如何黑掉礼品卡

2015年11月,威尔·卡布特在一家安全公司工作,签下了墨西哥一家大型连锁餐厅的渗透测试任务,要找出其网站上的可利用漏洞。

到达其中一家餐厅后,卡布特注意到收银台旁放着一堆未激活的礼品卡。在他一张一张翻阅礼品卡时,他发现了一个模式:虽然卡片最后4位数字看起来好像是各不相同的随机数,但除了有1位数字是依次递增的外,其他数字均保持一致,就好像理好的扑克牌。吃完玉米煎饼,欺诈这一系统的计划也在他脑海中成型了。

 


 

礼品欺诈

经过几年的零售礼品卡行业研究,卡布特打算在本周末举行的Toorcon黑客大会上公布他的发现。这些发现是可以帮助黑客确定礼品卡号并从中牟利的超简单技巧,这甚至会发生在卡片合法持有者还没来得及使用之前。尽管其中有些方法已经半公开了几年,某些零售商也已经补上了安全漏洞,但还有一部分目标依然对礼品卡黑客方法敞开大门。正如对最近刚被取缔的暗网市场AlphaBay的分析所呈现的,现实中的犯罪分子也已大量采用这些骗术。

卡布特目前在 Evolve Security 当研究员,他说:“你基本上是通过这些礼品卡在偷取别人的钱。你可以从餐馆、商场、影院、航空公司等拿走礼品卡样本,然后找出其中模式,确定出卖给客户的其他礼品卡,然后盗取其中价值。”

要实施此类诈骗,必须获得至少一张目标公司的礼品卡。未激活礼品卡通常在餐厅和零售商处任取,要不然买一张也行。虽然不是所有卡片,都像上文所述墨西哥餐厅的礼品卡一样依次递增1。但获取2-3张卡片,有助于确定除此之外的模式。然后,就可以访问商场或餐厅用来查验卡片价值的网站了。此处,卡布特会运行暴力破解软件Burp

Intruder,循环反复尝试卡号后4位随机数的数值。该过程大约持续10分钟。通过重复该过程,再加上其他可预测的数值,网站将确认卡片各自含有的价值。“只要找到一张礼品卡或优惠券,你就能暴力破解该网站。”

 


 

一旦窃贼确定了被激活的有价值卡号,就能在零售商的电子商务页面消费这些卡,甚至亲身现场使用。卡布特用亚马逊上卖的价值120美元的磁条写入设备,将卡号写入了空白塑料卡上,然后发现大多数零售商都毫不迟疑地接受了他的卡。卡布特仅仅让商场或餐厅查了下卡片余额,并没有真正消费属于受害者的卡片。

这就是个匿名攻击。我可以直接走进餐厅,点餐消费,然后堂而皇之地回家。那张卡上有50美元的余额,然后,砰,消失了。

平衡法则

自2年前发现该礼品卡欺诈以来,卡布特一直在警告零售商和餐厅注意这种骗术。潜在目标——包括美国乔氏连锁超市、梅西百货和塔可钟快餐。他们要么撤下礼品卡价值查询网页并要求用户通过电话查询,要么在查询网页上添加验证码,防止自动化程序暴力破解礼品卡号。

但其他餐厅、零售商店和公司(卡布特并未透露具体商号),不是未能实现针对此类欺诈的安全措施,就是添加的防御措施可以被绕过。他发现,很多礼品卡承办商在查询网页上使用的验证码,他都可以通过使用
Burp Proxy
工具禁用该页面的JavaScript元素,轻易剥去。这就让他可以像2015时那样,用同样的暴力破解攻击,找出被激活礼品卡卡号加以利用。他测试过的其他小型零售商和地区性连锁店,则根本没有加上验证码,或者用的是压根不用暴力破解就能猜出的递增式卡号。

除了卡号,有些零售商的卡片还增加了PIN码。但仅在查询卡片余额的时候才要求输入PIN码,消费时不用。而且,如果黑客真心想要确定这些PIN码保护卡片的价值,同样可以用Burp Intruder暴力破解之,跟破解卡号本身一样简单。

