Този инструмент може да намери информация за кредитна карта за 6 секунди
Miscellanea / / November 29, 2021
Група изследователи са разработили инструмент, който им помага да намерят информация за кредитни карти - включително CVV и дата на изтичане - чрез изпращане на запитвания до няколко сайта на търговци за електронна търговия.
![Кредитни карти](/f/693c60489aec39d8e8d15fc24684b4d2.jpg)
Обширно проучване на Мохамед Аамир Али, Буди Ариеф, Мартин Емс и Аад ван Мурсел очертава онлайн плащанията чрез кредитни и дебитни карти и проблемите със сигурността, причинени от множество шлюзове за плащане в различни търговски сайтове, беше публикуван в Сигурност и поверителност на IEEE.
Алгоритъмът на инструмента отгатва и тества резултати от пермутации на CVV и дати на изтичане на стотици уебсайтове на търговци.
Авторите на изследването, които са свързани с университета в Нюкасъл, посочиха, че техният инструмент може да се използва и за отгатване на пощенски кодове и адресни данни. Хакерите могат да използват инструмента, за да съпоставят данните за местоположението с финансовата институция, издаваща карта, или да използват скимиращо устройство, за да разберат кои търговски сайтове са прекарали картата.
„Разликата в решенията за сигурност на различните уебсайтове въвежда практически експлоатируема уязвимост в цялостната платежна система. Нападателят може да използва тези разлики, за да изгради разпределена атака с отгатване, която генерира използваеми данни за плащане с карта - номер на карта, дата на изтичане, карта стойност за проверка и пощенски адрес — едно поле наведнъж. Всяко генерирано поле може да се използва последователно за генериране на следващото поле с помощта на различен търговец уебсайт", се посочва в проучването.
Ако съответният сайт на търговец не поиска пощенския код, тогава инструментът работи като бриз и придобиването на информация за картата е нещо като торта за нападател.
Как работи инструментът за отгатване?
Проучването очертава, че работата по отгатването се дължи на две основни слабости на сайтовете за електронна търговия.
![Екран с инструменти](/f/182676b922818daf9714585a31f0b3bb.jpg)
„За да получите подробности за картата, можете да използвате страницата за плащане на уеб търговец, за да познаете данните: отговорът на търговеца на опит за транзакция ще посочи дали предположението е било правилно или не“, се добавя в доклада.
Първо, множество заявки за плащане от една и съща карта на различни търговски сайтове не повдигат флаг в текущата екосистема за онлайн плащане. Второ, различните уеб търговци предоставят различни набори от полета с подробности за картата, което позволява на инструмента за атака за отгатване да дешифрира информацията за картата едно поле по едно.
Ако нападателят успее да разбие данните на вашата карта, това не само ще му позволи да пазарува с картата, но може да се направи и онлайн паричен превод — за предпочитане към анонимен акаунт в някои като такива атаки в друга държава могат да бъдат осуетени от банките чрез обръщане на плащанията, но връщането между държави е по-досаден и отнемащ време процес, който дава на нападателя достатъчно време да оттегли се.
Изследването също така посочва, че картите Visa са по-податливи на атака от Mastercard. Това е така, защото Mastercard се изключва след 100 невалидни опита, но това не е така с Visa.
„За да се предотврати атаката, може да се предприеме стандартизация или централизация, която вече се предоставя от няколко банки, издаващи карти. Стандартизацията би означавала, че всички търговци трябва да предлагат един и същ интерфейс за плащане, тоест същия брой полета. Тогава атаката вече не се разраства. Централизацията може да бъде постигната чрез платежни шлюзове или мрежи за разплащане с карти, които притежават пълен поглед върху всички опити за плащане, свързани с неговата мрежа“, заключава проучването.
Въпреки че нито стандартизацията, нито централизацията отговарят на същността на интернет – свобода и свобода – този процес със сигурност ще направи нещата по-сигурни за картодържателите и ще ги направи по-малко податливи на онлайн атаки.