CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Sistemul antifraudă 3D Secure

Cercetătorii din domeniul securității cibernetice împreună cu firmă de threat intelligence Gemini Advisory, au declarat că au observat o majorare a activităților de pe dark web legate de evitarea 3D Secure (3DS). Conceput ca un mecanism de protecție suplimentar al tranzacțiilor online cu carduri de credit și de debit, 3DS a avut mai multe versiuni, cea mai nouă versiunea fiind 2.0, care introduce noi mecanisme de securitate, cât și capabilități de autentificare precum amprenta digitală sau recunoașterea facială. Vulnerabilitățile din versiunile anterioare ale 3DS au facilitat evitarea procesului de autentificare. De exemplu, utilizarea unei parole pentru aprobarea unei tranzacții a fost una dintre aceste probleme, deoarece aceasta a fost deseori un număr personal de identificare (PIN) pe care infractorii cibernetici au putut să-l obțină cu ușurință.

Folosind diverse tehnici de inginerie socială, infractorii cibernetici pot culege multe informații personale de la victime, inclusiv numele, numărul de telefon, adresa fizică și de e-mail, numele de fată al mamei, numerele permisului de conducere etc. Astfel, având acces la informații personale, atacatorul ar putea păcăli victima în schimbul detaliilor suplimentare necesare în procesul de autentificare. De exemplu apelarea victimei de la un număr de telefon care imită numărul de pe spatele cardului de plată și înșelarea acesteia pentru aprobarea unei tranzacții efectuate în prezent de către fraudator.

În afară de diverse tactici de inginerie socială pe care atacatorii le pot folosi pentru a evita 3DS, utilizarea site-urilor de phishing care imită magazinele online legitime poate permite, de asemenea, atacatorilor să culeagă informațiile despre cardul victimelor și să le păcălească pentru a autoriza o plată prin 3DS. În unele cazuri, atacatorii pot folosi malware pentru a viza smartphone-urile utilizatorilor și pentru a prelua codurile de verificare 3DS. De asemenea, atacatorii pot profita de faptul că unele magazine online dezactivează funcția 3DS pentru achiziții sub un anumit prag valoric, astfel, după testarea limitei, aceștia efectuează tranzacții sub această valoare.De asemenea, utilizarea tranzacțiilor PayPal permite atacatorilor să ocolească 3DS. Pentru aceasta, ei adaugă informații despre cardul de plată furat într-un cont PayPal, apoi fac cumpărături folosind metoda de plată PayPal. Această acțiune funcționează cel mai bine cu cardurile de credit, deoarece PayPal-ul nu necesită întotdeauna confirmarea utilizatorului prin emiterea codurilor de validare (care ar necesita implicit acces la contul bancar).

Atitudinile consumatorilor s-au schimbat de la un accent bazat exclusiv pe securitate în comerțul electronic la unul axat pe comoditate. Acest lucru a dus la proliferarea utilizării smartphone-urilor, astfel creșterea încrederii în dispozitivele mobile înseamnă că atât clienții, cât și comercianții trebuie să își adapteze practicile și standardele de autentificare și spre sfera dispozitivelor mobile, fără a sacrifica securitatea.

Astfel, 3D Secure 2.0 va acționa ca o punte în decalajul dintre măsurile actuale de securitate a comerțului electronic, comportamentul și preferințele consumatorului, experiența îmbunătățită a clienților înglobând măsuri de securitate sporite menite să elimine vulnerabilitățile întregului proces.

Surse:

https://www.opusconsulting.com/3d-secure-2-0-bridging-the-gap-between-security-and-convenience/

https://www.securityweek.com/cybercriminals-finding-ways-bypass-3d-secure-fraud-prevention-system?&web_view=true

https://instabill.com/articles/ecommerce-security-and-fraud-protection/3d-secure-and-its-advantages/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică