2025假日欺诈：利用礼品卡与预付卡的技术分析

假日欺诈 2025：礼品卡欺诈利用季节性购物狂潮

并非只有幻想着圣诞老人巨额回报的孩子们才期待每年的年底。一个不幸的现实是，每年的最后几个月为网络犯罪分子创造了完美的环境：零售交易量急剧飙升，供应链变得更加复杂，企业和消费者在季节性混乱中降低了警惕性。随着欺诈检测基础设施在峰值负载下不堪重负，威胁行为者便利用这些漏洞趁虚而入。本质上，网络威胁在混乱中被忽略了。

在正常的业务期间，来自新地理位置交易的突然激增或异常的购买模式可能会立即触发欺诈审查。然而，当零售商在圣诞节前的最后几天每小时处理数千个订单时，这些相同的模式会融入合法购物行为的噪音中。威胁行为者深刻理解这种动态，并围绕其设计季节性活动，通常将运营活动与地下社区内激进的节日主题营销相结合。

图 1. 来自“ElonMusk Gift”地下礼品卡购买活动的宣传材料。图片显示了该行为者的 Telegram 个人资料，用于宣传即时付款、收集联系人，以及一张宣传提高收购率的节日主题图片。

消费者面临的危险

零售商并非唯一的目标；网络犯罪分子知道消费者也面临着同样的信息洪流，并且在忙于购买最后一分钟礼物时不太可能发现几笔欺诈性交易。一个月通常进行三到五次购买的消费者，在12月份可能会执行20或30笔交易，从众多零售商处订购礼物，其中许多是首次使用。这在审查账单时会造成混淆，使得区分合法的假日购买和欺诈性收费变得困难。

安全防范松懈

企业知道在旺季必须优先考虑客户体验和订单履行，但将重点转移到这一领域可能会导致它们放松安全协议或仓促完成验证流程，无意中为欺诈提供了便利。客服代表面临快速解决问题并保持订单流转的压力，有时会为了不在送礼季节让客户失望而绕过欺诈警报。争夺市场份额的零售商可能会减少结账流程中的摩擦，实施快速运输选项或简化的支付方式，绕过传统的验证步骤。

礼品卡和预付卡欺诈

与传统的支付卡不同，礼品卡的购买和使用需要最少的个人身份信息。犯罪分子可以使用被盗用的支付方式获取礼品卡，然后兑现该礼品卡的价值，而无需提供大量验证文件或将其与永久身份关联。结合通过地下市场易于变现和难以追踪的交易，这催生了一个支持工业规模礼品卡欺诈操作的专用基础设施。

一个突出的例子是长期存在的威胁行为者“Cytron”运营的 CytronGift 平台。Cytron 至少在2015年以来就在多个网络犯罪论坛上保持存在，通过近十年的持续运营在地下社区内建立了声誉和信任。本质上，他们将自己的犯罪活动变成了专业体验。

CytronGift 平台作为一个全方位服务的市场运作，威胁行为者可以在其中买卖未使用的代码、礼品卡和代金券。

图 2. CytronGift 平台“出售礼品卡”页面的截图。

我们观察到最近的地下论坛活动揭示了特定类型礼品卡的持续需求，有组织的买家积极寻求特定品牌和面额。2025年11月，威胁行为者“Blenders”在多个平台上发布广告，寻求购买数字礼品卡，主要是某中心的产品。该行为者的 Telegram 账户提供了详细的购买要求，指定了可接受的面额、首选的交付方式和对卖家的支付条款。

图 3. 行为者 Blenders 的 Telegram 账户截图，显示购买数字礼品卡的报价。

地下社区不断改进攻击方法并分享详细教程，传播并普及了复杂的欺诈技术。自2019年开始运营的 Crdpro 论坛是这些知识共享社区的典范，新手和经验丰富的犯罪分子聚集在此讨论方法、目标和工具。

这个“教育生态系统”中一个特别多产的贡献者是自2023年12月以来在 Crdpro 论坛上活动的威胁行为者“d0ctrine”。该行为者将自己定位为信用卡欺诈专家，发布了大量全面指南，详细介绍了支付卡欺诈操作的方方面面。这些教程获得了论坛参与者的积极反馈，行为者表示感谢，就特定技术请求澄清，并征求关于高级主题的更多内容。

