Tento nástroj dokáže nájsť informácie o kreditnej karte za 6 sekúnd

Skupina vedcov navrhla nástroj, ktorý im pomáha nájsť informácie o kreditných kartách - vrátane CVV a dátumu skončenia platnosti - zaslaním otázok na niekoľko obchodníkov v elektronickom obchode.




Rozsiahla štúdia, ktorú vypracovali Mohammad Aamir Ali, Budi Arief, Martin Emms a Aad van Moorsel, nastiňuje online platby pomocou kreditných a debetných kariet a bezpečnostné problémy spôsobené viacerými platobnými bránami na rôznych obchodných miestach. Bezpečnosť a ochrana osobných údajov IEEE,



Algoritmus nástroja odhaduje a testuje skóre permutácií CVV a dátumov vypršania platnosti na stovkách webových stránok obchodníkov.



Autori štúdie, ktorí sú spojení s univerzitou v Newcastle, zdôraznili, že ich nástroj sa dá použiť aj na uhádnutie PSČ a adresy. Hackeri môžu tento nástroj použiť na koreláciu údajov o polohe s finančnou inštitúciou, ktorá kartu vydala, alebo pomocou skimmingového zariadenia zistiť, ktoré stránky obchodníkov prešli kartou.

„Rozdiel v bezpečnostných riešeniach rôznych webových stránok predstavuje prakticky zneužiteľnú zraniteľnosť v celkovom platobnom systéme. Útočník môže tieto rozdiely využiť na vytvorenie distribuovaného hádajúceho útoku, ktorý generuje použiteľné podrobnosti o platbe kartou - číslo karty, dátum exspirácie, overovacia hodnota karty a poštová adresa - jedno pole súčasne. Každé vygenerované pole sa môže postupne použiť na vygenerovanie ďalšie pole pomocou webových stránok iného obchodníka, “ štúdia uvádza,

Ak príslušná obchodná stránka nepožiada o PSČ, potom tento nástroj funguje ako vánok a získanie informácií o karte je pre útočníka úlomkom.





Ako funguje Hádací nástroj?

Štúdia načrtáva, že odhady umožňujú dve hlavné slabiny stránok elektronického obchodu.

Nástroj (snímka obrazovky) vyvinutý výskumníkmi z Newcastle University

„Na získanie podrobností o karte je možné použiť údaje o platobných stránkach obchodníka s webovými údajmi: v odpovedi obchodníka na pokus o transakciu sa uvedie, či bol odhad správny alebo nie,“ dodáva správa.

Po prvé, viac žiadostí o platbu z tej istej karty na rôznych obchodných stránkach nezvyšuje príznak v súčasnom ekosystéme online platieb. Po druhé, rôzni weboví obchodníci poskytujú rôzne sady polí detailov kariet, čo umožňuje nástroju hádania útokov dešifrovať informácie o karte po jednom poli.

Ak útočník dokáže prelomiť údaje o svojej karte, umožní mu to nielen nakupovať pomocou karty, ale môže sa uskutočniť aj online prevod peňazí - pokiaľ možno na anonymný účet v inej krajine, pretože takéto útoky môžu banky zmariť. obrátením platieb, ale obrátením v zahraničí je náročnejší a časovo náročný proces, ktorý útočníkovi poskytuje dostatok času na odstúpenie.

Výskum tiež zdôrazňuje, že karty Visa sú náchylnejšie na útok ako karty Mastercard. Dôvodom je skutočnosť, že po vykonaní 100 neplatných pokusov sa karta Mastercard vypne, ale nie je to prípad Visa.

„Na zabránenie útoku je možné pokračovať v štandardizácii alebo centralizácii, čo už poskytuje niekoľko bánk vydávajúcich karty. Normalizácia by znamenala, že všetci obchodníci musia ponúkať rovnaké platobné rozhranie, to znamená rovnaký počet polí. Potom už útok viac nezmení mierku. Centralizáciu možno dosiahnuť platobnými bránami alebo platobnými sieťami s kartami, ktoré majú úplný prehľad o všetkých pokusoch o platbu spojených s jej sieťou, “uzavrela štúdia.

Aj keď ani štandardizácia, ani centralizácia nezodpovedajú podstate internetu - sloboda a sloboda - tento proces určite zaistí bezpečnosť držiteľov kariet a zníži ich náchylnosť na online útoky.