Kein Knacken von Geschenkgutscheinen mehr: Brute-Force-Aufzählung


 

Vielen Dank! 

Ein Experte für Distributed Cloud Bot Defense wird sich so bald wie möglich mit Ihnen in Verbindung setzen.

Das Knacken von Geschenkgutscheinen – ein Betrug, der häufig sowohl offline als auch online stattfindet

Das Knacken von Geschenkgutscheinen ist eine Art des Brute-Force-Angriffs. Dabei probieren Angreifer Millionen von Geschenkgutscheinnummer-Variationen in einer Geschenkgutschein-Anwendung aus, um werthaltige Gutscheinnummern ausfindig zu machen. Sobald der Angreifer Gutscheinnummern mit einem Guthaben identifiziert hat, nutzt oder verkauft er den Gutschein, bevor der rechtmäßige Kunde Gelegenheit dazu hat.

F5 verhindert, dass Angreifer gültige Geschenkgutscheine nutzen können

F5 Distributed Cloud Bot Defense schützt Online-Geschenkgutschein-Anwendungen vor automatisierten Anfragen. Kein echter Kunde nutzt eine Anwendung auf automatisierte Weise, und ohne Bots wird das Knacken von Geschenkgutscheinen für finanziell motivierte Angreifer unattraktiv.

Case Study: Automatisierter Geschenkkartenbetrug

Luxusmarke wehrt sich erfolgreich gegen Geschenkgutschein-Betrug:

  • Sowohl die „Guthabenabfrage“ auf der Homepage als auch die Funktion „Guthaben verwenden“ während des Bestellvorgangs wurden angegriffen.
  • Die Angreifer nutzten die Anwendung zur Abfrage des Guthabens auf Geschenkgutscheinen 100-mal so häufig wie echte Kunden.
  • Die Angreifer stellten ihre Angriffe auf das Unternehmen ein, nachdem der Einzelhändler Distributed Cloud Bot Defense ins Spiel gebracht hatte.

98,5 %

DES GESAMTEN DATENVERKEHRS AUF DER GESCHENKGUTSCHEIN-WEBANWENDUNG DES LUXUS-EINZELHÄNDLERS FAND AUTOMATISIERT STATT.

Die 3 Schritte zum Knacken von Geschenkgutscheinen

1. Eine Vorauswahl der Möglichkeiten treffen

Der Angreifer kann einige noch nicht aufgeladene physische Geschenkgutscheine aus einem Geschäft mitnehmen, um festzustellen, ob der Aussteller fortlaufende Nummerierungsmuster verwendet. Dieser Schritt ist nicht zwingend erforderlich, erhöht aber die Effizienz des Angreifers. So kann es beispielsweise sein, dass nur die mittleren acht Ziffern einer 16-stelligen Seriennummer geknackt werden müssen, statt alle 16.

Manchmal hilft eine Web- oder Mobilanwendung dem Angreifer unbeabsichtigterweise dabei, die Möglichkeiten einzugrenzen, indem sie nach Eingabe einer ungültigen Zahl eine Rückmeldung gibt, wie zum Beispiel „Alle Geschenkgutscheinnummern beginnen mit der Ziffer 2“.

2. Angriff starten

Der Angreifer schreibt ein Skript, um alle möglichen Geschenkgutscheinnummer-Varianten anhand des in Schritt 1 erworbenen Musters auszuprobieren, bis eine ausreichend hohe Anzahl an Übereinstimmungen gefunden wird. Dabei können Tools wie Burp Suite in die Angriffstaktik einbezogen werden.

F5 hat beobachtet, dass in der Weihnachtszeit vermehrt Geschenkgutscheine geknackt werden, da in dieser Zeit die meisten Gutscheine gekauft und aktiviert werden.

3. Auszahlung

Die Angreifer verwenden die Gutscheine entweder selbst zum Kauf von Waren für den Weiterverkauf oder verkaufen sie online über einen Marktplatz wie Raise.com.