Acest instrument poate găsi informații despre cardul de credit în 6 secunde

Un grup de cercetători a proiectat un instrument care îi ajută să găsească informații despre cardul de credit, inclusiv CVV și data de expirare, trimițând interogări către mai multe site-uri de comerț electronic.

Un studiu amplu realizat de Mohammad Aamir Ali, Budi Arief, Martin Emms și Aad van Moorsel, prezintă plățile online folosind cardurile de credit și de debit și problemele de securitate cauzate de mai multe gateway-uri de plată pe diferite site-uri ale comercianților, a fost publicat în Securitate și confidențialitate IEEE.

Algoritmul instrumentului ghicește și testează scoruri de permutări ale CVV-urilor și datele de expirare pe sute de site-uri web ale comercianților.

Autorii studiului, care sunt asociați cu Universitatea Newcastle, au subliniat că instrumentul lor poate fi folosit și pentru a ghici codurile poștale și datele despre adrese. Hackerii pot folosi instrumentul pentru a corela datele despre locație cu instituția financiară emitentă a cardului sau pot folosi un dispozitiv de skimming pentru a afla ce site-uri comerciale au trecut cardul.

„Diferența în soluțiile de securitate ale diferitelor site-uri web introduce o vulnerabilitate practic exploatabilă în sistemul general de plată. Un atacator poate exploata aceste diferențe pentru a construi un atac de ghicire distribuit care generează detalii utilizabile de plată cu cardul - numărul cardului, data expirării, cardul valoarea de verificare și adresa poștală - câte un câmp, fiecare câmp generat poate fi folosit succesiv pentru a genera următorul câmp folosind un alt comerciant. site-ul web,” studiul precizează.

Dacă site-ul comerciantului în cauză nu solicită codul poștal, atunci instrumentul funcționează ca o briză și obținerea informațiilor despre card este o simplă simplă pentru un atacator.

Cum funcționează instrumentul de ghicire?

Studiul subliniază că munca de ghicire este activată de două puncte slabe majore ale site-urilor de comerț electronic.

„Pentru a obține detaliile cardului, se poate folosi pagina de plată a unui comerciant web pentru a ghici datele: răspunsul comerciantului la o încercare de tranzacție va indica dacă presupunerea a fost corectă sau nu”, adaugă raportul.

În primul rând, cererile de plată multiple de pe același card pe site-uri diferite ale comerciantului nu ridică un semnalizare în ecosistemul actual de plăți online. În al doilea rând, diferiți comercianți web oferă seturi diferite de câmpuri de detalii ale cardului, ceea ce permite instrumentului de atac de ghicire să descifreze informațiile despre carduri pe rând.

Dacă un atacator este capabil să spargă detaliile cardului dvs., nu numai că îi va permite să facă cumpărături folosind cardul, dar se poate face și un transfer de bani online - de preferință către un cont anonim în unele atacurile din alte țări ca atare pot fi dejucate de bănci prin inversarea plăților, dar inversarea între țări este un proces mai obositor și mai consumator de timp, care oferă atacatorului suficient timp pentru a retrage.

De asemenea, cercetarea arată că cardurile Visa sunt mai susceptibile la atac decât Mastercard. Acest lucru se datorează faptului că un Mastercard se închide după 100 de încercări nevalide, dar nu este cazul cu Visa.

„Pentru a preveni atacul, se poate urmări fie standardizarea, fie centralizarea, care este deja asigurată de câteva bănci emitente de carduri. Standardizarea ar presupune că toți comercianții trebuie să ofere aceeași interfață de plată, adică același număr de câmpuri. Atunci atacul nu se mai extinde. Centralizarea poate fi realizată prin gateway-uri de plată sau rețele de plată cu cardul care posedă o vedere completă asupra tuturor încercărilor de plată asociate rețelei sale”, a concluzionat studiul.

Deși nici standardizarea, nici centralizarea nu se potrivesc cu esența internetului - libertate și libertate - acest proces cu siguranță va face lucrurile mai sigure pentru deținătorii de carduri și îi va face mai puțin susceptibili la online atacuri.

Ultima actualizare pe 03 februarie 2022

Articolul de mai sus poate conține link-uri afiliate care ajută la sprijinirea Guiding Tech. Cu toate acestea, nu afectează integritatea noastră editorială. Conținutul rămâne imparțial și autentic.