2025假日欺诈：利用购物季的礼品卡骗局

憧憬着圣诞老人丰厚回报的孩子们，并非唯一期待每年年底到来的人群。
一个不幸的现实是，每年的最后几个月为网络犯罪分子创造了完美的环境，因为零售交易量急剧飙升，供应链变得更加复杂，企业和消费者在季节性的混乱中降低了警惕性。当欺诈检测基础设施在高峰负载下不堪重负时，这些情况会进一步恶化，从而为威胁行为者创造了可乘之机。
本质上，网络威胁在混乱中被掩盖了。

在正常的业务期间，来自新地理位置交易量的突然激增或不寻常的购买模式可能会立即触发欺诈审查。然而，当零售商在圣诞节前的最后几天每小时处理数千个订单时，这些相同的模式会融入合法购物行为的“噪音”中。
威胁行为者深刻理解这种动态，并围绕此设计他们的季节性攻击活动，通常将操作活动与地下社区内激进的节日主题营销相结合。

图1. 来自“ElonMusk Gift”地下礼品卡购买操作的宣传材料。图片显示了该行为者的Telegram个人资料，用于宣传即时支付、收集联系人，以及一张宣传提高收购率的节日主题图片。

消费者的风险

零售商并非唯一的目标；网络犯罪分子知道消费者同样面临信息洪流，并且在匆忙购买最后一分钟礼物时不太可能发现一两笔欺诈性交易。
一个通常每月进行三到五次购买的消费者，可能在12月执行20或30笔交易，从众多零售商处订购礼物，其中许多是第一次使用。这导致在查看账单时产生混淆，使得区分合法的节日购物和欺诈性收费变得困难。

对安全问题的疏忽

企业知道在高峰季节必须优先考虑客户体验和订单履行，而将重点转移到这一领域可能会导致放松安全协议或匆忙完成验证流程，无意中为欺诈提供了便利。
客户服务代表面临着快速解决问题并保持订单流转的压力，有时会为了在送礼季节避免让客户失望而覆盖欺诈警报。争夺市场份额的零售商可能会减少结账流程中的摩擦，实施快速运输选项或简化的支付方式，从而绕过传统的验证步骤。

礼品卡和预付卡欺诈

与传统的支付卡不同，礼品卡的购买和使用只需要最少的个人身份信息。犯罪分子可以使用被盗的支付方式购买礼品卡，然后在不提供大量验证文件或将其与永久身份关联的情况下，变现该礼品卡的价值。
通过地下市场变现的便捷性，加上难以追踪的交易，催生了一个支持工业规模礼品卡欺诈操作的专用基础设施。

一个突出的例子是由长期威胁行为者“Cytron”运营的CytronGift平台。Cytron至少自2015年以来就在多个网络犯罪论坛上保持存在，通过近十年的持续运营，在地下社区内建立了声誉和信任。本质上，他们将自己的犯罪活动转变为了专业体验。
CytronGift平台充当一个全功能市场，威胁行为者可以在其中买卖未使用的代码、礼品卡和代金券。

图2. CytronGift平台“出售礼品卡”页面的截图。

最近的地下论坛活动显示，对特定类型礼品卡的需求持续存在，有组织的买家积极寻求特定品牌和面值。
2025年11月，威胁行为者“Blenders”在多个平台发布广告，寻求购买数字礼品卡，主要是某中心的产品。该行为者的Telegram账户详细列出了购买要求，指定了可接受的面额、首选的交付方式以及对卖家的支付条款。

图3. 行为者Blenders的Telegram账户截图，显示了购买数字礼品卡的报价。

地下社区不断完善攻击方法，并分享详细的教程，传播和普及复杂的欺诈技术。
自2019年开始运营的Crdpro论坛是这些知识共享社区的典型代表，新手和老练的犯罪分子聚集于此讨论方法、目标和工具。
这个“教育生态系统”中一个特别多产的贡献者是威胁行为者“d0ctrine”，该行为者自2023年12月以来一直在Crdpro论坛上活动。该行为者将自己定位为刷卡专家，发布了大量全面的指南，详细介绍了支付卡欺诈操作的各个方面。这些教程获得了论坛参与者的积极反馈，行为者们表示感谢，要求澄清特定技术，并征求关于高级主题的额外内容。

