Dieses Tool kann Kreditkarteninformationen in 6 Sekunden finden

Eine Gruppe von Forschern hat ein Tool entwickelt, das ihnen hilft, Kreditkarteninformationen – einschließlich CVV und Ablaufdatum – zu finden, indem Anfragen an mehrere E-Commerce-Händlerseiten gesendet werden.

Eine umfangreiche Studie von Mohammad Aamir Ali, Budi Arief, Martin Emms und Aad van Moorsel beschreibt die Verwendung von Online-Zahlungen Kredit- und Debitkarten und die Sicherheitsprobleme, die durch mehrere Zahlungs-Gateways auf verschiedenen Händlerseiten verursacht werden veröffentlicht in IEEE-Sicherheit und Datenschutz.

Der Algorithmus des Tools schätzt und testet zahlreiche Permutationen von CVVs und Ablaufdaten auf Hunderten von Händler-Websites.

Die Autoren der Studie, die mit der Newcastle University in Verbindung stehen, wiesen darauf hin, dass mit ihrem Tool auch Postleitzahlen und Adressdaten erraten werden können. Hacker können das Tool verwenden, um Standortdaten mit dem kartenausgebenden Finanzinstitut zu korrelieren oder ein Skimming-Gerät verwenden, um herauszufinden, welche Händlerseiten die Karte geklaut haben.

„Der Unterschied in den Sicherheitslösungen verschiedener Websites führt zu einer praktisch ausnutzbaren Schwachstelle im gesamten Zahlungssystem. Ein Angreifer kann diese Unterschiede ausnutzen, um einen verteilten Rateangriff aufzubauen, der verwendbare Kartenzahlungsdetails generiert – Kartennummer, Ablaufdatum, Karte Verifizierungswert und Postanschrift – ein Feld nach dem anderen. Jedes generierte Feld kann nacheinander verwendet werden, um das nächste Feld zu generieren, indem das Feld eines anderen Händlers verwendet wird Webseite," heißt es in der Studie.

Wenn die betreffende Händlerseite nicht nach der Postleitzahl fragt, funktioniert das Tool wie ein Kinderspiel und das Erfassen von Karteninformationen ist für einen Angreifer ein Kinderspiel.

Wie funktioniert das Ratetool?

Die Studie skizziert, dass die Ratearbeit durch zwei Hauptschwächen von E-Commerce-Sites ermöglicht wird.

„Um Kartendetails zu erhalten, kann man die Zahlungsseite eines Webhändlers verwenden, um die Daten zu erraten: Die Antwort des Händlers auf einen Transaktionsversuch gibt an, ob die Vermutung richtig war oder nicht“, fügt der Bericht hinzu.

Erstens heben mehrere Zahlungsanforderungen von derselben Karte auf verschiedenen Händlerseiten im aktuellen Online-Zahlungsökosystem keine Flagge. Zweitens stellen verschiedene Webhändler unterschiedliche Sätze von Kartendetailfeldern bereit, was es dem Rateangriffstool ermöglicht, Karteninformationen Feld für Feld zu entschlüsseln.

Wenn es einem Angreifer gelingt, Ihre Kartendaten zu knacken, kann er nicht nur mit der Karte einkaufen, sondern auch eine Online-Geldüberweisung vornehmen – in einigen Fällen vorzugsweise auf ein anonymes Konto Andere Länder als solche Angriffe können von den Banken vereitelt werden, indem sie Zahlungen stornieren, aber die länderübergreifende Stornierung ist ein langwierigerer und zeitaufwändigerer Prozess, der dem Angreifer ausreichend Zeit dafür gibt abheben.

Die Untersuchung weist auch darauf hin, dass Visa-Karten anfälliger für den Angriff sind als Mastercard. Dies liegt daran, dass eine Mastercard nach 100 ungültigen Versuchen abgeschaltet wird, aber dies ist bei Visa nicht der Fall.

„Um den Angriff zu verhindern, kann entweder eine Standardisierung oder eine Zentralisierung angestrebt werden, die bereits von einigen kartenausgebenden Banken angeboten wird. Eine Standardisierung würde bedeuten, dass alle Händler die gleiche Zahlungsschnittstelle, also die gleiche Anzahl von Feldern, anbieten müssten. Dann skaliert der Angriff nicht mehr. Die Zentralisierung kann durch Zahlungsgateways oder Kartenzahlungsnetzwerke erreicht werden, die einen vollständigen Überblick über alle mit ihrem Netzwerk verbundenen Zahlungsversuche haben“, schloss die Studie.

Obwohl weder Standardisierung noch Zentralisierung zum Wesen des Internets passen – Freiheit und Freiheit – Dieser Prozess wird die Dinge für Karteninhaber sicherlich sicherer machen und sie weniger anfällig für Online-Angriffe machen Anschläge.

Zuletzt aktualisiert am 03. Februar 2022

Der obige Artikel kann Affiliate-Links enthalten, die Guiding Tech unterstützen. Dies beeinträchtigt jedoch nicht unsere redaktionelle Integrität. Die Inhalte bleiben unvoreingenommen und authentisch.