警报！AMEX fraud charge by Facebook Advertising USA

最近几天有两张从来没有用过的卡被Facebook Advertising USA charge了$2。打电话去给AMEX report Fraud，跟agent聊到这个事情的奇怪之处在于我的卡自从激活就没有用过，他们是怎么获得我的卡号信息的。agent也说最近几周突然很多用户都报告被这个Facebook Advertising USA Fraud Charge，光是今天他的shift就已经file了3个report，说很多卡主也和我类似，几乎没有用过卡。各位有AMEX卡的最近可以留意一下，应该不是孤立事件了。

吓死！2刀！

amex alert 起步价$10，这两刀都收不到alert。。。

2刀试完 就是几千的刷了

我6月也被Facebook Advertising刷了两笔$2，merchant还是来自爱尔兰的，赶紧联系客服换卡

被标题的感叹号吓着进来，然后看到2刀，默默的退出去。。。

同样遭殃！

IMG_84641290×2649 237 KB

我的AMEX也被FACEBOOK ADVERTISING盗刷，

AMEX显示的是:

FACEBOOK ADVERTISING IRELAND

4 GRAND CANAL SQUARE

GRAND CANAL HARBOUR

DUBLIN 2

00000

我也是被收了两刀。要换卡么？

我的也被刷了6 7笔被自动换卡了 网络上的东西就不可能有安全的 很正常

小马要气死了，现在不都是 Meta Ads 了，怎么还没改名

好奇信用卡发明了这么多年了怎么就没有银行去改进一下信用卡这么大的缺陷。比如可以把 CVV 改成在 App 里动态生成，这样不就能防盗刷了？

【引用自 kuafu】:
奇怪之处在于我的卡自从激活就没有用过，他们是怎么获得我的卡号信息的
这个可能是BIN attack，成千上万个卡号去试。信用卡号跟手机号一样，如果你一个一个试，总能打得通。况且信用卡号还有很多分布规律（不公开），通过一定的reverse engineering能总结出来。

这个2刀很可能就是广撒网的一部分。你这边刷上了，就写入数据库，下次直接刷几千刀。

建议跟amex说换新卡。

【引用自 tomari】:
好奇信用卡发明了这么多年了怎么就没有银行去改进一下信用卡这么大的缺陷。比如可以把 CVV 改成在 App 里动态生成
有啊，高盛，Apple Card CVV定期更新，也可随时换卡号、过期日、CVV

该卡长期处于美卡论坛食物链的底端

除了 Tap to Pay，改变整个信用卡行业的水花愣是没溅起来

前段时间试过Amex有的网站CID错了也能刷过

坐等class action 小渣接着赔钱

$2能刷开了就是另一个说法了。。

因为16位卡号（PAN）本身就是一个 general payment instrument。理论上任何人只要有你的16位卡号就能从你的卡中扣款，虽然实际操作中并非如此。

在一条支付授权请求中，除了PAN（或是加密之后的token，比如Apple Pay），其他的所有信息理论上都是optional的。想必大家一定在amazon购物时有过只需输入卡号、姓名和有效期，而不需要输入CVV的经历。

另外，可能大家也经历过在网上消费时输错了CVV也通过的情况。如果你能进入到银行的后台，你会发现有很大可能收单机构（比如Paypal或者Stripe），他们第一次发送了CVV，被发卡行告知错误，于是他们第二次干脆就直接发起一个不带CVV的请求——这样就不存在错误，也自然不会被拒绝了。

