黑客共享了绕过支付卡的3D安全协议

攻击者一直不断在探索和记录新方法,以绕过用于授权在线卡交易的3D安全(3DS)协议。3D-Secure(Three-Domain Secure)支付验证服务(简称3DS)是VISA和万事达国际组织( 以下统称国 际组织)为提高信用卡网上支付的安全性,保障用户网上支付安全,向所有信用卡个人卡主卡持卡人( 以下简称持卡人)共同推出的一项安全验证服务。

地下论坛上的讨论提供了如何通过结合社会工程和钓鱼攻击来绕过最新版本的安全特性的建议。

[[385942]]

许多暗网论坛上的个人都在分享他们在使用3DS来保护用户交易的商店中进行欺诈购买的知识。3DS为使用信用卡或借记卡的在线购物增加了一层安全保障,它需要持卡人的直接确认来授权支付。

该功能从第一个版本演变而来,在第一个版本中,银行要求用户提供代码或静态密码以批准交易。在为智能手机设计的第二个版本(3DS 2)中,用户可以通过使用他们的生物特征数据(指纹、人脸识别)在银行应用中进行身份验证来确认他们的购买。

尽管3DS 2提供了先进的安全功能,第一个版本仍然被广泛部署,攻击者有机会利用他们的社会工程技能,诱使用户提供代码或密码来批准交易。

3DS代码已被应用到社会工程

在一篇博文中,安全情报公司Gemini Advisory的分析师们分享了一些攻击者在暗网论坛上讨论的方法,以在实施3DS的在线商店进行欺诈性购买。一切攻击都从持卡人的全部信息开始,至少包括姓名、电话号码、电子邮件地址、物理地址、母亲的娘家姓、身份证号码和驾照号码。

攻击者利用这些细节冒充银行员工给用户打电话确认身份,通过提供一些个人身份信息,他们获得受害者的信任,并要求使用他们的密码或代码来完成这个过程。

相同的策略可能适用于更高版本的3DS并实时进行购买,黑客在一个顶级地下论坛上的帖子中描述了该方法。

利用完整的持卡人详细信息、变声器和电话号码欺骗应用程序,诈骗者可以在网站上发起购买,然后打电话给受害者获取所需信息。

在最后一步,黑客通知受害者,他们将收到用于最终身份验证的确认码,这时网络犯罪分子应在商店下订单。当系统提示输入要发送到受害者电话的验证码时,欺诈者应从受害者那里获取该代码。

也可以通过网络钓鱼和注入等其他方式来获取3DS代码,当受害者在网络钓鱼站点上进行购买时,犯罪分子会将所有详细信息传递给合法商店以获取其产品。

根据Gemini Advisory的调查结果,一些网络罪犯还将被盗的信用卡数据添加到PayPal帐户中,并将其用作付款方式。另一种方法是经典方法,涉及用恶意软件攻击受害者的手机,这样恶意软件可以拦截安全代码并将其传发送给欺诈者。

另外,许多商店在交易额低于特定限制时也不会要求3DS代码,从而使欺诈者得以进行多次较小的购买而逃脱惩罚。

这些技术大多数都在存在3DS早期版本的地方起作用,与3DS 2相比,被广泛采用还有很长的路要走。欧洲正在引领向更安全的标准(PSD2法规-3DS 2实现了强大的客户身份验证)的过渡,而在美国,使用3DS 1的商家的欺诈责任保护将于2021年10月17日到期。

但是,Gemini Advisory认为,网络犯罪分子还将通过社会工程技术攻击更安全的3DS 2。

本文翻译自:https://www.bleepingcomputer.com/news/security/hackers-share-methods-to-bypass-3d-secure-for-payment-cards/

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/133710.html<

(0)
管理的头像管理
上一篇2025-02-28 19:48
下一篇 2025-02-28 19:49

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注