信用卡卡号前六或八位数字,叫做发卡银行识别码,简称为BIN(Bank Identification Number)或IIN (Issuer Identification Number),两种称呼可以不做区分,在CVV盗刷产业链中被称为卡头、料头等。通过BIN码可以了解某张卡片的发卡银行/发卡机构、来源国家、发卡组织(如VISA)、卡的种类(信用卡/借记卡),以及卡的级别(如Classic、Sstandard等)。如BIN 4 7 0 8 1 8,发行自日本的AKITAY银行,发行组织为VISA,卡的类型是信用卡,级别为Gold。
在CVV市场上,卖家通常都会把BIN,或者说卡头、料头摆在显眼位置由客户选择,如各个料站都支持客户通过BIN筛选卡料;Telegram上的卖家会将卡头罗列出来供人挑选,或者含糊一句卡头可挑/料头可选。而CVVONE卡料的买家们,尤其是有经验的刷手们,会在购买时把BIN码看的比卡料的发卡组织和级别还要重要,在论坛、社交群组中经常可以看到有人求购某些特定的卡头,尤其是某些日本卡头和澳大利亚卡头求购者众多。
BIN码如此受重视,原因在于各个线上平台的风控系统。一个合格的风控系统必然包含一个数据库,我们可以将其视为一个黑名单,用于记录平台从以往盗刷行为中抽取出的风险特征。这些风险特征,从盗刷行为中抽取出来,包括风险用户的设备环境信息,如IP地址、ISP服务商、设备指纹等;也包括风险用户的消费行为特征,如注册过程、商品或服务的浏览过程等等;同样包含了支付信息,如账单地址、收货地址、支付卡的BIN码等。
在某一段时间内,如果多次发生的盗刷行为中包含有某个或某些个共同的特征,那么该特征便会被纳入黑名单,例如多个风险用户用来实施盗刷的IP地址位于同一IP段、对应同一地理区域,那么该IP段或对应该地理区域的IP地址便会被纳入黑名单;同样的多次盗刷使用了同一个地理区域内的地址接收货物,那么该地理区域内的所有地址,也有可能被全部纳入黑名单之中。在对用户进行风险评分时,平台会以黑名单为参照,判断用户身上是否出现了某种风险特征、或某些风险特征的组合,并根据对比结果赋予用户不同的风险值,后续采取不同的验证措施:典型如要求用户进行3D验证。
根据以上信息,我们不难理解,如果某一个平台遭受了多次盗刷,且这些盗刷行为使用的卡料包含了相同的BIN,那么该BIN码便会被列入黑名单,使用该BIN码卡片的用户在支付过程中会遇到更多的验证要求,如被要求提供3D验证信息、提供个人身份证明,甚至无法支付并被要求更换卡片。绝大多数线上消费平台,无论是电商网站,还是西联、Moneygram之类的汇款网站,黑名单中都记录了少则十多个,多则近百个BIN码。
部分极端情况下,平台会将某个银行/发卡机构所使用的所有BIN码列入黑名单,例如2019-2020年间,某个韩国的、面向海外市场的电商平台陆续将日本、澳大利亚和泰国的40余家银行/发卡机构的200多个BIN码列入黑名单。这样的情况,便是CVV行业中常说的某个通道不吃某个料头/卡头。反之,使用不在黑名单中的BIN码,客户可以正常下单,无需额外验证,这种情况被称为某个通道吃某个卡头。
也正因以上原因,在找到了盗刷通道、确定了目标商品之后,刷手们还需要通过测试,来找到那些支付成功率高、遭遇3D等验证概率小的BIN码;同时筛选出那些设定了交易必须强制进行3D验证的卡头,即强3卡头,避免后续购买到类似卡料。这一过程也被称为测卡头或测通道。测卡头或测通道,在盗刷过程中算得上是数一数二的大工程,需要投入大量的时间与金钱。
测卡头或测通道,最终目标是找出某些个,在该通道消费时出现3D验证,即跳三概率最小的BIN,这样的目标就决定了测卡头需要准备大量的不同卡头的卡料,就像科学实验那样,准备大量的样本:就普通电商通道测卡头往往需要十余种卡头,部分高风险平台,如电子钱包等,测卡头甚至需要准备上百种卡头。在此之后,配置相似的盗刷环境并使用相同的盗刷方法,类似于科学实验中做好控制变量,对不同卡头的卡料进行逐一测试,同时为了保证结果的准确性,每个卡头的卡料都需要准备数十张,统计不同卡头正常支付无需3D验证的概率,概率最大的便是盗刷分子们目标卡头。
由以上介绍可知,尽管后续发展出了使用二手卡料、生成料等低成本的测卡头方法,但是测卡头所需要的金钱与精力,仍旧不见得每个人都能承受的住。因此,资源有限的人通常会寻找其他方法,最典型的便是在论坛或社交群组中求购适合某个通道的卡头,根据通道的性质,求购的价格从十美元到一百美元不等。另外有人会寻找收集那些仅支持2D验证方式的卡料,这些卡料的卡头便是2D卡头,也被称为免三头、免3卡头或NON VBV(non verified by visa cvvone)卡头,因为不支持3D验证,所以部分盗刷分子认为利用这些卡头的卡料,自己便可正常下单支付而无需面对额外的身份验证。
但正如我在关于卡料一文中,以及在3d验证与3d通道中讲的那样,只要客户的行为存在风险因素,得到一个超过了阈值的风险值,网站总能通过种种手段对用户进行身份验证,哪怕其使用的是2D卡料:如由客服联系用户,要求用户提供身份证明;通过银行验证是否为卡主本人消费等等。因此免3卡头对盗刷分子而言,帮助十分有限,同时随着2d信用卡逐步被强制退场,电商平台对免3卡头的审核力度加大等原因,目前在CVV相关的多个论坛中,关于NON VBV 的话题热度,包括发帖数量和回复数量均降至最低点,求购或出售的价格也从2017-2018年的5美元均价降至不足1美元。(完整视频教程欢迎查看订阅油管频道)
CVV教程咨询联系下方TG
