市上上架出售的各类卡片就激增近40%,达到了2755万张,而2022年仅下半年黑市上便上架销售了2000万张各类卡片(FTC,2022)。各个机构,无论是银行、发卡机构、支付公司和电商平台,都绷紧神经持续升级完善自己的风控系统。据visa的数据,2021年全年visa的A.I.风控系统识别并阻止了数百万次盗刷行为,挽回了250亿美元损失,paypal的风控同样收紧,以至于普通用户都开始投诉正常支付行为受到了影响。
在未来数年内,随着经济危机的全面爆发,CVV产业或许会迎来一次爆发式增长。与绝大多数人的认知不同,经济下行往往会成为CVV盗刷犯罪的催化剂:消费者们长期形成的消费偏好、品味、习惯等并不会因收入的减少而改变,消费欲望也不会因为资金紧张而消失,它们只是暂时被抑制、被转移了,以口红效应为例,经济萧条百业凋敝时,人们倾向于购买一些廉价的单品。
此时的消费者往往会对打折出售的商品趋之若鹜,这类消费者们天然成为了CVV盗刷犯罪分子们的目标客户群体,而且这个目标群体的规模会随着经济危机的延续和加深不断增长。除此之外,各个线上消费平台为了吸引用户、留住用户,在经济不景气的时候往往会选择更为宽松的验证策略,这无疑给了CVV产业从业者们巨大的便利。
就像大多数支付安全领域的研究者所预测的那样,未来所谓的CVV项目将会愈发多样化,其所盗刷的商品不再仅限于以往最受欢迎的数码、潮流等类型的商品,而是会涵盖人们日常衣食住行中的各类商品。这一趋势已经在2020-2022疫情期间有所展现,例如2022年第二与第三季度美国电商平台所报告的盗刷案例中,除了常见的CVV项目如盗刷手机、礼品卡,以及盗刷机票之外,涉及母婴用品、老年用品、家具等以往极少为CVV盗刷分子所青睐的冷门产品的案件数量,均呈现上升趋势。
总而言之,在未来,各类线上消费平台将要迎来更加严峻的考验。尽管前沿技术加持的风控系统愈发完善,3D验证系统也逐渐普及,对于CVV产业的打击力度不断加大,如在2021年绝大多数电商平台、金融机构以及第三方支付安全服务公司都宣称自己的风控系统,能够识别并阻止99.9%及以上的盗刷行为,但风控领域的研究人员普遍对未来感到忧虑,FNT预测CVV盗刷造成的损失在2024年有可能高达450亿美元。作为遏制盗刷行为的关键,各个平台和机构的风控系统,无论是无论是电商平台、支付服务供应商,还是银行以及发卡组织都未能发挥出应有的防范作用。
CVV产业经久不衰,与各个电商平台的营业策略密切相关,平台总是试图在消费安全与用户体验之间取得平衡,而且在绝大多数情况下,平台会把消费体验至于安全之上。与广大消费者想象地不同,无论是电商平台还是金融机构,包括银行、Stripe等支付服务商,对于打击CVV盗刷的积极性并不强,2019年的一项调查显示,受访的100家电商平台仍有48家认为打击盗刷的成本远高于盗刷造成的损失。
各个平台、机构打击盗刷,并非为了维护消费者的利益,其根本目的在于降低自身坏账率,从而避免受到金融机构以及监管机构的针对和调查:如2017年Target因为盗刷事件频发,部分银行开始限制自身用户在Target线上平台消费,Target本身在线信用卡收款功能也受到了影响。 除此之外也只有在产生法律风险时才会加大对于CVV产业的打击力度,如盗刷Steam在数年前是CVV产业的热门话题,直至被司法部门指责助长了洗钱等行为之后,才开始加强对CVV盗刷行为的审查。
完善的保险理赔机制,让商家和银行等机构无惧盗刷的损失,也无法让它们产生足够的动力,采取强力举措保障用户安全。以3D验证技术为例,如果消费者和商家都能接受3D验证技术,如今的盗刷产业绝不会兴盛至此。遗憾的是,3D验证保证了安全的同时,也使得刷卡消费流程变得繁琐,始终未能被广大用户所接受。在信用卡用户规模较大的地区,商家了为迎合消费者,提高消费体验,并未选择普及3D验证,而是根据风控系统的评估,有选择地验证某一类用户。这种始终在支付安全和支付体验之间寻求平衡的做法,无疑给了cvv行业牟利的空间。