一篇文章看懂什么是盗刷

啥是cvv盗刷？

CVV盗刷指的是线上交易（Card Not Present，简称CNP），也就是不需要实体卡的场景，比如网上购物，电话支付等。诈骗分子只需要搞到你的卡号，有效期，CVV码（卡背面的3位或4位验证码）就能直接在网上刷你的卡

CVV（Card Verification Value）是用来验证线上交易的，理论上商家不能存储CVV，但黑客通过各种手段（比如钓鱼网站， 恶意软件，数据泄露）能偷到这些信息

特点

不需要物理卡，全靠偷来的数字信息（卡号+CVV+有效期）

通常用于在线购物，充值服务，买礼品卡，或者其他不需要实体卡的交易

黑客可能通过网络攻击（如钓鱼，恶意软件，黑客入侵商家数据库）获取CVV，或者通过社交工程（比如假装银行客服骗你说出CVV）

CVV分为两种：CVV1（磁条上的隐形编码，线上交易用不到）和CVV2（卡背面印的3位/4位码，线上交易用这个），CVV盗刷主要针对CVV2

根据Krebs on Security的分析，CVV盗刷多发于线上数据泄露，比如黑客攻破商家的支付系统，偷走卡信息，然后直接用这些信息在网上消费

例子

黑客通过钓鱼邮件骗你输入卡号和CVV，然后在亚马逊上买个iphone寄到自己地址

或者黑客入侵某个电商网站，偷走几千个用户的卡信息（包括CVV），然后批量在其它网站上刷卡

危害

卡主可能好几天甚至几周没发现，因为小额交易不容易被注意

根据FBI数据，类似CNP诈骗每年给美国消费者和金融机构造成约10亿美元损失

料子的分类

1.轨道料：利用改装的POS机采集的刷卡人的信用卡资料。这类料的信用卡信息非常精准，且带有实体卡专用的CVV1编码，通常用于复制实体卡。

2.库料：库料由黑客“拖库”所来。所谓拖库就是黑客入侵电商网站数据库导出用户信用卡资料的行为。刚从数据库拖出的料叫“毛料”，不乏有信息错误、已经过期或报失的废料。所以要经过筛选才能用。

3.鱼料：利用钓鱼方式获取的信用卡资料叫鱼料。所谓钓鱼就是仿冒知名电商网站，然后用群发短信或邮件的方法引流，诱导用户进入假冒的网站，自行填入信用卡资料的行为。鱼料即钓即用，最新鲜，准确率也很高，部分甚至带有3D支付密码。

4.毛料：说到这个就要解释一下什么是库 ,英文叫CC BASE，”库” 就是黑客渗透一个网站把里面的信息导出来。一个大型网站有千万条，但不乏有一些已经过期的或者假的的情况毛料就是从库里面出来的没有筛选过的一般是十几二十几一条。

5.无C料：简单讲就是不带cvv的料，用在不需要输入c码就能付款的网站，列如：亚马逊，乐天等官网价格也在十几二十几一条

6.生成料（或者叫伪红）：信用卡卡号的算法(Luhn算法)是公开的，那我们可以自行生成卡号，配合不同的有效期、cvv安全码去批量测活。二要素(卡号+有效期)碰撞法生成的是无C料，可用于特定的无需输入CVV安全码就能付款的网站，例如亚马逊、日本乐天市场、维多利亚密码官网等。 而三要素(卡号+有效期+cvv安全码)碰撞法难度更大，耗时更长，一般很少采用。生成料的难度在于测活，想要一个卡号短时间经过成千上万次测试而不被风控，得有一个很强大的批量测活通道。

7.红料（或者叫正红，95%的人没有听说过）：红料是指已经S掉的人的资料，通过内部渠道拿出来的料。

8.包绑：就是指绑定PAYPAL，绑定苹果账号，或是绑定特定网站的料，结合自身需求选择

9.内料：就是咱们自己人的料，千万别碰，碰即被抓

101、201复制卡盗刷

啥是101/201复制卡盗刷

101是轨道料，指的是磁条卡的轨道数据（Track 1/Track 2），服务码是“101”，表示这卡国际通用，无交易限制，优先用磁条（没芯片）

201是芯片，指的是带EMV芯片的卡，服务码是“201”，表示国际通用，无交易限制，优先用芯片（有芯片但没强制PIN）

复制卡盗刷指的是物理手段复制一张信用卡或借记卡，制作出一张克隆卡，然后用这张假卡去实体店或ATM机消费/取现

核心技术：用读卡器（Skimmer）或芯片破解设备（Shimmer）偷取卡的磁条或EMV芯片数据，再把这些数据写入一张空白卡，伪造成一张能用的假卡

特点

需要物理接触卡或读卡设备，比如在ATM，POS机上装Skimmer，偷录卡的磁条信息（包括卡号，有效期等），有时还会用隐藏摄像头或假键盘偷PIN码

克隆卡可以直接在实体店刷卡或ATM取现，因为它看起来就像真卡

磁条卡比EMV芯片卡更容易被克隆，因为磁条数据没有加密保护。EMV芯片虽然更安全，但根据2020年Security的报道，犯罪分子已经能通过“Shimming”技术复制部分芯片数据到磁条上

101/201的术语常见于地下黑市，代表不同卡类型的“dump”（偷来的卡数据），比如X上的帖子提到“101&201 with pin only works in ATM&POS”说明这些克隆卡数据专为实体交易设计

克隆卡诈骗通常需要内鬼（如收银员，服务员）或改装过的设备（如ATM上的Skimmer）来获取卡数据

危害

直接导致卡主账户被盗刷，损失可能更大（比如ATM被一次性提空）

根据Nilson Report，全球卡克隆诈骗每年损失高达286.5亿美元，预计到2027年可能达到385亿美元

防护建议（硬核版）

防CVV盗刷

用虚拟卡或一次性卡号（很多银行支持，比如Apple Pay，Google Pay）

开启双重验证（如3D Secure，Visa的Verified by Visa）

定期查账单，任何可疑小额交易都立刻报警

别点来路不明的链接，别在不安全的网站输入卡信息

用动态CVV卡（有些银行提供CVV定期变化的卡）

防101/201复制卡

只用EMV芯片卡，尽量避免刷磁条（芯片生成唯一交易码，克隆难度高）

检查ATM/POS机，卡槽有松动或异常附件就换一台

输入PIN码时遮住手，防偷拍

去正规商家消费，避免在可疑小店刷卡

发现异常交易立刻联系银行，申请冻结卡

总结

CVV盗刷是线上偷信息，简单粗暴，适合网购诈骗；101/201复制卡是线下偷数据+做假卡，技术含量高，适合实体消费或提现

CVV盗刷靠偷数字信息，复制卡盗刷靠物理设备，危害上复制卡可能更直接（ATM取现直接掏空账户）