Dette verktøyet kan finne kredittkortinformasjon på 6 sekunder

En gruppe forskere har utviklet et verktøy som hjelper dem å finne kredittkortinformasjon – inkludert CVV og utløpsdato – ved å sende forespørsler til flere e-handelsnettsteder.

En omfattende studie av Mohammad Aamir Ali, Budi Arief, Martin Emms og Aad van Moorsel, skisserer nettbetalinger ved å bruke kreditt- og debetkort og sikkerhetsproblemene forårsaket av flere betalingsgatewayer på forskjellige forhandlernettsteder, var publisert i IEEE sikkerhet og personvern.

Verktøyets algoritme gjetter og tester antall permutasjoner av CVV-er og utløpsdatoer på hundrevis av selgernettsteder.

Forfatterne av studien, som er tilknyttet Newcastle University, påpekte at verktøyet deres også kan brukes til å gjette postnummer og adressedata. Hackere kan bruke verktøyet til å korrelere posisjonsdata med den kortutstedende finansinstitusjonen eller bruke en skimming-enhet for å finne ut hvilke selgernettsteder som har sveipet kortet.

"Forskjellen i sikkerhetsløsninger på ulike nettsteder introduserer en praktisk utnyttelig sårbarhet i det totale betalingssystemet. En angriper kan utnytte disse forskjellene til å bygge et distribuert gjetteangrep som genererer brukbare kortbetalingsdetaljer – kortnummer, utløpsdato, kort bekreftelsesverdi og postadresse – ett felt om gangen. Hvert generert felt kan brukes etter hverandre for å generere neste felt ved å bruke en annen selgers nettsted»

Hvis det berørte kjøpmannsnettstedet ikke ber om postnummeret, fungerer verktøyet som en lek, og innhenting av kortinformasjon er et stykke kake for en angriper.

Hvordan fungerer gjetteverktøyet?

Studien skisserer at gjettearbeidet er muliggjort av to store svakheter ved e-handelssider.

"For å få kortdetaljer kan man bruke en netthandlers betalingsside for å gjette dataene: selgerens svar på et transaksjonsforsøk vil angi om gjetningen var riktig eller ikke," legger rapporten til.

For det første hever ikke flere betalingsforespørsler fra samme kort på forskjellige selgernettsteder et flagg i det nåværende betalingsøkosystemet på nettet. For det andre tilbyr forskjellige netthandlere forskjellige sett med kortdetaljfelt, som gjør at gjetteangrepsverktøyet kan tyde kortinformasjon ett felt om gangen.

Hvis en angriper er i stand til å knekke kortdetaljene dine, vil det ikke bare tillate ham å handle ved å bruke kortet, men det kan også foretas en pengeoverføring på nett – helst til en anonym konto i noen andre land som slike angrep kan hindres av bankene ved å reversere betalinger, men reversering på tvers av land er en mer kjedelig og tidkrevende prosess som gir angriperen god tid til å ta ut.

Forskningen påpeker også at Visa-kort er mer utsatt for angrepet enn Mastercard. Dette er fordi et Mastercard slår seg av etter 100 ugyldige forsøk, men dette er ikke tilfelle med Visa.

"For å forhindre angrepet kan enten standardisering eller sentralisering forfølges, noe som allerede leveres av noen få kortutstedende banker. Standardisering vil innebære at alle selgere må tilby samme betalingsgrensesnitt, det vil si like mange felt. Da skalerer ikke angrepet lenger. Sentralisering kan oppnås ved at betalingsgatewayer eller kortbetalingsnettverk har full oversikt over alle betalingsforsøk knyttet til nettverket,» konkluderte studien.

Selv om verken standardisering eller sentralisering passer med essensen av internett – frihet og frihet – denne prosessen vil helt sikkert gjøre ting sikrere for kortholdere og gjøre dem mindre utsatt for nett angrep.