Αυτό το εργαλείο μπορεί να βρει πληροφορίες πιστωτικής κάρτας σε 6 δευτερόλεπτα

Μια ομάδα ερευνητών σχεδίασε ένα εργαλείο που τους βοηθά να βρίσκουν πληροφορίες πιστωτικών καρτών — συμπεριλαμβανομένου του CVV και της ημερομηνίας λήξης — στέλνοντας ερωτήματα σε διάφορους ιστότοπους εμπόρων ηλεκτρονικού εμπορίου.

Μια εκτενής μελέτη από τους Mohammad Aamir Ali, Budi Arief, Martin Emms και Aad van Moorsel, περιγράφει τις διαδικτυακές πληρωμές που χρησιμοποιούν πιστωτικών και χρεωστικών καρτών και τα ζητήματα ασφάλειας που προκαλούνται από πολλαπλές πύλες πληρωμής σε διαφορετικούς ιστότοπους εμπόρων, ήταν δημοσιευτηκε σε IEEE Ασφάλεια & Απόρρητο.

Ο αλγόριθμος του εργαλείου μαντεύει και δοκιμάζει βαθμολογίες μεταθέσεων CVV και ημερομηνίες λήξης σε εκατοντάδες ιστότοπους εμπόρων.

Οι συγγραφείς της μελέτης, οι οποίοι σχετίζονται με το Πανεπιστήμιο του Newcastle, τόνισαν ότι το εργαλείο τους μπορεί επίσης να χρησιμοποιηθεί για να μαντέψει ταχυδρομικούς κώδικες και δεδομένα διεύθυνσης. Οι χάκερ μπορούν να χρησιμοποιήσουν το εργαλείο για να συσχετίσουν τα δεδομένα τοποθεσίας με το χρηματοπιστωτικό ίδρυμα που εκδίδει την κάρτα ή να χρησιμοποιήσουν μια συσκευή skimming για να καταλάβουν ποιοι ιστότοποι εμπόρων έσφιξαν την κάρτα.

«Η διαφορά στις λύσεις ασφαλείας των διαφόρων ιστότοπων εισάγει μια πρακτικά εκμεταλλεύσιμη ευπάθεια στο συνολικό σύστημα πληρωμών. Ένας εισβολέας μπορεί να εκμεταλλευτεί αυτές τις διαφορές για να δημιουργήσει μια κατανεμημένη επίθεση εικασίας που δημιουργεί χρήσιμα στοιχεία πληρωμής με κάρτα — αριθμός κάρτας, ημερομηνία λήξης, κάρτα τιμή επαλήθευσης και ταχυδρομική διεύθυνση — ένα πεδίο κάθε φορά, Κάθε πεδίο που δημιουργείται μπορεί να χρησιμοποιηθεί διαδοχικά για τη δημιουργία του επόμενου πεδίου χρησιμοποιώντας διαφορετικούς εμπόρους δικτυακός τόπος," αναφέρει η μελέτη.

Εάν ο σχετικός ιστότοπος εμπόρου δεν ζητά τον ταχυδρομικό κώδικα, τότε το εργαλείο λειτουργεί σαν παιχνιδάκι και η απόκτηση πληροφοριών κάρτας είναι κάτι το παιχνιδάκι για έναν εισβολέα.

Πώς λειτουργεί το Εργαλείο εικασίας;

Η μελέτη υπογραμμίζει ότι η εργασία εικασίας είναι δυνατή από δύο κύριες αδυναμίες των ιστότοπων ηλεκτρονικού εμπορίου.

«Για να αποκτήσετε στοιχεία κάρτας, μπορείτε να χρησιμοποιήσετε τη σελίδα πληρωμής ενός εμπόρου Ιστού για να μαντέψετε τα δεδομένα: η απάντηση του εμπόρου σε μια προσπάθεια συναλλαγής θα αναφέρει εάν η εικασία ήταν σωστή ή όχι», προσθέτει η έκθεση.

Πρώτον, τα πολλαπλά αιτήματα πληρωμής από την ίδια κάρτα σε διαφορετικούς ιστότοπους εμπόρων δεν σηκώνουν ένδειξη στο τρέχον οικοσύστημα πληρωμών στο διαδίκτυο. Δεύτερον, διαφορετικοί έμποροι Ιστού παρέχουν διαφορετικά σύνολα πεδίων λεπτομερειών κάρτας, τα οποία επιτρέπουν στο εργαλείο επίθεσης εικασίας να αποκρυπτογραφεί τις πληροφορίες της κάρτας ένα πεδίο κάθε φορά.

Εάν ένας εισβολέας καταφέρει να σπάσει τα στοιχεία της κάρτας σας, όχι μόνο θα του επιτρέψει να ψωνίσει χρησιμοποιώντας την κάρτα, αλλά μπορεί επίσης να πραγματοποιηθεί διαδικτυακή μεταφορά χρημάτων — κατά προτίμηση σε έναν ανώνυμο λογαριασμό σε ορισμένες άλλες χώρες ως τέτοιες επιθέσεις μπορούν να αποτραπούν από τις τράπεζες με την αντιστροφή πληρωμών, αλλά η αντιστροφή μεταξύ των χωρών είναι μια πιο κουραστική και χρονοβόρα διαδικασία που δίνει στον εισβολέα αρκετό χρόνο για να αποσύρω.

Η έρευνα επισημαίνει επίσης ότι οι κάρτες Visa είναι πιο επιρρεπείς στην επίθεση από τη Mastercard. Αυτό συμβαίνει επειδή μια Mastercard κλείνει μετά από 100 άκυρες προσπάθειες, αλλά αυτό δεν συμβαίνει με τη Visa.

«Για να αποφευχθεί η επίθεση, μπορεί να επιδιωχθεί είτε η τυποποίηση είτε η συγκέντρωση, η οποία παρέχεται ήδη από μερικές τράπεζες έκδοσης καρτών. Η τυποποίηση σημαίνει ότι όλοι οι έμποροι πρέπει να προσφέρουν την ίδια διεπαφή πληρωμής, δηλαδή τον ίδιο αριθμό πεδίων. Τότε η επίθεση δεν κλιμακώνεται πια. Ο συγκεντρωτισμός μπορεί να επιτευχθεί με πύλες πληρωμής ή δίκτυα πληρωμών με κάρτα που διαθέτουν πλήρη εικόνα όλων των προσπαθειών πληρωμής που σχετίζονται με το δίκτυό της», κατέληξε η μελέτη.

Αν και ούτε η τυποποίηση ούτε ο συγκεντρωτισμός ταιριάζουν με την ουσία του Διαδικτύου — ελευθερία και ελευθερία — αυτή η διαδικασία σίγουρα θα κάνει τα πράγματα πιο ασφαλή για τους κατόχους καρτών και θα τους κάνει λιγότερο ευάλωτους στο διαδίκτυο επιθέσεις.