Ez az eszköz 6 másodperc alatt megtalálja a hitelkártyaadatokat

Kutatók egy csoportja olyan eszközt fejlesztett ki, amely segít megtalálni a hitelkártya-információkat – beleértve a CVV-t és a lejárati dátumot – azáltal, hogy több e-kereskedelmi kereskedő webhelyre küldi le a kérdéseit.

Mohammad Aamir Ali, Budi Arief, Martin Emms és Aad van Moorsel átfogó tanulmánya felvázolja az online fizetéseket hitel- és betéti kártyák, valamint a különböző kereskedői oldalakon található fizetési átjárók által okozott biztonsági problémák kiadva IEEE biztonság és adatvédelem.

Az eszköz algoritmusa kitalálja és teszteli a CVV-k és a lejárati dátumok permutációit több száz kereskedői webhelyen.

A tanulmány szerzői, akik kapcsolatban állnak a Newcastle Egyetemmel, rámutattak, hogy eszközük irányítószámok és címadatok kitalálására is használható. A hackerek az eszköz segítségével összefüggésbe hozhatják a helyadatokat a kártyát kibocsátó pénzintézettel, vagy egy áttekintő eszközzel kideríthetik, mely kereskedői webhelyek húzták le a kártyát.

„A különböző weboldalak biztonsági megoldásainak különbsége gyakorlatilag kihasználható sebezhetőséget jelent a teljes fizetési rendszerben. A támadó ezeket a különbségeket kihasználva elosztott találgatási támadást hozhat létre, amely használható kártyafizetési adatokat generál – kártyaszám, lejárati dátum, kártya ellenőrző érték és postacím – egy-egy mező weboldal,"

Ha az érintett kereskedő webhely nem kéri az irányítószámot, akkor az eszköz gyerekjátékként működik, és a kártyainformációk megszerzése egy darab torta egy támadó számára.

Hogyan működik a Találgatási eszköz?

A tanulmány felvázolja, hogy a találgatást az e-kereskedelmi webhelyek két fő gyengesége teszi lehetővé.

„A kártyaadatok megszerzéséhez a webkereskedő fizetési oldala segítségével kitalálható az adatok: a kereskedő tranzakciós kísérletre adott válasza jelzi, hogy a találgatás helyes volt-e vagy sem” – teszi hozzá a jelentés.

Először is, ugyanazon kártyáról különböző kereskedői webhelyeken érkező többszörös fizetési kérelmek nem jelentenek zászlót a jelenlegi online fizetési ökoszisztémában. Másodszor, a különböző internetes kereskedők különböző kártyarészletező mezőket biztosítanak, ami lehetővé teszi a kitaláló támadási eszköz számára, hogy egyenként megfejtse a kártyainformációkat.

Ha egy támadó fel tudja törni a kártyaadatait, akkor nem csak a kártyával vásárolhat, hanem online pénzátutalást is végrehajthat – lehetőleg névtelen számlára. Más országok esetében a támadásokat a bankok meghiúsíthatják a fizetések visszafordításával, de az országok közötti visszavonás fáradságosabb és időigényesebb folyamat, amely elegendő időt biztosít a támadónak visszavonulni.

A kutatás arra is rámutat, hogy a Visa kártyák érzékenyebbek a támadásra, mint a Mastercard. Ennek az az oka, hogy a Mastercard 100 érvénytelen próbálkozás után leáll, de ez nem így van a Visa esetében.

„A támadás megelőzése érdekében akár szabványosításra, akár központosításra lehet törekedni, amit már néhány kártyakibocsátó bank is biztosít. A szabványosítás azt jelentené, hogy minden kereskedőnek ugyanazt a fizetési felületet, azaz ugyanannyi mezőt kell kínálnia. Ekkor a támadás nem terjed tovább. A központosítás úgy valósítható meg, hogy a fizetési átjárók vagy a kártyás fizetési hálózatok teljes áttekintéssel rendelkeznek a hálózatához kapcsolódó összes fizetési kísérletről” – zárult a tanulmány.

Bár sem a szabványosítás, sem a központosítás nem illeszkedik az internet lényegéhez – a szabadsághoz és a szabadsághoz – ez a folyamat minden bizonnyal biztonságosabbá teszi a kártyabirtokosok dolgait, és kevésbé lesz kitéve az internetnek támadások.