To orodje lahko poišče podatke o kreditni kartici v 6 sekundah
Miscellanea / / November 29, 2021
Skupina raziskovalcev je zasnovala orodje, ki jim pomaga najti podatke o kreditni kartici – vključno s CVV-jem in datumom poteka – s pošiljanjem poizvedb na več spletnih mest za e-trgovino.
Obsežna študija Mohammada Aamirja Alija, Budija Ariefa, Martina Emmsa in Aada van Moorsela opisuje spletna plačila z uporabo kreditne in debetne kartice ter varnostne težave, ki jih povzroča več plačilnih prehodov na različnih spletnih mestih trgovcev, objavljeno v Varnost in zasebnost IEEE.
Algoritem orodja ugiba in testira rezultate permutacij CVV-jev in datumov poteka na stotine trgovskih spletnih mest.
Avtorji študije, ki so povezani z univerzo Newcastle, so poudarili, da je njihovo orodje mogoče uporabiti tudi za ugibanje poštnih številk in naslovnih podatkov. Hekerji lahko z orodjem povežejo podatke o lokaciji s finančno institucijo, ki je izdala kartico, ali uporabijo posnemalno napravo, da ugotovijo, katera spletna mesta trgovcev so vzela kartico.
»Razlika v varnostnih rešitvah različnih spletnih mest uvaja praktično izkoriščeno ranljivost v celotnem plačilnem sistemu. Napadalec lahko te razlike izkoristi za izgradnjo porazdeljenega napada ugibanja, ki ustvari uporabne podatke o plačilu s kartico – številko kartice, datum poteka veljavnosti, kartico vrednost za preverjanje in poštni naslov – eno polje naenkrat. Vsako ustvarjeno polje se lahko uporablja zaporedoma za ustvarjanje naslednjega polja z uporabo drugega trgovca Spletna stran,"
navaja študija.Če zadevno trgovsko spletno mesto ne zahteva poštne številke, orodje deluje kot vetrič in pridobivanje podatkov o kartici je za napadalca prava stvar.
Kako deluje orodje za ugibanje?
Študija poudarja, da delo ugibanja omogočata dve veliki slabosti spletnih mest za e-trgovino.
"Če želite pridobiti podatke o kartici, lahko s plačilno stranjo spletnega trgovca uganete podatke: v odgovoru trgovca na poskus transakcije bo navedeno, ali je bilo ugibanje pravilno ali ne," dodaja poročilo.
Prvič, več zahtevkov za plačilo z iste kartice na različnih spletnih mestih trgovcev ne pomeni zastave v trenutnem ekosistemu spletnih plačil. Drugič, različni spletni trgovci ponujajo različne nabore polj s podrobnostmi o kartici, kar omogoča orodju za napade ugibanja, da dešifrira podatke o kartici eno polje naenkrat.
Če lahko napadalec vdre podatke o vaši kartici, mu to ne bo omogočilo samo nakupovanja s kartico, ampak je mogoče izvesti tudi spletno nakazilo denarja – po možnosti na anonimni račun v nekaterih Banke lahko preprečijo takšne napade v drugih državah z razveljavitvijo plačil, vendar je preobrnitev med državami bolj dolgočasen in dolgotrajnejši postopek, ki daje napadalcu dovolj časa, da dvigniti.
Raziskava tudi poudarja, da so kartice Visa bolj dovzetne za napad kot Mastercard. To je zato, ker se Mastercard izklopi po 100 neveljavnih poskusih, vendar to ne velja za Visa.
»Da bi preprečili napad, je mogoče slediti standardizaciji ali centralizaciji, kar že zagotavlja nekaj bank izdajateljic kartic. Standardizacija bi pomenila, da morajo vsi trgovci ponuditi enak plačilni vmesnik, torej enako število polj. Potem se napad ne širi več. Centralizacijo je mogoče doseči s plačilnimi prehodi ali plačilnimi omrežji s karticami, ki imajo popoln pregled nad vsemi poskusi plačil, povezanimi z njihovim omrežjem,« je zaključila študija.
Čeprav niti standardizacija niti centralizacija ne ustrezata bistvu interneta – svobodi in svobodi – ta postopek bo zagotovo naredil stvari varnejše za imetnike kartic in jih naredil manj dovzetne za splet napadi.