Tämä työkalu löytää luottokorttitiedot 6 sekunnissa

Ryhmä tutkijoita on suunnitellut työkalun, joka auttaa heitä löytämään luottokorttitiedot - mukaan lukien CVV ja viimeinen voimassaolopäivä - lähettämällä kyselyjä useille verkkokauppamyyjäsivustoille.

IEEE Security & Privacy -julkaisussa julkaistiin Mohammad Aamir Ali, Budi Arief, Martin Emms ja Aad van Moorsel.

Työkalun algoritmi arvaa ja testaa pisteet CVV: n permutaatioista ja vanhenemispäivämääristä sadoissa kauppiaiden verkkosivustoissa.

Newcastlen yliopistoon assosioituneiden tutkimuksen kirjoittajat huomauttivat, että heidän työkalunsa avulla voidaan myös arvata postinumeroita ja osoitetietoja. Hakkerit voivat käyttää työkalua korreloimaan paikkatiedot kortin myöntäneeseen finanssilaitokseen tai käyttää säätölaitetta selvittääkseen, mitkä kauppiasivustot siirsivät kortin.

”Eri verkkosivustojen turvaratkaisujen ero tuo käytännössä hyödynnettävissä olevan haavoittuvuuden koko maksujärjestelmään. Hyökkääjä voi hyödyntää näitä eroja rakentaakseen hajautetun arvaushyökkäyksen, joka tuottaa käytettäviä korttimaksutietoja - kortin numero, viimeinen voimassaolopäivä, kortin varmennusarvo ja postiosoite - yksi kenttä kerrallaan. Jokaista generoitua kenttää voidaan käyttää peräkkäin generoimaan seuraava kenttä käyttämällä toisen kauppiaan verkkosivustoa ”, tutkimuksessa todetaan.

Jos kyseinen kauppiasivusto ei pyydä postinumeroa, työkalu toimii kuin tuulta ja korttitietojen hankkiminen on pala kakkua hyökkääjälle.

Kuinka arvaamistyökalu toimii?

Tutkimuksessa hahmotellaan, että arvaamistyön mahdollistavat kaksi suurta heikkoutta sähköisessä kaupankäynnissä.

"Korttitietojen saamiseksi voidaan arvata tiedot verkkokauppiaan maksusivulta: Kauppiaan vastauksessa tapahtumayritykseen ilmoitetaan, onko arvaus oikea vai ei", raportti lisää.

Ensinnäkin, saman kortin useat maksupyynnöt eri kauppiasivustoilla eivät nosta lippua nykyisessä online-maksujärjestelmässä. Toiseksi, erilaiset verkkokauppiaat tarjoavat erilaisia ​​korttiyksikkökenttiä, joiden avulla arvaamiskuormitustyökalu voi salata korttitiedot kerrallaan.

Jos hyökkääjä pystyy murtamaan korttitietosi, se ei vain salli hänen tehdä ostoksia kortin avulla, vaan se voi myös tehdä online-rahansiirron - mieluiten tuntemattomalle tilille jossain muussa maassa, koska pankit voivat estää tällaiset hyökkäykset. Kumoamalla maksut, mutta maiden väliset peruutukset ovat työläämpiä ja aikaa vieviä prosesseja, jotka antavat hyökkääjälle runsaasti aikaa vetäytyä.

Tutkimus huomauttaa myös, että Visa-kortit ovat alttiimpia hyökkäykselle kuin Mastercard. Tämä johtuu siitä, että Mastercard sammuu 100 virheellisen yrityksen jälkeen, mutta Visa ei pidä paikkaansa.

”Hyökkäyksen estämiseksi voidaan jatkaa joko standardisointia tai keskittämistä, jota jo tarjoavat muutama korttia myöntävä pankki. Standardointi tarkoittaisi, että kaikkien kauppiaiden on tarjottava sama maksuliittymä, eli sama määrä kenttiä. Sitten hyökkäys ei ole enää mittakaavassa. Keskittäminen voidaan saavuttaa maksuyhdyskäytävillä tai korttimaksuverkoilla, joilla on täysi näkymä kaikista sen verkkoon liittyvistä maksuyrityksistä ”, tutkimus pääteltiin.

Vaikka kumpikaan standardisointi tai keskittäminen eivät sovi Internetin ydinalueeseen - vapauteen ja vapauteen -, tämä prosessi tekee varmasti asiat turvallisemmiksi kortinhaltijoille ja tekevät heistä vähemmän alttiita verkkohyökkäyksille.