Ovaj alat može pronaći podatke o kreditnoj kartici u 6 sekundi
Miscelanea / / February 14, 2022
Grupa istraživača osmislila je alat koji im pomaže pronaći podatke o kreditnoj kartici - uključujući CVV i datum isteka - slanjem upita na nekoliko web-mjesta trgovaca e-trgovine.
Opsežna studija Mohammada Aamira Alija, Budi Ariefa, Martina Emmsa i Aada van Moorsela opisuje online plaćanja pomoću kreditnim i debitnim karticama i sigurnosnim problemima uzrokovanim višestrukim pristupnicima za plaćanje na različitim trgovačkim stranicama, Objavljeno u IEEE sigurnost i privatnost.
Algoritam alata pogađa i testira rezultate permutacija CVV-ova i datuma isteka na stotinama web-mjesta trgovaca.
Autori studije, koji su povezani sa Sveučilištem Newcastle, istaknuli su da se njihov alat također može koristiti za pogađanje poštanskih brojeva i podataka o adresi. Hakeri mogu koristiti alat za povezivanje podataka o lokaciji s financijskom institucijom koja je izdala karticu ili koristiti uređaj za skimming kako bi otkrili koje su web-lokacije trgovaca prevukle karticu.
“Razlika u sigurnosnim rješenjima različitih web stranica uvodi praktički iskoristivu ranjivost u cjelokupni sustav plaćanja. Napadač može iskoristiti te razlike za izgradnju distribuiranog napada pogađanja koji generira upotrebljive podatke o plaćanju karticom - broj kartice, datum isteka, karticu vrijednost provjere i poštanska adresa - jedno po jedno polje, svako generirano polje može se koristiti uzastopno za generiranje sljedećeg polja korištenjem drugog trgovca web stranica,"
navodi se u studiji.Ako dotično web-mjesto trgovca ne traži poštanski broj, tada alat radi kao povjetarac, a stjecanje podataka o kartici je za napadača laka stvar.
Kako funkcionira alat za pogađanje?
Studija ističe da rad nagađanja omogućuju dvije velike slabosti web-mjesta za e-trgovinu.
"Da biste dobili podatke o kartici, možete koristiti stranicu za plaćanje web trgovca kako biste pogodili podatke: u odgovoru trgovca na pokušaj transakcije navodi se je li nagađanje bila točna ili ne", dodaje se u izvješću.
Prvo, višestruki zahtjevi za plaćanje s iste kartice na različitim web-lokacijama trgovaca ne podižu zastavu u trenutnom ekosustavu online plaćanja. Drugo, različiti web-trgovci pružaju različite skupove polja pojedinosti o kartici, što omogućuje alatu za napade pogađanjem da dešifrira podatke o kartici jedno po jedno polje.
Ako napadač uspije provaliti podatke o vašoj kartici, ne samo da će mu omogućiti kupnju pomoću kartice, već se može izvršiti i online prijenos novca - po mogućnosti na anonimni račun u nekom Banke mogu spriječiti napade u drugim zemljama kao takve napade poništavanjem plaćanja, ali poništavanje plaćanja u drugim zemljama je dosadniji i dugotrajniji proces koji napadaču daje dovoljno vremena da povući.
Istraživanje također ističe da su Visa kartice podložnije napadu od Mastercarda. To je zato što se Mastercard gasi nakon 100 nevažećih pokušaja, ali to nije slučaj s Visom.
“Da bi se spriječio napad, može se provoditi ili standardizacija ili centralizacija, koju već osigurava nekoliko banaka izdavatelja kartica. Standardizacija bi podrazumijevala da svi trgovci moraju ponuditi isto sučelje plaćanja, odnosno isti broj polja. Tada napad više ne raste. Centralizacija se može postići putem pristupnika za plaćanje ili mrežama za plaćanje karticama koje imaju potpuni pregled svih pokušaja plaćanja povezanih sa svojom mrežom”, zaključuje se u studiji.
Iako se ni standardizacija ni centralizacija ne uklapaju u bit interneta — slobodu i slobodu — ovaj će proces zasigurno učiniti stvari sigurnijim za vlasnike kartica i učiniti ih manje osjetljivima na internet napadi.
Posljednje ažurirano 3. veljače 2022
Gornji članak može sadržavati partnerske veze koje pomažu u podršci Guiding Tech. Međutim, to ne utječe na naš urednički integritet. Sadržaj ostaje nepristran i autentičan.
Napisao
Biciklistički entuzijast, putnik, ManUtd sljedbenik, vojno derište, kovač riječi; Sveučilište u Delhiju, Azijski fakultet novinarstva, bivši student Sveučilišta u Cardiffu; novinarka koja diše ovih dana.