image

Botnet raadt digitale cadeaubonnen bij webwinkels

maandag 27 maart 2017, 11:34 door Redactie, 6 reacties

Onderzoekers hebben een botnet ontdekt dat bij zo'n duizend webwinkels wereldwijd probeert om cadeaubonnen te raden. Bij de aanval gaan de aanvallers een lijst van mogelijke kaartnummers langs en vragen het tegoed op. Als er een hit is, weten de aanvallers dat het kaartnummer bestaat.

Vervolgens kunnen via het kaartnummer goederen worden gekocht of verkopen criminelen het kaartnummer aan andere criminelen door. "Het voordeel voor een cyberdief van het stelen van geld van een cadeaubon is dat het meestal anoniem en ontraceerbaar is", zegt Anna Westelius van beveiligingsbedrijf Distil Networks. Ze merkt op dat sommige webwinkels door het botnet meer dan 4 miljoen requests per uur te verwerken kregen, tien keer meer dan de normale hoeveelheid verkeer. Sommige webwinkels konden daardoor niet meer goed functioneren.

Westelius waarschuwt dat de aanval niet alleen webwinkels raakt, maar ook consumenten. Die kunnen namelijk het tegoed op hun cadeaubon verliezen en zo het slachtoffer van fraude worden. Iets wat weer het vertrouwen in digitale cadeaubonnen kan aantasten. Ze benadrukt dat het hier niet om een fout van de webwinkels gaat, aangezien de botnets bestaande functionaliteit voor het controleren van cadeaubonnen gebruiken.

Reacties (6)
27-03-2017, 12:04 door Anoniem
Zo moeilijk is dit toch niet om tegen te gaan? Time-out na 3x verkeerde cadeaubon en het is klaar.
27-03-2017, 12:16 door Anoniem
Is het niet zo dat je het saldo altijd kan opvragen, maar dat er bij verzilvering een extra code ingevuld moet worden?Deze zit vaak achter een kraslaag.
27-03-2017, 13:21 door Briolet
Door Anoniem: Zo moeilijk is dit toch niet om tegen te gaan? Time-out na 3x verkeerde cadeaubon en het is klaar.

Wat denk je waarom ze een botnet gebruiken. Op die manier zijn het steeds onafhankelijke aanvragen.

4 miljoen requests per uur te verwerken kregen, tien keer meer dan de normale hoeveelheid verkeer.

Dus het normale verkeer is 400.000 requests per uur. Dat klinkt nog steeds hel veel meer dan het on-line klantbezoek van een doorsnee webwinkel.
27-03-2017, 14:21 door Anoniem
Door Briolet:
Door Anoniem: Zo moeilijk is dit toch niet om tegen te gaan? Time-out na 3x verkeerde cadeaubon en het is klaar.

Wat denk je waarom ze een botnet gebruiken. Op die manier zijn het steeds onafhankelijke aanvragen.
Op zich zouden ze ook na elke x proberen een timeout van ~3 seconden erop kunnen zetten.
27-03-2017, 14:48 door Anoniem
Simpele oplossing: een captcha en een aanklikvakje "ik ben geen robot". En verder het aantal raadpogingen maximeren tot 3 per uur.
28-03-2017, 08:00 door Anoniem
Door Anoniem: Simpele oplossing: een captcha en een aanklikvakje "ik ben geen robot". En verder het aantal raadpogingen maximeren tot 3 per uur.

Niet nog meer captcha's! Dat is zo super klant onvriendelijk....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.