ギフト カードのクラッキングとは、ブルート フォース攻撃の一種であり、攻撃者はギフト カード アプリケーション上で何百万ものギフト カード番号のバリエーションをチェックし、価値あるカード番号を特定します。攻撃者は、残高がプラスのカード番号を特定すると、正当な顧客がギフト カードを使用する前に、ギフト カードを使用または販売します。
F5 Distributed Cloud Bot Defenseは、オンライン ギフト カード アプリケーションを自動化されたリクエストから保護します。実際の顧客がアプリケーション上で自動化を使用することはありません。金銭を目的とした攻撃者にとって、ボットがなければ、ギフト カードのクラッキングは攻撃対象としての魅力を失います。
98.5%
高級小売業者のギフト カード残高Webアプリケーションの全トラフィックのうち自動化されていた割合。
攻撃者は、ギフト カードの発行者が連番のパターンに依存しているかどうかを確認するために、実店舗から未使用の物理的なギフト カードを数枚入手する場合があります。これは必ず必要ではありませんが、攻撃者の効率を高めます。例えば、16桁のシリアル番号のうち、16桁すべてではなく、中間の8桁だけ暴けば済む場合があるためです。
Webアプリケーションやモバイル アプリケーションに無効な数字が入力されたときに、「Eギフト カードの番号はすべて2から始まる」などのフィードバックを提供することで、攻撃者が可能性を絞り込むのを意図せず手助けしてしまうことがあります。
攻撃者は、ステップ1で取得したサンプルに基づいて、十分な数の一致が見つかるまで、ギフト カード番号のバリエーションの可能性をすべてテストするスクリプトを記述します。攻撃者は、Burp Suiteのようなツールを戦術に組み込むことがあります。
F5では、ホリデー シーズンにギフト カードのクラッキングが増加することを確認しています。ホリデー シーズンは、ギフト カードの大半が購入され、アクティブ化される時期だからです。
攻撃者は、このカードを使って転売目的の商品を購入するか、Raise.comのようなマーケットプレイスを介してオンラインで販売します。