宁波立刷

宁波POS机：揭示全球支付欺诈真相从数据泄露到黑产变现全流程解析

宁波POS机

    目前监控到的支付卡售卖商店和私域渠道都有许多典型的特征，比如：标准化、批量化、自动化、便携性很强等。具体表现如下：

具备搜索与筛选功能，支持按 BIN、国家、金额区间、CVV 存活率等维度进行精准检索；

价格体系透明，商品分类清晰，部分商店按地区、发卡银行、卡类型等设定差异化定价；

信用机制初步形成，如“活卡保障”“退款说明”“标记 LIVE/TESTED”等增强买家信任；

平台运营趋于专业化、库存规模化，部分支持 API 接口调用，适配中大型批量买家接入；

用户活跃度高、运行周期长，具备一定抗封禁能力与持续供货能力，已成为黑产流通的重要支撑体系之一。

2.3.2.3 支付卡售卖渠道生命力很强

支付卡泄露商店，除了数量众多，基础功能完善外，生命力也很强，表现在几大方面：

替代性强、恢复速度快：即使某个群组被封禁，运营者也可在数小时内重建新群并完成迁移，具备很强的恢复力；

节点分散、不用统一控制：不存在唯一入口或运营方，大量独立群组、频道、卖家并行运营，彼此独立又可替代，极难被整体打击；

传播路径灵活多样：卡料信息通过群发、Bot、转发、口令等多种方式动态传播，构建出“网状扩散”模式；

交易流程自治化：基于 Bot 实现查询、下单、支付、发货的自动交互，无需平台账户或登录机制，降低使用门槛；

术语本地化与语言多样化：通过黑产俚语和非主流语言（如印地语、西班牙语）进行隐蔽交流，提升信息隐匿性；

支付方式去中心化：普遍支持 USDT、BTC、Binance Pay 等点对点支付渠道，规避平台托管与风控。

（Telegram群某bot自助商店）

2.4 支付卡泄露作恶下游分析——支付卡变现

支付卡一旦被盗取，黑产的下一步就是变现。其主要变现路径为：购买礼品卡、商品代下、BIN注册滥用等。

2.4.1 购买礼品卡

由于礼品卡的流通性很强，可在黑市上直接售卖，因此黑产会利用购买或窃取的支付卡，在电商、支付、游戏等平台上，购买礼品卡。

此类变现方法成本低、变现快，是最常见的盗刷变现手段。

2.4.2 商品代下

黑产会利用被盗的支付卡在正规的电商平台上进行下单，然后通过“代下”中介发货，收货地址一般是虚拟地址、集货仓或洗货人控制的地址。商品被“洗”后，会再次流入灰色市场出售，黑产从中获利。

2.4.3 BIN 注册滥用

利用高风险BIN段+生成器批量构造卡号，然后进入风控弱的平台进行批量注册；即便卡号无法完成交易，只要验证机制弱，就可获得初始绑定或试用；注册完成后将账号/服务低价出售，或用于其他诈骗行为。

三、支付卡盗刷典型案例分析

3.1 卡售卖案例-售卖已验证银行卡

3.1.1 案例描述：

（售卖已验证银行卡示例-1）

（售卖已验证银行卡示例-2）

上图是捕获到的黑产在售卖已验证的银行卡，从图中可以看出，黑产在界面中展示了卡号通过网关验证后的文本信息，用以证明该卡已完成有效性检测。

并且也展示了其在作恶平台上的盗刷操作截图，旨在表现自身具备实际盗刷能力，以增强潜在买家的信任或吸引合作。

3.1.2 案例特征：

此类反映出部分黑灰产卖家正通过公开展示卡号验证结果与盗刷操作流程，强化其“数据真实性”与“服务交付力”，以此提升产品可信度与客户信任感。

3.2 利用泄露的支付卡进行盗刷代下

3.2.1 案例描述：

在Telegram渠道中，黑产发布某平台半价购买任意商品服务，并报价89美元（含"教学指导"），实际上是黑灰产售卖盗刷银行卡服务，并声称可用于某平台下单或购买礼品卡（如500美元礼品卡仅售235美元）。

