Prévention du piratage de cartes-cadeaux en énumération par force brute

Le piratage de cartes-cadeaux est souvent une fraude à la fois hors ligne et en ligne

Le piratage de cartes-cadeaux est un type d’attaque par force brute au cours de laquelle les pirates vérifient des millions de variations de numéros sur une application de cartes-cadeaux afin d’identifier les numéros de cartes ayant une valeur. Une fois que l’attaquant a identifié les numéros de cartes dont le solde est positif, il utilise ou vend la carte-cadeau avant que le client légitime n’ait eu l’occasion de l’utiliser.

 

F5 empêche les attaquants d’énumérer les cartes-cadeaux valides

 Distributed Cloud Bot Defense protège les applications de cartes-cadeaux en ligne contre les demandes automatisées. Aucun client réel n’utilise l’automatisation sur l’application et, sans bots, le piratage des cartes-cadeaux devient une option peu attrayante pour les attaquants motivés par des raisons financières.

Case Study: Automated Gift Card Fraud

Une marque de luxe lutte contre la fraude aux cartes-cadeaux :

  • La fonction « consultation du solde » sur la page d’accueil et la fonction « appliquer le solde » lors du paiement étaient toutes deux attaquées
  • Les attaquants utilisaient l’application de consultation du solde de cartes-cadeaux 100 fois plus souvent que les clients réels
  • Les attaquants ont cessé de cibler l’entreprise après que le commerçant a introduit  Distributed Cloud Bot Defense

98,5 %

DE L’ENSEMBLE DU TRAFIC RELATIF AU SOLDE DE CARTES-CADEAUX SUR L’APPLICATION WEB DE CE VENDEUR DE PRODUITS DE LUXE ÉTAIT AUTOMATISÉ.

Les 3 étapes du piratage de cartes-cadeaux

1. Réduire les possibilités

Le pirate peut récupérer quelques cartes-cadeaux physiques déchargées dans un magasin physique pour voir si l’émetteur des cartes s’est appuyé sur des modèles de numérotation séquentielle. Cette étape n’est pas obligatoire, mais elle augmente l’efficacité de l’attaquant : il se peut par exemple que seuls les 8 chiffres du milieu d’un numéro de série à 16 chiffres doivent être devinés, et non les 16.

Parfois, une application Web ou mobile aidera par inadvertance l’attaquant à réduire le champ des possibilités en fournissant un retour d’information lorsqu’un numéro non valide est saisi, par exemple, « tous les numéros de carte-cadeau commencent par le chiffre 2 »

2. Lancement de l’attaque

L’attaquant écrit un script pour tester toutes les variations possibles de numéros de cartes-cadeaux sur la base de l’échantillon obtenu à l’étape 1, jusqu’à ce qu’un nombre suffisant de correspondances soit trouvé. Les attaquants peuvent intégrer des outils comme Burp Suite dans leur tactique.

F5 a observé une augmentation du piratage de cartes-cadeaux pendant la période des fêtes, car c’est à cette période que la majorité des cartes sont achetées et activées.

3. Profit

Les attaquants utiliseront les cartes eux-mêmes pour acheter des biens qu’ils revendront, ou vendront les cartes en ligne via un site de marché comme Raise.com.

Stopper le piratage de cartes-cadeaux

Thank you! 

A Distributed Cloud Bot Defense expert will contact you as soon as possible.