卡布特指出,甚至加上了健壮验证码的餐厅和零售商,也依然脆弱。只要礼品卡放店里任取,他就可以整堆全拿走,拍下卡背面,再放回去。然后,通过餐馆或零售商的网站定期查询这些卡号。只要发现有卡片被激活,里面充的钱就可以随便花了。

卡布特找到的漏洞并非纯理论上的。今年5月,安全公司Flashpoint发布了一份报告,称在犯罪论坛发现数百关于“被破解”礼品卡的讨论,讨论高峰期在2016年夏天,然后2017年初又激增了一次,而2016年之前则一个此类讨论都没有。Flashpoint分析师里夫·罗利称,2016年11月到今年7月AlphaBay被FBI取缔的8个月间,仅AlphaBay一家,就通过售卖十几个品牌的被盗礼品卡,达到了40多万美元的销售额,受害商家包括OfficeMax和全食超市之类的卖场。Flashpoint向受影响零售商之一了解情况时,该公司研究人员确定,卖家确实使用了自动化工具暴力破解被激活的礼品卡,就像卡布特展示的那样。“很多礼品卡是顺序编号的,卖家看来就是那么查验的。”

卡布特点出的所有礼品卡安全问题,都有相对简单的修复措施:在礼品卡价值查询网站上实现坏人绕不过的强验证码,不要在收银台留下可以随意拿走的未激活礼品卡,在卡片上使用可刮涂层防偷拍替换。

但在零售商和餐厅做出修复之前,消费者最好在购买礼品卡前三思,毕竟自己的钱很有可能被黑客吸走。在从零售柜台拿走未受保护的卡片前,或许可以考虑一下都有谁可能已经先拿走过一次了——还有谁可能知道这张塑料卡片的秘密。

本文转自d1net(转载)

时间: 2024-09-20 00:23:39

如何黑掉礼品卡的相关文章

苹果也加入“黑五”促销大军 购物就送礼品卡

腾讯数码讯(编译:Raul)"黑色星期五"是西方商家每年力度最大的一轮促销活动,通常都是感恩节之后的第一天,今年的黑色星期五的日期是11月28日. 按照以往的惯例,苹果每年都会在"黑色星期五"这一天开启一轮促销活动,因此受到了广大果粉及消费者的欢迎.不过今年苹果官方并不会将其称之为"黑色星期五"活动,而是将其命名为"(红色)特别购物日",在11月28日这一天,所有在苹果购买产品的消费者都得到不同额度的礼品卡,并且为了配合之前的

纯干货!阿里安全谢君:如何黑掉无人机

无人机曾一度用来基础的地面侦查或是快餐店送披萨,应用场景越来越丰富.所以,无人机也被众多黑客盯上,他们热衷于找寻相关漏洞劫持无人机.而最近,在看雪安全开发者峰会上,阿里安全 IoT 安全研究团队 Leader 谢君发表了"如何黑掉无人机"这一议题演讲,内容却另辟蹊径讲到如何不利用漏洞 root 无人机.以下为谢君演讲实录, 谢君:我分享的议题是如何黑掉某品牌无人机.我在研究过程中从物理接触和非物理接触两个方面对整个无人机进行系统化的学习,今天我将分享研究过程中的一些收获以及学到的东西.

阿里安全资深专家谢君:如何黑掉无人机

2017年11月18日,看雪安全开发者峰会在北京举行.阿里安全资深专家谢君做了题为<如何黑掉无人机>的演讲,并现场演示如何远程劫持一台无人机,引发现场热烈的掌声. 以下为谢君的现场演讲内容. 如何黑掉无人机 今天我分享的议题是如何黑掉某品牌的无人机.我在研究无人机的过程中从物理接触和非物理接触两个方面对整个无人机进行系统化的研究,研究的过程中其实也是一个学习的过程,所以今天我想跟大家分享一下我在这个研究过程中的一些收获和所学到的一些东西. 自我介绍一下,我现在是在阿里安全负责IoT安全攻防研究

孤独求败:美国海军邀黑客“黑掉军舰”

