ამ ხელსაწყოს შეუძლია საკრედიტო ბარათის ინფორმაციის მოძიება 6 წამში
Miscellanea / / November 29, 2021
მკვლევართა ჯგუფმა შეიმუშავა ინსტრუმენტი, რომელიც ეხმარება მათ იპოვონ საკრედიტო ბარათის ინფორმაცია - მათ შორის CVV და ვადის გასვლის თარიღი - შეკითხვების გაგზავნით რამდენიმე ელექტრონული კომერციის სავაჭრო საიტებზე.
მოჰამედ აამირ ალის, ბუდი არიეფის, მარტინ ემსის და ად ვან მურსელის ვრცელი კვლევა, ასახავს ონლაინ გადახდებს. იყო საკრედიტო და სადებეტო ბარათები და უსაფრთხოების საკითხები, რომლებიც გამოწვეული იყო გადახდის მრავალი კარიბჭით სხვადასხვა სავაჭრო საიტებზე გამოაქვეყნა IEEE უსაფრთხოება და კონფიდენციალურობა.
ხელსაწყოს ალგორითმი გამოცნობს და ამოწმებს CVV-ების ცვლილებებს და ვადის გასვლის თარიღებს ასობით სავაჭრო ვებსაიტზე.
კვლევის ავტორებმა, რომლებიც დაკავშირებულია ნიუკასლის უნივერსიტეტთან, აღნიშნეს, რომ მათი ინსტრუმენტი ასევე შეიძლება გამოყენებულ იქნას საფოსტო კოდებისა და მისამართის მონაცემების გამოსაცნობად. ჰაკერებს შეუძლიათ გამოიყენონ ეს ინსტრუმენტი ბარათის გამცემი ფინანსური ინსტიტუტის მდებარეობის მონაცემების დასაკავშირებლად, ან გამოიყენონ skimming მოწყობილობა, რათა გაარკვიონ, თუ რომელმა სავაჭრო ობიექტებმა გადააფურთხეს ბარათი.
„სხვადასხვა ვებსაიტების უსაფრთხოების გადაწყვეტილებების განსხვავება წარმოშობს პრაქტიკულად ექსპლუატირებად დაუცველობას მთლიან გადახდის სისტემაში. თავდამსხმელს შეუძლია გამოიყენოს ეს განსხვავებები განაწილებული გამოცნობის შეტევის შესაქმნელად, რომელიც გამოიმუშავებს ბარათის გამოსაყენებელ გადახდის დეტალებს - ბარათის ნომერს, ვადის გასვლის თარიღს, ბარათს. ვერიფიკაციის ღირებულება და საფოსტო მისამართი — ერთი ველი ერთდროულად, ყოველი გენერირებული ველი შეიძლება გამოყენებულ იქნას ზედიზედ შემდეგი ველის გენერირებისთვის სხვადასხვა სავაჭრო ობიექტში. ვებსაიტზე,” კვლევაში ნათქვამია.
თუ შესაბამისი სავაჭრო საიტი არ ითხოვს ZIP კოდს, მაშინ ინსტრუმენტი მუშაობს როგორც ნიავი და ბარათის ინფორმაციის მიღება თავდამსხმელისთვის ტორტის ნაჭერია.
როგორ მუშაობს გამოცნობის ინსტრუმენტი?
კვლევა ხაზს უსვამს, რომ გამოცნობის სამუშაოს შესაძლებლობა აქვს ელექტრონული კომერციის საიტების ორი ძირითადი სისუსტე.
„ბარათის დეტალების მისაღებად, შეგიძლიათ გამოიყენოთ ვებ მოვაჭრის გადახდის გვერდი მონაცემების გამოსაცნობად: ვაჭრის პასუხი ტრანზაქციის მცდელობაზე მიუთითებს, იყო თუ არა გამოცნობა სწორი“, დასძენს მოხსენებაში.
პირველი, სხვადასხვა სავაჭრო საიტებზე ერთი და იმავე ბარათიდან გადახდის მრავალჯერადი მოთხოვნა არ აყენებს დროშას მიმდინარე ონლაინ გადახდის ეკოსისტემაში. მეორეც, სხვადასხვა ვებ მოვაჭრეები უზრუნველყოფენ ბარათის დეტალების ველების სხვადასხვა კომპლექტს, რაც საშუალებას აძლევს გამოცნობის თავდასხმის ხელსაწყოს გაშიფროს ბარათის ინფორმაცია თითო ველში.
თუ თავდამსხმელს შეუძლია თქვენი ბარათის დეტალების გატეხვა, ეს საშუალებას მისცემს მას არამარტო იყიდოს ბარათის გამოყენებით, არამედ შესაძლებელია ონლაინ ფულის გადარიცხვაც - სასურველია ზოგიერთში ანონიმურ ანგარიშზე. სხვა ქვეყანაში, როგორც ასეთი თავდასხმები, ბანკებმა შეიძლება აღკვეთონ გადახდების შებრუნებით, მაგრამ ქვეყნებს შორის შებრუნება უფრო შრომატევადი და შრომატევადი პროცესია, რომელიც თავდამსხმელს საკმარის დროს აძლევს. გაყვანა.
კვლევა ასევე მიუთითებს, რომ Visa ბარათები უფრო მგრძნობიარეა თავდასხმის მიმართ, ვიდრე Mastercard. ეს იმიტომ ხდება, რომ Mastercard ითიშება 100 არასწორი მცდელობის შემდეგ, მაგრამ ეს ასე არ არის Visa-ს შემთხვევაში.
„შეტევის თავიდან ასაცილებლად შესაძლებელია სტანდარტიზაცია ან ცენტრალიზაცია, რასაც უკვე ახორციელებს რამდენიმე ბარათის გამცემი ბანკი. სტანდარტიზაცია გულისხმობს, რომ ყველა სავაჭრო ობიექტს უნდა შესთავაზოს ერთი და იგივე გადახდის ინტერფეისი, ანუ ველების იგივე რაოდენობა. მაშინ შეტევა აღარ მასშტაბურდება. ცენტრალიზაცია შეიძლება მიღწეული იყოს გადახდის გეითვეიებით ან ბარათით გადახდის ქსელებით, რომლებსაც აქვთ სრული ხედვა მის ქსელთან დაკავშირებული გადახდის ყველა მცდელობის შესახებ,” - დასკვნა კვლევაში.
თუმცა არც სტანდარტიზაცია და არც ცენტრალიზაცია არ შეესაბამება ინტერნეტის არსს - თავისუფლება და თავისუფლება - ეს პროცესი, რა თქმა უნდა, გახდის უფრო დაცულს ბარათის მფლობელებისთვის და მათ ნაკლებად მგრძნობიარეს გახდის ონლაინ თავდასხმები.