在菲律宾，如何预防信用卡被盗刷

可乐不加冰

2021年初，沸沸扬扬一时的某参议员信用卡，百万额度被黑客盗刷的新闻，日前有了下文，在该参议员的积极过问下，NBI反网络犯罪部门的有力行动下，一名有3年盗刷银行卡历史的黑客落网了。

新闻在网上有，大家感兴趣的可以自己去搜，郭彩荣在这里想要整合的，是通过被盗刷的新闻，以及黑客落网后招供的一些犯罪细节，来梳理一下当前的菲律宾信用卡网络交易环境，以及存在的可能若干风险。

它山之石可以攻玉，对于各位手中握着一堆本地银行卡的在菲同胞来说，算是一种提前的预防补丁。

首先说下细节，根据该参议员的社交媒体陈述，黑客在2021年1月5日下午，设法更改了该议员在UNION银行的客户预留电话号码，随即黑客利用其掌握的该参议员的信用卡信息，在第三方的FOODPANDA点餐应用上开始下单。

根据参议员发布的交易细节，这些购买是在 1 月 5 日下午 4 点 47 分到 5 点 49 分之间的 4 笔交易中完成的，黑客对于该信用卡的额度想来并不知晓，因此从发起交易的信息中可以看到，先是不到10万的额度，然后一步步升级，一笔30多万比索，连续三笔。

对于菲律宾的银行信用卡体系，为了防范盗刷，通常会在支付时刻，有一个网关进入在线支付的授权，需要输入OTP（一次性交易授权密码）。而该密码，则会由发卡行发给信用卡持有人预留的手机号上。

由于之前黑客已经修改了预留手机号，SO，四次的OTP，全部发送到了黑客的手机上，然后就是顺理成章的授权成功，发起交易，黑客盗刷成功，在FOODPANDA上，订购了超过100万的酒水，然后分成多个地址配送。

在整场盗刷中，UNION银行的说法，当收到客户的修改手机号申请，并成功修改后，已经发送短信至客户原来手机。

这位参议员也印证了银行的说法（额外说一句，对于有的银行，为了防范未经授权的修改手机，会对敏感操作进行多重提醒，比如修改预留手机号的行为，会生成一个REFENCE NUMBER，发送给卡持有人的信箱和短信）。

该参议员在2021年1月5日下午2点左右，开始通过短信收到来自Unionbank 的通知，但直到下午6点才能查看通知，因为他正在参加参议院听证会。

等待参议员紧急联系发卡行和第三方平台时，盗刷已经完成，犯罪嫌疑人藏匿于互联网中，而新预留的手机号，因为没有实名，也是无从查起。

于是，才会有参议员亲自前往NBI报案，晓以利害，并先后在多个场合，大声疾呼要加强电子商务的支付安全立法，防止更多受害人被盗刷。

说句老实话，对于参议员的这一呼吁，彩荣举双手表示赞成，因为有关菲律宾的信用卡盗刷，实在是一个防不胜防的老大难问题，特别是那些身怀多张信用卡的老侨，往往突如其来的一个短信提示支付信息，就意味着自己信用卡里的钱，又被盗刷了出去。

经过NBI半年多的调查，前两天，一名大学三年级计算机专业的菲律宾嫌疑人落网后，招供了自己的犯罪事实——即用钓鱼网站获取了信用卡持有人的全套信用卡资料后，通过伪造授权，修改了预留电话，进而实施黑客犯罪的行为。

该嫌疑人供认，该团伙三名成员，D刷历史已有三年之久。

那么，平时我们在网上使用的信用卡支付，究竟如何会被钓鱼网站盗刷呢？本着试验到底的精神，彩荣在这里奉献一个钓鱼网站样本，一步步实践，来现身说法，黑客是怎么获取到持卡人的相关信息。

1：设饵钓鱼。

饵料的方式多种多样，通常是你的快递，你的账单，你的巴拉巴拉日常，总之不让你怀疑即可，重要的是登录网址。

2：山寨快递网站，煞有介事查询货品状态（注意鉴别真伪官网网址）。

3：请君入瓮，确认该包裹出现问题，需要输入信息加以确认，再次投递。

4：有关持卡人的敏感信息，都在这两张图里。

如果按照黑客的提示，一步步完整输入你的信息，恭喜，你的所有信息都被黑客获取，接下来，你的卡被盗刷只是时间早晚的问题。

SO，接下来，我们整理一下，那些是涉及信用卡的敏感信息。

以上图为例，涉及卡主的：

姓名，邮箱，电话三件套。

涉及信用卡的：

卡号，过期日，CVV安全码三件套。

这里特别注意的是，信用卡背后起决定性作用的安全码--cvv。不同于信用卡的广为人知，cvv码很少被人提起，甚至于大部分人甚至并不知道其所代表的实际意义与作用。

Cvv的全称为Card Verification Value，简单来说就是印在信用卡背后的一串附加码，一般写在卡片磁条的2磁道用户自定义数据区里面，通常由3位或者4位数字构成。

注：菲律宾的信用卡，即便是芯片卡，背后的CVV，仅有3位，没有后四位的卡号。

信用卡的卡号，前六位为BIN号（银行标识代码），在菲律宾，主要的信用卡组织为VISA或MASTERCARD，小众的有日本JCB和银联还有美国运通。

“4”开头的为VISA，卡号16位，“5”开头的为MasterCard，卡号16位，“35”开头的为日本JCB，卡号16位，62”开头的为中国银联，卡号16位，“34/37”开头的为美国运通，卡号15位。

SO，既然知道了黑客的钓鱼技巧，如何防止信用卡被盗刷呢？

A：首先申请信用卡时，必须在正规渠道，比如银行柜台、银行业务员或各大银行官网进行操作，现在是封城期间，如果马尼拉封城结束后，最好前往柜台办理，因为如果委托办卡中介办理，用户往往对其不够警醒，轻易为其提供重要资料，而黑中介手中备份的资料正是黑客重要的资料来源。

B：一定要开通邮件/短信提醒服务，这样的话你的每一笔资金的出入都能够第一时间掌握。万一要是出现被盗刷的情况，也可以及时的和银行等有关部门交涉处理。

C：保护好你的手机验证码（OTP），千万不要泄露。因为手机验证码等同于交易密码。切勿点击短信的不明链接，进行电子支付时，避免使用公共WIFI，防止敏感数据被抓包。

D：保护好信用卡背后的3位CVV码，因为在大部分菲律宾的网络购物或预定，额度不大的话，不涉及OTP，只需要输入CVV就可以操作的。

所以，要对你的信用卡信息做严格遮挡，包括上文提到的所有敏感信息。

此外，特别说两句，对于购物网站亚马逊或者酒店预定的BOOKING等应用来说，只需要卡号及有效期和姓名就可以绑定消费，甚至不需要CVV。

也就是说如果你信用卡的正面照片泄露到网络上，就会有很大的可能性被人恶意盗刷，这点很重要，在菲同胞，千万千万不要在朋友圈或社交媒体随便晒卡照片，即便有时候打码也有可能会被技术党恢复。

那么，对于有网络订购需求，又担心被网络盗刷的同胞而言，有什么好的办法既可以用信用卡支付，又能尽可能安全呢？

个人建议可以采用动态CVV的虚拟信用卡，比如GCASH的虚拟运通卡，每次交易完成后都可以按“Get New Code”来更改安全密码或CVV ，然后，新的安全代码将通过短信下发，尽可能规避被黑客记录上一次CVV的盗刷风险。