To narzędzie może znaleźć informacje o karcie kredytowej w ciągu 6 sekund

Grupa badaczy opracowała narzędzie, które pomaga im znaleźć informacje o karcie kredytowej - w tym CVV i datę wygaśnięcia - wysyłając zapytania do kilku witryn handlowych e-commerce.

Obszerne badania przeprowadzone przez Mohammada Aamira Ali, Budi Arief, Martina Emmsa i Aada van Moorsela, przedstawiają płatności internetowe za pomocą kart kredytowych i debetowych, a kwestie bezpieczeństwa spowodowane przez wiele bramek płatniczych w różnych witrynach handlowych zostały opublikowane w IEEE Bezpieczeństwo i prywatność.

Algorytm narzędzia zgaduje i testuje wyniki permutacji CVV i dat ważności na setkach witryn handlowych.

Autorzy badania, którzy są związani z Newcastle University, wskazali, że ich narzędzie może być również używane do odgadywania kodów pocztowych i danych adresowych. Hakerzy mogą użyć narzędzia do skorelowania danych o lokalizacji z instytucją finansową wydającą kartę lub użyć urządzenia do prześwietlania, aby dowiedzieć się, które witryny kupców przesuwają kartę.

„Różnica w rozwiązaniach bezpieczeństwa różnych stron internetowych wprowadza praktycznie możliwą do wykorzystania lukę w ogólnym systemie płatności. Osoba atakująca może wykorzystać te różnice, aby zbudować rozproszony atak zgadywania, który generuje użyteczne dane dotyczące płatności kartą - numer karty, datę ważności, wartość weryfikacji karty i adres pocztowy - jedno pole na raz, każde wygenerowane pole może być używane kolejno do generowania następne pole przy użyciu innej strony internetowej sprzedawcy ”, stwierdza badanie.

Jeśli dana witryna handlowa nie prosi o kod pocztowy, to narzędzie działa jak bryza, a zdobycie informacji o karcie to bułka z masłem dla atakującego.

Jak działa narzędzie zgadywania?

Badanie pokazuje, że zgadywanie jest możliwe dzięki dwóm głównym słabościom witryn e-commerce.

„Aby uzyskać dane karty, można użyć strony płatności sprzedawcy internetowego, aby odgadnąć dane: odpowiedź sprzedawcy na próbę transakcji określi, czy domniemanie było poprawne, czy nie” - dodaje raport.

Po pierwsze, wiele żądań płatności z tej samej karty w różnych witrynach handlowych nie podnosi flagi w bieżącym ekosystemie płatności online. Po drugie, różni sprzedawcy internetowi udostępniają różne zestawy pól szczegółów kart, co umożliwia narzędzie do odgadywania ataków do odszyfrowywania informacji o kartach po jednym polu na raz.

Jeśli atakujący jest w stanie złamać dane twojej karty, nie tylko pozwoli mu na zakupy za pomocą karty, ale może również dokonać przelewu online - najlepiej na anonimowe konto w innym kraju, ponieważ takie ataki mogą zostać udaremnione przez banki cofając płatności, ale odwrócenie kraju jest bardziej żmudnym i czasochłonnym procesem, który daje atakującemu wystarczająco dużo czasu na wycofanie się.

Badanie wskazuje również, że karty Visa są bardziej podatne na atak niż Mastercard. Dzieje się tak, ponieważ Mastercard wyłącza się po wykonaniu 100 nieważnych prób, ale nie dotyczy to Visa.

„Aby zapobiec atakowi, można dążyć do standaryzacji lub centralizacji, co już zapewnia kilka banków wydających karty. Standaryzacja oznaczałaby, że wszyscy kupcy muszą oferować ten sam interfejs płatności, czyli taką samą liczbę pól. Wtedy atak już się nie skaluje. Centralizację można osiągnąć za pomocą bram płatniczych lub sieci płatności kartowych, które mają pełny wgląd we wszystkie próby płatności związane z jej siecią ”- podsumowuje badanie.

Chociaż ani standaryzacja, ani centralizacja nie pasują do istoty Internetu - wolność i wolność - proces ten z pewnością sprawi, że posiadacze kart będą bezpieczniejsi i mniej podatni na ataki online.