研究人员揭露黑客在暗网论坛交流伪造线上交

图片来源:

GeminiAdvisory

在支付安全的领域中，3DSecure验证机制（3DS）可说是相当普遍的做法，这种机制到了最近几年，又推出规格较为严谨的2.0版。但近期威胁情报业者GeminiAdvisory指出，他们发现黑客在暗网提出如何绕过3DS的多项做法，恐怕会造成相关的网络诈欺攻击更为泛滥。

在该公司的调查里，GeminiAdvisory列出了5种类型的攻击手法，大致可区分成窃得所需的3DS验证数据，以及绕过此种交易验证机制的类型。前者有3种取得3DS验证数据的手法，包含了利用社交工程、网络钓鱼，以及恶意程序侧录等；後者则有小额盗刷和滥用Paypal。

GeminiAdvisory近日发现，黑客在暗网讨论如何能够绕过3DS刷卡的手法里，其中最常被提及的类型，就是透过社交工程型态的攻击手段，骗取盗刷过程中，需要应付3DS验证流程的数据。再者，黑客也可能使用假冒的付款网页，来偷得有关的信息。该公司也举出他们看到的其中一种社交工程手段，黑客假冒银行客服打电话给持卡人，来取得所需的3DS验证数据。而为了避免遭到追查，黑客也会透过变声器和电话号码欺骗工具，来拨打这种电话。

而另一种也被滥用的欺骗手法就是网络钓鱼。在这种手法中，黑客会向受害者提供看起来与实际电商相似的网站。一旦受害者不经意在伪造的购物网站下单，黑客便会将付款数据传送到合法网站，受害者便不知不觉让黑客通过3DS验证。

此外，对於有些电商网站仍采用3DS1.0版，在此种机制可能会出现的SMS简讯验证码，也值得留意。GeminiAdvisory表示，攻击者有可能藉由在Android手机植入恶意软件，来窃取有关数据。

在上述骗取3DS验证数据的手法之外，GeminiAdvisory指出，黑客也可能利用特殊的购买方式，或是指定的付款方式，来回避电商网站的3DS机制启动，而达到盗刷的目的。

黑客看上了3DS验证被实际运用瑕疪。其中最常见的情况，就是有些电商避免用户觉得3DS验证步骤麻烦而取打消下单，有些商家就会设置在小额订单停用这类机制。例如，某个网站只要单次交易金额小於30美元、5次交易累计金额低於美元，就不会启动3DS机制。黑客可能会在部分盗刷的事件中，选择低於相关门槛的金额，来减少必须身分验证的不便。

除了针对电商网站启动3DS机制的金额门槛下手，另一种绕过3DS的手段，则是使用PayPal。由於在这种支付渠道中，而无论是支付卡还是信用卡，都不会经过电商网站的3DS验证程序，使得黑客只需处理PayPal帐号的不定期验证，以及支付卡和PayPal的绑定工作即可滥用。

转载请注明：http://www.abuoumao.com/hytd/1718.html