Küberkurjategijad uurivad ja dokumenteerivad pidevalt uusi viise, kuidas veebikaarditehingute autoriseerimiseks kasutatavast 3D Secure (3DS) protokollist mööda hiilida.
Maa-alustel foorumitel toimuvad arutelud pakuvad näpunäiteid, kuidas vältida turvafunktsiooni uusimat varianti, mis ühendab sotsiaalse manipuleerimise andmepüügirünnakutega.
Inimesed jagavad erinevates tumedates veebifoorumites oma teadmisi petturlike ostude tegemisest kauplustes, kus on klientide tehingute kaitsmiseks rakendatud 3DS.
3DS lisab krediit- või deebetkaartidega veebiostude jaoks turvakihi. Makse autoriseerimiseks on vaja otsest kinnitust kaardiomanikult.
Funktsionaalsus on arenenud esimesest versioonist, kus pank küsis kasutajalt tehingu kinnitamiseks staatilist koodi või parooli. Teises nutitelefonidele mõeldud versioonis (3DS 2) saavad kasutajad oma ostu kinnitada, autentides end pangarakenduses oma biomeetriliste andmete (sõrmejälg, näotuvastus) abil.
Vaatamata 3DS 2 pakutavatele täiustatud turbefunktsioonidele on esimene versioon endiselt laialt levinud, andes küberkurjategijatele võimaluse kasutada oma sotsiaalse inseneri oskusi ja meelitada kasutajaid sisestama tehingu kinnitamiseks koodi või parooli.
Sotsiaalne manipuleerimine saab 3DS-koodi
sees ajaveebi postitus Täna jagavad ohuluurefirma Gemini Advisory analüütikud mõningaid meetodeid, mida küberkurjategijad tumedates veebifoorumites arutavad, et teha petturlikke oste 3DS-i juurutanud veebipoodidest.
Kõik algab täieliku kaardiomaniku teabega, sealhulgas vähemalt nimi, telefoninumber, e-posti aadress, füüsiline aadress, ema neiupõlvenimi, ID-number ja juhiloa number.
Küberkurjategijad kasutavad neid andmeid selleks, et esineda pangatöötajana, kes helistab kliendile, et tema isikut kinnitada. Pakkudes isikut tuvastavat teavet, saavutavad nad ohvri usalduse ja nõuavad protsessi lõpuleviimiseks parooli või koodi.
Sama taktika võiks töötada ka hilisemate 3DS-i variantide puhul ja sooritada oste reaalajas. Üks häkker kirjeldas meetodit kõrgetasemelise põrandaaluse foorumi postituses.
Kasutades kaardiomaniku kõiki andmeid, häälevahetajat ja telefoninumbrite võltsimise rakendust, saab pettur algatada saidil ostu ja seejärel helistada ohvrile, et saada vajalikku teavet.
'Viimases etapis teatab häkker ohvrile, et ta saab lõplikuks identiteedikontrolliks kinnituskoodi, mille järel peab küberkurjategija poodi tellimuse esitama; kui tal palutakse sisestada telefonile saadetud kinnituskood, peab pettur selle koodi otsima ohvri „Gemini Advisoryst“
3DS-koodi hankimine on võimalik muude vahenditega, näiteks andmepüügi ja süstimise teel. Kui ohver sooritab andmepüügisaidil ostu, edastavad kurjategijad kõik andmed seaduslikule poele, et oma toode kätte saada.
Gemini Advisory leidude kohaselt lisavad mõned küberkurjategijad ka varastatud krediitkaardiandmeid PayPali kontole ja kasutavad seda makseviisina.
Teine meetod on klassikaline ja hõlmab ohvri telefoni ohtu seadmist pahavaraga, mis suudab turvakoodi pealt kuulata ja selle petturile edastada.
Teise võimalusena ei nõua paljud poed 3DS-koodi, kui tehingud on alla teatud piiri, võimaldades petturitel teha mitu väiksemat ostu.
Enamik neist tehnikatest töötab seal, kus on olemas 3DS-i vanemad versioonid. 3DS 2 puhul on selle laialdasest kasutuselevõtust veel kaugel. Euroopa juhib üleminekut turvalisemale standardile (PSD2 regulatsioon – tugev kliendi autentimine, mis ühildub 3DS 2-ga), samas kui USA-s aegub 3DS 1 kasutavate kaupmeeste kaitse pettuste eest 17. oktoobril 2021 .
Gemini Advisory aga usub, et küberkurjategijad testivad sotsiaalse manipuleerimise kaudu ka turvalisemat 3DS 2.
Mida sa arvad?
