เครื่องมือนี้สามารถค้นหาข้อมูลบัตรเครดิตได้ใน 6 วินาที

เบ็ดเตล็ด / by admin / February 14, 2022

click fraud protection

กลุ่มนักวิจัยได้ออกแบบเครื่องมือที่ช่วยให้พวกเขาค้นหาข้อมูลบัตรเครดิต ซึ่งรวมถึง CVV และวันหมดอายุ โดยส่งคำถามไปยังเว็บไซต์ร้านค้าอีคอมเมิร์ซหลายแห่ง

การศึกษาอย่างกว้างขวางโดย Mohammad Aamir Ali, Budi Arief, Martin Emms และ Aad van Moorsel สรุปการชำระเงินออนไลน์โดยใช้ บัตรเครดิตและบัตรเดบิตและปัญหาด้านความปลอดภัยที่เกิดจากเกตเวย์การชำระเงินหลายแห่งในไซต์การค้าที่แตกต่างกันคือ ตีพิมพ์ใน ความปลอดภัยและความเป็นส่วนตัวของ IEEE.

อัลกอริธึมของเครื่องมือจะคาดเดาและทดสอบคะแนนการเปลี่ยนแปลงของ CVV และวันที่หมดอายุในเว็บไซต์ผู้ค้าหลายร้อยแห่ง

ผู้เขียนรายงานการศึกษาซึ่งเกี่ยวข้องกับมหาวิทยาลัยนิวคาสเซิล ชี้ให้เห็นว่าเครื่องมือของพวกเขาสามารถใช้ในการเดารหัสไปรษณีย์และข้อมูลที่อยู่ได้ แฮ็กเกอร์สามารถใช้เครื่องมือนี้เพื่อเชื่อมโยงข้อมูลตำแหน่งกับสถาบันการเงินที่ออกบัตรหรือใช้อุปกรณ์ skimming เพื่อค้นหาว่าเว็บไซต์ของร้านค้าใดที่รูดบัตร

“ความแตกต่างในโซลูชั่นรักษาความปลอดภัยของเว็บไซต์ต่างๆ ทำให้เกิดช่องโหว่ที่สามารถใช้ประโยชน์ได้จริงในระบบการชำระเงินโดยรวม ผู้โจมตีสามารถใช้ประโยชน์จากความแตกต่างเหล่านี้เพื่อสร้างการโจมตีด้วยการคาดเดาแบบกระจายซึ่งสร้างรายละเอียดการชำระเงินด้วยบัตรที่ใช้งานได้ — หมายเลขบัตร วันหมดอายุ บัตร ค่าการตรวจสอบและที่อยู่ไปรษณีย์ — ครั้งละหนึ่งฟิลด์ แต่ละฟิลด์ที่สร้างสามารถใช้ต่อเนื่องกันเพื่อสร้างฟิลด์ถัดไปโดยใช้ร้านค้าที่แตกต่างกัน เว็บไซต์,"

สถานะการศึกษา.

หากไซต์การค้าที่เกี่ยวข้องไม่ขอรหัสไปรษณีย์ เครื่องมือนี้ทำงานได้ง่ายและการรับข้อมูลบัตรก็เป็นเรื่องง่ายสำหรับผู้โจมตี

เครื่องมือเดาทำงานอย่างไร

การศึกษาสรุปว่าการคาดเดานั้นเกิดจากจุดอ่อนหลักสองประการของไซต์อีคอมเมิร์ซ

หน้าจอเครื่องมือ — เครื่องมือ (สกรีนช็อต) ที่พัฒนาโดยนักวิจัยของมหาวิทยาลัยนิวคาสเซิล

“ในการรับรายละเอียดบัตร เราสามารถใช้หน้าการชำระเงินของผู้ค้าบนเว็บเพื่อเดาข้อมูล: การตอบกลับของผู้ค้าต่อความพยายามในการทำธุรกรรมจะระบุว่าการเดานั้นถูกต้องหรือไม่” รายงานกล่าวเสริม

