Tämä työkalu löytää luottokorttitiedot 6 sekunnissa

Ryhmä tutkijoita on suunnitellut työkalun, joka auttaa heitä löytämään luottokorttitiedot – mukaan lukien CVV ja viimeinen voimassaolopäivä – lähettämällä kyselyjä useille verkkokaupan kauppiassivustoille.

Mohammad Aamir Alin, Budi Ariefin, Martin Emmsin ja Aad van Moorselin laajassa tutkimuksessa hahmotellaan verkkomaksuja käyttämällä luotto- ja pankkikortit sekä useiden maksuyhdyskäytävien aiheuttamat turvallisuusongelmat eri kauppiassivustoilla julkaistu IEEE: n tietoturva ja yksityisyys.

Työkalun algoritmi arvaa ja testaa lukuisia CVV-muutoksia ja vanhenemispäiviä sadoilla kauppiassivustoilla.

Tutkimuksen kirjoittajat, jotka ovat yhteydessä Newcastlen yliopistoon, huomauttivat, että heidän työkaluaan voidaan käyttää myös postinumeroiden ja osoitetietojen arvaamiseen. Hakkerit voivat käyttää työkalua sijaintitietojen korreloimiseen kortin myöntäneen rahoituslaitoksen kanssa tai kortinlukijalaitteen avulla selvittääkseen, mitkä kauppiassivustot pyyhkäisevät kortin.

”Erot eri sivustojen tietoturvaratkaisuissa tuovat käytännössä hyödynnettävän haavoittuvuuden koko maksujärjestelmään. Hyökkääjä voi hyödyntää näitä eroja rakentaakseen hajautetun arvaushyökkäyksen, joka tuottaa käyttökelpoisia korttimaksutietoja – kortin numeron, vanhenemispäivän, kortin vahvistusarvo ja postiosoite – yksi kenttä kerrallaan. Jokaista luotua kenttää voidaan käyttää peräkkäin seuraavan kentän luomiseen käyttämällä eri kauppiaan verkkosivusto,"

Jos kyseinen kauppiassivusto ei pyydä postinumeroa, työkalu toimii kuin tuulta ja korttitietojen hankkiminen on hyökkääjälle helppoa.

Kuinka arvaustyökalu toimii?

Selvitys linjaa, että arvaustyötä mahdollistavat verkkokauppasivustojen kaksi suurta heikkoutta.

"Korttitietojen saamiseksi voidaan käyttää verkkokauppiaan maksusivua arvaamaan tiedot: kauppiaan vastauksessa tapahtumayritykseen selviää, menikö arvaus oikein vai ei", raportti lisää.

Ensinnäkin useat maksupyynnöt samalta kortilta eri kauppiassivustoilla eivät nosta lippua nykyisessä verkkomaksuekosysteemissä. Toiseksi, eri verkkokauppiaat tarjoavat erilaisia ​​korttien tietokenttiä, joiden avulla arvaushyökkäystyökalu voi tulkita korttitiedot kenttä kerrallaan.

Jos hyökkääjä pystyy murtamaan korttitietosi, hän ei vain voi tehdä ostoksia kortilla, vaan hän voi myös tehdä rahansiirron verkossa – mieluiten anonyymille tilille joissakin maissa. Pankit voivat estää muiden maiden hyökkäykset peruuttamalla maksuja, mutta maiden välinen peruutus on työllisempi ja aikaa vievä prosessi, joka antaa hyökkääjälle riittävästi aikaa peruuttaa.

Tutkimus osoittaa myös, että Visa-kortit ovat herkempiä hyökkäykselle kuin Mastercard. Tämä johtuu siitä, että Mastercard sammuu 100 virheellisen yrityksen jälkeen, mutta tämä ei koske Visaa.

”Hyökkäyksen estämiseksi voidaan jatkaa joko standardointia tai keskittämistä, jota muutama korttia myöntävä pankki jo tarjoaa. Standardointi merkitsisi sitä, että kaikkien kauppiaiden on tarjottava sama maksurajapinta eli sama määrä kenttiä. Sitten hyökkäys ei skaalaudu enää. Keskittäminen voidaan saavuttaa siten, että maksuyhdyskäytävillä tai korttimaksuverkoilla on täysi näkymä kaikista verkkoon liittyvistä maksuyrityksistä”, tutkimus totesi.

Vaikka standardointi tai keskittäminen eivät sovikaan Internetin olemukseen - vapauteen ja vapauteen - Tämä prosessi tekee asioista varmasti turvallisempia kortinhaltijoille ja tekee heistä vähemmän alttiita verkkoon hyökkäyksiä.