ギフト カードのクラッキングの防止:ブルート フォース列挙

ギフト カードのクラッキングは、多くの場合、オフライン詐欺とオンライン詐欺の両方で行われます。

ギフト カードのクラッキングとは、ブルート フォース攻撃の一種であり、攻撃者はギフト カード アプリケーション上で何百万ものギフト カード番号のバリエーションをチェックし、価値あるカード番号を特定します。攻撃者は、残高がプラスのカード番号を特定すると、正当な顧客がギフト カードを使用する前に、ギフト カードを使用または販売します。

 

Shapeは、攻撃者が有効なギフト カードを列挙するのを防ぎます。

Shape Enterprise Defenseは、オンライン ギフト カード アプリケーションを自動化されたリクエストから保護します。実際の顧客がアプリケーション上で自動化を使用することはありません。ボットがなければ、ギフト カードのクラッキングは、金銭を目的とした攻撃者にとって魅力のない選択肢となります。

高級ブランドがギフト カード詐欺に対抗:

  • トップページの「残高照会」とチェックアウト時の「残高適用」が攻撃を受けました。
  • 攻撃者は、実際の顧客の100倍の頻度でギフト カードの残高照会アプリケーションを使用していました。
  • 攻撃者は、小売業者がShape Enterprise Defenseを導入した後、同社を標的にすることを止めました。

98.5%

高級小売業者のギフト カード残高Webアプリケーションの全トラフィックのうち自動化されていた割合。

ギフト カードのクラッキングを行う3ステップ

1. 可能性の絞り込み

攻撃者は、ギフト カードの発行者が連番のパターンに依存しているかどうかを確認するために、実店舗から未使用の物理的なギフト カードを数枚入手する場合があります。これは必須の手順ではありませんが、攻撃者の効率を高めます。例えば、16桁のシリアル番号のうち、16桁すべてではなく、クラックする必要があるのは中間の8桁だけになる場合があるためです。

Webアプリケーションやモバイル アプリケーションが、無効な数字が入力されたときに「すべてのEギフト カードの番号は2から始まる」などのフィードバックを提供することで、攻撃者が可能性を絞り込むのを意図せず手助けしてしまうことがあります。

2. 攻撃の開始

攻撃者は、ステップ1で取得したサンプルに基づいて、十分な数の一致が見つかるまで、ギフト カード番号のバリエーションの可能性をすべてテストするスクリプトを記述します。攻撃者は、Burp Suiteのようなツールを戦術に組み込むことがあります。

Shapeでは、ホリデー シーズンにギフト カードのクラッキングが増加することを確認しています。ホリデー シーズンは、ギフト カードの大半が購入され、アクティブ化される時期だからです。

3. 現金引出

攻撃者は、このカードを使って転売目的の商品を購入するか、Raise.comのようなマーケットプレイスを介してオンラインで販売します。

ギフト カードのクラッキングの取り締まり

Thank you! 

A Shape expert will contact you as soon as possible.