攻擊者一直不斷在探索和記錄新方法，以繞過(guò)用于授權(quán)在線卡交易的3D安全(3DS)協(xié)議。3D-Secure(Three-Domain Secure)支付驗(yàn)證服務(wù)(簡(jiǎn)稱3DS)是VISA和萬(wàn)事達(dá)國(guó)際組織( 以下統(tǒng)稱國(guó) 際組織)為提高信用卡網(wǎng)上支付的安全性，保障用戶網(wǎng)上支付安全，向所有信用卡個(gè)人卡主卡持卡人( 以下簡(jiǎn)稱持卡人)共同推出的一項(xiàng)安全驗(yàn)證服務(wù)。

地下論壇上的討論提供了如何通過(guò)結(jié)合社會(huì)工程和釣魚(yú)攻擊來(lái)繞過(guò)最新版本的安全特性的建議。

[[385942]]

許多暗網(wǎng)論壇上的個(gè)人都在分享他們?cè)谑褂?DS來(lái)保護(hù)用戶交易的商店中進(jìn)行欺詐購(gòu)買(mǎi)的知識(shí)。3DS為使用信用卡或借記卡的在線購(gòu)物增加了一層安全保障，它需要持卡人的直接確認(rèn)來(lái)授權(quán)支付。

該功能從第一個(gè)版本演變而來(lái)，在第一個(gè)版本中，銀行要求用戶提供代碼或靜態(tài)密碼以批準(zhǔn)交易。在為智能手機(jī)設(shè)計(jì)的第二個(gè)版本(3DS 2)中，用戶可以通過(guò)使用他們的生物特征數(shù)據(jù)(指紋、人臉識(shí)別)在銀行應(yīng)用中進(jìn)行身份驗(yàn)證來(lái)確認(rèn)他們的購(gòu)買(mǎi)。

盡管3DS 2提供了先進(jìn)的安全功能，第一個(gè)版本仍然被廣泛部署，攻擊者有機(jī)會(huì)利用他們的社會(huì)工程技能，誘使用戶提供代碼或密碼來(lái)批準(zhǔn)交易。

3DS代碼已被應(yīng)用到社會(huì)工程

在一篇博文中，安全情報(bào)公司Gemini Advisory的分析師們分享了一些攻擊者在暗網(wǎng)論壇上討論的方法，以在實(shí)施3DS的在線商店進(jìn)行欺詐性購(gòu)買(mǎi)。一切攻擊都從持卡人的全部信息開(kāi)始，至少包括姓名、電話號(hào)碼、電子郵件地址、物理地址、母親的娘家姓、身份證號(hào)碼和駕照號(hào)碼。

攻擊者利用這些細(xì)節(jié)冒充銀行員工給用戶打電話確認(rèn)身份，通過(guò)提供一些個(gè)人身份信息，他們獲得受害者的信任，并要求使用他們的密碼或代碼來(lái)完成這個(gè)過(guò)程。

相同的策略可能適用于更高版本的3DS并實(shí)時(shí)進(jìn)行購(gòu)買(mǎi)，黑客在一個(gè)頂級(jí)地下論壇上的帖子中描述了該方法。

利用完整的持卡人詳細(xì)信息、變聲器和電話號(hào)碼欺騙應(yīng)用程序，詐騙者可以在網(wǎng)站上發(fā)起購(gòu)買(mǎi)，然后打電話給受害者獲取所需信息。

在最后一步，黑客通知受害者，他們將收到用于最終身份驗(yàn)證的確認(rèn)碼，這時(shí)網(wǎng)絡(luò)犯罪分子應(yīng)在商店下訂單。當(dāng)系統(tǒng)提示輸入要發(fā)送到受害者電話的驗(yàn)證碼時(shí)，欺詐者應(yīng)從受害者那里獲取該代碼。

也可以通過(guò)網(wǎng)絡(luò)釣魚(yú)和注入等其他方式來(lái)獲取3DS代碼，當(dāng)受害者在網(wǎng)絡(luò)釣魚(yú)站點(diǎn)上進(jìn)行購(gòu)買(mǎi)時(shí)，犯罪分子會(huì)將所有詳細(xì)信息傳遞給合法商店以獲取其產(chǎn)品。

根據(jù)Gemini Advisory的調(diào)查結(jié)果，一些網(wǎng)絡(luò)罪犯還將被盜的信用卡數(shù)據(jù)添加到PayPal帳戶中，并將其用作付款方式。另一種方法是經(jīng)典方法，涉及用惡意軟件攻擊受害者的手機(jī)，這樣惡意軟件可以攔截安全代碼并將其傳發(fā)送給欺詐者。

另外，許多商店在交易額低于特定限制時(shí)也不會(huì)要求3DS代碼，從而使欺詐者得以進(jìn)行多次較小的購(gòu)買(mǎi)而逃脫懲罰。

這些技術(shù)大多數(shù)都在存在3DS早期版本的地方起作用，與3DS 2相比，被廣泛采用還有很長(zhǎng)的路要走。歐洲正在引領(lǐng)向更安全的標(biāo)準(zhǔn)(PSD2法規(guī)-3DS 2實(shí)現(xiàn)了強(qiáng)大的客戶身份驗(yàn)證)的過(guò)渡，而在美國(guó)，使用3DS 1的商家的欺詐責(zé)任保護(hù)將于2021年10月17日到期。

但是，Gemini Advisory認(rèn)為，網(wǎng)絡(luò)犯罪分子還將通過(guò)社會(huì)工程技術(shù)攻擊更安全的3DS 2。

本文翻譯自：https://www.bleepingcomputer.com/news/security/hackers-share-methods-to-bypass-3d-secure-for-payment-cards/