כלי זה יכול למצוא מידע על כרטיס אשראי תוך 6 שניות

קבוצה של חוקרים עיצבה כלי שעוזר להם למצוא פרטי כרטיס אשראי - כולל CVV ותאריך תפוגה - על ידי שליחת שאילתות למספר אתרי מסחר אלקטרוני.

מחקר נרחב של מוחמד עמיר עלי, בודי אאריף, מרטין אמס ואד ואן מורסל, מתאר תשלומים מקוונים באמצעות כרטיסי אשראי וכרטיסי חיוב ובעיות האבטחה שנגרמו כתוצאה משערי תשלום מרובים באתרי סוחר שונים, היו פורסם ב IEEE אבטחה ופרטיות.

האלגוריתם של הכלי מנחש ובודק ציונים של תמורות של CVVs ותאריכי תפוגה במאות אתרי סוחרים.

מחברי המחקר, המקושרים לאוניברסיטת ניוקאסל, ציינו שניתן להשתמש בכלי שלהם גם כדי לנחש מיקוד ונתוני כתובות. האקרים יכולים להשתמש בכלי כדי לתאם את נתוני המיקום עם המוסד הפיננסי שמנפיק את הכרטיס או להשתמש במכשיר רחיפה כדי להבין אילו אתרי סוחר העבירו את הכרטיס.

"ההבדל בפתרונות האבטחה של אתרי אינטרנט שונים מציג פגיעות ניתנת לניצול כמעט במערכת התשלומים הכוללת. תוקף יכול לנצל את ההבדלים הללו כדי לבנות מתקפת ניחושים מבוזרת שיוצרת פרטי תשלום כרטיס שמיש - מספר כרטיס, תאריך תפוגה, כרטיס ערך אימות וכתובת דואר - שדה אחד בכל פעם, ניתן להשתמש בכל שדה שנוצר ברצף ליצירת השדה הבא באמצעות שדה של סוחר אחר אתר אינטרנט," קובע המחקר.

אם אתר הסוחר המודאג אינו מבקש את המיקוד, אז הכלי פועל כמו רוח קלה ורכישת מידע כרטיס היא חתיכת עוגה עבור התוקף.

כיצד פועל כלי הניחוש?

המחקר מתאר כי עבודת הניחוש מתאפשרת על ידי שתי נקודות חולשה עיקריות של אתרי מסחר אלקטרוני.

"כדי לקבל פרטי כרטיס, אפשר להשתמש בדף התשלום של סוחר אינטרנט כדי לנחש את הנתונים: תשובתו של הסוחר לניסיון עסקה תציין אם הניחוש היה נכון או לא", מוסיף הדו"ח.

ראשית, בקשות תשלום מרובות מאותו כרטיס באתרי סוחרים שונים אינן מרימות דגל באקו-סיסטם התשלומים המקוון הנוכחי. שנית, סוחרי אינטרנט שונים מספקים קבוצות שונות של שדות פרטי כרטיס, המאפשרים לכלי התקפת ניחוש לפענח מידע כרטיס אחד בכל פעם.

אם תוקף מצליח לפצח את פרטי הכרטיס שלך, זה לא רק יאפשר לו לעשות קניות באמצעות הכרטיס, אלא גם ניתן לבצע העברה מקוונת - רצוי לחשבון אנונימי בחלק מדינות אחרות ככאלה יכולות להיות מסוכלות על ידי הבנקים על ידי ביטול תשלומים, אבל היפוך בין מדינות הוא תהליך מייגע וגוזל זמן, שנותן לתוקף מספיק זמן לָסֶגֶת.

המחקר גם מצביע על כך שכרטיסי ויזה רגישים יותר להתקפה מאשר מאסטרקארד. הסיבה לכך היא שמאסטרקארד נכבה לאחר שבוצעו 100 ניסיונות לא חוקיים, אבל זה לא המקרה עם ויזה.

"כדי למנוע את המתקפה, ניתן לבצע סטנדרטיזציה או ריכוזיות, מה שכבר מסופק על ידי כמה בנקים המנפיקים כרטיסים. סטנדרטיזציה מרמזת שכל הסוחרים צריכים להציע את אותו ממשק תשלום, כלומר, את אותו מספר שדות. ואז ההתקפה לא גדלה יותר. ניתן להשיג ריכוזיות על ידי שערי תשלום או רשתות תשלומים בכרטיסים בעלי תצוגה מלאה של כל ניסיונות התשלום הקשורים לרשת שלה", סיכם המחקר.

למרות שסטנדרטיזציה או ריכוזיות לא מתאימות למהות האינטרנט - חופש וחופש - תהליך זה בוודאי יהפוך את הדברים לאבטחים יותר עבור מחזיקי הכרטיסים ויהפוך אותם לפחות רגישים לרשת התקפות.