Le piratage de cartes-cadeaux est un type d’attaque par force brute au cours de laquelle les pirates vérifient des millions de variations de numéros sur une application de cartes-cadeaux afin d’identifier les numéros de cartes ayant une valeur. Une fois que l’attaquant a identifié les numéros de cartes dont le solde est positif, il utilise ou vend la carte-cadeau avant que le client légitime n’ait eu l’occasion de l’utiliser.
Distributed Cloud Bot Defense protège les applications de cartes-cadeaux en ligne contre les demandes automatisées. Aucun client réel n’utilise l’automatisation sur l’application et, sans bots, le piratage des cartes-cadeaux devient une option peu attrayante pour les attaquants motivés par des raisons financières.
Case Study: Automated Gift Card Fraud
98,5 %
DE L’ENSEMBLE DU TRAFIC RELATIF AU SOLDE DE CARTES-CADEAUX SUR L’APPLICATION WEB DE CE VENDEUR DE PRODUITS DE LUXE ÉTAIT AUTOMATISÉ.
Le pirate peut récupérer quelques cartes-cadeaux physiques déchargées dans un magasin physique pour voir si l’émetteur des cartes s’est appuyé sur des modèles de numérotation séquentielle. Cette étape n’est pas obligatoire, mais elle augmente l’efficacité de l’attaquant : il se peut par exemple que seuls les 8 chiffres du milieu d’un numéro de série à 16 chiffres doivent être devinés, et non les 16.
Parfois, une application Web ou mobile aidera par inadvertance l’attaquant à réduire le champ des possibilités en fournissant un retour d’information lorsqu’un numéro non valide est saisi, par exemple, « tous les numéros de carte-cadeau commencent par le chiffre 2 »
L’attaquant écrit un script pour tester toutes les variations possibles de numéros de cartes-cadeaux sur la base de l’échantillon obtenu à l’étape 1, jusqu’à ce qu’un nombre suffisant de correspondances soit trouvé. Les attaquants peuvent intégrer des outils comme Burp Suite dans leur tactique.
F5 a observé une augmentation du piratage de cartes-cadeaux pendant la période des fêtes, car c’est à cette période que la majorité des cartes sont achetées et activées.
Les attaquants utiliseront les cartes eux-mêmes pour acheter des biens qu’ils revendront, ou vendront les cartes en ligne via un site de marché comme Raise.com.