攻击者不断探索和记录绕过用于授权在线卡交易的3D安全(3DS)协议的新方法。3D-Secure(三域安全)支付验证服务(简称3DS)是VISA和MasterCard国际组织(以下统称国际组织)为了提高信用卡网上支付的安全性,确保信用卡安全用户在线支付。由持卡人(以下简称持卡人)共同推出的安全验证服务。地下论坛上的讨论提供了有关如何通过结合社会工程和网络钓鱼攻击来绕过最新版本的安全功能的建议。许多暗网论坛上的个人正在分享他们在使用3DS保护用户交易的商店中进行欺诈性购买的知识。3DS通过要求持卡人直接确认以授权付款,为使用信用卡或借记卡进行的在线购买增加了一层安全保障。该功能是从第一个版本发展而来的,在第一个版本中,银行要求用户提供代码或静态密码来批准交易。在专为智能手机设计的第二个版本(3DS2)中,用户可以通过使用生物特征数据(指纹、面部识别)在银行应用程序中进行身份验证来确认他们的购买。尽管3DS2提供了高级安全功能,但第一个版本仍被广泛部署,使攻击者有机会利用他们的社会工程学技能诱骗用户提供代码或密码以批准交易。3DS代码已应用于社会工程在一篇博文中,安全情报公司GeminiAdvisory的分析师分享了攻击者在暗网论坛上讨论的一些方法,以在实施3DS的在线商店进行欺诈性购买。所有攻击都从持卡人的所有信息开始,至少包括姓名、电话号码、电子邮件地址、实际地址、母亲的娘家姓、身份证号码和驾照号码。攻击者使用这些详细信息给冒充银行员工的用户打电话,以确认他们的身份。通过提供一些个人身份信息,他们获得了受害者的信任并要求他们提供密码或代码以完成该过程。同样的策略可以在3DS的更高版本上运行并实时进行购买,黑客在一个顶级地下论坛的帖子中描述道。使用完整的持卡人详细信息、语音转换器和电话号码欺骗应用程序,诈骗者可以在网站上发起购买,然后致电受害者以获取他们需要的信息。在最后一步,黑客通知受害者他们将收到用于最终身份验证的确认码,此时网络犯罪分子应该在商店下订单。当提示将验证码发送到受害者的手机时,欺诈者应该从受害者那里获取该代码。3DS代码也可以通过网络钓鱼和注入等其他方式获得,当受害者在网络钓鱼网站上购买时,犯罪分子将所有详细信息传递给合法商店以获得他们的产品。根据GeminiAdvisory的调查结果,一些网络犯罪分子还将窃取的信用卡数据添加到PayPal账户,并将其用作支付方式。另一种方法是经典方法,涉及使用恶意软件入侵受害者的手机,以便恶意软件拦截安全代码并将其发送给欺诈者。此外,许多商店在交易低于一定限额时不会要求提供3DS代码,从而允许欺诈者进行多次小额购买并逍遥法外。大多数这些技术在3DS的早期版本存在的地方工作,并且与3DS2相比,它们距离被广泛采用还有很长的路要走。欧洲正在引领向更安全标准的过渡(PSD2法规-3DS2支持强大的客户身份验证),而在美国,对使用3DS1的商家的欺诈责任保护将于2021年10月17日到期。但是,GeminiAdvisory认为网络犯罪分子也将通过社会工程技术攻击更安全的3DS2。本文翻译自:https://www.bleepingcomputer.com/news/security/hackers-share-methods-to-bypass-3d-secure-for-payment-cards/
