Αυτό το εργαλείο μπορεί να βρει πληροφορίες πιστωτικής κάρτας σε 6 δευτερόλεπτα

Μια ομάδα ερευνητών έχει σχεδιάσει ένα εργαλείο που θα τους βοηθήσει να βρουν πληροφορίες πιστωτικών καρτών - συμπεριλαμβανομένης της CVV και της ημερομηνίας λήξης - στέλνοντας ερωτήσεις σε αρκετούς εμπορικούς ιστοτόπους ηλεκτρονικού εμπορίου.

Μια εκτεταμένη μελέτη από τον Mohammad Aamir Ali, τον Budi Arief, τον Martin Emms και τον Aad van Moorsel περιγράφει τις ηλεκτρονικές πληρωμές με πιστωτικές και χρεωστικές κάρτες και τα ζητήματα ασφάλειας που προκαλούνται από πολλαπλές πύλες πληρωμών σε διαφορετικούς εμπορικούς ιστότοπους, δημοσιεύθηκε στο IEEE Security & Privacy.

Ο αλγόριθμος του εργαλείου μαντεύει και δοκιμάζει τα αποτελέσματα των μεταβολών των CVVs και των ημερομηνιών λήξης σε εκατοντάδες ιστοτόπους εμπόρων.

Οι συντάκτες της μελέτης, που συνδέονται με το Πανεπιστήμιο του Newcastle, επεσήμαναν ότι το εργαλείο τους μπορεί επίσης να χρησιμοποιηθεί για να μαντέψει τους κώδικες ZIP και τα δεδομένα διεύθυνσης. Οι χάκερ μπορούν να χρησιμοποιήσουν το εργαλείο για να συσχετίσουν τα δεδομένα θέσης με το χρηματοπιστωτικό ίδρυμα που εκδίδει κάρτες ή να χρησιμοποιήσουν μια συσκευή skimming για να καταλάβουν ποιοι έμποροι έσπρωξαν την κάρτα.

"Η διαφορά στις λύσεις ασφάλειας διαφόρων ιστοτόπων εισάγει μια πρακτικά εκμεταλλεύσιμη ευπάθεια στο συνολικό σύστημα πληρωμών. Ένας εισβολέας μπορεί να εκμεταλλευτεί αυτές τις διαφορές για να δημιουργήσει μια κατανεμημένη προσβολή εικασίας η οποία παράγει χρήσιμα στοιχεία πληρωμής κάρτας - αριθμός κάρτας, ημερομηνία λήξης, τιμή επαλήθευσης κάρτας και ταχυδρομική διεύθυνση - ένα πεδίο κάθε φορά. επόμενο πεδίο χρησιμοποιώντας έναν διαφορετικό ιστότοπο εμπόρου ", αναφέρει η μελέτη.

Εάν ο ενδιαφερόμενος δικτυακός τόπος εμπόρου δεν ζητήσει τον ταχυδρομικό κώδικα, τότε το εργαλείο λειτουργεί σαν αεράκι και η απόκτηση πληροφοριών για την κάρτα είναι ένα κομμάτι κέικ για έναν εισβολέα.

Πώς λειτουργεί το εργαλείο Guessing;

Η μελέτη υπογραμμίζει ότι η εργασία εικασίας επιτρέπει δύο σημαντικές αδυναμίες των ιστότοπων ηλεκτρονικού εμπορίου.

"Για να λάβετε τα στοιχεία της κάρτας, μπορείτε να χρησιμοποιήσετε μια σελίδα πληρωμής του εμπόρου ιστού για να μαντέψετε τα δεδομένα: η απάντηση του εμπόρου σε μια απόπειρα συναλλαγής θα αναφέρει αν η εικασία ήταν σωστή ή όχι", προσθέτει η έκθεση.

Πρώτον, πολλαπλά αιτήματα πληρωμής από την ίδια κάρτα σε διαφορετικούς ιστότοπους εμπόρων δεν εγείρουν σημαία στο τρέχον οικοσύστημα ηλεκτρονικών πληρωμών. Δεύτερον, οι διαφορετικοί έμποροι Ιστού παρέχουν διαφορετικά σύνολα πεδίων με λεπτομέρεια κάρτας, γεγονός που επιτρέπει στο εργαλείο επίθεσης να υπολογίζει ένα πεδίο ταυτόχρονα.

Εάν ένας εισβολέας είναι σε θέση να σπάσει τα στοιχεία της κάρτας σας, όχι μόνο θα του επιτρέψει να ψωνίσει με τη χρήση της κάρτας, αλλά μπορεί επίσης να γίνει και online μεταφορά χρημάτων - κατά προτίμηση σε ανώνυμο λογαριασμό σε κάποια άλλη χώρα, καθώς αυτές οι επιθέσεις μπορούν να αποτραπούν από τις τράπεζες με την αντιστροφή των πληρωμών, αλλά η αντιστροφή των χωρών είναι μια πιο κουραστική και χρονοβόρα διαδικασία που δίνει στον επιτιθέμενο αρκετό χρόνο για να αποσυρθεί.

Η έρευνα επισημαίνει επίσης ότι οι κάρτες Visa είναι πιο επιρρεπείς στην επίθεση από τη Mastercard. Αυτό οφείλεται στο γεγονός ότι μια Mastercard τερματίζεται μετά από 100 άκυρες προσπάθειες, αλλά αυτό δεν συμβαίνει με τη Visa.

"Για να αποφευχθεί η επίθεση, μπορεί να επιδιωχθεί τυποποίηση ή συγκέντρωση, η οποία παρέχεται ήδη από λίγες τράπεζες έκδοσης καρτών. Η τυποποίηση θα σήμαινε ότι όλοι οι έμποροι πρέπει να προσφέρουν την ίδια διεπαφή πληρωμής, δηλαδή τον ίδιο αριθμό πεδίων. Στη συνέχεια η επίθεση δεν κλιμακώνεται πια. Η κεντρικοποίηση μπορεί να επιτευχθεί μέσω πύλης πληρωμής ή δικτύων πληρωμών με κάρτα που έχει πλήρη εικόνα για όλες τις προσπάθειες πληρωμής που σχετίζονται με το δίκτυό της ", κατέληξε η μελέτη.

Παρόλο που ούτε η τυποποίηση ούτε η συγκέντρωση ταιριάζουν με την ουσία του Διαδικτύου - ελευθερία και ελευθερία - αυτή η διαδικασία θα κάνει σίγουρα τα πράγματα πιο ασφαλή για τους κατόχους καρτών και θα τα κάνει λιγότερο επιρρεπή σε online επιθέσεις.