浦发银行信用卡盗刷事件分析

2025年9月10号左右，浦发银行万事达“红沙宣”信用卡发生大规模境外盗刷事件：数百名持卡人在毫不知情、未离开国内的情况下，收到来自巴西的高额消费账单，盗刷交易集中在9月9日至11日期间，地点多指向巴西。

浦发银行信用卡中心于9月13日发布说明，同步监测到部分万事达无价世界卡（即“红沙宣”卡）发生未经授权的交易，已联合万事达卡组织启动应急响应，及时发现和阻断了风险。

并在后续，也最大程度避免了持卡人的损失：截至目前，大部分受害人被盗刷的账单已被银行冻结清零，持卡人暂无需偿付。

然而，这起事件对信用卡行业的信息安全防线提出了严峻挑战：当“人在家中坐，账单海外来”，攻击者究竟利用了哪些手段来完成的此次大规模攻击？

本报告将围绕这个问题展开深入分析，最后提出针对性的安全改进建议。

1.1 黑产如何获取第一批信用卡数据

大规模同步盗刷的前提是攻击者已批量掌握了红沙宣信用卡的关键信息（卡号、有效期、CVV等）。

这里面有几种可能：

比如以下，是黑产表示通过发送钓鱼链接得到的信用卡的案例：

（黑产表示通过发送钓鱼链接得到的 案例1）

（黑产表示通过发送钓鱼链接得到的 案例2）

再比如，盗刷料商，会在TG、暗网等渠道，出售新鲜有效的信用卡CVV信息，并宣称持有特定银行BIN段的卡片可成功绕过风控，并且直接标记出物料盗刷的成功率。

这次的盗刷基本上都集中在少量固定卡bin（均为特定BIN段的万事达红沙宣卡），也能侧面验证这点。

（黑产在Tg上售卖借记卡  举例：100刀的商品，卡余额有850刀）

（Tg上售卖“原料卡”截图）

1.2 黑产通过信用卡测活+小额测试来测试该卡片是否能盗刷

绝大多数受害人报告其盗刷交易遵循：“一小三大”模式：即先有一笔几元人民币的小额消费试探，确认卡片可用后，紧接着数分钟内发生2-3笔不超过5000巴西雷亚尔（约合¥6000）的较大金额消费。

这种模式说明攻击者有组织地批量测试卡片有效性：先用小额交易“探路”，再在短时间内最大化盗刷金额。

而大额交易，我们也观察到，消费金额都是被控制了5000巴西雷亚尔以内，但每一笔又会尽可能在不到5000雷亚尔的范围内最大程度盗刷，这个其实就是盗刷份子在控制阈值的约束下，尽可能盗刷更多钱的行为。

从一定程度上，能够反映出来，这是有一定经验的盗刷团伙，摸透了银行和卡组织的风控规则，因此能够比较精确的避开交易验证和额度限制。

1.3 黑产利用境外的盗刷通道进行盗刷

这次的盗刷，主要集中在巴西一个国家，也不是偶然，从盗刷黑产的行为画像进行分析，威胁猎人判断是盗刷份子发现了巴西地区的盗刷通道。

“盗刷通道（黑产称‘现金通道’）并非单一技术点，而是一整套可被重复利用的‘变现路径（path-to-cash）’。

通道通常由若干互相联动的环节构成：好刷的 BIN 段、对风险检查较宽松的商户/收单行或支付网关、便于提现的本地出款渠道（本地银行、电子钱包、礼品卡或兑换商），以及用于批量‘测活’的代理/指纹与自动化工具。

当这些环节长期稳定可用并持续放款时，就形成了可被规模化利用的“盗刷通道”。

1.4 黑产利用第一批被盗的卡，形成循环盗刷链路

在发生盗刷的时候，我们在黑产盗刷核心Telegram群组中发现，黑产以被泄露/被盗刷的“真卡”作为种子（seed card），在群组/市场中传播并用于生成大量“推测卡”进行碰撞测试（网关测活），一旦确认卡片可用，则进行大批量、多次的盗刷行为。

成功的被刷卡随后被用作生成衍生卡的种子，形成“人为扩大”的泄露—清洗—再传播循环链条，持续扩大泄露面与可用卡池。

综上，浦发“红沙宣”此次的盗刷事件，是一起典型的黑灰产有组织攻击：攻击者通过非法手段获取信用卡数据，并摸索出风控规则后，利用境外不规范支付渠道实现规模化资金盗取。

威胁猎人通过持续的对黑灰产渠道的运营，目前已经监控超过2700w个被泄露的信用卡情报，每日新监控15W+信用卡情报，通过及时获取这些被泄露的数据卡情报，金融机构和相关企业可以：

如您的企业也有类似问题

请咨询威胁猎人安全专家