เครื่องมือนี้สามารถค้นหาข้อมูลบัตรเครดิตได้ใน 6 วินาที
เบ็ดเตล็ด / / November 29, 2021
กลุ่มนักวิจัยได้ออกแบบเครื่องมือที่ช่วยให้พวกเขาค้นหาข้อมูลบัตรเครดิต ซึ่งรวมถึง CVV และวันหมดอายุ โดยส่งคำถามไปยังเว็บไซต์ร้านค้าอีคอมเมิร์ซหลายแห่ง
การศึกษาอย่างกว้างขวางโดย Mohammad Aamir Ali, Budi Arief, Martin Emms และ Aad van Moorsel สรุปการชำระเงินออนไลน์โดยใช้ บัตรเครดิตและบัตรเดบิตและปัญหาด้านความปลอดภัยที่เกิดจากเกตเวย์การชำระเงินหลายแห่งในไซต์การค้าที่แตกต่างกันคือ ตีพิมพ์ใน ความปลอดภัยและความเป็นส่วนตัวของ IEEE.
อัลกอริธึมของเครื่องมือจะคาดเดาและทดสอบคะแนนการเปลี่ยนแปลงของ CVV และวันที่หมดอายุในเว็บไซต์ผู้ค้าหลายร้อยแห่ง
ผู้เขียนการศึกษาซึ่งเกี่ยวข้องกับ Newcastle University ชี้ให้เห็นว่าเครื่องมือของพวกเขายังสามารถใช้เพื่อคาดเดารหัสไปรษณีย์และข้อมูลที่อยู่ แฮกเกอร์สามารถใช้เครื่องมือนี้เพื่อเชื่อมโยงข้อมูลตำแหน่งกับสถาบันการเงินที่ออกบัตรหรือใช้อุปกรณ์ skimming เพื่อค้นหาว่าเว็บไซต์ของร้านค้าใดที่รูดบัตร
“ความแตกต่างในโซลูชั่นรักษาความปลอดภัยของเว็บไซต์ต่างๆ ทำให้เกิดช่องโหว่ที่สามารถใช้ประโยชน์ได้จริงในระบบการชำระเงินโดยรวม ผู้โจมตีสามารถใช้ประโยชน์จากความแตกต่างเหล่านี้เพื่อสร้างการโจมตีด้วยการคาดเดาแบบกระจาย ซึ่งจะสร้างรายละเอียดการชำระเงินด้วยบัตรที่ใช้งานได้ — หมายเลขบัตร วันหมดอายุ บัตร ค่าการตรวจสอบและที่อยู่ไปรษณีย์ — ครั้งละหนึ่งฟิลด์ แต่ละฟิลด์ที่สร้างขึ้นสามารถใช้ต่อเนื่องกันเพื่อสร้างฟิลด์ถัดไปโดยใช้ร้านค้าที่แตกต่างกัน เว็บไซต์,"
สถานะการศึกษา.หากไซต์การค้าที่เกี่ยวข้องไม่ขอรหัสไปรษณีย์ เครื่องมือนี้ทำงานได้ง่ายและการรับข้อมูลบัตรก็เป็นเรื่องง่ายสำหรับผู้โจมตี
เครื่องมือเดาทำงานอย่างไร
การศึกษาสรุปว่าการคาดเดานั้นเกิดจากจุดอ่อนหลักสองประการของไซต์อีคอมเมิร์ซ
“ในการรับรายละเอียดบัตร เราสามารถใช้หน้าการชำระเงินของผู้ค้าบนเว็บเพื่อเดาข้อมูล: การตอบกลับของผู้ค้าต่อความพยายามในการทำธุรกรรมจะระบุว่าการเดานั้นถูกต้องหรือไม่” รายงานกล่าวเสริม
ประการแรก คำขอชำระเงินหลายรายการจากบัตรใบเดียวกันบนเว็บไซต์ของร้านค้าต่างๆ จะไม่ทำให้เกิดการตั้งค่าสถานะในระบบนิเวศการชำระเงินออนไลน์ในปัจจุบัน ประการที่สอง ผู้ค้าบนเว็บต่างๆ จะจัดเตรียมชุดข้อมูลรายละเอียดการ์ดที่แตกต่างกัน ซึ่งช่วยให้เครื่องมือโจมตีคาดเดาสามารถถอดรหัสข้อมูลบัตรได้ครั้งละหนึ่งช่อง
หากผู้โจมตีสามารถถอดรหัสรายละเอียดบัตรของคุณได้ จะไม่เพียงทำให้เขาซื้อสินค้าโดยใช้บัตรเท่านั้น แต่ยังทำการโอนเงินออนไลน์ได้อีกด้วย — โดยเฉพาะอย่างยิ่งในบัญชีที่ไม่ระบุตัวตนในบางบัญชี ประเทศอื่นๆ เช่น ธนาคารสามารถขัดขวางการโจมตีดังกล่าวได้โดยการกลับการชำระเงิน แต่การกลับรายการข้ามประเทศเป็นกระบวนการที่น่าเบื่อและใช้เวลานานกว่า ซึ่งทำให้ผู้โจมตีมีเวลาเพียงพอ ถอน.
การวิจัยยังชี้ให้เห็นว่าบัตรวีซ่ามีความอ่อนไหวต่อการโจมตีมากกว่ามาสเตอร์การ์ด นี่เป็นเพราะว่ามาสเตอร์การ์ดปิดตัวลงหลังจากพยายามทำผิดพลาด 100 ครั้ง แต่นี่ไม่ใช่กรณีของ Visa
“เพื่อป้องกันการโจมตี สามารถทำได้ทั้งการทำให้เป็นมาตรฐานหรือการรวมศูนย์ ซึ่งธนาคารผู้ออกบัตรบางแห่งได้จัดเตรียมไว้ให้แล้ว มาตรฐานจะบ่งบอกว่าผู้ค้าทุกรายต้องเสนออินเทอร์เฟซการชำระเงินเดียวกัน นั่นคือ จำนวนฟิลด์เท่ากัน จากนั้นการโจมตีจะไม่ขยายขนาดอีกต่อไป การรวมศูนย์สามารถทำได้โดยเกตเวย์การชำระเงินหรือเครือข่ายการชำระเงินด้วยบัตรที่สามารถมองเห็นความพยายามในการชำระเงินทั้งหมดที่เกี่ยวข้องกับเครือข่ายได้อย่างสมบูรณ์” ผลการศึกษาสรุป
แม้ว่าการวางมาตรฐานหรือการรวมศูนย์ไม่เข้ากับแก่นแท้ของอินเทอร์เน็ต — เสรีภาพและเสรีภาพ — กระบวนการนี้จะทำให้ผู้ถือบัตรมีความปลอดภัยมากขึ้นและทำให้พวกเขามีความอ่อนไหวต่อการออนไลน์น้อยลง การโจมตี