يمكن لهذه الأداة العثور على معلومات بطاقة الائتمان في 6 ثوانٍ
منوعات / / November 29, 2021
صممت مجموعة من الباحثين أداة تساعدهم في العثور على معلومات بطاقة الائتمان - بما في ذلك رمز التحقق من البطاقة وتاريخ انتهاء الصلاحية - عن طريق إرسال استفسارات إلى العديد من مواقع تجار التجارة الإلكترونية.
توضح دراسة مستفيضة أجراها محمد عامر علي ، وبودي عريف ، ومارتن إيمز ، وآد فان مورسيل ، المدفوعات عبر الإنترنت باستخدام كانت بطاقات الائتمان والخصم والمشكلات الأمنية التي تسببها بوابات الدفع المتعددة على مواقع تجارية مختلفة نشرت في أمان وخصوصية IEEE.
تعمل خوارزمية الأداة على تخمين واختبار عشرات التباديل في CVVs وتواريخ انتهاء الصلاحية على مئات مواقع الويب التجارية.
أشار مؤلفو الدراسة ، المرتبطون بجامعة نيوكاسل ، إلى أنه يمكن أيضًا استخدام أداتهم لتخمين الرموز البريدية وعنوان البيانات. يمكن للقراصنة استخدام الأداة لربط بيانات الموقع بالمؤسسة المالية المصدرة للبطاقة أو استخدام جهاز القشط لمعرفة مواقع التجار التي قامت بتمرير البطاقة.
"الاختلاف في الحلول الأمنية لمواقع الويب المختلفة يقدم ثغرة قابلة للاستغلال عمليًا في نظام الدفع الكلي. يمكن للمهاجم استغلال هذه الاختلافات لبناء هجوم تخمين موزع يقوم بإنشاء تفاصيل دفع بطاقة قابلة للاستخدام - رقم البطاقة وتاريخ انتهاء الصلاحية والبطاقة قيمة التحقق والعنوان البريدي - حقل واحد في كل مرة ، يمكن استخدام كل حقل تم إنشاؤه على التوالي لإنشاء الحقل التالي باستخدام تاجر مختلف موقع الكتروني،"
تنص الدراسة.إذا لم يطلب موقع التاجر المعني الرمز البريدي ، فعندئذٍ تعمل الأداة بسهولة ويسر والحصول على معلومات البطاقة أمرًا رائعًا للمهاجم.
كيف تعمل أداة التخمين؟
توضح الدراسة أن التخمين يتم تمكينه من خلال نقطتي ضعف رئيسيتين في مواقع التجارة الإلكترونية.
ويضيف التقرير: "للحصول على تفاصيل البطاقة ، يمكن للمرء استخدام صفحة الدفع الخاصة بالتاجر على الويب لتخمين البيانات: سيحدد رد التاجر على محاولة المعاملة ما إذا كان التخمين صحيحًا أم لا".
أولاً ، لا ترفع طلبات الدفع المتعددة من نفس البطاقة على مواقع تجارية مختلفة علمًا في نظام الدفع عبر الإنترنت الحالي. ثانيًا ، يوفر تجار الويب المختلفون مجموعات مختلفة من حقول تفاصيل البطاقة ، والتي تمكن أداة هجوم التخمين من فك تشفير معلومات البطاقة في حقل واحد في كل مرة.
إذا كان المهاجم قادرًا على كسر تفاصيل بطاقتك ، فلن يسمح له فقط بالتسوق باستخدام البطاقة ولكن يمكن أيضًا إجراء تحويل الأموال عبر الإنترنت - ويفضل أن يكون ذلك إلى حساب مجهول في بعض يمكن للبنوك إحباط مثل هذه الهجمات عن طريق عكس المدفوعات ، لكن الانعكاس عبر البلاد يعد عملية مملة وتستغرق وقتًا طويلاً مما يمنح المهاجم متسعًا من الوقت ينسحب.
يشير البحث أيضًا إلى أن بطاقات Visa أكثر عرضة للهجوم من Mastercard. هذا بسبب إغلاق بطاقة Mastercard بعد إجراء 100 محاولة غير صالحة ، ولكن هذا ليس هو الحال مع Visa.
لمنع الهجوم ، يمكن اتباع إما التوحيد القياسي أو المركزي ، والذي يتم توفيره بالفعل من قبل عدد قليل من البنوك المصدرة للبطاقات. قد يعني التوحيد القياسي أن جميع التجار بحاجة إلى تقديم نفس واجهة الدفع ، أي نفس عدد الحقول. ثم لم يعد الهجوم يتسع نطاقه بعد الآن. وخلصت الدراسة إلى أنه يمكن تحقيق المركزية من خلال بوابات الدفع أو شبكات الدفع بالبطاقات التي تتمتع برؤية كاملة لجميع محاولات الدفع المرتبطة بشبكتها.
على الرغم من عدم توافق التقييس أو المركزية مع جوهر الإنترنت - الحرية والحرية - ستعمل هذه العملية بالتأكيد على جعل الأمور أكثر أمانًا لحاملي البطاقات وستجعلهم أقل عرضة للتفاعل عبر الإنترنت الهجمات.