Detta verktyg kan hitta kreditkortsinformation på 6 sekunder
Miscellanea / / February 14, 2022
En grupp forskare har designat ett verktyg som hjälper dem att hitta kreditkortsinformation – inklusive CVV och utgångsdatum – genom att skicka frågor till flera e-handelssajter.
En omfattande studie av Mohammad Aamir Ali, Budi Arief, Martin Emms och Aad van Moorsel beskriver onlinebetalningar med kredit- och betalkort och säkerhetsproblem som orsakats av flera betalningsgateways på olika säljarwebbplatser, var publicerad i IEEE säkerhet och sekretess.
Verktygets algoritm gissar och testar mängder av permutationer av CVV och utgångsdatum på hundratals handlarwebbplatser.
Författarna till studien, som är associerade med Newcastle University, påpekade att deras verktyg också kan användas för att gissa postnummer och adressdata. Hackare kan använda verktyget för att korrelera platsdata med det kortutfärdande finansinstitutet eller använda en skumningsenhet för att ta reda på vilka handelsplatser som svepte kortet.
"Skillnaden i säkerhetslösningar på olika webbplatser introducerar en praktiskt taget exploateringsbar sårbarhet i det övergripande betalningssystemet. En angripare kan utnyttja dessa skillnader för att bygga en distribuerad gissatack som genererar användbar kortbetalningsinformation - kortnummer, utgångsdatum, kort verifieringsvärde och postadress - ett fält i taget. Varje genererat fält kan användas i följd för att generera nästa fält genom att använda en annan handlares hemsida,"
uppger studien.Om den berörda handelsplatsen inte frågar efter postnumret, fungerar verktyget som en bris och att skaffa kortinformation är en plätt för en angripare.
Hur fungerar gissningsverktyget?
Studien visar att gissningsarbetet möjliggörs av två stora svagheter hos e-handelssajter.
"För att få kortuppgifter kan man använda en webbhandlares betalningssida för att gissa uppgifterna: säljarens svar på ett transaktionsförsök kommer att ange om gissningen var korrekt eller inte", tilläggs rapporten.
För det första lyfter inte flera betalningsförfrågningar från samma kort på olika säljarwebbplatser en flagga i det nuvarande ekosystemet för onlinebetalningar. För det andra tillhandahåller olika webbhandlare olika uppsättningar av kortdetaljfält, vilket gör att verktyget för gissningsattacker kan dechiffrera kortinformation ett fält i taget.
Om en angripare kan knäcka dina kortuppgifter kommer det inte bara att tillåta honom att handla med kortet utan en pengaöverföring online kan också göras - helst till ett anonymt konto i vissa andra länder som sådana attacker kan motverkas av bankerna genom att återföra betalningar, men återföring mellan länder är en mer tråkig och tidskrävande process som ger angriparen gott om tid att dra tillbaka.
Forskningen pekar också på att Visa-kort är mer mottagliga för attacken än Mastercard. Detta beror på att ett Mastercard stängs av efter 100 ogiltiga försök, men detta är inte fallet med Visa.
"För att förhindra attacken kan antingen standardisering eller centralisering eftersträvas, vilket redan tillhandahålls av ett fåtal kortutgivande banker. Standardisering skulle innebära att alla handlare måste erbjuda samma betalningsgränssnitt, det vill säga samma antal fält. Då skalar inte attacken längre. Centralisering kan uppnås genom att betalningsgateways eller kortbetalningsnätverk har full överblick över alla betalningsförsök som är associerade med dess nätverk”, avslutades studien.
Även om varken standardisering eller centralisering passar in i essensen av internet – frihet och frihet – denna process kommer säkerligen att göra saker säkrare för kortinnehavare och göra dem mindre mottagliga för online attacker.
Senast uppdaterad den 3 februari 2022
Ovanstående artikel kan innehålla affiliate-länkar som hjälper till att stödja Guiding Tech. Det påverkar dock inte vår redaktionella integritet. Innehållet förblir opartiskt och autentiskt.
Skriven av
Cykelentusiast, resenär, ManUtd-anhängare, armébrat, ordsmed; Delhi University, Asian College of Journalism, Cardiff University alumn; en journalist som andas teknik nu för tiden.