攻击者一直在探索和记录新的 *** ,以绕过授权在线卡交易3D安全(3DS)协议。3D-Secure(Three-Domain Secure)支付验证服务(简称3DS)是VISA为了提高信用卡在线支付的安全性,保证用户在线支付的安全,万事达国际组织( 以下简称国 国际组织)共同向所有信用卡主持卡人( 以下简称持卡人)推出了安全验证服务。
地下论坛上的讨论提供了如何结合社会工程和钓鱼攻击绕过最新版本的安全特征的建议。
许多个人在暗网论坛上分享他们的使用3DS在用户交易的商店中保护欺诈购买知识。3DS为使用信用卡或借记卡或借记卡增加了一层安全保障,需要持卡人直接确认才能授权支付。
该功能从之一个版本演变而来。在之一个版本中,银行要求用户提供批准交易的代码或静态密码。为智能手机设计的第二个版本(3DS 2)在银行应用程序中,用户可以通过使用他们的生物特征数据(指纹、人脸识别)来确认他们的购买。
尽管3DS 2提供了先进的安全功能,之一个版本仍然被广泛部署,攻击者有机会使用他们的社会工程技能来吸引用户提供代码或密码来批准交易。
3DS代码已应用于社会工程
在博客文章中,安全情报公司Gemini Advisory分析师分享了一些攻击者在暗网论坛上讨论的 *** 3DS欺诈性购买的在线商店。所有攻击始于持卡人的所有信息,至少包括姓名、 *** 号码、电子邮件地址、物理地址、母亲的姓名、身份证号码和驾照号码。
攻击者利用这些细节冒充银行员工,打 *** 给用户确认身份通过提供一些个人身份信息获得受害者的信任,并要求使用他们的密码或代码来完成这个过程。
同样的策略可能适用于更高版本3DS并实时购买,黑客在顶级地下论坛的帖子中描述了这种 *** 。
使用完整的持卡人详细信息、变声器和 *** 号码欺骗应用程序,欺诈者可以在网站上购买,然后打 *** 给受害者获取所需的信息。
在最后一步,黑客通知受害者,他们将收到用于最终身份验证的确认码,然后 *** 犯罪分子应该在商店下订单。当系统提示输入要发送给受害者 *** 的验证码时,欺诈者应从受害者那里获取代码。
还可以通过 *** 钓鱼、注入等方式获取3DS代码,当受害者在网上钓鱼站购买时,犯罪分子会将所有详细信息传递给合法商店获取其产品。
根据Gemini Advisory根据调查结果,一些 *** 罪犯还添加了被盗信用卡数据PayPal在账户中使用它作为支付方式。另一种 *** 是用恶意软件攻击受害者手机的经典 *** ,使恶意软件能够拦截安全代码并将其发送给欺诈者。
此外,当交易量低于特定限制时,许多商店不会要求3DS代码使欺诈者能够多次购买较小的代码,逃避惩罚。
这些技术大多存在3DS早期版本的位置起作用3DS 2被广泛使用还有很长的路要走。欧洲正在引领更安全的标准(PSD2法规-3DS 2实现了强大的客户身份验证)的过渡,在美国使用3DS 1商家的欺诈责任保护将于2021年10月17日到期。
但是,Gemini Advisory认为 *** 犯罪分子也会通过社会工程技术进行更安全的攻击3DS 2。
本文翻译自:https://www.bleepingcomputer.com/news/security/hackers-share-methods-to-bypass-3d-secure-for-payment-cards/