刷货简单但是周期长、流程繁琐;打款收益高、获利快,但难度高。面对这样的两难选择,有一些有追求的盗刷分子便开动脑筋,尝试自建CVV通道,特别是搭建2D现金通道,即一个虚假的消费网站,用他人的信用卡在此消费,这样卡料里的额度/余额便可以直接进入自己的账户中。利用自建CVV通道,不但省去了寻常情况下注册养号收货等一系列操作,还可以邀请其他盗刷分子前来洗料,数十倍乃至数百倍地提升自己的收益。
对于自建通道,网站的搭建,包括服务器、域名、网站设计等,都是无关紧要的因素,唯一的关键便是收款工具的选择。正如普通购物网站一样,自建通道需要选择合适的支付网关(Payment Gateway,又称支付通道等)用于接收在线信用卡/储蓄卡的付款,上一篇文章在介绍现金通道时提到了诸如Paypal、Stripe等支付网关,而这两者也是中小型电商平台最常用的支付网关,平台经营者仅需注册Paypal或Stripe的商家账号,并集成到自己的网站中,便可接收消费者的在线付款。
对于试图自建通道而言,选择支付网关时主要考虑的因素有两点:1.申请成本。这里所讲的成本,并非如ccbill等类型的支付网关所要求的那样,需要押付资金,而是指为避免暴露自己真实身份而付出的资金、时间与精力。在金融监管愈发完善和强力的当下,想要不经身份验证便注册支付网关几乎不可能。为规避相关的审核验证,盗刷分子们需要获取他人的身份信息及证明,包括护照、驾驶证等,以及可以由自己完全掌控的银行账户,这无疑增加了牟利的成本,也正因此,Stripe代开、Paypal账号出售等称了CVV产业中的重要子集。
2.押款期长短。绝大多数中小型电商从业者,在消费者付款下单之后,并不会立即收到货款,而是需要等待数天乃至数周不等的时间,才能将货款转移或提现,这一等待的时间便是押款期。在押款期内,消费者的付款被支付通道代为保管,这也是支付服务供应商们控制风险的常用手段。如Paypal商家通常需要一到两周时间才能受到货款,而Stripe押款期稍短一些,通常在3天左右,如果从事高风险行业,比如经营2D现金通道,提款则需要两周时间。
在此我们需要引入一个“窗口期”的概念:信用卡的主人通常会在自己的信用卡被盗刷后的一定时间内察觉到异常,联系银行报告此次盗刷,进而由银行进行调查审核,并追回款项。这一个流程所用时间就是盗刷分子牟利的窗口期。我们假设有一个不法分子设置了一个自建通道,并选择了Stripe作为收款工具,并使用非法购买的卡料完成了第一笔支付。若干天后,卡主人察觉到了盗刷的发生,于是报告给了银行,此后由银行联系Stripe查询此次交易,Stripe则会对此次付款,以及该网站、商家账户进行调查和额外审核。
对于盗刷案件多的商家账户,以及新注册商家账户,支付网关方面通常会选择更为严格的审核方式,包括视频审核,按指定要求拍摄照片,提供更多的身份证明,对于高风险(如达到Mastercard的MATCH标准)商户,Stripe甚至直接关闭商家账户,并上报至TMF(Terminated Merchant Files)数据库。即便盗刷分子侥幸通过了这些审核,也需要退回款项,后续更将面临更严格的收款限制,至此这个自建通道就真正走完了生命周期,而用于注册该商家账户的身份资料,也无法再次使用。
FICO的数据显示,约84%的盗刷案件会在5天之内进入最终的追回阶段,而98.6%的盗刷案件会在14天内进入最终的追回阶段。因此设置7到14天不等的押款期超过了绝大多数盗刷案件的反应时,足以使绝大多数信用卡被盗的卡主人反应过来,并联系银行进行处理。在这样的情况下,即便成功建立的通道、成功完成了盗刷支付,其从中所获利益也未必能覆盖建设通道的成本。
由以上可以看出,自建通道牟利非但不如盗刷犯罪分子们想象的那般容易获利,反而极有可能让自己花费金钱耗费时间却一无所获。虽然如此,但自建通道,尤其是2D现金通道的诱惑实在太大,有些盗刷分子苦思冥想,最终选择了三条貌似可行的支付通道搭建路径:
