Le piratage de cartes-cadeaux est un type d’attaque par force brute au cours de laquelle les pirates vérifient des millions de variations de numéros sur une application de cartes-cadeaux afin d’identifier les numéros de cartes ayant une valeur. Une fois que l’attaquant a identifié les numéros de cartes dont le solde est positif, il utilise ou vend la carte-cadeau avant que le client légitime n’ait eu l’occasion de l’utiliser.
F5 Distributed Cloud Bot Defense protège les applications de cartes-cadeaux en ligne contre les demandes automatisées. Aucun client réel n’utilise l’automatisation sur l’application et, sans bots, le piratage des cartes-cadeaux devient une option peu attrayante pour les attaquants motivés par des raisons financières.
98,5 %
DE L’ENSEMBLE DU TRAFIC RELATIF AU SOLDE DE CARTES-CADEAUX SUR L’APPLICATION WEB DE CE VENDEUR DE PRODUITS DE LUXE ÉTAIT AUTOMATISÉ.
Le pirate peut récupérer quelques cartes-cadeaux physiques déchargées dans un magasin physique pour déterminer si l’émetteur des cartes a utilisé des modèles de numérotation séquentielle. Cette étape n’est pas obligatoire, mais elle augmente l’efficacité de l’attaquant : il se peut, par exemple que seuls les 8 chiffres du milieu d’un numéro de série de 16 chiffres doivent être devinés, et non pas les 16.
Parfois, une application Web ou mobile aidera par inadvertance l’attaquant à réduire le champ des possibilités en fournissant un retour d’information lorsqu’un numéro non valide est saisi, par exemple, « tous les numéros de carte-cadeau commencent par le chiffre 2 ».
L’attaquant écrit un script pour tester toutes les variations possibles de numéros de cartes-cadeaux sur la base de l’échantillon obtenu à l’étape 1, jusqu’à ce qu’un nombre suffisant de correspondances soit trouvé. Les attaquants peuvent intégrer des outils comme Burp Suite dans leur tactique.
F5 a observé une augmentation du piratage de cartes-cadeaux pendant la période des fêtes, car c’est à cette période que la majorité des cartes sont achetées et activées.
Les attaquants utiliseront les cartes eux-mêmes pour acheter des biens qu’ils revendront, ou vendront les cartes en ligne via un site de marché comme Raise.com.