在CVV盗刷活动中,需要获取用于支付的、信用卡或储蓄卡的各种信息才能牟利,这种包含了卡号、CVV、有效期、卡主人姓名及地址等内容的卡片信息,被从事CVV盗刷的人称为卡料。
CVV卡料来源不一,可大致分为两类:1.鱼料,顾名思义,指通过钓鱼网站、电信诈骗等途径所获得的卡料;2.库料,即经由黑客入侵数据库所获得的支付信息。一直以来,库料占据着CVV卡料市场97%以上的份额,而鱼料,根据不同的统计口径,占比在2%-3%左右。
根据CVV卡料所包含的信息的多寡,又可以分为残料、常规料、和全料(又称全资料或fullz)。在线消费大多数情况下仅要求提供卡号、日期、CVV、姓名、账单地址和邮编即可,包含这些基本信息的卡料就是常规料;缺失基本信息中一项或多项的卡料称为残料,如缺少CVV信息的卡料被称为无C料,适合Amazon等无需CVV验证的平台;包含了额外身份信息(如电话号码,密码,生日等等)的卡料即为全资料。卡料信息越多,在线支付时通过验证的概率越大:如部分网站在填写支付信息时要求提供卡主人电话号码、邮箱地址等。信息越多,获利概率越大,因此卡片信息的多寡与售价的高低成正比。
根据CVV卡料设置的支付验证方式,可以分为2D卡料和3D卡料。2D卡料即采用2D验证方式的卡料,早期在线支付的身份验证中,消费者仅需填写基本信息,如卡号、日期、CVV及地址等即可完成支付,这种验证方式便捷但十分不安全,逐渐被主流机构和商家淘汰,但由消费惯性目前仍有相当数量的用户使用。
3D卡料则在2D验证的基础之上,增加了一层防护,支付过程中消费者除了提供基本信息之外,还要提供诸如静态密码,或如OTP等动态密码信息,增加了安全性。包括最早采用3D验证技术的VISA(Verified by Visa),相似的Mastercard (SecureCode), Discover (ProtectBuy), JCB International (J/Secure), 以及American Express (American Express SafeKey)。使用3D验证时,消费者会被网站引导跳转至特定验证页面,通过输入密码、动态验证码等完成验证,方能继续进行支付。
但在实际的支付过程中,并非所有的2D卡料都无需验证,也并非所有的3D卡料都需要3D验证,因为是否需要在基本支付信息之外,进行额外验证取决于卡主人本身的设定和消费平台的风险评估:举例而言,部分银行支持信用卡持有人对支付验证进行定制,如在某一时间段消费时需要验证、消费额超过一定数值时需要验证身份等等,在这种情况下即便获取了某一条2D卡料,在实际支付时也有可能受阻;同样的,除非卡主人设定所有支付均需要3D验证,否则CVV盗刷分子即便使用3D卡料,在实际支付过程中如果伪装得当,被电商平台判断为正常用户,也有可能绕过3D验证。
最后卡料根据额度高低也分为不同级别,如VISA的classic、gold、platinum等,额度由低到高排列,其他Mastercard、American Express和JCB等发卡机构也有不同的等级排列。但同一级别的额度并无定数,同一银行就同样级别的信用卡,在不同地区,往往会设置不同的额度。