यह उपकरण 6 सेकंड में क्रेडिट कार्ड की जानकारी प्राप्त कर सकता है
अनेक वस्तुओं का संग्रह / / November 29, 2021
शोधकर्ताओं के एक समूह ने एक उपकरण तैयार किया है जो उन्हें कई ई-कॉमर्स मर्चेंट साइटों पर प्रश्न भेजकर - सीवीवी और समाप्ति तिथि सहित - क्रेडिट कार्ड की जानकारी खोजने में मदद करता है।
मोहम्मद आमिर अली, बुडी आरिफ, मार्टिन एम्स और एड वैन मूरसेल द्वारा किए गए एक व्यापक अध्ययन में ऑनलाइन भुगतान की रूपरेखा का उपयोग किया गया है। क्रेडिट और डेबिट कार्ड और विभिन्न व्यापारी साइटों पर कई भुगतान गेटवे के कारण सुरक्षा संबंधी समस्याएं थीं में प्रकाशित आईईईई सुरक्षा और गोपनीयता.
टूल का एल्गोरिदम सैकड़ों मर्चेंट वेबसाइटों पर सीवीवी और समाप्ति तिथियों के क्रमपरिवर्तन का अनुमान लगाता है और परीक्षण करता है।
अध्ययन के लेखक, जो न्यूकैसल विश्वविद्यालय से जुड़े हैं, ने बताया कि उनके उपकरण का उपयोग ज़िप कोड और पता डेटा का अनुमान लगाने के लिए भी किया जा सकता है। हैकर्स कार्ड जारी करने वाले वित्तीय संस्थान के साथ स्थान डेटा को सहसंबंधित करने के लिए टूल का उपयोग कर सकते हैं या स्किमिंग डिवाइस का उपयोग करके यह पता लगा सकते हैं कि किन व्यापारी साइटों ने कार्ड स्वाइप किया है।
"विभिन्न वेबसाइटों के सुरक्षा समाधानों में अंतर समग्र भुगतान प्रणाली में व्यावहारिक रूप से शोषक भेद्यता का परिचय देता है। एक हमलावर एक वितरित अनुमान लगाने वाले हमले का निर्माण करने के लिए इन अंतरों का फायदा उठा सकता है जो प्रयोग करने योग्य कार्ड भुगतान विवरण - कार्ड नंबर, समाप्ति तिथि, कार्ड उत्पन्न करता है सत्यापन मूल्य, और डाक पता - एक समय में एक फ़ील्ड, प्रत्येक उत्पन्न फ़ील्ड का उपयोग एक अलग व्यापारी का उपयोग करके अगली फ़ील्ड उत्पन्न करने के लिए उत्तराधिकार में किया जा सकता है वेबसाइट,"
अध्ययन कहता है.यदि संबंधित व्यापारी साइट ज़िप कोड नहीं मांगती है, तो उपकरण हवा की तरह काम करता है और कार्ड की जानकारी प्राप्त करना एक हमलावर के लिए केक का एक टुकड़ा है।
गेसिंग टूल कैसे काम करता है?
अध्ययन बताता है कि ई-कॉमर्स साइटों की दो प्रमुख कमजोरियों के कारण अनुमान लगाने का कार्य सक्षम है।
"कार्ड विवरण प्राप्त करने के लिए, डेटा का अनुमान लगाने के लिए कोई वेब मर्चेंट के भुगतान पृष्ठ का उपयोग कर सकता है: लेन-देन के प्रयास के लिए व्यापारी का जवाब बताएगा कि अनुमान सही था या नहीं," रिपोर्ट में कहा गया है।
सबसे पहले, विभिन्न व्यापारी साइटों पर एक ही कार्ड से कई भुगतान अनुरोध वर्तमान ऑनलाइन भुगतान पारिस्थितिकी तंत्र में एक झंडा नहीं उठाते हैं। दूसरे, विभिन्न वेब मर्चेंट कार्ड विवरण फ़ील्ड के विभिन्न सेट प्रदान करते हैं, जो अनुमान लगाने वाले आक्रमण उपकरण को एक समय में एक फ़ील्ड कार्ड की जानकारी को समझने में सक्षम बनाता है।
यदि कोई हमलावर आपके कार्ड के विवरण को क्रैक करने में सक्षम है, तो यह न केवल उसे कार्ड का उपयोग करके खरीदारी करने की अनुमति देगा, बल्कि एक ऑनलाइन धन हस्तांतरण भी किया जा सकता है - अधिमानतः किसी अज्ञात खाते में। अन्य देश के रूप में इस तरह के हमलों को बैंकों द्वारा भुगतान उलट कर विफल किया जा सकता है लेकिन क्रॉस-कंट्री रिवर्सल एक अधिक थकाऊ और समय लेने वाली प्रक्रिया है जो हमलावर को पर्याप्त समय देती है निकालना।
शोध यह भी बताता है कि वीज़ा कार्ड मास्टरकार्ड की तुलना में हमले के लिए अधिक संवेदनशील होते हैं। ऐसा इसलिए है क्योंकि 100 अमान्य प्रयास किए जाने के बाद मास्टरकार्ड बंद हो जाता है, लेकिन वीज़ा के साथ ऐसा नहीं है।
"हमले को रोकने के लिए, मानकीकरण या केंद्रीकरण का अनुसरण किया जा सकता है, जो पहले से ही कुछ कार्ड जारी करने वाले बैंकों द्वारा प्रदान किया जा रहा है। मानकीकरण का अर्थ यह होगा कि सभी व्यापारियों को समान भुगतान इंटरफ़ेस, यानी समान संख्या में फ़ील्ड प्रदान करने की आवश्यकता है। फिर हमला अब और नहीं बढ़ता। भुगतान गेटवे या कार्ड भुगतान नेटवर्क द्वारा अपने नेटवर्क से जुड़े सभी भुगतान प्रयासों पर पूर्ण दृष्टिकोण रखने के द्वारा केंद्रीकरण प्राप्त किया जा सकता है, "अध्ययन ने निष्कर्ष निकाला।
हालांकि न तो मानकीकरण और न ही केंद्रीकरण इंटरनेट के सार के साथ फिट बैठता है - स्वतंत्रता और स्वतंत्रता - यह प्रक्रिया निश्चित रूप से कार्डधारकों के लिए चीजों को अधिक सुरक्षित बनाएगी और उन्हें ऑनलाइन के प्रति कम संवेदनशील बनाएगी हमले।