图4. 摘自d0ctrine的帖子——该行为者鼓励同行利用低价值或被遗弃的预付卡，将其描述为与自动化机器人和基本技术知识结合时的“钻石矿”。

给犯罪分子的“礼物”（卡）

与银行发行、拥有强大欺诈检测团队和完善争议解决流程的传统信用卡和借记卡不同，礼品卡和预付卡共享一个核心结构性弱点：它们专为快速、低摩擦使用而设计，验证最少，消费者保护有限。
这使得预付卡成为同样在礼品卡上蓬勃发展的欺诈生态系统的自然延伸。在掌握了礼品卡的获取和变现后，许多行为者也转向预付卡，后者提供类似的匿名性，但余额上限更高，商户接受范围更广，并且几乎没有拒付机制。
该生态系统中最流行的骗局之一是“双重退款”诈骗，它利用了电子商务退款系统的弱点。在这种骗局中，欺诈者购买高价值商品，使用的是被盗或欺诈性获得的礼品卡。
收到商品后，诈骗者提交多起退款索赔，通常援引诸如“未收到商品”、“产品损坏”或“配送错误”等问题。通过提交伪造的证据，如经过处理的照片或虚假的配送纠纷，他们操纵零售商的系统为同一笔购买处理多次退款。
结果是双重获利。诈骗者保留了实体产品，同时还获得了全额或部分退款至原支付方式。
各种平台和群组公开宣传这些骗局，提供诸如“2KEY APPLE DOUBLE TRIPLE DIP”——一种最大化高价值产品退款的方法，以及“低费率”工具和访问300多家易受退款利用的商店等服务。这些广告通常包含指向私人群组的直接链接，诈骗者可以在那里购买预包装的退款方案或自动化工具，进一步降低了有抱负的欺诈者的入门门槛。

图5. 一个显示诈骗者因一部iPhone获得五笔独立退款、每笔1,149.00英镑、总计5,745.00英镑——接近商品全额的示例。

在某些情况下，一旦犯罪分子识别出具有可利用余额的预付卡，他们面临的变现挑战与传统支付卡类似，但通常每笔交易价值较低，影响了成本效益分析。对于余额低于50美元的预付卡，涉及实体商品和代发货的复杂骗局会因运营成本和物流复杂性而变得无利可图。
地下讨论经常描述针对预付卡定制的专门变现渠道，包括接受预付卡并将余额直接转换为比特币或其他数字货币的加密货币购买服务。
这些服务通常收取溢价，根据卡类型和当前市场状况，以面值的40%至60%的比率转换预付卡余额。
虽然这代表了大幅折扣，但能够在不延迟发货或无需实体物流的情况下将预付卡即时转换为加密货币，使得这些渠道对批量操作具有吸引力。

图6. 图片展示了Card2Crypto的主页，这是一个促进将预付卡、虚拟信用卡和传统信用卡兑换为加密货币的在线平台。

从犯罪角度来看，最显著的优势是预付卡交易几乎不可能拒付。
大多数预付卡设计为一次性使用或有限期限使用，发行公司没有动力为它们视为一次性支付工具的产品投资昂贵的拒付基础设施。与拥有广泛法律保护的信用卡不同，预付卡通常缺乏这些保障措施，使用户在发生欺诈时几乎没有追索权。一旦预付卡中的资金通过欺诈性交易转移，追回就变得极其困难或不可能。

图7. 一项自称为“Meta Exchange”服务的地下论坛广告。该帖子宣传非法货币兑换能力，提供跨多个通常被滥用于支付卡欺诈的平台进行余额转换。

此类骗局掩盖了欺诈性支付的来源，通过创建看似合理的商业活动来利用合法平台，并实现持久的、可重复的收入流。链中的每一方看到的都是合法的互动，使得检测变得异常困难。
与此同时，发行公司的欺诈调查能力可能有限，而预付卡发行的分布式特性意味着没有中央机构对全面的欺诈预防负责。

预付卡使用所需的有限个人信息提供了另一个运营优势。虽然传统支付卡通常需要姓名、地址、电话号码，并且通常需要额外验证，但许多预付卡可以用最少的信息购买和激活。这减少了与欺诈操作相关的数字足迹，并使调查复杂化，因为将交易与特定个人或犯罪组织联系起来的数据点更少。

结论

2025年假日季带来了重大挑战，例如工业规模的欺诈操作、复杂的犯罪知识共享以及不断演变的战术融合。礼品卡和预付卡欺诈已经成熟为年处理数亿金额的有组织市场，假日高峰期放大了这些风险。

组织可以通过实施针对假日模式量身定制的增强型交易监控，使用速率检查和异常检测，并对高价值或不寻常的交易要求多因素认证，来减少风险敞口。零售商应审查第三方供应商和礼品卡分发渠道，设置购买限额，并监控可疑行为，在需要时与执法部门密切合作。
客户服务和欺诈团队应接受最新培训，以识别常见的欺诈指标并有效升级可疑活动。消费者应密切监控账单，启用实时警报，并仔细验证电子邮件或链接，尽可能直接访问零售商网站。

随着欺诈手段的不断演变，在整个年度进行积极主动的准备，而非在高峰季节采取被动措施，仍然至关重要。
更多精彩内容请关注我的个人公众号公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）