기프트 카드 크래킹은 무차별 대입 공격의 일종으로, 공격자가 기프트 카드 애플리케이션에서 수백만 개의 기프트 카드 번호 변형을 확인하여 가치가 있는 카드 번호를 식별합니다. 공격자가 카드 번호를 확실한 잔액이 있는 것으로 식별하면 합법적인 고객이 카드를 사용하기 전에 해당 기프트 카드를 사용하거나 판매합니다.
F5 Distributed Cloud Bot Defense는 온라인 기프트 카드 애플리케이션을 자동화된 요청으로부터 보호합니다. 실제 고객은 애플리케이션에서 자동화를 사용하지 않으며, 봇이 없으면 기프트 카드 크래킹은 금전적으로 동기 부여된 공격자에게 매력적인 옵션이 아닙니다.
98.5%
럭셔리 소매업체의 기프트 카드 잔액 웹 애플리케이션의 모든 트래픽 중 98.5%가 자동화되었습니다.
공격자는 실제 매장에서 로드되지 않은 실제 기프트 카드를 몇 개 가져와 기프트 카드 발급자가 순차적인 번호 패턴에 의존했는지 확인할 수 있습니다. 필수 단계는 아니지만 이를 통해 공격자의 효율성이 높아집니다. 예를 들어 16자리 일련번호에서 16개 숫자를 모두 크랙하는 것이 아니라, 가운데 8자리 숫자만 크랙해도 될 수 있습니다.
때때로 웹 또는 모바일 애플리케이션은 공격자가 잘못된 번호를 입력했을 때 “모든 E기프트 카드 번호는 숫자 2로 시작합니다”와 같은 피드백을 제공하여 실수로 가능성의 범위를 좁히는 데 도움을 줄 수 있습니다.
공격자는 일치하는 숫자가 충분하게 발견될 때까지 1단계에서 획득한 샘플을 기반으로 가능한 모든 기프트 카드 번호 변형을 테스트하는 스크립트를 작성합니다. 공격자는 Burp Suite와 같은 도구를 자신의 전술에 통합할 수 있습니다.
F5는 연휴 기간에 기프트 카드 크래킹이 증가하는 것을 발견했습니다. 이때 대부분의 기프트 카드를 구매하고 활성화하기 때문입니다.
공격자는 카드를 직접 사용해서 상품을 구매하여 Raise.com과 같은 마켓플레이스를 통해 온라인으로 전매 또는 판매합니다.