Этот инструмент может найти информацию о кредитной карте за 6 секунд

Группа исследователей разработала инструмент, который помогает им находить информацию о кредитной карте, включая CVV и срок действия, путем отправки запросов на несколько сайтов электронной коммерции.

Обширное исследование, проведенное Мохаммадом Аамиром Али, Буди Ариефом, Мартином Эммсом и Аадом ван Мурселом, описывает онлайн-платежи с использованием кредитных и дебетовых карт, а также проблемы с безопасностью, вызванные наличием нескольких платежных шлюзов на разных сайтах продавцов. опубликовано в Безопасность и конфиденциальность IEEE.

Алгоритм инструмента угадывает и проверяет множество комбинаций CVV и сроков действия на сотнях торговых сайтов.

Авторы исследования, связанные с Университетом Ньюкасла, отметили, что их инструмент также можно использовать для угадывания почтовых индексов и адресных данных. Хакеры могут использовать этот инструмент для сопоставления данных о местоположении с финансовым учреждением, выпустившим карту, или использовать скимминговое устройство, чтобы выяснить, какие торговые сайты использовали карту.

«Разница в решениях по обеспечению безопасности различных веб-сайтов создает практически уязвимость в платежной системе в целом. Злоумышленник может использовать эти различия для создания распределенной атаки с угадыванием, которая генерирует подходящие платежные реквизиты карты — номер карты, срок действия, номер карты. проверочное значение и почтовый адрес — по одному полю за раз. Каждое сгенерированное поле можно использовать последовательно для создания следующего поля с использованием другого продавца. Веб-сайт," в исследовании говорится.

Если соответствующий торговый сайт не запрашивает почтовый индекс, то инструмент работает как ветер, и получение информации о карте не составляет труда для злоумышленника.

Как работает инструмент угадывания?

В исследовании подчеркивается, что работа по угадыванию обеспечивается двумя основными недостатками сайтов электронной коммерции.

«Чтобы получить данные карты, можно использовать платежную страницу веб-продавца, чтобы угадать данные: в ответе продавца на попытку транзакции будет указано, было ли предположение правильным или нет», — добавляется в отчете.

Во-первых, несколько запросов на оплату с одной и той же карты на разных сайтах продавцов не поднимают флаг в текущей экосистеме онлайн-платежей. Во-вторых, разные веб-продавцы предоставляют разные наборы полей сведений о карте, что позволяет инструменту атаки с угадыванием расшифровывать информацию карты по одному полю за раз.

Если злоумышленник сможет взломать данные вашей карты, это позволит ему не только совершать покупки с помощью карты, но также может быть осуществлен онлайн-перевод денег — предпочтительно на анонимный счет в каком-либо другой стране, так как такие атаки могут быть предотвращены банками путем аннулирования платежей, но аннулирование платежей в другой стране является более утомительным и трудоемким процессом, который дает злоумышленнику достаточно времени для изымать.

Исследование также указывает на то, что карты Visa более подвержены атакам, чем Mastercard. Это связано с тем, что Mastercard закрывается после 100 неверных попыток, но это не относится к Visa.

«Чтобы предотвратить атаку, можно провести либо стандартизацию, либо централизацию, что уже обеспечивается несколькими банками-эмитентами карт. Стандартизация подразумевает, что все продавцы должны предлагать один и тот же платежный интерфейс, то есть одинаковое количество полей. Тогда атака больше не масштабируется. Централизация может быть достигнута за счет того, что платежные шлюзы или сети карточных платежей будут иметь полное представление обо всех попытках оплаты, связанных с их сетью», — говорится в исследовании.

Хотя ни стандартизация, ни централизация не соответствуют сущности Интернета — свободе и свободе — этот процесс, безусловно, сделает вещи более безопасными для держателей карт и сделает их менее уязвимыми для онлайн-угроз. атаки.

Последнее обновление: 03 февраля 2022 г.

Вышеупомянутая статья может содержать партнерские ссылки, которые помогают поддерживать Guiding Tech. Однако это не влияет на нашу редакционную честность. Содержание остается беспристрастным и аутентичным.