Esta ferramenta pode encontrar informações de cartão de crédito em 6 segundos

Um grupo de pesquisadores projetou uma ferramenta que os ajuda a encontrar informações de cartão de crédito – incluindo CVV e data de validade – enviando consultas para vários sites de comércio eletrônico.

Um extenso estudo de Mohammad Aamir Ali, Budi Arief, Martin Emms e Aad van Moorsel, descreve pagamentos online usando cartões de crédito e débito e os problemas de segurança causados ​​por vários gateways de pagamento em diferentes sites comerciais, foi publicado em Segurança e privacidade IEEE.

O algoritmo da ferramenta adivinha e testa pontuações de permutações de CVVs e datas de validade em centenas de sites de comerciantes.

Os autores do estudo, associados à Universidade de Newcastle, apontaram que sua ferramenta também pode ser usada para adivinhar códigos postais e dados de endereço. Os hackers podem usar a ferramenta para correlacionar os dados de localização com a instituição financeira emissora do cartão ou usar um dispositivo de skimming para descobrir quais sites de comerciantes roubaram o cartão.

“A diferença nas soluções de segurança de vários sites introduz uma vulnerabilidade praticamente explorável no sistema geral de pagamentos. Um invasor pode explorar essas diferenças para criar um ataque de adivinhação distribuído que gera detalhes de pagamento com cartão utilizáveis ​​- número do cartão, data de validade, cartão valor de verificação e endereço postal — um campo por vez. Cada campo gerado pode ser usado sucessivamente para gerar o próximo campo usando um comerciante diferente local na rede Internet," o estudo afirma.

Se o site do comerciante em questão não solicitar o CEP, a ferramenta funciona como uma brisa e a aquisição de informações do cartão é muito fácil para um invasor.

Como funciona a ferramenta de adivinhação?

O estudo destaca que o trabalho de adivinhação é possibilitado por dois grandes pontos fracos dos sites de comércio eletrônico.

“Para obter detalhes do cartão, pode-se usar a página de pagamento de um comerciante da web para adivinhar os dados: a resposta do comerciante a uma tentativa de transação informará se o palpite estava correto ou não”, acrescenta o relatório.

Primeiro, várias solicitações de pagamento do mesmo cartão em diferentes sites de comerciantes não levantam uma bandeira no atual ecossistema de pagamentos online. Em segundo lugar, diferentes comerciantes da web fornecem diferentes conjuntos de campos de detalhes do cartão, o que permite que a ferramenta de ataque de adivinhação decifre as informações do cartão um campo por vez.

Se um invasor conseguir quebrar os detalhes do seu cartão, isso não apenas permitirá que ele faça compras usando o cartão, mas também poderá ser feita uma transferência de dinheiro online - de preferência para uma conta anônima em alguns outro país, pois esses ataques podem ser frustrados pelos bancos revertendo os pagamentos, mas a reversão entre países é um processo mais tedioso e demorado que dá ao invasor tempo suficiente para retirar o.

A pesquisa também aponta que os cartões Visa são mais suscetíveis ao ataque do que o Mastercard. Isso ocorre porque um Mastercard é desligado após 100 tentativas inválidas, mas esse não é o caso da Visa.

“Para evitar o ataque, pode-se buscar a padronização ou a centralização, que já está sendo fornecida por alguns bancos emissores de cartões. A padronização implicaria que todos os lojistas precisassem oferecer a mesma interface de pagamento, ou seja, o mesmo número de campos. Então o ataque não escala mais. A centralização pode ser alcançada por gateways de pagamento ou redes de pagamento com cartão que possuam uma visão completa de todas as tentativas de pagamento associadas à sua rede”, conclui o estudo.

Embora nem a padronização nem a centralização se encaixem na essência da internet — liberdade e liberdade — esse processo certamente tornará as coisas mais seguras para os titulares de cartões e os tornará menos suscetíveis a ataques online ataques.

Última atualização em 03 de fevereiro de 2022

O artigo acima pode conter links de afiliados que ajudam a dar suporte ao Guiding Tech. No entanto, isso não afeta nossa integridade editorial. O conteúdo permanece imparcial e autêntico.