Этот инструмент может найти информацию о кредитной карте за 6 секунд

Группа исследователей разработала инструмент, который помогает им находить информацию о кредитных картах, включая CVV и дату истечения срока действия, путем отправки запросов на несколько сайтов электронной коммерции.

Обширное исследование Мохаммада Аамира Али, Буди Арифа, Мартина Эммса и Аад ван Мурселя, посвященное онлайн-платежам с использованием кредитных и дебетовых карт и проблемам безопасности, вызванным несколькими платежными шлюзами на разных торговых сайтах, было опубликовано в IEEE Security & Privacy.

Алгоритм инструмента угадывает и тестирует оценки перестановок CVV и сроков действия на сотнях торговых сайтов.

Авторы исследования, связанные с Университетом Ньюкасла, отметили, что их инструмент также можно использовать для угадывания почтовых индексов и адресации данных. Хакеры могут использовать этот инструмент для сопоставления данных о местонахождении с финансовым учреждением, выпустившим карту, или с помощью скиммингового устройства, чтобы выяснить, какие торговые сайты украли карту.

«Разница в решениях безопасности различных веб-сайтов привносит практически уязвимую уязвимость в общую платежную систему. Злоумышленник может использовать эти различия для создания распределенной догадки, которая генерирует используемые платежные данные карты - номер карты, срок действия карты, значение проверки карты и почтовый адрес - по одному полю за раз. Каждое сгенерированное поле может быть использовано последовательно для генерации Следующее поле с использованием веб-сайта другого продавца », - говорится в исследовании.

Если заинтересованный торговый сайт не запрашивает почтовый индекс, то инструмент работает как на одном дыхании, и получение информации о карте является легкой добычей для злоумышленника.

Как работает инструмент "Угадайка"?

В исследовании подчеркивается, что работа по угадыванию обеспечивается двумя основными недостатками сайтов электронной коммерции.

«Чтобы получить данные карты, можно использовать страницу оплаты веб-продавца, чтобы угадать данные: в ответе продавца на попытку транзакции будет указано, было ли предположение правильным или нет», - говорится в отчете.

Во-первых, многочисленные запросы на оплату с одной и той же карты на разных торговых сайтах не поднимают флаг в текущей экосистеме онлайн-платежей. Во-вторых, разные веб-продавцы предоставляют разные наборы полей сведений о карточке, что позволяет инструменту атаки с угадыванием расшифровывать информацию карточки по одному полю за раз.

Если злоумышленник сможет взломать данные вашей карты, он не только позволит ему совершать покупки с использованием карты, но также может быть осуществлен онлайн-перевод денег - предпочтительно на анонимный счет в какой-либо другой стране, поскольку такие атаки могут быть предотвращены банками. из-за отмены платежей, но пересечение между странами является более утомительным и длительным процессом, который дает злоумышленнику достаточно времени для вывода.

Исследование также указывает на то, что карты Visa более восприимчивы к атаке, чем Mastercard. Это связано с тем, что Mastercard завершает работу после 100 недопустимых попыток, но это не относится к Visa.

«Чтобы предотвратить атаку, можно проводить либо стандартизацию, либо централизацию, которая уже предоставляется несколькими банками-эмитентами карт. Стандартизация подразумевает, что все продавцы должны предлагать один и тот же интерфейс оплаты, то есть одинаковое количество полей. Тогда атака больше не масштабируется. Централизация может быть достигнута платежными шлюзами или сетями платежных карт, обладающими полным обзором всех попыток оплаты, связанных с его сетью », - заключило исследование.

Хотя ни стандартизация, ни централизация не соответствуют сущности Интернета - свободе и свободе - этот процесс, несомненно, сделает вещи более безопасными для держателей карт и сделает их менее уязвимыми для сетевых атак.