ギフト カード クラッキングは、攻撃者がギフト カード アプリケーション上の何百万ものギフト カード番号のバリエーションをチェックして、価値のあるカード番号を特定するブルート フォース攻撃の一種です。 攻撃者は残高のあるカード番号を特定すると、正当な顧客がギフトカードを使用する前に、そのギフトカードを使用したり販売したりします。
F5 Distributed Cloud Bot Defense は、オンライン ギフト カード アプリケーションを自動リクエストから保護します。 実際の顧客はアプリケーションで自動化を使用しておらず、ボットがなければ、金銭目的の攻撃者にとってギフト カードのクラッキングは魅力的な選択肢ではなくなります。
98.5%
高級小売業者のギフトカード残高 Web アプリケーション上のすべてのトラフィックの が自動化されました。
攻撃者は、ギフト カードの発行者が連続した番号パターンに依存しているかどうかを確認するために、実店舗からロードされていない物理的なギフト カードをいくつか入手する場合があります。 これは必須の手順ではありませんが、攻撃者の効率が向上します。たとえば、16 桁のシリアル番号の 16 桁すべてを解読するのではなく、真ん中の 8 桁だけを解読すればよい場合があります。
場合によっては、Web アプリケーションやモバイル アプリケーションが、無効な番号が入力されたときに「すべての e ギフト カード番号は数字 2 で始まります」などのフィードバックを提供することで、攻撃者が意図せず可能性の範囲を狭めるのに役立つことがあります。
攻撃者は、ステップ 1 で取得したサンプルに基づいて、十分な数の一致が見つかるまで、ギフト カード番号の考えられるすべてのバリエーションをテストするスクリプトを作成します。 攻撃者は Burp Suite のようなツールを戦術に組み込む可能性があります。
F5 は、ホリデー シーズン中にギフト カードのクラッキングが増加することを確認しました。これは、ギフト カードの大部分が購入され、有効化される時期だからです。
攻撃者は、カード自体を使用して商品を購入し、転売するか、Raise.com などのマーケットプレイスを通じてオンラインで販売します。