Овај алат може пронаћи информације о кредитној картици за 6 секунди

Група истраживача је дизајнирала алат који им помаже да пронађу информације о кредитној картици — укључујући ЦВВ и датум истека — слањем упита на неколико сајтова за е-трговину.

Опсежна студија Мохаммада Амира Алија, Будија Аријефа, Мартина Емса и Аада ван Мурсела описује плаћања на мрежи користећи кредитне и дебитне картице и безбедносни проблеми изазвани вишеструким приступима за плаћање на различитим сајтовима трговаца, објављена у ИЕЕЕ безбедност и приватност.

Алгоритам алата погађа и тестира резултате пермутација ЦВВ-а и датума истека на стотинама веб локација трговаца.

Аутори студије, који су повезани са Универзитетом Њукасл, истакли су да се њихов алат такође може користити за погађање поштанских бројева и података о адреси. Хакери могу да користе ову алатку да повежу податке о локацији са финансијском институцијом која издаје картицу или користе уређај за скимминг да открију који су сајтови трговаца превукли картицу.

„Разлика у безбедносним решењима различитих веб сајтова уводи рањивост која се практично може искористити у целокупном систему плаћања. Нападач може да искористи ове разлике да изгради дистрибуирани напад нагађањем који генерише употребљиве детаље о плаћању картицом — број картице, датум истека, картицу верификациона вредност и поштанска адреса — једно по једно поље, свако генерисано поље се може користити узастопно за генерисање следећег поља коришћењем другог трговца веб сајт,"

Ако дотични трговачки сајт не тражи поштански број, онда алат ради као повјетарац, а стицање информација о картици је прави комад за нападача.

Како функционише алатка за погађање?

Студија истиче да посао нагађања омогућавају две велике слабости сајтова за е-трговину.

„Да бисте добили детаље о картици, можете користити страницу за плаћање веб трговца да бисте погодили податке: у одговору трговца на покушај трансакције биће наведено да ли је нагађање била тачна или не“, додаје се у извештају.

Прво, вишеструки захтеви за плаћање са исте картице на различитим веб локацијама трговаца не подижу заставу у тренутном екосистему плаћања на мрежи. Друго, различити веб трговци обезбеђују различите скупове поља са детаљима о картици, што омогућава алату за напад нагађањем да дешифрује информације о картици једно по једно поље.

Ако нападач успе да провали податке о вашој картици, то не само да ће му омогућити да купује помоћу картице, већ може да се изврши и онлајн трансфер новца — по могућности на анонимни налог у неком банке као такве нападе могу осујетити од стране банака поништавањем плаћања, али поништавање плаћања у другим земљама је досаднији и дуготрајнији процес који нападачу даје довољно времена да повући.

Истраживање такође истиче да су Виса картице подложније нападима него Мастерцард. То је зато што се Мастерцард искључује након 100 неважећих покушаја, али то није случај са Виса-ом.

„Да би се спречио напад, може се спровести или стандардизација или централизација, коју већ обезбеђује неколико банака које издају картице. Стандардизација би подразумевала да сви трговци морају да понуде исти интерфејс за плаћање, односно исти број поља. Тада напад више не расте. Централизација се може постићи платним пролазима или мрежама за плаћање картицама које имају потпуни преглед свих покушаја плаћања повезаних са својом мрежом“, закључује се у студији.

Иако се ни стандардизација ни централизација не уклапају у суштину интернета — слободу и слободу — овај процес ће сигурно учинити ствари сигурнијим за власнике картица и учинити их мање подложним онлајн напада.

Последњи пут ажурирано 3. фебруара 2022

Горњи чланак може садржати партнерске везе које помажу у подршци Гуидинг Тецх. Међутим, то не утиче на наш уреднички интегритет. Садржај остаје непристрасан и аутентичан.