这个问题展开讲还有很大的内容，比如卡组织如何激励商户、收单机构提供CVV，如何抵御fraud等，这里就不展开了，留作课后习题给学有余力的同学自主学习。

Friction

来看看我的BBP遭遇，他们成功以后也不会刷大额，只会一直两三刀的慢慢刷。。。

fraud51601×1872 258 KB

fraud41604×1839 255 KB

fraud31599×1851 252 KB

fraud21603×1853 254 KB

fraud11608×1849 265 KB

fraud71599×295 10.6 KB

fraud61597×1867 251 KB

好消息是最后似乎多退了一刀。卡之前放着两年多没用

难道是因为 额度小于多少不用cvv 验证？

在泥潭不行是因为福利不行吧，其他卡为什么不直接挪用这套系统

zip其实也是optional，比如chatgpt的那个stripe就不验证，一般貌似只有美国和英国信用卡才会验证地址（AVS）

如果你有一个stripe账号你就可以看到这些规则都是可以设置的，主要是防止fraud

有个东西叫3D secure，可以可疑交易时通过短信验证码验证，就是自己不能主动启用罢了

stripe.com

3D Secure 2

An authentication standard that reduces fraud and provides additional security

今天登陆Amex账号，好家伙，biz白金被非死不可盗刷了几十笔，都是2,3刀小钱。还好前几天看了这个帖子，不慌不忙打Fraud电话，对方也不慌不忙的把新卡寄过来。感觉应该是Amex内部哪里被compromised 了。

4月份申的白金在六月份也中了$1.04，拿了开卡礼就没动过这卡，盗刷之前只有Walmart, cvs, saks和PayPal交税，一共4比交易，除非这四个出问题，否则估计就是amex被撞库了。

主要是这个东西在美国并不是法律强制要求的，所以很多银行不选用。这个的部署成本其实还是挺高的，外包的长期成本也不低。

相比之下欧洲3DS是在PSD2下的SCA强行要求的，所以欧洲银行都会用。

我上上個月也是被刷了兩塊，然後上個月就100k MR換了Home Depot gift card.

居然也是老问题，最近也碰到同样的fraud，不光USA的，还有FACEBOOK ADVERTISING EURO

Dp无语了 biz白金还是收到一堆charge 客服跟弱智一样问fraud问题。

这个绝对有内部漏洞。昨天今天出现一堆这个charge。

今天也被盗刷了，也是Facebook

我的Amex商金卡也被盗刷了。

【引用自 富士山】:
想必大家一定在amazon购物时有过只需输入卡号、姓名和有效期，而不需要输入CVV的经历
主流购物网站好像就Amazon不用cvv, 有什么说法吗？因为自身反fraud很强所以不用cvv来验证？或者量太大了跟银行有什么私下的通道验证？

现在Amazon在美国之外的一些地区也开始验证CVV了

任何商户都可以选择不验证cvv，只要

收单机构愿意支持
发卡机构允许
卡组织不要求（有一些特殊的场景会有特殊要求）

没有跟amazon的人聊过，但我猜可能因为他们体量大，收单行和发卡航愿意给一些让步

感觉盗刷对美国的银行造成损失还是不够大，赶不上启用3DS的成本

我也被盗刷了

image936×408 22 KB

淦。我的卡应该没写漏过啊。怎么维权。

stripe都可以不验证cvv，何况验证cvv并没什么卵用，该做的风控一个不能少，如果被fraud也不会减轻商户一毛钱责任，除了多一个框让用户输起来感到麻烦以外没什么J8用处…

+1 被盗刷

我家上个月就被charge了， 第一次去dispute， 丫amex说有收据我们授权的，又charge回来了， 我fb账号八百年不用，连那个广告去哪sub都不知道

后来又打了次电话，说好的 我们会调查的， 又抹了，现在不知道还会不会再reverse

居然23年就有 今年还在盗！

Facebook ads 不用 CVV 所以scammer 很愛

报 fraud 阿

报了啊， 第一次amex decline给了收据， 不知道哪来的， 说我们授权了。。。

第二次还没听到回复 那估计不答复就是好答复？

今天也中招了，辣鸡

最近也中招了，第一时间就freeze换卡dispute，但dispute被close。联系客服才问清楚说这种情况应该直接Chat/电话报fraud而不是dispute，供后人参考吧

啊，今天轮到我了，一张商白。

看账单发现好几个月前被盗刷的两刀立马报fraud换卡 但还是post了 也没退款

还要找客服吗

所以后面dispute赢了么？

商白副卡中招了，$2-$3不等，直接把副卡都关了

Also need for online chat to report a fraud to get credit back

It’s my turn

IMG_55471284×2441 239 KB

截屏2026-03-18 下午1.32.141344×548 62.8 KB

截屏2026-03-18 下午1.32.211292×788 194 KB

还好amex给拦下来了，光速换卡

同样中招了

打了Fraud的电话，这一笔还是post了。