研究人员揭露骇客在暗网论坛交流伪造线上交易手法，企图破解3DS验证流程

在支付安全的领域中，3D Secure验证机制（3DS）可说是相当普遍的做法，这种机制到了最近几年，又推出规格较为严谨的2.0版。但近期威胁情报业者Gemini Advisory指出，他们发现骇客在暗网提出如何绕过3DS的多项做法，恐怕会造成相关的网络诈欺攻击更为泛滥。

在该公司的调查里，Gemini Advisory列出了5种类型的攻击手法，大致可区分成窃得所需的3DS验证资料，以及绕过此种交易验证机制的类型。前者有3种取得3DS验证资料的手法，包含了利用社交工程、网络钓鱼，以及恶意程式侧录等；后者则有小额盗刷和滥用Paypal。

Gemini Advisory近日发现，骇客在暗网讨论如何能够绕过3DS刷卡的手法里，其中最常被提及的类型，就是透过社交工程型态的攻击手段，骗取盗刷过程中，需要应付3DS验证流程的资料。再者，骇客也可能使用假冒的付款网页，来偷得有关的资讯。该公司也举出他们看到的其中一种社交工程手段，骇客假冒银行客服打电话给持卡人，来取得所需的3DS验证资料。而为了避免遭到追查，骇客也会透过变声器和电话号码欺骗工具，来拨打这种电话。

而另一种也被滥用的欺骗手法就是网络钓鱼。在这种手法中，骇客会向受害者提供看起来与实际电商相似的网站。一旦受害者不经意在伪造的购物网站下单，骇客便会将付款资料传送到合法网站，受害者便不知不觉让骇客通过3DS验证。

此外，对于有些电商网站仍采用3DS 1.0版，在此种机制可能会出现的SMS简讯验证码，也值得留意。Gemini Advisory表示，攻击者有可能借由在Android手机植入恶意软件，来窃取有关资料。

在上述骗取3DS验证资料的手法之外，Gemini Advisory指出，骇客也可能利用特殊的购买方式，或是指定的付款方式，来回避电商网站的3DS机制启动，而达到盗刷的目的。

骇客看上了3DS验证被实际运用瑕疪。其中最常见的情况，就是有些电商避免用户觉得3DS验证步骤麻烦而取打消下单，有些商家就会设定在小额订单停用这类机制。例如，某个网站只要单次交易金额小于30美元、5次交易累计金额低于100美元，就不会启动3DS机制。Gemini Advisory表示，骇客可能会在部分盗刷的事件中，选择低于相关门槛的金额，来减少必须身份验证的不便。

除了针对电商网站启动3DS机制的金额门槛下手，另一种绕过3DS的手段，则是使用PayPal。由于在这种支付管道中，而无论是支付卡还是信用卡，都不会经过电商网站的3DS验证程序，使得骇客只需处理PayPal账号的不定期验证，以及支付卡和PayPal的绑定工作即可滥用。