Šis įrankis gali rasti kredito kortelės informaciją per 6 sekundes
Įvairios / / November 29, 2021
Tyrėjų grupė sukūrė įrankį, kuris padeda rasti kredito kortelės informaciją, įskaitant CVV ir galiojimo datą, siunčiant užklausas kelioms el. prekybos prekybininkų svetainėms.
![Kreditinės kortelės](/f/693c60489aec39d8e8d15fc24684b4d2.jpg)
Išsamiame Mohammado Aamiro Ali, Budi Ariefo, Martino Emmso ir Aado van Moorselio tyrime aprašomi mokėjimai internetu naudojant kredito ir debeto kortelių ir saugumo problemų, kylančių dėl kelių mokėjimo šliuzų skirtingose prekybininkų svetainėse paskelbta m IEEE sauga ir privatumas.
Įrankio algoritmas atspėja ir išbando daugybę CVV permutacijų ir galiojimo datų šimtuose prekybininkų svetainių.
Tyrimo autoriai, susiję su Niukaslio universitetu, nurodė, kad jų įrankis taip pat gali būti naudojamas pašto kodams ir adresų duomenims atspėti. Piratai gali naudoti įrankį vietos duomenims susieti su kortelę išduodančia finansų įstaiga arba naudoti nuskaitymo įrenginį, kad išsiaiškintų, kurios prekybininkų svetainės perbraukė kortelę.
„Įvairių svetainių saugumo sprendimų skirtumas įveda praktiškai išnaudojamą visos mokėjimo sistemos pažeidžiamumą. Užpuolikas gali pasinaudoti šiais skirtumais, kad sukurtų paskirstytą spėliojimo ataką, kuri generuoja naudingą kortelės mokėjimo informaciją – kortelės numerį, galiojimo datą, kortelę patvirtinimo vertė ir pašto adresas – po vieną lauką. Kiekvienas sugeneruotas laukas gali būti naudojamas iš eilės generuojant kitą lauką naudojant kito prekybininko Interneto svetainė,"
tyrime teigiama.Jei atitinkama prekybininko svetainė neprašo įvesti pašto kodo, įrankis veikia kaip vėjas, o kortelės informacijos gavimas užpuolikui yra paprastas pyragas.
Kaip veikia spėjimo įrankis?
Tyrime nurodoma, kad spėlioti įgalina du pagrindiniai elektroninės prekybos svetainių trūkumai.
![Įrankių ekranas](/f/182676b922818daf9714585a31f0b3bb.jpg)
„Norint gauti kortelės duomenis, galima atspėti duomenis naudojant internetinio prekybininko mokėjimo puslapį: prekybininko atsakyme į bandymą atlikti operaciją bus nurodyta, ar spėjimas buvo teisingas, ar ne“, – priduriama ataskaitoje.
Pirma, kelios mokėjimo užklausos iš tos pačios kortelės skirtingose prekybininkų svetainėse nekelia vėliavėlės dabartinėje internetinių mokėjimų ekosistemoje. Antra, skirtingi žiniatinklio prekybininkai pateikia skirtingus kortelės informacijos laukų rinkinius, o tai leidžia spėliojimo atakos įrankiui iššifruoti kortelės informaciją po vieną lauką.
Jei užpuolikas gali nulaužti jūsų kortelės duomenis, jis ne tik leis apsipirkti naudojant kortelę, bet ir gali būti atliktas pinigų pervedimas internetu – pageidautina, kad kai kuriose šalyse į anoniminę sąskaitą. kitoje šalyje tokias atakas gali sutrukdyti bankai atšaukdami mokėjimus, tačiau atšaukimas įvairiose šalyse yra nuobodesnis ir daug laiko reikalaujantis procesas, dėl kurio užpuolikas turi pakankamai laiko pasitraukti.
Tyrimas taip pat rodo, kad „Visa“ kortelės yra labiau linkusios į ataką nei „Mastercard“. Taip yra todėl, kad „Mastercard“ išsijungia po 100 netinkamų bandymų, tačiau „Visa“ taip nėra.
„Siekiant užkirsti kelią atakai, gali būti vykdoma arba standartizacija, arba centralizacija, kurią jau teikia keli korteles išduodantys bankai. Standartizavimas reikštų, kad visi prekybininkai turi pasiūlyti tą pačią mokėjimo sąsają, ty tą patį laukų skaičių. Tada ataka nebedidėja. Centralizavimas gali būti pasiektas naudojant mokėjimo šliuzus arba mokėjimo kortelių tinklus, turinčius pilną visų su savo tinklu susijusių mokėjimo bandymų vaizdą“, – teigiama tyrime.
Nors nei standartizavimas, nei centralizavimas neatitinka interneto esmės – laisvės ir laisvės – Dėl šio proceso kortelių turėtojai tikrai taps saugesni ir bus mažiau jautrūs prisijungimui išpuolių.