Ez az eszköz 6 másodperc alatt megtalálja a hitelkártya-információkat

A kutatók egy csoportja kifejlesztett egy olyan eszközt, amely segítséget nyújt számukra a hitelkártya-információk - beleértve a CVV-t és a lejárat dátumát - megtalálásában azáltal, hogy kérdéseket küld több e-kereskedelmi kereskedő webhelyre.

Mohammad Aamir Ali, Budi Arief, Martin Emms és Aad van Moorsel kiterjedt tanulmánya ismerteti az IEEE Biztonság és adatvédelem című folyóiratban az online fizetéseket, amelyek hitel- és betéti kártyákkal történnek, és a különféle kereskedési helyszíneken a több fizetési átjáró által okozott biztonsági problémákat.

Az eszköz algoritmusa kitalálja és teszteli a CVV-k permutációinak és a lejárati időpontoknak a számait több száz kereskedő weboldalon.

A tanulmány szerzői, akik kapcsolatban állnak a Newcastle University-vel, rámutattak, hogy eszközeik felhasználhatók a irányítószámok és a címadatok kitalálására is. A hackerek felhasználhatják az eszközt a helymeghatározási adatok korrelálására a kártyát kibocsátó pénzintézettel, vagy egy átfedő eszközzel is kitalálhatják, hogy melyik kereskedő webhely húzta el a kártyát.

„A különféle webhelyek biztonsági megoldásai közötti különbség gyakorlatilag kihasználható biztonsági rést vezet a teljes fizetési rendszerben. A támadó ezeket a különbségeket kihasználva elosztott találgatási támadást hozhat létre, amely felhasználható kártyás fizetési adatokat - kártya számát, lejárati dátumát, kártya igazolási értékét és postai címét - egy mezőt hozza létre egyszerre, minden generált mező egymás után felhasználható a következő mezőt egy másik kereskedő webhelyének használatával ”- állítja a tanulmány.

Ha az érintett kereskedő oldal nem kéri az irányítószámot, akkor az eszköz olyan szellő, mint a szél, és a kártyainformációk megszerzése egy tésztadarab a támadó számára.

Hogyan működik a kitaláló eszköz?

A tanulmány rámutat arra, hogy a kitalálást az e-kereskedelmi webhelyek két fő gyengesége teszi lehetővé.

„Kártyaadatok beszerzéséhez egy webes kereskedő fizetési oldalán kitalálhatjuk az adatokat: a kereskedő válasza egy tranzakciós kísérletre jelzi, hogy a kitalálás helyes volt-e vagy sem.” - teszi hozzá a jelentés.

Először is, ugyanazon kártya különböző fizetési kérelmei különböző kereskedési helyszíneken nem jelentenek megjelölést a jelenlegi online fizetési ökoszisztémában. Másodszor, a különféle webes kereskedők különféle kártyadarab-mezőket szolgáltatnak, amelyek lehetővé teszik a kitalálási támadó eszköznek, hogy a mező adatait egyszerre megfejtse.

Ha a támadó képes feltörni a kártya adatait, az nem csak lehetővé teszi, hogy a kártyával vásároljon, hanem online pénzátutalást is végezzen - lehetőleg egy másik ország névtelen számlájára, mivel az ilyen támadások a bankok meggátolhatók a fizetések megfordításával, de az országközi visszaváltás sokkal fárasztóbb és időigényesebb folyamat, amely elegendő időt biztosít a támadónak a visszavonuláshoz.

A kutatás rámutat arra is, hogy a Visa kártyák jobban ki vannak téve a támadásnak, mint a Mastercard. Ennek oka az, hogy a Mastercard 100 érvénytelen kísérlet után leáll, de a Visa esetében nem ez a helyzet.

„A támadás megakadályozására akár szabványosítást, akár központosítást lehet folytatni, amelyet néhány kártyakibocsátó bank már biztosít. A szabványosítás azt jelentené, hogy minden kereskedőnek ugyanazt a fizetési felületet kell kínálnia, vagyis azonos számú mezőt. Akkor a támadás már nem méreteződik. A központosítást olyan fizetési átjárókkal vagy kártyás fizetési hálózatokkal lehet elérni, amelyek teljes képet kapnak a hálózatához kapcsolódó összes fizetési kísérletről ”- fejezte be a tanulmány.

Bár sem a szabványosítás, sem a központosítás nem felel meg az internet lényegének - a szabadságnak és a szabadságnak -, ez a folyamat minden bizonnyal biztonságosabbá teszi a kártyabirtokosokat, és kevésbé hajlamosak az online támadásokra.