黑产会指导买家完成订单或套现礼品卡，承诺"全程协助"，甚至代操作，其实背后是自己用盗刷的银行卡进行支付。

（银行卡盗刷礼品卡案例）

跟进同类型售卖礼品卡的黑产，发现黑产售卖的某平台礼品卡售卖为原价的1-3折，礼品卡的来源为银行卡盗刷支付。

（银行卡盗刷礼品卡案例）

3.2.2 案例特征：

该类黑产行为呈现出“盗刷银行卡 → 虚拟商品下单 → 白域转售变现”的完整套利闭环，平台化运营明显，服务结构成熟，是当前 CVV 黑灰产业链中的典型礼品卡变现型作恶模型。

3.3 直接在电商类等平台进行盗刷

3.3.1 案例描述：

直接在电商类等平台进行盗刷指在无需实体卡的情况下，通过在线支付平台进行盗刷交易，如下：

（平台盗刷案例）

3.3.2 案例特征：

黑产凭卡号、有效期、CVV 等信息在平台上直接盗刷。此类盗刷行为主要发生在验证机制与风控能力薄弱、未启用 3D Secure 的电商平台上，攻击者通过绕过验证机制完成支付。黑产盗刷的商品多为虚拟化、可转售、不可追溯、到账快的品类，典型包括各类礼品卡、订阅类会员账号、数字游戏点数与充值服务、电子优惠券等，具备高变现效率与较强匿名性，是黑产实现套利变现的核心渠道之一。

四、总结

威胁猎人通过对监测数据的分析，可以看出，全球支付卡泄露问题呈现出地域高度集中、卡组织覆盖广泛、卡型结构单一化等显著特征。其中：

美国是重灾区：美国支付卡泄露占比高达50.9%，主要因其高信用卡普及率和黑产的“试错”偏好。

主流卡组织受害最深： Visa和Mastercard合计占据泄露卡片总量的95% ，且全球约90%的发卡机构都被波及，凸显泄露的普遍性。

借记卡风险突出： 借记卡泄露占比最高，达到60.03%，原因在于其发行量大、风控相对较弱且变现速度快。

黑市定价与卡片价值挂钩： 泄露卡的交易价格取决于其“盗刷欺诈价值潜力”。美国卡廉价高频，欧盟卡因严格风控而高价，加/澳/英卡则兼具性价比和通用性。

黑产产业链高度成熟： 支付卡黑产已形成“数据窃取（上游）→测活与售卖（中游）→盗刷与变现（下游）”的完整链条。

上游窃取： 手法包括钓鱼页面、POS机窃取和卡号构造。

中游测活与售卖： 通过“测活”筛选可用卡片，并通过众多功能完善、生命力强的黑市商店和私域渠道进行售卖。

下游变现： 主要通过购买礼品卡、商品代下和BIN注册滥用等方式实现。

跨国特征明显： 泄露数据和黑产交易呈现显著的跨国流动性与多语种共存现象。

面对支付卡泄露的严峻挑战，亟需提升用户安全意识、强化发卡机构和支付平台的风控能力、加强国际执法合作，并持续进行技术创新，以共同维护全球支付体系的安全。

在此背景下，威胁猎人通过持续监控并解析超过199,000个卡BIN编号段，覆盖全球主流及本地卡组织，关联数万家发卡银行，能够提供被泄露的数据卡情报。这种精确的情报能力，对于帮助客户进行有效防御至关重要。通过及时获取这些被泄露的数据卡情报，金融机构和相关企业可以：

识别高风险卡号和BIN段： 精准定位被黑产高频利用的卡号和BIN段，加强这些卡段的风控策略。

预警潜在盗刷风险： 在大规模盗刷发生前，根据泄露情报提前采取预防措施，如对受影响卡片进行监控或冻结。

优化反欺诈系统： 利用最新的泄露数据特征，不断更新和完善自身的反欺诈模型，提高识别和拦截盗刷交易的能力。

支撑安全决策： 为客户提供实时的、可操作的情报支持，帮助他们在复杂多变的黑产威胁面前做出更明智的安全决策。

通过威胁猎人提供的被泄露数据卡情报，客户能够化被动为主动，更有效地抵御支付卡欺诈风险。