2025假日欺诈：利用季节性购物的礼品卡骗局

期待从圣诞老人那里获得巨额回报的并不是只有孩子们。 不幸的现实是，每年的最后几个月为网络犯罪分子创造了完美的环境，因为零售交易量急剧飙升，供应链变得更加复杂，企业和消费者在季节性的混乱中变得不那么警惕。这些情况因欺诈检测基础设施在高峰负载下不堪重负而加剧，从而产生了威胁行为者利用的漏洞。 本质上，网络威胁在混乱中被掩盖了。

在正常的业务期间，来自新地理位置交易的突然激增或异常的购买模式可能会立即触发欺诈审查。然而，当零售商在圣诞节前的最后几天每小时处理数千个订单时，这些相同的模式就融入了合法购物行为的背景噪音中。 威胁行为者深切了解这种动态，并围绕它设计他们的季节性活动，通常将操作活动与地下社区内激进的假日主题营销相结合。

图 1. 来自“ElonMusk Gift”地下礼品卡购买操作的宣传材料。图片显示了该行为者的Telegram个人资料，用于宣传即时付款、收集联系人，以及一张宣传提高收购率的节日主题图片。

消费者的危险

零售商并非唯一的目标；网络犯罪分子知道消费者也面临着同样海量的信息，并且在急于购买最后一刻礼物时不太可能发现一两笔欺诈性交易。 一个通常每月进行三到五次购买的消费者，可能在十二月进行20或30笔交易，从众多零售商那里订购礼物，其中许多是第一次使用。这在审查账单时会造成混淆，使得很难区分合法的假日购买和欺诈性收费。

忽视安全重点

企业知道在旺季必须优先考虑客户体验和订单履行，而将重点转移到这一领域可能会导致他们放松安全协议或匆忙完成验证流程，无意中助长了欺诈。 客户服务代表面临着快速解决问题并保持订单流转的压力，有时为了在送礼季节避免让客户失望，会覆盖欺诈警报。争夺市场份额的零售商可能会减少结账流程的摩擦，实施快速运输选项或绕过传统验证步骤的简化支付方式。

礼品卡和预付卡欺诈

与传统的支付卡不同，礼品卡的购买和使用所需的最少个人身份信息。犯罪分子可以使用被盗用的支付方式购买礼品卡，然后在没有提供大量验证文件或将其与永久身份关联的情况下，将该礼品卡的价值变现。 通过地下市场易于变现，加上难以追踪的交易，导致了支持工业规模礼品卡欺诈操作的专用基础设施的发展。

一个突出的例子是由长期存在的威胁行为者“Cytron”运营的CytronGift平台。Cytron自至少2015年以来就在多个网络犯罪论坛上保持存在，通过近十年的持续运营在地下社区内建立了声誉和信任。本质上，他们将犯罪操作变成了专业的体验。

CytronGift平台作为一个全方位服务的市场运作，威胁行为者可以在其中买卖未使用的代码、礼品卡和代金券。

图 2. CytronGift平台“出售礼品卡”页面的截图。

LevelBlue SpiderLabs观察到最近的地下论坛活动，揭示了特定类型礼品卡的持续需求，有组织的买家积极寻求特定品牌和面额。 2025年11月，威胁行为者“Blenders”在多个平台发布广告，寻求购买数字礼品卡，主要是亚马逊产品。该行为者的Telegram账户列出了详细的购买要求，指定了可接受的面额、首选交付方式以及卖家的付款条件。

图 3. 行为者Blenders的Telegram账户截图，显示了购买数字礼品卡的报价。

地下社区不断完善攻击方法，并分享详细的教程，传播并使复杂的欺诈技术大众化。 自2019年开始运营的Crdpro论坛就是这种知识共享社区的例证，新手和经验丰富的犯罪分子聚集在这里讨论方法、目标和工具。

这个“教育生态系统”中一位多产的贡献者是威胁行为者“d0ctrine”，他自2023年12月以来一直在Crdpro论坛上活动。该行为者将自己定位为刷卡专家，发布了大量全面的指南，详细介绍了支付卡欺诈操作的各个方面。这些教程获得了论坛参与者的积极反馈，行为者们表示赞赏、要求澄清具体技术，并征集关于高级主题的更多内容。

图 4. 来自d0ctrine帖子的摘录——该行为者鼓励同行利用低价值或被遗弃的预付卡，将其描述为与自动化机器人和基本技术知识相结合的“钻石矿”。

给犯罪分子的“礼物”（卡）

与由拥有强大欺诈检测团队和成熟争议解决流程的银行发行的传统信用卡和借记卡不同，礼品卡和预付卡共享一个核心的结构性弱点：它们设计用于快速、低摩擦的使用，验证最少且消费者保护有限。 这使得预付卡成为礼品卡上繁荣的同一欺诈生态系统的自然延伸。在掌握了礼品卡获取和变现后，许多行为者也转向预付卡，预付卡提供类似的匿名性，但具有更高的余额上限、更广泛的商户接受度，并且几乎没有退单机制。

