El descifrado de tarjetas regalo es un tipo de ataque de fuerza bruta en el que los atacantes comprueban millones de variaciones de números de tarjetas regalo en una aplicación para identificar los números de tarjetas que tienen valor. Una vez que el atacante identifica números de tarjetas con saldos positivos, utiliza o vende la tarjeta regalo antes de que el cliente legítimo haya tenido la oportunidad de utilizarla.
F5 Distributed Cloud Bot Defense protege las aplicaciones de tarjetas regalo en línea frente a las solicitudes automatizadas. Ningún cliente real utiliza la automatización en la aplicación y, sin bots, el robo de tarjetas regalo se convierte en una opción poco atractiva para los atacantes con motivación económica.
98,5 %
DE TODO EL TRÁFICO DE LA APLICACIÓN WEB DE LAS TARJETAS REGALO DEL MINORISTA DE LUJO ESTABA AUTOMATIZADO.
El atacante puede coger algunas tarjetas regalo físicas descargadas de una tienda física para ver si el emisor de la tarjeta usó patrones de numeración secuencial. Este no es un paso obligatorio, pero aumenta la eficiencia del atacante. Por ejemplo, puede ser que solo haya que descifrar los ocho dígitos centrales del número de serie de 16 dígitos, en lugar de los 16.
A veces, una aplicación web o móvil ayuda inadvertidamente al atacante a reducir el campo de posibilidades proporcionando información cuando se introduce un número no válido, por ejemplo, «todos los números de las tarjetas regalo empiezan en 2».
El atacante escribe un script para probar todas las posibles variaciones de los números de las tarjetas regalo con base en la muestra adquirida en el paso 1 hasta encontrar suficientes coincidencias. Los atacantes pueden incorporar a sus tácticas herramientas como Burp Suite.
F5 ha observado un aumento de los cifrados de tarjetas regalo durante la temporada navideña ya que es cuando se compran y activan la mayoría de las tarjetas regalo.
Los atacantes utilizarán las tarjetas para comprar productos para su reventa o venderlas en línea a través de un mercado como Raise.com.