3月19日讯 美国海军上月举办了"黑掉军舰"(Hack-Our-Ship)比赛,邀请美国的黑客专家入侵一艘模拟的海军舰队软件系统.     此次"黑掉军舰"比赛由博思艾伦汉密尔顿控股公司.美国海军研究生院和国防创新试验单位于2月17 至2月19日联合举办. 本次参赛者的挑战项目是:黑进博思艾伦"箱中船"(Boat in a Box),这是一款模拟控制海军舰队的系统而精密设计的软件系统."箱中船"软件包含海上使用的各种通信接口,

网上“淘”来两张当当礼品卡被当当网质疑“来路不明”冻结了两次

商报讯 (记者 陈伊丽) 消费者吴女士近日在本地论坛上反映,她在淘宝网上买了两张当当网的礼品卡,还没有用完就被冻结了,因为当当网说这卡"来路不明",有"诈骗嫌疑".而这卡到明年2月份就要过期了,如果到时仍没有解冻的话,她也不知道该怎么办了. 网购的当当礼品卡被冻结了两次 吴女士说,她本来就常在当当网上购物,已经是"钻石"级别的买家,今年2月底,她看到淘宝网上有人以9.48折的价格出售当当礼品卡,就买了两张面值为100元的卡.但在3月份,因发生了用

消协称当当礼品卡设置有效期为“霸王条款”

事件:市民门小姐反映,日前其用当当网礼品卡到当当网上购物,刚注册就发现礼品卡已过期,不能使用,而礼品卡上只注明有效期为一年,并没写明起始时间.当当网的客服称没有解决办法.她很纳闷,卡上还有几百元,对方怎么能随意没收. 记者跑腿:据门小姐介绍,礼品卡是去年下半年一个亲戚送的,由其单位买来作为福利发给员工.送给她的这两张卡金额都是300元,去年底,她用其中一张到当当网上购物花掉100多元,另一张一直没用.今年7月2日,她想着要帮小孩买点东西,拿出卡登录当当网注册.激活后,查询到两张卡余额都为零,显示

网店礼品卡被指霸王条款没用已过期

事件:市民门小姐反映,日前其用当当网礼品卡到当当网上购物,刚注册就发现礼品卡已过期,不能使用,而礼品卡上只注明有效期为一年,并没写明起始 时间.当当网的 客服称没有解决办法.她很纳闷,卡上还有几百元,对方怎么能随意没收. 记者跑腿:据门小姐介绍,礼品卡是去年下半年一个亲戚送的,由其单位买来作为福利发给员工.送给她的这两张卡金额都是300元,去年底,她用其中一张到当当网上购物花掉100多元,另一张一直没 用.今年7月2日,她想着要帮小孩买点东西,拿出卡登录当当网注册.激活后,查询到两张卡余额都为零

凡客礼品卡有限期缩短限制条件增加顾客求解释

[导读]消费者在凡客网上购物,获得商家赠送的礼品卡,可以抵扣一定额度的现金,但是原本没有消费限制的礼品卡被商家增加了限制条件,有限期也被缩短.<天天3 15>本期关注:消费者与凡客网,买的精还是卖的精? 据经济之声<天天3 15>报道,这几天我们一直在报道团购网站方面存在的问题,其实,不仅仅是团购网站,整个网络购物行业存在的问题都不少.最近节目组接到了杭州的一位消费者王女士的邮件,说她经常在凡客网购物,得到不少凡客网发放的礼品卡,这些礼品卡是可以当钱花的,但是前不久凡客网改了规矩,

微软Windows 8商店支持支付宝和礼品卡支付

从10月7日开始,Windows 8/8.1的中国区商店(需要更新到最新版)已开始支持使用支付宝购买应用.与此同时,此前商店内一直提示不可用的Windows礼品卡充值通道也已提前开放,并且可以使用微软账户余额进行支付,为即将发售的Windows礼品卡以及正式发布Windows 8.1做好准备. 此举意味着微软开始统一旗下平台的支付方式,使用一个账户可以对所有服务进行支付,这对消费者来说是一件好事. 此前使用Windows Phone礼品卡或XBOX礼品卡充值所产生的微软账户余额已经可以直接用来购