这个生态系统中最流行的方案之一是“双重退款”骗局，它利用电子商务退款系统的弱点。在这个骗局中，欺诈者使用被盗或欺诈获得的礼品卡购买高价值商品。 收到商品后，骗子提交多次退款索赔，通常引用诸如“未收到物品”、“产品损坏”或“交付错误”等问题。通过提交伪造的证据，例如经过修改的照片或虚假的交付争议，他们操纵零售商的系统为同一购买处理多次退款。 结果是双重利润。骗子保留实物产品，同时还获得了全额或部分退款到原始支付方式。

各种平台和团体公开宣传这些骗局，提供诸如“2KEY APPLE DOUBLE TRIPLE DIP”等服务——一种最大化高价值产品退款的方法，以及“低费用”工具和对300多家容易受到退款利用的商店的访问权限。这些广告通常包括直接链接到私人团体，骗子可以在那里购买预打包的退款方案或自动化工具，进一步降低了有抱负的欺诈者的入门门槛。

图 5. 一个显示骗子为一部iPhone收到五笔独立的£1,149.00退款的示例，总计£5,745.00——几乎是该物品的全价。

在某些情况下，一旦犯罪分子识别出具有可利用余额的预付卡，他们就会面临与传统的支付卡类似的变现挑战，但通常每笔交易的价值较低，影响了成本效益计算。对于余额低于50美元的预付卡，涉及实物商品和代发货的复杂方案会因运营成本和物流复杂性而变得无利可图。

地下讨论经常描述专门针对预付卡的变现渠道，包括接受预付卡并将余额直接转换为比特币或其他数字货币的加密货币购买服务。 这些服务通常收取溢价，根据卡类型和当前市场情况，以面值的40%至60%进行转换。 虽然这代表了大幅折扣，但无需运输延迟或物理物流即可即时将卡转换为加密货币的能力使这些渠道对于批量操作具有吸引力。

图 6. 该图片描绘了Card2Crypto的主页，这是一个促进预付卡、虚拟信用卡和传统信用卡与加密货币交换的在线平台。

从犯罪角度来看，最重要的优势是预付卡交易几乎不可能发生退单。 大多数预付卡设计用于一次性或有限期限的使用，发行公司几乎没有动力为他们认为的一次性支付工具投资昂贵的退单基础设施。与拥有广泛法律保护的信用卡不同，预付卡通常缺乏这些保障措施，使用户在发生欺诈时追索权有限。一旦资金通过欺诈交易从预付卡中转出，追回就变得极其困难或不可能。

图 7. 地下论坛上自称“Meta Exchange”服务的广告。该帖子宣传非法货币兑换能力，提供跨支付卡欺诈中常被滥用的多个平台的余额兑换。

此类骗局掩盖了欺诈性支付的来源，通过创建看似合理的商业活动来利用合法平台，并实现长期、可重复的收入流。链条中的每一方看到的都是合法的互动，这使得检测变得更加困难。 同时，发行公司的欺诈调查能力可能有限，而预付卡发行的分布式性质意味着没有一个中央机构承担全面的欺诈预防责任。

预付卡使用所需的有限个人信息提供了另一个操作优势。虽然传统的支付卡通常需要姓名、地址、电话号码，并且经常需要额外的验证，但许多预付卡可以用最少的信息购买和激活。这减少了与欺诈操作相关的数字足迹，并使调查复杂化，因为更少的数据点将交易与特定的个人或犯罪组织联系起来。

结论

2025年的假日季节带来了重大挑战，例如工业规模的欺诈操作、复杂的犯罪知识共享以及不断演变的战术的融合。礼品卡和预付卡欺诈已发展成熟为有组织的市场，每年处理数亿美元的交易，而假日高峰则放大了这些风险。

组织可以通过实施针对假日模式增强的交易监控、使用频率检查和异常检测，以及对高价值或异常交易要求多因素认证，来减少风险暴露。零售商应审查第三方供应商和礼品卡分销渠道，设置购买限制，并监控可疑行为，在需要时与执法部门密切合作。 客户服务和欺诈团队应接受更新的培训，以识别常见的欺诈指标并有效地上报可疑活动。消费者应密切监控账单，启用实时警报，并仔细验证电子邮件或链接，尽可能直接访问零售商网站。 随着欺诈手段的不断演变，全年进行主动准备，而非在旺季采取被动措施，仍然至关重要。