Ši priemonė gali rasti kredito kortelės informaciją per 6 sekundes
Tyrėjų grupė sukūrė įrankį, kuris jiems padeda surasti kreditinės kortelės informaciją, įskaitant CVV ir galiojimo laiką, siųsdamas užklausas kelioms elektroninės prekybos prekybininkų svetainėms.
Išsamus Mohammado Aamir Ali, „Budi Arief“, Martino Emmso ir Aado van Moorselio tyrimas apžvelgia mokėjimus internetu, naudojant kredito ir debeto korteles, ir saugumo problemas, kurias sukelia daugybė mokėjimų šliuzų skirtingose prekybinėse svetainėse. IEEE saugumas ir privatumas.
Įrankio algoritmas atspėja ir patikrina šimtų prekybininkų svetainių CVV permutacijų ir galiojimo pabaigos datas.
Tyrimo autoriai, kurie yra susiję su Niukaslio universitetu, pabrėžė, kad jų įrankis taip pat gali būti naudojamas atspėti pašto kodus ir adresų duomenis. Piratai gali naudoti įrankį, kad būtų galima koreguoti buvimo vietos duomenis su kortelę išduodančia finansų įstaiga, arba naudoti mastelio mažinimo įtaisą, kad išsiaiškintų, kurios prekybininkų svetainės perbraukė kortelę.
„Skirtingi įvairių svetainių apsaugos sprendimai sukuria praktiškai išnaudojamą visos mokėjimo sistemos pažeidžiamumą. Užpuolikas gali panaudoti šiuos skirtumus, norėdamas sukurti paskirstytą spėlionių priepuolį, kuriame sukuriama tinkama mokėjimo kortele informacija - kortelės numeris, galiojimo laikas, kortelės patvirtinimo vertė ir pašto adresas - po vieną lauką vienu metu. Kiekvienas sugeneruotas laukas gali būti naudojamas paeiliui kitas laukas naudojant kitą prekybininko svetainę “ tyrime teigiama.
Jei atitinkama prekybininkų svetainė neprašo pašto kodo, įrankis veikia kaip vėjas, o kortelės informacijos gavimas yra užpuoliko pyragas.
Kaip veikia „Guessing“ įrankis?
Tyrime pabrėžiama, kad spėlionių darbą lemia du pagrindiniai elektroninės komercijos svetainių trūkumai.
„Norėdami gauti išsamią kortelės informaciją, atspėti duomenis galite naudodamiesi internetinio prekybininko mokėjimo puslapiu: prekybininko atsakyme į bandymą atlikti operaciją bus nurodyta, ar spėjimas buvo teisingas, ar ne“, - priduriama ataskaitoje.
Pirmiausia, kelios mokėjimo užklausos iš tos pačios kortelės skirtingose prekybinėse svetainėse nepakelia vėliavos dabartinėje internetinių mokėjimų ekosistemoje. Antra, skirtingi interneto prekybininkai pateikia skirtingus kortelės informacijos laukų rinkinius, kurie įgalina spėjimo įrankį iššifruoti kortelės informaciją vienu metu.Jei užpuolikas gali nulaužti jūsų kortelės duomenis, tai ne tik leis jam apsipirkti naudojant kortelę, bet taip pat gali būti pervesta internetu - geriausia į anoniminę sąskaitą kurioje nors kitoje šalyje, nes bankai gali užkirsti kelią tokiems išpuoliams. anuliuodami mokėjimus, tačiau atstatymas visose šalyse yra varginantis ir daug laiko reikalaujantis procesas, kuris užpuolikui suteikia pakankamai laiko atsiimti.
Tyrimas taip pat pabrėžia, kad „Visa“ kortelės yra labiau jautrios išpuoliui nei „Mastercard“. Taip yra todėl, kad „Mastercard“ išsijungia atlikus 100 netinkamų bandymų, tačiau „Visa“ atveju taip nėra.
„Siekiant užkirsti kelią išpuoliui, gali būti vykdomas standartizavimas arba centralizavimas, kurį jau teikia keli kortelių išdavimo bankai. Standartizavimas reikštų, kad visi prekybininkai turi pasiūlyti tą pačią mokėjimo sąsają, tai yra, tą patį laukų skaičių. Tuomet ataka nebėra masto. Centralizaciją galima pasiekti naudojant mokėjimo šliuzus ar mokėjimo korteles tinklus, turinčius išsamų vaizdą apie visus su jo tinklu susijusius mokėjimus “, - teigiama tyrimo išvadoje.
Nors nei standartizavimas, nei centralizavimas neatitinka interneto esmės - laisvės ir laisvės - šis procesas tikrai padarys dalykus saugesnius kortelių savininkams ir padarys juos mažiau jautrius internetinėms atakoms.
