如何防止卡片破解机器人

花折亦无情
341 阅读7分钟

携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第19天,点击查看活动详情

梳理

什么是梳理

梳理(也称为信用卡填充和卡验证)是一种 Web 安全威胁,攻击者使用多次并行尝试来授权被盗的信用卡凭据。梳理由机器人执行,机器人是用于通过互联网执行自动化操作的软件。梳理的目的是确定哪些卡号或详细信息可用于执行购买。

除了对卡所有者造成的损害之外,梳理攻击还会对其网站用于授权被盗信用卡的企业产生负面影响。梳理通常会导致拒付 - 这些是有争议的交易,导致商家撤销交易并退还购买者的钱。

拒付可能出于正当理由(例如错误购买或文书错误)而发生,但通常是梳理等欺诈技术的结果。每次退款都会损害企业在信用卡处理商中的声誉。针对网站执行的梳理可能会导致商家历史记录不佳和退款处罚。

梳理论坛内部

梳理论坛或梳理网站是一个非法网站,用于共享被盗的信用卡数据,并讨论获取信用卡数据,验证其并将其用于犯罪活动的技术。

这些论坛被想要使用被盗卡信息非法购买商品的个人使用,或者被犯罪集团使用,他们试图批量购买信用卡详细信息以在暗网上出售。

梳理论坛通常使用TOR路由隐藏,并且使用加密货币执行被盗信用卡数据的付款,以避免当局的跟踪。论坛用户通常会隐藏自己的身份。

论坛是用于梳理的信用卡数据的来源,也可用于分享梳理结果 - 例如向其他犯罪分子出售成功的信用卡。

梳理攻击的工作原理

梳理攻击通常遵循以下步骤:

  1. 攻击者从犯罪市场或通过破坏网站或支付渠道获取被盗信用卡号的列表。它们的质量往往是未知的。
  2. 攻击者部署机器人在多个支付站点上执行小额购买。每次尝试都会根据商家的付款流程测试卡号,以识别有效的卡详细信息。
  3. 信用卡验证被尝试数千次,直到它产生经过验证的信用卡详细信息。
  4. 成功的卡号被组织成一个单独的列表,用于其他犯罪活动,或出售给有组织犯罪集团。
  5. 梳卡欺诈通常不会被持卡人发现,直到他们的资金在未经其同意的情况下被花费或转移时为时已晚。

攻击示例:梳理礼品卡

黑客设计了一个名为GiftGhostBot的恶意机器人来破解礼品卡余额。近1,000个电子商务网站成为此次攻击的受害者。

犯罪分子使用此机器人来枚举可能的礼品卡帐号,并自动请求每个卡号的余额帐户。当识别出卡余额时,这意味着礼品卡号具有与之关联的真实货币,而不是通常的错误或零。然后,骗子使用经过验证的礼品卡号进行购买。

这是一种卡片破解或令牌破解攻击。对于网络窃贼来说,从礼品卡中偷钱的美妙之处在于,它通常是匿名的,一旦被盗就无法追踪。

检测卡欺诈

以下是几个支付支付网站可以检测到梳理机器人正在访问其网站或可能发生其他欺诈技术的情况:

  • 不自然的高购物车放弃率
  • 平均购物车大小低
  • 付款授权失败比例过高
  • 不成比例地使用购物车中的付款步骤
  • 增加拒付
  • 来自同一用户、IP 地址、用户代理、会话、设备 ID 或指纹的多个失败的付款授权

如何防止卡片破解机器人

以下技术可以帮助您保护您的支付网站免受信用卡破解中使用的不良机器人的侵害。

机器人检测梳理

设备指纹识别 指纹识别是通过组合用户的浏览器和设备来完成的,以了解连接到服务的人员或内容。试图进行信用卡欺诈的欺诈者或机器人需要多次尝试,并且无法每次都更改其设备。他们将需要切换浏览器,清除缓存,使用私有或隐身模式,使用虚拟机或设备仿真器,或使用Fraxfox或MultiLogin等高级欺诈工具。

设备指纹识别可以帮助识别在会话之间保持不变的浏览器和设备参数,指示同一实体正在一次又一次地连接。指纹识别技术可以创建唯一的设备、浏览器和cookie标识符,如果由多个登录名共享,则会怀疑所有这些登录都是欺诈企图的一部分。

浏览器验证某些恶意机器人可以假装正在运行特定的浏览器,然后在用户代理之间循环以避免被检测到。浏览器验证涉及验证每个用户浏览器是否真的是它所声称的那样 - 它具有预期的JavaScript代理,以该浏览器预期的方式进行调用,并且以人类用户期望的方式运行。

机器学习行为分析访问支付网站的真实用户表现出典型的行为模式。机器人的行为通常与此模式有很大不同,但其方式并不总是能够提前定义或识别。您可以使用行为分析技术来分析用户行为并检测异常 - 异常或可疑的用户或特定事务。这可以帮助识别不良印迹并防止破解尝试。

作为行为分析的一部分,请尝试分析尽可能多的数据,包括访问的网址、网站参与度指标、鼠标移动和移动滑动行为。

信誉分析有许多已知的软件机器人具有可预测的技术和行为模式或原始IP。访问已知机器人模式的数据库可以帮助您识别访问您网站的机器人。乍一看似乎是真实用户的流量,可以通过将其与不良机器人的已知指纹交叉引用来轻松识别。

渐进式挑战当您的系统怀疑用户是机器人时,您应该有一个渐进式机制来“挑战”用户以测试他们是否是机器人。渐进式测试意味着您首先尝试侵入性最小的方法,以最大程度地减少对真实用户的干扰。

以下是您可以使用的几个挑战:

  • Cookie 挑战 – 对真实用户透明
  • JavaScript 挑战 – 略微降低用户体验
  • 验证码 – 最具破坏性

其他安全措施

除了上述技术(允许你直接验证流量是来自真实用户还是机器人)之外,还可以使用以下措施来增强安全边界,防止破解机器人。

多重身份验证电子商务网站可以要求用户使用他们知道的内容(例如,密码)和他们拥有的内容(例如,移动电话)登录。虽然这并不能阻止破解,但它使犯罪分子更难创建大量虚假帐户,并使他们几乎不可能接管现有帐户。

API安全电子商务网站通常使用信用卡API(例如PayPal或Square提供的API)来促进交易。这些 API 如果不与适当的安全性合并,则可能容易受到攻击,例如 JavaScript 注入或数据重新路由。为了防范许多此类攻击,电子商务网站可以使用传输层安全性 (TLS) 加密和强身份验证和授权机制的组合,例如 OAuth 和 OpenID 提供的机制。

avatar
文章
阅读
粉丝