Prévention du piratage de cartes-cadeaux en énumération par force brute


Merci ! 

Un expert de Distributed Cloud Bot Defense vous contactera dès que possible.

Le piratage de cartes-cadeaux est souvent une fraude à la fois hors ligne et en ligne

Le piratage de cartes-cadeaux est un type d’attaque par force brute au cours de laquelle les pirates vérifient des millions de variations de numéros sur une application de cartes-cadeaux afin d’identifier les numéros de cartes ayant une valeur. Une fois que l’attaquant a identifié les numéros de cartes dont le solde est positif, il utilise ou vend la carte-cadeau avant que le client légitime n’ait eu l’occasion de l’utiliser.

F5 empêche les attaquants d’énumérer les cartes-cadeaux valides

F5 Distributed Cloud Bot Defense protège les applications de cartes-cadeaux en ligne contre les demandes automatisées. Aucun client réel n’utilise l’automatisation sur l’application et, sans bots, le piratage des cartes-cadeaux devient une option peu attrayante pour les attaquants motivés par des raisons financières.

Étude de cas : Fraude automatisée aux cartes cadeaux

Une marque de luxe lutte contre la fraude aux cartes-cadeaux :

  • La fonction « consultation du solde » sur la page d’accueil et la fonction « appliquer le solde » lors du paiement étaient toutes deux attaquées
  • Les attaquants utilisaient l’application de consultation du solde de cartes-cadeaux 100 fois plus souvent que les clients réels
  • Les attaquants ont cessé de cibler l’entreprise après que le commerçant a introduit Distributed Cloud Bot Defense

98,5 %

DE L’ENSEMBLE DU TRAFIC RELATIF AU SOLDE DE CARTES-CADEAUX SUR L’APPLICATION WEB DE CE VENDEUR DE PRODUITS DE LUXE ÉTAIT AUTOMATISÉ.

Les 3 étapes du piratage de cartes-cadeaux

1. Réduire les possibilités

Le pirate peut récupérer quelques cartes-cadeaux physiques déchargées dans un magasin physique pour déterminer si l’émetteur des cartes a utilisé des modèles de numérotation séquentielle. Cette étape n’est pas obligatoire, mais elle augmente l’efficacité de l’attaquant : il se peut, par exemple que seuls les 8 chiffres du milieu d’un numéro de série de 16 chiffres doivent être devinés, et non pas les 16.

Parfois, une application Web ou mobile aidera par inadvertance l’attaquant à réduire le champ des possibilités en fournissant un retour d’information lorsqu’un numéro non valide est saisi, par exemple, « tous les numéros de carte-cadeau commencent par le chiffre 2 ».

2. Lancement de l’attaque

L’attaquant écrit un script pour tester toutes les variations possibles de numéros de cartes-cadeaux sur la base de l’échantillon obtenu à l’étape 1, jusqu’à ce qu’un nombre suffisant de correspondances soit trouvé. Les attaquants peuvent intégrer des outils comme Burp Suite dans leur tactique.

F5 a observé une augmentation du piratage de cartes-cadeaux pendant la période des fêtes, car c’est à cette période que la majorité des cartes sont achetées et activées.

3. Profit

Les attaquants utiliseront les cartes eux-mêmes pour acheter des biens qu’ils revendront, ou vendront les cartes en ligne via un site de marché comme Raise.com.