Dette værktøj kan finde kreditkortoplysninger på 6 sekunder
Miscellanea / / November 29, 2021
En gruppe forskere har designet et værktøj, der hjælper dem med at finde kreditkortoplysninger - inklusive CVV og udløbsdato - ved at sende forespørgsler til flere e-handelswebsteder.
En omfattende undersøgelse af Mohammad Aamir Ali, Budi Arief, Martin Emms og Aad van Moorsel skitserer onlinebetalinger vha. kredit- og betalingskort og sikkerhedsproblemer forårsaget af flere betalingsgateways på forskellige forhandlerwebsteder, var udgivet i IEEE sikkerhed og privatliv.
Værktøjets algoritme gætter og tester snesevis af permutationer af CVV'er og udløbsdatoer på hundredvis af købmandswebsteder.
Forfatterne af undersøgelsen, som er tilknyttet Newcastle University, påpegede, at deres værktøj også kan bruges til at gætte postnumre og adressedata. Hackere kan bruge værktøjet til at korrelere lokationsdata med den kortudstedende finansielle institution eller bruge en skimming-enhed til at finde ud af, hvilke købmandswebsteder, der har trukket kortet.
”Forskellen i sikkerhedsløsninger på forskellige hjemmesider introducerer en praktisk udnyttelig sårbarhed i det samlede betalingssystem. En angriber kan udnytte disse forskelle til at bygge et distribueret gætteangreb, som genererer brugbare kortbetalingsdetaljer - kortnummer, udløbsdato, kort verifikationsværdi og postadresse - et felt ad gangen. Hvert genereret felt kan bruges i rækkefølge til at generere det næste felt ved at bruge en anden forhandlers internet side,"
oplyser undersøgelsen.Hvis det pågældende købmandswebsted ikke beder om postnummeret, fungerer værktøjet som en leg, og det er et stykke kage for en angriber at indhente kortoplysninger.
Hvordan virker gætteværktøjet?
Undersøgelsen skitserer, at gættearbejdet er muliggjort af to store svagheder ved e-handelswebsteder.
"For at få kortoplysninger kan man bruge en webhandlers betalingsside til at gætte dataene: købmandens svar på et transaktionsforsøg vil angive, om gættet var korrekt eller ej," tilføjer rapporten.
For det første hæver flere betalingsanmodninger fra det samme kort på forskellige forhandlerwebsteder ikke et flag i det nuværende onlinebetalingsøkosystem. For det andet tilbyder forskellige webhandlere forskellige sæt kortdetaljefelter, som gør det muligt for gætteangrebsværktøjet at dechifrere kortoplysninger et felt ad gangen.
Hvis en angriber er i stand til at knække dine kortoplysninger, vil det ikke kun give ham mulighed for at handle med kortet, men der kan også foretages en online pengeoverførsel - helst til en anonym konto i nogle andre lande som sådanne angreb kan forpurres af bankerne ved at tilbageføre betalinger, men tilbageførsel på tværs af lande er en mere kedelig og tidskrævende proces, som giver angriberen god tid til at trække sig tilbage.
Forskningen peger også på, at Visa-kort er mere modtagelige for angrebet end Mastercard. Dette skyldes, at et Mastercard lukker ned efter 100 ugyldige forsøg, men det er ikke tilfældet med Visa.
”For at forhindre angrebet kan der enten udføres standardisering eller centralisering, som allerede leveres af nogle få kortudstedende banker. Standardisering ville indebære, at alle handlende skal tilbyde den samme betalingsgrænseflade, det vil sige det samme antal felter. Så skalerer angrebet ikke længere. Centralisering kan opnås ved, at betalingsgateways eller kortbetalingsnetværk har fuld overblik over alle betalingsforsøg, der er forbundet med deres netværk," konkluderede undersøgelsen.
Selvom hverken standardisering eller centralisering passer med essensen af internettet - frihed og frihed - denne proces vil helt sikkert gøre tingene mere sikre for kortholdere og gøre dem mindre modtagelige for online angreb.