图 4. 摘自 d0ctrine 的帖子——该行为者鼓励同行利用低价值或被遗弃的预付卡，将它们与自动化机器人和基本技术知识结合时描述为“钻石矿”。

给犯罪分子的“礼物”（卡）

与传统银行发行、拥有强大欺诈检测团队和完善争议解决流程的信用卡和借记卡不同，礼品卡和预付卡共享一个核心的结构性弱点：它们设计用于快速、低摩擦的使用，验证最少，消费者保护有限。

这使预付卡成为同样在礼品卡上蓬勃发展的欺诈生态系统的自然延伸。在掌握礼品卡获取和变现后，许多行为者也转向预付卡，后者提供类似的匿名性，但具有更高的余额上限、更广泛的商户接受度，并且几乎没有拒付机制。

这个生态系统中一个最流行的骗局是“双重退款”骗局，它利用电子商务退款系统的弱点。在这个骗局中，欺诈者使用被盗或欺诈获取的礼品卡购买高价值商品。

收到商品后，诈骗者提出多次退款索赔，通常引用诸如“未收到商品”、“产品损坏”或“配送错误”等问题。通过提交伪造的证据，如篡改的照片或虚假的配送争议，他们操纵零售商的系统为同一笔购买处理多次退款。

结果是双倍利润。诈骗者保留了实物产品，同时还获得了全额或部分退款到原支付方式。

各种平台和团体公开宣传这些骗局，提供诸如“2KEY APPLE DOUBLE TRIPLE DIP”——一种最大化高价值产品退款的方法，以及“低费用”工具和访问 300 多个容易受到退款利用的商店等服务。这些广告通常包含直接链接到私人团体的链接，诈骗者可以在那里购买预打包的退款方案或自动化工具，进一步降低了有抱负的诈骗者的入门门槛。

图 5. 一个示例，显示一名诈骗者为一台 iPhone 收到五笔独立的 1,149.00 英镑退款，总计 5,745.00 英镑——几乎相当于该商品的全部价值。

在某些情况下，一旦犯罪分子识别出具有可利用余额的预付卡，他们面临的变现挑战与传统支付卡相似，但通常每笔交易价值较低，影响了成本效益计算。对于余额低于 50 美元的预付卡，涉及实物商品和代发货的复杂计划会因运营成本和物流复杂性而变得无利可图。

地下讨论经常描述为预付卡定制的专用变现渠道，包括接受预付卡并将余额直接转换为比特币或其他数字货币的加密货币购买服务。这些服务通常收取溢价，根据卡类型和当前市场状况，以面值的 40% 到 60% 转换预付余额。

虽然这代表着大幅折扣，但能够在不延迟发货或无需物理物流的情况下即时将卡转换为加密货币，使得这些渠道对批量运营具有吸引力。

图 6. 图片描述了 Card2Crypto 的主页，这是一个促进将预付卡、虚拟信用卡和传统信用卡兑换为加密货币的在线平台。

从犯罪角度看，最显著的优势是预付卡交易几乎不可能发生拒付。大多数预付卡设计为一次性使用或有限期限使用，发行公司几乎没有动力为它们视为一次性支付工具的投资昂贵的拒付基础设施。与拥有广泛法律保护的信用卡不同，预付卡通常缺乏这些保障措施，用户在发生欺诈时追索权极小。一旦资金通过欺诈交易从预付卡中转出，追回变得极其困难或根本不可能。

图 7. 地下论坛广告，宣传一项自称“Meta Exchange”的服务。该帖子宣传非法的货币兑换能力，提供在支付卡欺诈中常被滥用的多个平台之间转换余额。

此类计划模糊了欺诈性付款的来源，通过创建看似合理的商业活动利用合法平台，并实现长期、可重复的收入流。链中的每一方都看到合法的互动，使得检测难度大大增加。同时，发行公司可能只有最低限度的欺诈调查能力，而预付卡发行的分布式性质意味着没有中央机构承担全面的欺诈预防责任。

预付卡使用所需的有限个人信息提供了另一个运营优势。虽然传统支付卡通常需要姓名、地址、电话号码，并且通常需要额外验证，但许多预付卡的购买和激活只需最少的信息。这减少了与欺诈操作相关的数字足迹，并使调查复杂化，因为将交易与特定个人或犯罪组织联系起来的数据点更少。