Tento nástroj najde informace o kreditní kartě za 6 sekund

Skupina vědců navrhla nástroj, který jim pomůže najít informace o kreditní kartě - včetně CVV a data vypršení platnosti - zasláním dotazů na několik obchodníků s elektronickým obchodem.

Rozsáhlá studie Mohammada Aamira Aliho, Budiho Ariefa, Martina Emmsa a Aada van Moorsela, nastiňuje online platby pomocí kreditních a debetních karet a bezpečnostní problémy způsobené více platebními branami na různých obchodních stránkách, byla zveřejněna v IEEE Security & Privacy.

Algoritmus nástroje odhaduje a testuje skóre permutací CVV a dat vypršení platnosti na stovkách obchodních webů.

Autoři studie, kteří jsou spojeni s Newcastle University, zdůraznili, že jejich nástroj lze také použít k hádání PSČ a adresních dat. Hackeři mohou tento nástroj použít ke korelaci dat o poloze s finanční institucí vydávající kartou nebo pomocí skimmingového zařízení zjistit, které stránky obchodníků kartu posunuli.

„Rozdíl v bezpečnostních řešeních různých webových stránek představuje prakticky zneužitelnou zranitelnost v celém platebním systému. Útočník může tyto rozdíly využít k vytvoření distribuovaného hádajícího útoku, který generuje použitelné údaje o platbě kartou - číslo karty, datum vypršení platnosti, hodnota ověření karty a poštovní adresa - jedno pole najednou. Každé vygenerované pole lze postupně použít k vygenerování další pole pomocí webu jiného obchodníka, “uvádí studie.

Pokud dotyčný web obchodníka nepožaduje PSČ, pak nástroj funguje jako vánek a získání informací o kartě je pro útočníka útočníkem.

Jak funguje nástroj Hádání?

Studie nastiňuje, že hádání umožňuje dvě hlavní slabiny stránek elektronického obchodování.

"Chcete-li získat podrobnosti o kartě, můžete použít uhrazení dat pomocí platební stránky obchodníka s internetem: v odpovědi obchodníka na pokus o transakci se uvede, zda byl odhad správný nebo ne, " dodává zpráva.

Zaprvé, několik žádostí o platbu ze stejné karty na různých obchodních stránkách nezvyšuje příznak aktuálního ekosystému plateb online. Za druhé, různí weboví obchodníci poskytují různé sady polí podrobností o kartě, což umožňuje nástroji pro hádání útoku dešifrovat informace o kartě po jednom poli.

Pokud útočník dokáže prolomit údaje o vaší kartě, umožní mu to nejen nakupovat pomocí karty, ale lze provést i online převod peněz - nejlépe na anonymní účet v jiné zemi, protože takové útoky mohou banky zmařit. obrácením plateb, ale obrácení mezi zeměmi je zdlouhavější a časově náročnější proces, který útočníkovi poskytuje dostatek času na odstoupení.

Výzkum také poukazuje na to, že karty Visa jsou na útok citlivější než Mastercard. Důvodem je, že po provedení 100 neplatných pokusů se karta Mastercard vypne, ale u Visa tomu tak není.

„Aby se zabránilo útoku, může být prováděna standardizace nebo centralizace, což již poskytuje několik bank vydávajících karty. Standardizace by znamenala, že všichni obchodníci musí nabízet stejné platební rozhraní, tj. Stejný počet polí. Potom útok už není v měřítku. Centralizace může být dosaženo prostřednictvím platebních bran nebo platebních sítí s kartami, které mají úplný přehled o všech pokusech o platbu souvisejících s její sítí, “uzavřela studie.

Ačkoli ani standardizace ani centralizace neodpovídají podstatě internetu - svoboda a svoboda - tento proces jistě zajistí, aby držitelé karet věci bezpečnější a učinili je méně citlivými na online útoky.