Οι εγκληματίες του κυβερνοχώρου ανακαλύπτουν συνεχώς νέους τρόπους για να περιηγηθούν στο πρωτόκολλο 3D Secure (3DS) που χρησιμοποιείται για την εξουσιοδότηση συναλλαγών με κάρτες στο διαδίκτυο.
Οι συζητήσεις στα υπόγεια φόρουμ προσφέρουν συμβουλές σχετικά με τον τρόπο παράκαμψης του πρωτοκόλλου ασφαλείας με έναν συνδυασμό του social engineering με τις επιθέσεις phishing.
Χάκερ σε πολλαπλά dark-web forums μοιράζονται τις γνώσεις τους σχετικά με την πραγματοποίηση δόλιων αγορών σε καταστήματα που εφαρμόζουν το πρωτόκολλο 3D Secure για την προστασία των συναλλαγών των πελατών.
Το 3DS προσθέτει ένα επίπεδο ασφάλειας στις διαδικτυακές αγορές που πραγματοποιούνται με πιστωτικές ή χρεωστικές κάρτες. Απαιτείται άμεση επιβεβαίωση από τον κάτοχο της κάρτας για την εξουσιοδότηση μιας πληρωμής.
Το χαρακτηριστικό εξελίχθηκε από την πρώτη έκδοση όπου η τράπεζα ζητούσε από τον χρήστη έναν κωδικό ή έναν στατικό κωδικό πρόσβασης για την έγκριση της συναλλαγής. Στη δεύτερη έκδοση (3D Secure 2), σχεδιασμένη για smartphone, οι χρήστες μπορούν να επιβεβαιώσουν την αγορά τους με έλεγχο ταυτότητας στην τραπεζική τους εφαρμογή χρησιμοποιώντας τα βιομετρικά δεδομένα τους (δακτυλικό αποτύπωμα, αναγνώριση προσώπου).
Παρά τα προηγμένα χαρακτηριστικά ασφαλείας που παρέχει το 3DS 2, η πρώτη έκδοση εξακολουθεί να χρησιμοποιείται ευρέως, δίνοντας στους κυβερνοεγκληματίες την ευκαιρία να χρησιμοποιήσουν τις δεξιότητες τους στον τομέα του social engineering και να εξαπατήσουν τους χρήστες να δώσουν τον κωδικό για την έγκριση της συναλλαγής.
Σε μια ανάρτηση σήμερα, οι αναλυτές της εταιρείας Gemini Advisory μοιράζονται μερικές από τις μεθόδους που συζητούν οι εγκληματίες στον κυβερνοχώρο σε dark web forums για να κάνουν δόλιες αγορές σε διαδικτυακά καταστήματα που εφαρμόζουν το 3D Secure.
Όλα ξεκινούν με τα πλήρη στοιχεία του κατόχου της κάρτας, που περιλαμβάνουν τουλάχιστον το όνομα, τον αριθμό τηλεφώνου, το email, τη φυσική διεύθυνση, το πατρικό όνομα της μητέρας, τον αριθμό ταυτότητας και τον αριθμό του διπλώματος οδήγησης.
Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν αυτές τις λεπτομέρειες για να παραστήσουν έναν υπάλληλο τράπεζας που καλεί τον πελάτη για να επιβεβαιώσει την ταυτότητά του. Προσφέροντας ορισμένες προσωπικές πληροφορίες, αποκτούν την εμπιστοσύνη του θύματος και ζητούν τον κωδικό για να ολοκληρώσουν τη διαδικασία.
Η ίδια τακτική θα μπορούσε να λειτουργήσει σε μεταγενέστερες παραλλαγές του 3DS και να πραγματοποιήσει αγορές σε πραγματικό χρόνο. Ένας χάκερ περιέγραψε αυτή τη μέθοδο σε μια δημοσίευση σε ένα υπόγειο φόρουμ.
Χρησιμοποιώντας τα πλήρη στοιχεία του κατόχου της κάρτας, με ένα πρόγραμμα αλλαγής φωνής και μια εφαρμογή πλαστογράφησης αριθμού τηλεφώνου, ο απατεώνας μπορεί να ξεκινήσει μια αγορά σε έναν ιστότοπο και στη συνέχεια να καλέσει το θύμα για να συγκεντρώσει τις απαραίτητες πληροφορίες.
Η λήψη του κωδικού 3DS είναι δυνατή και με άλλα μέσα, όπως το phishing. Όταν το θύμα κάνει μια αγορά στον ιστότοπο ηλεκτρονικού ψαρέματος (phishing), οι εγκληματίες διαβιβάζουν όλες τις λεπτομέρειες στο νόμιμο κατάστημα για να πάρουν το προϊόν.
Σύμφωνα με τα ευρήματα της Gemini Advisory, ορισμένοι κυβερνοεγκληματίες προσθέτουν επίσης δεδομένα κλεμμένων πιστωτικών καρτών σε έναν λογαριασμό PayPal και τον χρησιμοποιούν ως μέθοδο πληρωμής.
Μια άλλη μέθοδος είναι κλασική και περιλαμβάνει την παραβίαση του τηλεφώνου ενός θύματος με malware που μπορεί να αναχαιτίσει τον κωδικό ασφαλείας και να τον διαβιβάσει στον απατεώνα.
Επίσης, πολλά καταστήματα δεν ζητούν τον κωδικό 3DS όταν οι συναλλαγές είναι κάτω από ένα ορισμένο όριο, επιτρέποντας στους απατεώνες να ξεφύγουν από την πραγματοποίηση πολλαπλών μικρότερων αγορών.
Οι περισσότερες από αυτές τις τεχνικές λειτουργούν όταν υπάρχουν παλαιότερες εκδόσεις του 3DS. Με το 3DS 2 δεν φαίνεται να συμβαίνει κάτι τέτοιο. Ωστόσο, η εταιρεία Gemini Advisory πιστεύει ότι οι κυβερνοεγκληματίες στο μέλλον θα παρακάμψουν και το πρωτόκολλο 3DS 2 μέσω του social engineering.
Πηγή πληροφοριών: bleepingcomputer.com
 που χρησιμοποιείται){kind=link}