礼品卡破解是一种暴力破解攻击,其中攻击者会在礼品卡应用上检查数以百万计的礼品卡号变化,以确定有价值的卡号。一旦攻击者识别出有余额的卡号,其就会在合法客户有机会使用之前使用或出售礼品卡。
F5 分布式云 Bot 防御可以保护在线礼品卡应用免受自动化请求的影响,保证没有真实的客户在应用上使用自动化。不仅如此,在没有 Bot 的情况下,对以敛财为动机的攻击者而言,礼品卡破解就会成为毫无利用价值的选择。
98.5%
这一占比是这家奢侈品零售商礼品卡余额 Web 应用所有流量的自动化比例。
攻击者可以从实体店获取一些还未使用的实体礼品卡,查看礼品卡发卡机构是否以顺序编号模式为依据。这并非是必要的步骤,但这种做法可以提高攻击者的效率;例如,可能只需要破解 16 位序列号的中间 8 位,而不是所有 16 位号码。
在某些情况下,借由在输入无效数字时提供反馈(例如 “所有礼品卡的数字均以 2 开头”),Web 或移动应用会在无意中帮助攻击者缩小可能范围。
攻击者会编写脚本,根据步骤 1 中获得的样本测试所有可能的礼品卡号变化,直到找到足够数量的匹配。攻击者可能会在自己的攻击战术中采用 Burp Suite 等工具。
据 F5 发现,在节假日期间,礼品卡破解会呈现上升趋势,因为这一期间是购买和激活礼品卡的 “旺季”。
攻击者会采用两种方式将礼品卡 “变现”,一是自行使用礼品卡来购买商品再转售;二是通过如 Raise.com 这类市场将其从线上售出。