1.选择小众的支付网关。目前电商产业的发展也吸引了众多银行和金融机构开发自己的支付工具,虽然主流的Paypal、Stripe以及中国的支付宝和微信等,占据了主流电商市场的绝大多数份额,但如南美、东南亚以及非洲和东欧这些本土电商刚刚兴起的地区,为小众的支付网关提供了生存空间。为了更快的扩张和占领市场,此类支付网关对注册用户的审核力度较弱,验证方式较为单一,后续的管理监督也相对宽松,这无疑给了盗刷分子们可趁之机。
2.选择慈善通道。慈善通道顾名思义,便是伪装成慈善网站的盗刷通道,盗刷分子在此刷卡支付,并将赃款伪装成慈善捐赠。金融机构为保证慈善事业的顺利进行,对于慈善捐赠网站通常审核和管理更加宽松,即便是遇到的盗刷追索款项的风险事件,支付网关方面以及银行方面通常也不会对其追加审核验证。由于美国对于慈善机构的申请相对更为宽松,大多数中小型的慈善机构都选择在美国注册,盗刷分子们同样如此,准备好一系列的验证材料赴美申请注册,成功后便开通支付网关账户并绑定银行账户开始盗刷牟利。
3.购买企业账号及老帐号。如Paypal等支付网关,对于使用时间较长、纠纷较少的老账号,以及资金流水达到一定标准的企业账号,监管力度会大幅放松,这也是为了提升用户体验。最典型的做法便是缩短此类账号的押款期,从普遍的两到三周,压缩至不足一周,某些支付网关甚至会允许符合标准的老账户及企业账户在当天提现,如Stripe的Instant Payouts。
以上三种途径看似可行,实则不然。小众的支付网关,在遭遇到来自银行的追回盗刷款项要求时,也会如主流支付网关一样,对该交易及商家账户进行审核,只是受限于自身的能力水平以及挖掘并留住客户的目的,其审核力度较小,刷手们有较大的概率通过一系列验证。但即便如此,当盗刷事件增多、商家账户资金流水出现异常(如网站的流量增长过快、转化率过高)时,这些小众的支付网关依然会限制甚至冻结该账户,以达到VISA等发卡组织的要求。
2021年10月,中国的跨境支付服务商Payssion报告一起案例,某个新注册的商家账号在注册后两周内,被来自4个国家的不同银行,共计追回21笔疑似盗刷的信用卡付款,并且在后续的身份核验中未能获取该商家账号的配合,因此Payssion选择关停该账号,将其列入TMF同时将上报至司法机关。由此可见,正规经营的支付网关,无论主流还是小众,基本不可能为盗刷分子长期利用
此外,慈善通道因获利相对简单,在CVV盗刷圈子中向来受到追捧。但此类慈善通道只有提供了相应的证明,如EIN或501(c)(3)类信函,才能被支付网关确认为Nonprofit商户,倘若缺少相关证明,支付网关方面将会视其为普通商户。2021年后美国收紧了对非盈利机构注册的审核标准,并加强了后续的监管,此类慈善通道的建设成本激增;同时各个支付网关强化了对此类网站的资金流水方面的审查,当出现异常情况,如单次超过一定额度的捐赠(如70美元)、或同一张卡片频繁捐赠(如一天之内捐赠3次及以上)时,支付网关通常会延长押款期限,并联络商户询问情况。可以说尽管慈善通道目前依然存在,其处境却愈发艰难。
最后,尽管各类老帐号和企业账号受到的监管更为宽松,但由Stripe和Paypal两大支付机构所引领的风控系统升级逐渐堵上了这一漏洞。当这些老帐号的经营使用有所异常时,便会被当作新账号一样,受到更为严格的监管。如更换了所绑定的、提现的银行账号,更换了所绑定的域名,所售商品类型发生变化、商品数量或价格调整幅度超过一定界限,收款次数、收款金额增长幅度异常、Chargeback占成交次数的比例以及Chargeback涉及的金额达到一定程度(如Mastercard定位5000美元)时,该商家账户会被延长押款期、甚至冻结收款、冻结账户。
由以上不难看出,自建通道,尤其是2D通道搭建愈发困难,想要长期持续而又稳定的牟利更是几乎不可能。尽管我们不能完全否认当前确有一些自建通道,伪装成不同的平台在谋取利益,但其所付出的成本、所承担的风险已经将绝大多数盗刷分子拒之门外。