Acest instrument poate găsi informații despre cardul de credit în 6 secunde

Un grup de cercetători au proiectat un instrument care îi ajută să găsească informații despre cardul de credit - inclusiv CVV și data de expirare - trimițând întrebări către mai multe site-uri de comerț electronic.

Un studiu amplu realizat de Mohammad Aamir Ali, Budi Arief, Martin Emms și Aad van Moorsel, conturează plățile online folosind carduri de credit și debit și problemele de securitate cauzate de mai multe gateway-uri de plată pe diferite site-uri comerciale, a fost publicat în IEEE Security & Privacy.

Algoritmul instrumentului ghicește și testează scorurile permutărilor CVV-urilor și datele de expirare pe sute de site-uri web comerciale.

Autorii studiului, care sunt asociați cu Newcastle University, au subliniat că instrumentul lor poate fi folosit și pentru ghicirea codurilor zip și a adreselor. Hackerii pot folosi instrumentul pentru a corela datele despre locație cu instituția financiară emitentă de carduri sau pot folosi un dispozitiv de skimming pentru a afla ce site-uri de comercianți au trecut de card.

„Diferența de soluții de securitate a diferitelor site-uri web introduce o vulnerabilitate practic exploatabilă în sistemul de plată general. Un atacator poate exploata aceste diferențe pentru a construi un atac de ghicire distribuit, care generează detalii de plată a cardului utilizabile - numărul cardului, data expirării, valoarea de verificare a cardului și adresa poștală - un câmp la rând, fiecare câmp generat poate fi folosit succesiv pentru a genera următorul câmp utilizând site-ul web al unui alt comerciant ”, se arată în studiu.

Dacă site-ul comerciant în cauză nu solicită codul poștal, instrumentul funcționează ca o adiere și informațiile despre carduri sunt o bucată de tort pentru un atacator.

Cum funcționează instrumentul de ghicire?

Studiul subliniază că munca de ghicire este permisă de două puncte slabe majore ale site-urilor de comerț electronic.

„Pentru a obține detalii despre card, se poate utiliza pagina de plată a unui comerciant web pentru a ghici datele: răspunsul comerciantului la o încercare de tranzacție va indica dacă ghicitul a fost corect sau nu”, adaugă raportul.

În primul rând, mai multe solicitări de plată de pe același card pe diferite site-uri de comercianți nu afișează un steag în ecosistemul actual de plăți online. În al doilea rând, diferiți comercianți web furnizează diferite seturi de câmpuri de detalii ale cărților, ceea ce permite instrumentului de atac de ghicire să descifreze informațiile despre carduri câte un câmp la rând.

Dacă un atacator este capabil să îți crape detaliile cardului, acesta nu numai că îi va permite să facă cumpărături folosind cardul, dar poate fi efectuat și un transfer de bani online - de preferință într-un cont anonim într-o altă țară, deoarece astfel de atacuri pot fi afectate de bănci. prin inversarea plăților, dar inversarea dintre țări este un proces mai obositor și consumator de timp, care îi oferă atacatorului timp suficient pentru a se retrage.

Cercetarea subliniază, de asemenea, că cărțile Visa sunt mai sensibile la atac decât Mastercard. Acest lucru se datorează faptului că un Mastercard se oprește după 100 de încercări nevalide, dar acesta nu este cazul Visa.

„Pentru a preveni atacul, se poate urmări fie standardizarea, fie centralizarea, care este deja furnizată de câteva bănci emitente de carduri. Standardizarea ar presupune că toți comercianții trebuie să ofere aceeași interfață de plată, adică același număr de câmpuri. Atunci atacul nu mai scală. Centralizarea se poate realiza prin gateway-uri de plată sau rețele de plată cu carduri care au o vedere completă asupra tuturor încercărilor de plată asociate rețelei sale ”, a concluzionat studiul.

Deși nici standardizarea, nici centralizarea nu se potrivesc cu esența internetului - libertate și libertate - acest proces va face lucrurile mai sigure pentru deținătorii de carduri și le va face mai puțin sensibile la atacuri online.