黑客共享绕过3D安全支付卡的方法

网络罪犯一直在探索和记录新方法，以绕过用于授权在线卡交易的3D安全（3DS）协议。

地下论坛上的讨论为如何通过将社会工程学与网络钓鱼攻击相结合，如何绕过安全功能的最新变体提供了建议。

多个暗网论坛上的个人正在共享有关在实施3DS以保护客户交易的商店中进行欺诈性购买的知识。

3DS为使用信用卡或借记卡的在线购买增加了一层安全性。它要求持卡人直接确认以授权付款。

该功能是从第一个版本演变而来的，在第一个版本中，银行要求用户输入代码或静态密码来批准交易。在专为智能手机设计的第二版（3DS 2）中，用户可以通过使用其生物识别数据（指纹，面部识别）在银行应用中进行身份验证来确认购买。

尽管3DS 2提供了高级安全功能，但第一个版本仍得到广泛部署，使网络犯罪分子有机会使用其社交工程技能并诱骗用户提供代码或密码来批准交易。

社会工程学获得3DS代码

在今天的博客文章中，威胁情报公司Gemini Advisory的分析师分享了网络犯罪分子在暗网论坛上讨论的一些方法，以在实施3DS的在线商店进行欺诈性购买。

所有这些都以完整的持卡人信息开头，至少包括姓名，电话号码，电子邮件地址，实际地址，母亲的娘家姓，身份证号和驾照号码。

网络罪犯使用这些详细信息来冒充银行职员，打电话给客户以确认其身份。通过提供一些个人身份信息，他们获得了受害者的信任，并要求其密码或代码来完成该过程。

相同的策略可能适用于更高版本的3DS并实时进行购买。一名黑客在一个顶级地下论坛的帖子中描述了该方法。

利用完整的持卡人详细信息，语音转换器和电话号码欺骗应用程序，欺诈者可以在站点上发起购买，然后致电受害者以获取所需的信息。

“在最后一步，黑客通知受害者，他们将收到用于最终身份验证的确认码，这时网络犯罪分子应在商店下订单；当系统提示输入要发送到受害者电话的验证码时，欺诈者应从受害者那里获取该代码” Gemini Advisory

通过网络钓鱼和注入等其他方式也可以获取3DS代码。当受害者在网络钓鱼站点上进行购买时，犯罪分子会将所有详细信息传递给合法商店以获取其产品。

根据Gemini Advisory的调查结果，一些网络罪犯还将被盗的信用卡数据添加到PayPal帐户中，并将其用作付款方式。

另一种方法是经典方法，涉及用恶意软件破坏受害者的手机，恶意软件可以拦截安全代码并将其传递给欺诈者。

另外，许多商店在交易额低于特定限制时也不会要求3DS代码，这使欺诈者得以进行多次较小的购买而逃脱。

这些技术大多数都在存在3DS早期版本的地方起作用。3DS 2距离被广泛采用还很遥远。欧洲正在引领向更安全的标准（PSD2法规-3DS 2满足了强大的客户身份验证）的过渡，而在美国，使用3DS 1的商家的欺诈责任保护将于2021年10月17日到期。

但是，Gemini Advisory认为，网络犯罪分子还将通过社会工程技术刺杀更安全的3DS 2。

原文来自: Bleepingcmputer