このツールは6秒でクレジットカード情報を見つけることができます

研究者のグループは、いくつかのeコマースマーチャントサイトにクエリを送信することにより、CVVや有効期限などのクレジットカード情報を見つけるのに役立つツールを設計しました。

Mohammad Aamir Ali、Budi Arief、Martin Emms、Aad van Moorselによる広範な調査では、 クレジットカードとデビットカード、および異なるマーチャントサイトの複数の支払いゲートウェイによって引き起こされるセキュリティの問題は、 に発表されました IEEEのセキュリティとプライバシー.

このツールのアルゴリズムは、数百の販売者のWebサイトでCVVの順列と有効期限のスコアを推測してテストします。

ニューカッスル大学に関連する研究の著者は、彼らのツールは郵便番号と住所データを推測するためにも使用できると指摘しました。 ハッカーはこのツールを使用して、位置データをカード発行の金融機関と関連付けるか、スキミングデバイスを使用してどのマーチャントサイトがカードをスワイプしたかを把握できます。

「さまざまなWebサイトのセキュリティソリューションの違いにより、決済システム全体に実際に悪用可能な脆弱性がもたらされます。 攻撃者はこれらの違いを悪用して、使用可能なカード支払いの詳細（カード番号、有効期限、カード）を生成する分散型推測攻撃を構築できます。 確認値、および住所—一度に1つのフィールド。生成された各フィールドを連続して使用して、異なる販売者を使用して次のフィールドを生成できます。 Webサイト、" 研究は述べています.

関係する販売者サイトが郵便番号を要求しない場合、ツールは簡単に機能し、カード情報を取得することは攻撃者にとって簡単なことです。

推測ツールはどのように機能しますか？

この調査では、eコマースサイトの2つの大きな弱点によって推測作業が可能になることが概説されています。

「カードの詳細を取得するには、Webマーチャントの支払いページを使用してデータを推測できます。トランザクションの試行に対するマーチャントの応答には、推測が正しいかどうかが示されます」とレポートは付け加えています。

まず、異なる販売者サイトの同じカードからの複数の支払い要求は、現在のオンライン支払いエコシステムでフラグを立てません。 次に、さまざまなWebマーチャントがさまざまなカード詳細フィールドのセットを提供します。これにより、推測攻撃ツールは一度に1つのフィールドでカード情報を解読できます。

攻撃者がカードの詳細を解読できる場合は、カードを使用して買い物をするだけでなく、オンライン送金も可能です。できれば、一部の匿名アカウントに送金することもできます。 他の国では、そのような攻撃は支払いを取り消すことによって銀行によって阻止される可能性がありますが、国をまたがる取り消しは、攻撃者に十分な時間を与える、より退屈で時間のかかるプロセスです。 撤退。

調査では、VisaカードはMastercardよりも攻撃を受けやすいことも指摘されています。 これは、100回の無効な試行が行われた後にMastercardがシャットダウンするためですが、Visaの場合はそうではありません。

「攻撃を防ぐために、標準化または集中化のい​​ずれかを追求することができます。これは、いくつかのカード発行会社によってすでに提供されています。 標準化は、すべてのマーチャントが同じ支払いインターフェース、つまり同じ数のフィールドを提供する必要があることを意味します。 その後、攻撃はそれ以上拡大しません。 一元化は、ネットワークに関連するすべての支払い試行を完全に把握できる支払いゲートウェイまたはカード支払いネットワークによって実現できます」と研究は結論付けています。

標準化も中央集権化もインターネットの本質、つまり自由と自由に適合していませんが このプロセスにより、カード所有者の安全性が高まり、オンラインの影響を受けにくくなります。 攻撃。

最終更新日：2022年2月3日

上記の記事には、GuidingTechのサポートに役立つアフィリエイトリンクが含まれている場合があります。 ただし、編集の整合性には影響しません。 コンテンツは公平で本物のままです。