Ovaj alat može pronaći podatke o kreditnoj kartici u 6 sekundi

Grupa istraživača osmislila je alat koji im pomaže pronaći podatke o kreditnoj kartici – uključujući CVV i datum isteka – slanjem upita na nekoliko web-mjesta trgovaca e-trgovine.

Opsežna studija Mohammada Aamira Alija, Budi Ariefa, Martina Emmsa i Aada van Moorsela opisuje online plaćanja pomoću kreditnim i debitnim karticama i sigurnosnim problemima uzrokovanim višestrukim pristupnicima za plaćanje na različitim web-lokacijama trgovaca. Objavljeno u IEEE sigurnost i privatnost.

Algoritam alata pogađa i testira rezultate permutacija CVV-ova i datuma isteka na stotinama web-mjesta trgovaca.

Autori studije, koji su povezani sa Sveučilištem Newcastle, istaknuli su da se njihov alat može koristiti i za pogađanje poštanskih brojeva i podataka o adresi. Hakeri mogu koristiti alat za povezivanje podataka o lokaciji s financijskom institucijom koja je izdala karticu ili upotrijebiti uređaj za skimming kako bi otkrili koje su web-lokacije trgovaca prevukle karticu.

“Razlika u sigurnosnim rješenjima različitih web stranica uvodi praktički iskoristivu ranjivost u cjelokupni sustav plaćanja. Napadač može iskoristiti te razlike za izgradnju distribuiranog napada pogađanja koji generira upotrebljive podatke o plaćanju karticom - broj kartice, datum isteka, karticu vrijednost provjere i poštanska adresa - jedno po jedno polje, svako generirano polje može se koristiti uzastopno za generiranje sljedećeg polja korištenjem drugog trgovca web stranica,"

Ako dotično web-mjesto trgovca ne traži poštanski broj, tada alat radi kao povjetarac, a stjecanje informacija o kartici je za napadača laka stvar.

Kako funkcionira alat za pogađanje?

Studija ističe da rad nagađanja omogućuju dvije velike slabosti web-mjesta za e-trgovinu.

"Da biste dobili podatke o kartici, možete koristiti stranicu za plaćanje web trgovca da pogodite podatke: u odgovoru trgovca na pokušaj transakcije stajat će je li nagađanje bila točna ili ne", dodaje se u izvješću.

Prvo, višestruki zahtjevi za plaćanje s iste kartice na različitim web-lokacijama trgovaca ne podižu zastavu u trenutnom ekosustavu online plaćanja. Drugo, različiti web trgovci pružaju različite skupove polja s pojedinostima o kartici, što omogućuje alatu za napade pogađanjem da dešifrira podatke o kartici jedno po jedno polje.

Ako napadač uspije provaliti podatke o vašoj kartici, ne samo da će mu omogućiti kupnju pomoću kartice, već se može izvršiti i online prijenos novca - po mogućnosti na anonimni račun u nekom Banke mogu spriječiti napade u drugim zemljama kao takve napade poništavanjem plaćanja, ali poništavanje plaćanja u drugim zemljama je dosadniji i dugotrajniji proces koji napadaču daje dovoljno vremena da povući.

Istraživanje također ističe da su Visa kartice podložnije napadu od Mastercarda. To je zato što se Mastercard gasi nakon 100 nevažećih pokušaja, ali to nije slučaj s Visom.

“Da bi se spriječio napad, može se provoditi ili standardizacija ili centralizacija, koju već osigurava nekoliko banaka izdavatelja kartica. Standardizacija bi podrazumijevala da svi trgovci moraju ponuditi isto sučelje plaćanja, odnosno isti broj polja. Tada napad više ne raste. Centralizacija se može postići pristupnicima za plaćanje ili mrežama za plaćanje karticama koje imaju potpuni pregled svih pokušaja plaćanja povezanih sa svojom mrežom”, zaključuje se u studiji.

Iako se ni standardizacija ni centralizacija ne uklapaju u bit interneta — slobodu i slobodu — ovaj će proces zasigurno učiniti stvari sigurnijim za korisnike kartica i učiniti ih manje osjetljivima na internet napadi.