浅谈无卡化背防DDoS景下的支付诈骗-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 浅谈无卡化背防DDoS景下的支付诈骗

浅谈无卡化背防DDoS景下的支付诈骗

小墨安全管家 2020-08-07 08:41 CC防护 89 ℃
DDoS防御

此类攻击利用的是支付程序中的缺陷,进而从设备中窃取卡密数据与信息。例如,Magecart曾利用MAGMI(一具基于Magneto在线商店的插件)中的错误,在其网站上植入了恶意代码,从而导致用户支付信息被盗取。

Formjacking

安装并维持防火墙的配置,以爱护持卡人的数据。

随着网络协作效率的提升,针对无卡化信用账户的欺诈已成为了一具庞大的产业链。该链条中有着明确的分工与协作。从近年来发生的各种欺诈与数据泄露案例中,我们不难发觉:在恶意软件的创建者、非法支付系统的维护者、以及打包出售信用信息的人员之间,都形成了一套大规模的、有组织和协调能力的协作网络。此外,他们还为新手攻击者创建了端到端的服务,从而“反哺”和加快了漏洞利用技术的进展。

开辟和维护安全的系统和应用程序。

网络钓鱼

在开放式公共网络中加密传输持卡人的数据。

美联储于2018年公布的一项研究指出,在美国开始发行EMV类型卡的一年之后,使用实体支付卡举行欺诈交易的行为,从2015年的36.8亿美元落低到了2016年落的29.1亿美元。而在同一阶段内,经过电话或在线交易的欺诈案件,则从34亿美元增至45.7亿美元。现如今,无卡化(card-not-present)相关欺诈攻击的发生率比起实体卡(card-present)的欺诈要高出81%。

作为一种最常见的在线欺诈形式,Formjacking是让恶意足本被注入到目标站点的付款页面中,以窃取购物者输入的支付卡信息,并及时转发给攻击者。此类攻击的经典案例是:由至少七个犯罪集团组成的Magecart,曾利用数千个恶意软件感染了数千个电子商务站点的购物车。他们攻击过的目标包括:Ticketmaster、British Airways和Newegg等。

信用账户欺诈的类型

不要将供应商提供的默认值,用于系统的密码和其他安全参数。

跟踪和监控关于网络资源和持卡人数据的所有访咨询。

【51CTO.com快译】

使用并定期更新防病毒软件或程序。

浅谈无卡化背防DDoS景下的支付诈骗

近年来,发卡机构经过使用EMV的PIN和芯片技术(请参见--https://www.csoonline.com/article/2685514/chip-and-pin-no-panacea-but-worth-the-effort-and-the-cost.html)提高了物理卡的安全性。EMV尽管是一具巨大的飞跃,可以有效地打击线下欺诈行为,然而线上支付卡欺诈案件仍在持续增加。

现如今,不管是提供卡密交易服务的企业商家,依旧独立软件开辟商(Independent Software Vendors,ISV),只要涉及到存储、处理、传输、或以其他方式处置持卡人数据、以及大概阻碍到持卡人数据的安全性,都必须遵守支付卡行业数据安全标准(PCI-DSS,请参见--https://www.csoonline.com/article/3566072/pci-dss-explained-requirements-fines-and-steps-to-compliance.html)。其具体要求包括:

经过定期检查,发觉那些使用skimmer与已知命令和操纵(command-and-control,C&C)服务器之间的通信。

内部威胁

定期扫描目标网站上是否存在漏洞和恶意软件。

此外,授权操纵、渗透测试和年度审计,也可以关心组织来爱护卡密交易与存储的安全。

支付卡的普及不仅方便了消费者和企业,并且也方便了欺诈者。依照实体卡和挪移支付行业出版物--《尼尔森报告(Nilson Report)》的最新数据:2018年全球支付卡欺诈损失已达278.5亿美元。该报告以为:支付卡用户每支出100美元,就有10.83美元的损失。而上一年度的该数字则为每100美元损失11.12美元。安全意识培训提供商--KnowBe4,针对美国国防部的宣传员Roger Grimes曾指出:让大多数支付卡服务商担心的不不过欺诈咨询题,合法交易的阻断同样值得他们严密关注。从简单地监控商品与服务价格的异常上涨,到运用各种科技手段的侦测,大多数系统尽管在持续更新和迭代中,然而它们关于支付卡欺诈攻击的谨防,也表现出了一些虚假的安全态势。

Skimmers和shimmers

依照业务须知原则,限制对持卡人数据的访咨询。

正所谓“好奇害死猫”。不管我们怎么警告用户,他们仍然会心存侥幸地去点击陌生电子邮件中的各种链接,最后来导致被重定向到恶意网站上。该网站会试图在受害者计算机上植入恶意软件,进而窃取文本类简单的键盘记录,或是去寻找和解析复杂的数据样式。

现如今,账户盗用者也将数字钞票包视为攻击目标。在黑市上,那些被盗用账户里的余额,会被出售和加载到某些非存款类帐户中。此类攻击往往针对的是,被盗账户所购买的礼品卡、或无法绑定到个人现金账户的预付费卡。也算是讲,此类卡中的金额彻底能够在网上被匿名转移和使用。


DDoS防御

当前位置:主页 > CC防护 > 浅谈无卡化背防DDoS景下的支付诈骗

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119