See tööriist leiab krediitkaarditeabe 6 sekundiga

Rühm teadlasi on loonud tööriista, mis aitab neil leida krediitkaarditeavet, sealhulgas CVV-d ja aegumiskuupäeva, saates päringuid mitmele e-kaubanduse saidile.

Mohammad Aamir Ali, Budi Ariefi, Martin Emmsi ja Aad van Moorseli ulatuslik uuring kirjeldab veebimakseid kasutades oli aastal avaldatud IEEE turvalisus ja privaatsus.

Tööriista algoritm arvab ja testib CVV-de permutatsioone ja aegumiskuupäevi sadadel kaupmeeste veebisaitidel.

Uuringu autorid, kes on seotud Newcastle'i ülikooliga, märkisid, et nende tööriista saab kasutada ka sihtnumbrite ja aadressiandmete äraarvamiseks. Häkkerid saavad seda tööriista kasutada asukohaandmete korreleerimiseks kaardi väljastanud finantsasutusega või andmete otsimise seadme abil, et välja selgitada, millised kaupmehe saidid kaarti pühkisid.

“Erinevus erinevate veebilehtede turvalahendustes toob kaasa praktiliselt ärakasutatava haavatavuse kogu maksesüsteemis. Ründaja saab neid erinevusi ära kasutada hajutatud oletusrünnaku loomiseks, mis genereerib kasutatavaid kaardimakse üksikasju – kaardi number, aegumiskuupäev, kaart kinnitusväärtus ja postiaadress – üks väli korraga. Iga loodud välja saab kasutada järjestikku järgmise välja genereerimiseks, kasutades erineva kaupmehe veebisait,"

Kui asjaomane kaupmehe sait ei küsi sihtnumbrit, töötab tööriist nagu imelihtne ja kaarditeabe hankimine on ründaja jaoks käkitegu.

Kuidas arvamistööriist töötab?

Uuring toob välja, et oletustööd võimaldavad e-kaubanduse saitide kaks peamist nõrkust.

"Kaardiandmete saamiseks saab andmete äraarvamiseks kasutada veebikaupmehe makselehte: kaupmehe vastuses tehingukatsele teatatakse, kas arvamine oli õige või mitte," lisatakse aruandes.

Esiteks ei tõstata samalt kaardilt mitu maksetaotlust erinevatel kaupmeestesaitidel praeguses veebimaksete ökosüsteemis lippu. Teiseks pakuvad erinevad veebikaupmehed erinevaid kaardi üksikasjade väljade komplekte, mis võimaldab nuputamisründetööriistal kaarditeavet ühe välja haaval dešifreerida.

Kui ründaja suudab teie kaardiandmeid murda, ei võimalda see tal mitte ainult kaarti kasutades ostleda, vaid saab teha ka veebipõhise rahaülekande – mõnes kohas eelistatavalt anonüümsele kontole. Pangad võivad selliseid rünnakuid takistada, pöörates makseid tagasi, kuid riikidevaheline tagasivõtmine on tüütum ja aeganõudvam protsess, mis annab ründajale piisavalt aega taganema.

Uuring toob välja ka, et Visa kaardid on rünnakule vastuvõtlikumad kui Mastercard. Selle põhjuseks on asjaolu, et Mastercard lülitub välja pärast 100 kehtetut katset, kuid Visa puhul see nii ei ole.

«Rünnaku ärahoidmiseks võib tegeleda kas standardiseerimise või tsentraliseerimisega, mida mõned kaardid väljastavad pangad juba pakuvad. Standardimine tähendaks, et kõik kaupmehed peavad pakkuma sama makseliidest, st sama arvu välju. Siis rünnak enam ei ulatu. Tsentraliseerimist saab saavutada makselüüside või kaardimaksevõrkudega, millel on täielik ülevaade kõigist oma võrguga seotud maksekatsetest,“ järeldati uuringus.

Kuigi ei standardimine ega tsentraliseerimine ei sobi kokku Interneti olemusega – vabaduse ja vabadusega – See protsess muudab asjad kindlasti kaardiomanike jaoks turvalisemaks ja muudab nad võrgus vähem vastuvõtlikuks rünnakud.