Ovaj alat može pronaći podatke o kreditnoj kartici u 6 sekundi

Skupina istraživača dizajnirala je alat koji im pomaže u pronalaženju podataka o kreditnim karticama - uključujući CVV i datum isteka - slanjem upita na nekoliko web mjesta trgovaca e-trgovine.

Opsežna studija Mohammada Aamira Alija, Budija Ariefa, Martina Emmsa i Aada van Moorsela, opisuje internetska plaćanja putem kreditnih i debitnih kartica i sigurnosna pitanja uzrokovana višestrukim pristupnicima plaćanja na različitim web lokacijama trgovaca, objavljeno je u IEEE Security & Privacy.

Algoritam alata pretpostavlja i provjerava rezultate permutacija CVV-a i datuma isteka na stotinama web lokacija trgovaca.

Autori studije, koji su povezani sa Sveučilište Newcastle, istaknuli su da se njihov alat također može upotrijebiti za pogađanje poštanski brojeva i podataka o adresi. Hakeri mogu upotrijebiti alat za povezivanje podataka o lokaciji s financijskom institucijom koja izdaje karticu ili pomoću skimming uređaja kako bi utvrdili koja su trgovačka mjesta prešla karticu.

„Razlika u sigurnosnim rješenjima različitih web stranica uvodi praktično iskoristivu ranjivost u cjelokupni platni sustav. Napadač može iskoristiti te razlike za izgradnju distribuiranog napada nagađanja koji generira upotrebljive podatke o plaćanju karticom - broj kartice, datum isteka, vrijednost potvrde kartice i poštanska adresa - jedno po jedno polje. Svako generirano polje može se sukcesivno koristiti za generiranje Sljedeće polje upotrebom web lokacije drugog trgovca ", navodi se u studiji.

Ako dotična web lokacija trgovca ne zatraži poštanski broj, tada alat djeluje poput povjetarca, a prikupljanje podataka o kartici komad je torte za napadača.

Kako djeluje alat za pogodak?

Studija naglašava da posao nagađanja omogućuju dvije glavne slabosti mjesta e-trgovine.

"Da biste dobili podatke o kartici, možete upotrijebiti stranicu za plaćanje web trgovca da biste pogodili podatke: trgovčev odgovor u pokušaju transakcije navodi da li je pretpostavka tačna ili ne", dodaje se u izvješću.

Prvo, više zahtjeva za plaćanje s iste kartice na različitim web lokacijama trgovaca ne podižu zastavicu u trenutačnom ekosustavu za plaćanje na mreži. Drugo, različiti web trgovci pružaju različite skupove polja s detaljima o karticama, što omogućava alatu za nagađanje napada da dešifrira podatke o kartici jedno po jedno.

Ako napadač uspije probiti pojedinosti vaše kartice, ne samo da će mu dopustiti kupovinu putem kartice, već može izvršiti i internetski prijenos novca - po mogućnosti na anonimni račun u nekoj drugoj zemlji jer banke mogu spriječiti takve napade. preokretom plaćanja, ali preusmjeravanje unaprijed je zamorniji i dugotrajan proces koji napadaču daje dovoljno vremena da se povuče.

Istraživanje također ističe da su Visa kartice osjetljivije na napad od Mastercarda. To se događa jer se Mastercard isključuje nakon 100 nevažećih pokušaja, ali to nije slučaj s Visa-om.

"Da bi se spriječio napad, može se slijediti ili standardizacija ili centralizacija, što već pruža nekoliko banaka koje izdaju kartice. Standardizacija bi značila da svi trgovci moraju ponuditi isto sučelje plaćanja, odnosno isti broj polja. Tada napad više ne mjeri. Centralizacija se može postići pristupnicima plaćanja ili mrežnim platnim mrežama koji imaju cjelovit pregled svih pokušaja plaćanja povezanih s njegovom mrežom “, zaključeno je u studiji.

Iako se ni standardizacija ni centralizacija ne uklapaju u bit Interneta - slobodu i slobodu - ovaj će postupak sigurno učiniti vlasnike kartica sigurnijim i učiniti ih manje podložnima internetskim napadima.