ประการแรก คำขอชำระเงินหลายรายการจากบัตรใบเดียวกันบนเว็บไซต์ของร้านค้าต่างๆ จะไม่ทำให้เกิดการตั้งค่าสถานะในระบบนิเวศการชำระเงินออนไลน์ในปัจจุบัน ประการที่สอง ผู้ค้าบนเว็บต่างๆ จะจัดเตรียมชุดข้อมูลรายละเอียดการ์ดที่แตกต่างกัน ซึ่งช่วยให้เครื่องมือโจมตีคาดเดาสามารถถอดรหัสข้อมูลการ์ดได้ครั้งละหนึ่งช่อง

หากผู้โจมตีสามารถถอดรหัสรายละเอียดบัตรของคุณได้ ไม่เพียงแต่เขาจะซื้อสินค้าโดยใช้บัตรเท่านั้น แต่ยังทำการโอนเงินออนไลน์ได้อีกด้วย — โดยเฉพาะอย่างยิ่งในบัญชีที่ไม่ระบุตัวตนในบางบัญชี ประเทศอื่นๆ เช่น ธนาคารสามารถขัดขวางการโจมตีดังกล่าวได้โดยการกลับการชำระเงิน แต่การกลับรายการข้ามประเทศเป็นกระบวนการที่น่าเบื่อและใช้เวลานานกว่า ซึ่งทำให้ผู้โจมตีมีเวลาเพียงพอ ถอน.

การวิจัยยังชี้ให้เห็นว่าบัตรวีซ่ามีความอ่อนไหวต่อการโจมตีมากกว่ามาสเตอร์การ์ด นี่เป็นเพราะว่ามาสเตอร์การ์ดปิดตัวลงหลังจากพยายามทำผิดพลาด 100 ครั้ง แต่นี่ไม่ใช่กรณีของ Visa

“เพื่อป้องกันการโจมตี สามารถทำได้ทั้งการทำให้เป็นมาตรฐานหรือการรวมศูนย์ ซึ่งธนาคารผู้ออกบัตรไม่กี่แห่งได้จัดเตรียมไว้ให้แล้ว มาตรฐานจะบ่งบอกว่าผู้ค้าทุกรายต้องเสนออินเทอร์เฟซการชำระเงินเดียวกัน นั่นคือ จำนวนฟิลด์เท่ากัน จากนั้นการโจมตีจะไม่ขยายขนาดอีกต่อไป การรวมศูนย์สามารถทำได้โดยเกตเวย์การชำระเงินหรือเครือข่ายการชำระเงินด้วยบัตรที่สามารถมองเห็นความพยายามในการชำระเงินทั้งหมดที่เกี่ยวข้องกับเครือข่ายได้อย่างสมบูรณ์” ผลการศึกษาสรุป

แม้ว่าการวางมาตรฐานหรือการรวมศูนย์ไม่เข้ากับแก่นแท้ของอินเทอร์เน็ต — เสรีภาพและเสรีภาพ — กระบวนการนี้จะทำให้ผู้ถือบัตรมีความปลอดภัยมากขึ้นและทำให้พวกเขามีความอ่อนไหวต่อการออนไลน์น้อยลง การโจมตี

ปรับปรุงล่าสุดเมื่อ 03 กุมภาพันธ์ 2022

บทความข้างต้นอาจมีลิงค์พันธมิตรที่ช่วยสนับสนุน Guiding Tech อย่างไรก็ตาม ไม่กระทบต่อความถูกต้องด้านบรรณาธิการของเรา เนื้อหายังคงเป็นกลางและเป็นของแท้

เขียนโดย

ผู้ที่ชื่นชอบจักรยาน, นักเดินทาง, สาวก ManUtd, เด็กเหลือขอ, ช่างตีเหล็ก; มหาวิทยาลัยเดลี วิทยาลัยวารสารศาสตร์แห่งเอเชีย ศิษย์เก่ามหาวิทยาลัยคาร์ดิฟฟ์; นักข่าวหายใจเทคโนโลยีวันนี้

แท็ก cloud

เบ็ดเตล็ด

เรตติ้ง

มุมมอง

ความคิดเห็น