Alat Ini Dapat Menemukan Informasi Kartu Kredit dalam 6 Detik

Sekelompok peneliti telah merancang alat yang membantu mereka menemukan informasi kartu kredit — termasuk CVV dan tanggal kedaluwarsa — dengan mengirimkan kueri ke beberapa situs pedagang e-niaga.

Sebuah studi ekstensif oleh Mohammad Aamir Ali, Budi Arief, Martin Emms dan Aad van Moorsel, menguraikan pembayaran online menggunakan kartu kredit dan debit dan masalah keamanan yang disebabkan oleh beberapa gateway pembayaran di situs merchant yang berbeda, adalah diterbitkan di Keamanan & Privasi IEEE.

Algoritme alat ini menebak dan menguji skor permutasi CVV dan tanggal kedaluwarsa di ratusan situs web pedagang.

Penulis penelitian, yang terkait dengan Universitas Newcastle, menunjukkan bahwa alat mereka juga dapat digunakan untuk menebak kode pos dan data alamat. Peretas dapat menggunakan alat ini untuk menghubungkan data lokasi dengan lembaga keuangan penerbit kartu atau menggunakan perangkat skimming untuk mengetahui situs pedagang mana yang menggesek kartu.

“Perbedaan dalam solusi keamanan dari berbagai situs web memperkenalkan kerentanan yang dapat dieksploitasi secara praktis dalam sistem pembayaran secara keseluruhan. Penyerang dapat memanfaatkan perbedaan ini untuk membangun serangan menebak terdistribusi yang menghasilkan detail pembayaran kartu yang dapat digunakan — nomor kartu, tanggal kedaluwarsa, kartu nilai verifikasi, dan alamat pos — satu bidang pada satu waktu, Setiap bidang yang dihasilkan dapat digunakan secara berurutan untuk menghasilkan bidang berikutnya dengan menggunakan alamat pedagang yang berbeda situs web,"

Jika situs pedagang yang bersangkutan tidak meminta kode ZIP, maka alat tersebut bekerja dengan sangat mudah dan memperoleh informasi kartu adalah hal yang mudah bagi penyerang.

Bagaimana Cara Kerja Alat Menebak?

Studi ini menguraikan bahwa pekerjaan menebak dimungkinkan oleh dua kelemahan utama situs e-commerce.

“Untuk mendapatkan detail kartu, seseorang dapat menggunakan halaman pembayaran pedagang web untuk menebak data: balasan pedagang terhadap upaya transaksi akan menyatakan apakah tebakan itu benar atau tidak,” tambah laporan itu.

Pertama, beberapa permintaan pembayaran dari kartu yang sama di situs pedagang yang berbeda tidak menimbulkan tanda di ekosistem pembayaran online saat ini. Kedua, pedagang web yang berbeda menyediakan set bidang detail kartu yang berbeda, yang memungkinkan alat serangan menebak untuk menguraikan informasi kartu satu bidang pada satu waktu.

Jika penyerang dapat memecahkan detail kartu Anda, itu tidak hanya akan memungkinkan dia untuk berbelanja menggunakan kartu tersebut, tetapi transfer uang online juga dapat dilakukan — sebaiknya ke akun anonim di beberapa negara lain karena serangan tersebut dapat digagalkan oleh bank dengan membalikkan pembayaran tetapi pembalikan lintas negara adalah proses yang lebih membosankan dan memakan waktu yang memberikan penyerang cukup waktu untuk menarik.

Penelitian juga menunjukkan bahwa kartu Visa lebih rentan terhadap serangan daripada Mastercard. Ini karena Mastercard dimatikan setelah 100 upaya tidak valid dilakukan, tetapi ini tidak berlaku untuk Visa.

“Untuk mencegah serangan itu, bisa dilakukan standarisasi atau sentralisasi, yang sudah disediakan oleh beberapa bank penerbit kartu. Standarisasi akan menyiratkan bahwa semua pedagang harus menawarkan antarmuka pembayaran yang sama, yaitu jumlah bidang yang sama. Kemudian serangan tidak skala lagi. Sentralisasi dapat dicapai dengan gateway pembayaran atau jaringan pembayaran kartu yang memiliki pandangan penuh atas semua upaya pembayaran yang terkait dengan jaringannya, ”penelitian menyimpulkan.

Meskipun tidak ada standarisasi atau sentralisasi yang sesuai dengan esensi internet — kebebasan dan kebebasan — proses ini pasti akan membuat segalanya lebih aman bagi pemegang kartu dan membuat mereka tidak terlalu rentan terhadap online serangan.