Цей інструмент може знайти інформацію про кредитну картку за 6 секунд

Група дослідників розробила інструмент, який допомагає їм знаходити інформацію про кредитні картки, включаючи CVV і термін дії, надсилаючи запити на кілька сайтів електронної комерції.

У обширному дослідженні Мохаммада Ааміра Алі, Буді Арієфа, Мартіна Еммса та Аада ван Мурсела описуються онлайн-платежі за допомогою кредитні та дебетові картки та проблеми безпеки, викликані кількома платіжними шлюзами на різних торгових сайтах, опубліковано в Безпека та конфіденційність IEEE.

Алгоритм інструмента вгадує і перевіряє результати перестановок CVV і термінів придатності на сотнях веб-сайтів продавців.

Автори дослідження, які пов’язані з Університетом Ньюкасла, зазначили, що їх інструмент також можна використовувати для вгадування поштових індексів і адресних даних. Хакери можуть використовувати цей інструмент, щоб співвіднести дані про місцезнаходження з фінансовою установою, що видає карту, або використовувати пристрій для скімінгу, щоб з’ясувати, які сайти продавців перебрали картку.

«Різниця в рішеннях безпеки різних веб-сайтів вносить практично використану вразливість у загальну платіжну систему. Зловмисник може використати ці відмінності для створення розподіленої атаки з угадуванням, яка генерує придатні для використання деталі платежу карткою — номер картки, термін дії, картку значення підтвердження та поштова адреса — одне поле за раз. Кожне згенероване поле можна використовувати послідовно для створення наступного поля за допомогою іншого продавця веб-сайт»,

Якщо відповідний торговий сайт не запитує поштовий індекс, то інструмент працює як вітер, а отримання інформації про карту є шматком пирога для зловмисника.

Як працює інструмент відгадування?

Дослідження показує, що робота з припущеннями забезпечується двома основними недоліками сайтів електронної комерції.

«Щоб отримати дані картки, можна використовувати платіжну сторінку веб-продавця, щоб вгадати дані: у відповіді продавця на спробу транзакції буде зазначено, чи була припущення вірна чи ні», – додається у звіті.

По-перше, кілька запитів на оплату з однієї картки на різних сайтах продавців не викликають позначки в поточній екосистемі онлайн-платежів. По-друге, різні веб-продавці надають різні набори полів інформації про картки, що дає змогу інструменту атаки вгадування розшифровувати інформацію про картки по одному полю за раз.

Якщо зловмиснику вдасться зламати дані вашої картки, це не тільки дозволить йому робити покупки за допомогою картки, але також можна здійснити переказ грошей в Інтернеті — бажано на анонімний обліковий запис у деяких Банки можуть зупинити такі атаки в іншій країні, відновивши платежі, але сторнування між країнами є більш втомливим і трудомістким процесом, який дає зловмиснику достатньо часу, щоб відкликати.

Дослідження також вказує, що картки Visa більш сприйнятливі до атаки, ніж Mastercard. Це тому, що Mastercard вимикається після 100 недійсних спроб, але це не стосується Visa.

«Щоб запобігти атаці, можна проводити стандартизацію або централізацію, яку вже надають кілька банків-емітентів карток. Стандартизація означатиме, що всі продавці повинні пропонувати однаковий платіжний інтерфейс, тобто однакову кількість полів. Тоді атака більше не має масштабу. Централізації можна досягти за допомогою платіжних шлюзів або карткових платіжних мереж, які мають повний огляд усіх спроб платежів, пов’язаних із своєю мережею», – підсумовується в дослідженні.

Хоча ні стандартизація, ні централізація не відповідають сутності Інтернету — свободі та свободі — цей процес, безсумнівно, зробить речі більш безпечними для власників карток і зробить їх менш сприйнятливими до Інтернету напади.