Evitar el descifrado de tarjetas regalo: enumeración por fuerza bruta


Gracias 

Un experto de Distributed Cloud Bot Defense se pondrá en contacto con usted lo antes posible.

Los fraudes con tarjetas regalo suelen producirse con y sin conexión

El descifrado de tarjetas regalo es un tipo de ataque de fuerza bruta en el que los atacantes comprueban millones de variaciones de números de tarjetas regalo en una aplicación para identificar los números de tarjetas que tienen valor. Una vez que el atacante identifica números de tarjetas con saldos positivos, utiliza o vende la tarjeta regalo antes de que el cliente legítimo haya tenido la oportunidad de utilizarla.

F5 evita que los atacantes enumeren tarjetas regalo válidas

F5 Distributed Cloud Bot Defense protege las aplicaciones de tarjetas regalo en línea frente a las solicitudes automatizadas. Ningún cliente real utiliza la automatización en la aplicación y, sin bots, el robo de tarjetas regalo se convierte en una opción poco atractiva para los atacantes con motivación económica.

Una marca de lujo combate el fraude de las tarjetas regalo:

  • Tanto la «búsqueda de saldo» en la página de inicio como la «aplicación de saldo» durante el flujo de compra fueron objeto de ataques
  • Los atacantes utilizaban la aplicación de búsqueda de saldo de tarjetas regalo 100 veces más a menudo que los clientes reales
  • Los atacantes dejaron de atacar a la empresa después de que el minorista introdujera  Distributed Cloud Bot Defense

98,5 %

DE TODO EL TRÁFICO DE LA APLICACIÓN WEB DE LAS TARJETAS REGALO DEL MINORISTA DE LUJO ESTABA AUTOMATIZADO.

Los 3 pasos para descifrar las tarjetas regalo

1. Reducir las posibilidades

El atacante puede coger algunas tarjetas regalo físicas descargadas de una tienda física para ver si el emisor de la tarjeta usó patrones de numeración secuencial. Este no es un paso obligatorio, pero aumenta la eficiencia del atacante. Por ejemplo, puede ser que solo haya que descifrar los ocho dígitos centrales del número de serie de 16 dígitos, en lugar de los 16.

A veces, una aplicación web o móvil ayuda inadvertidamente al atacante a reducir el campo de posibilidades proporcionando información cuando se introduce un número no válido, por ejemplo, «todos los números de las tarjetas regalo empiezan en 2».

2. Ejecutar el ataque

El atacante escribe un script para probar todas las posibles variaciones de los números de las tarjetas regalo con base en la muestra adquirida en el paso 1 hasta encontrar suficientes coincidencias. Los atacantes pueden incorporar a sus tácticas herramientas como Burp Suite.

F5 ha observado un aumento de los cifrados de tarjetas regalo durante la temporada navideña ya que es cuando se compran y activan la mayoría de las tarjetas regalo.

3. Retirada de dinero

Los atacantes utilizarán las tarjetas para comprar productos para su reventa o venderlas en línea a través de un mercado como Raise.com.