Dette værktøj kan finde kreditkortoplysninger på 6 sekunder

En gruppe forskere har designet et værktøj, der hjælper dem med at finde kreditkortoplysninger - inklusive CVV og udløbsdato - ved at sende forespørgsler til flere e-handelshandelswebsteder.

En omfattende undersøgelse af Mohammad Aamir Ali, Budi Arief, Martin Emms og Aad van Moorsel, skitserer onlinebetalinger ved hjælp af kredit- og betalingskort og sikkerhedsspørgsmål forårsaget af flere betalingsportaler på forskellige handelssteder, blev offentliggjort i IEEE Security & Privacy.

Værktøjets algoritme gætter og tester scoringer af permutationer af CVV'er og udløbsdatoer på hundredvis af handelswebsteder.

Forfatterne af undersøgelsen, der er tilknyttet Newcastle University, påpegede, at deres værktøj også kan bruges til at gætte postnumre og adressedata. Hackere kan bruge værktøjet til at korrelere placeringsdata med den finansieringsinstitut, der udsteder kortet, eller bruge en skimming-enhed til at finde ud af, hvilke købmandssteder, der har fejet kortet.

”Forskellen i sikkerhedsløsninger på forskellige websteder introducerer en praktisk udnyttelig sårbarhed i det samlede betalingssystem. En angriber kan udnytte disse forskelle til at opbygge et distribueret gætteangreb, der genererer brugbare kortbetalingsoplysninger - kortnummer, udløbsdato, kortverifikationsværdi og postadresse - et felt ad gangen. Hvert genereret felt kan bruges i rækkefølge til at generere næste felt ved hjælp af en anden købmands hjemmeside, ”hedder det i undersøgelsen.

Hvis det pågældende forhandlerwebsted ikke beder om postnummeret, fungerer værktøjet som en leg, og at få kortoplysninger er et stykke kage for en angriber.

Hvordan fungerer gættøjet?

Undersøgelsen skitserer, at gættearbejdet er aktiveret af to store svagheder ved e-handelswebsteder.

"For at få kortoplysninger kan man bruge en webhandlers betalingsside til at gætte dataene: Forhandlers svar på et transaktionsforsøg angiver, om gætten var korrekt eller ej, " tilføjer rapporten.

For det første hæver flere betalingsanmodninger fra det samme kort på forskellige købmandswebsteder ikke et flag i det nuværende online betalingsøkosystem. For det andet leverer forskellige webhandlere forskellige sæt kortdetaljefelter, som gør det muligt for gætteangrebværktøjet at dechiffrere kortoplysninger et felt ad gangen.

Hvis en angriber er i stand til at knække dine kortoplysninger, tillader det ikke kun ham at handle ved hjælp af kortet, men en online pengeoverførsel kan også foretages - helst til en anonym konto i et andet land, da sådanne angreb kan blive afværget af bankerne ved at tilbageføre betalinger, men tilbageførsel på tværs af landene er en mere kedelig og tidskrævende proces, der giver angriberen rigelig tid til at trække sig ud.

Undersøgelsen påpeger også, at Visa-kort er mere modtagelige for angrebet end Mastercard. Dette skyldes, at et Mastercard lukker ned, når der er foretaget 100 ugyldige forsøg, men dette er ikke tilfældet med Visa.

”For at forhindre angrebet kan enten standardisering eller centralisering forfølges, som allerede leveres af et par kortudstedende banker. Standardisering indebærer, at alle købmænd skal tilbyde den samme betalingsgrænseflade, det vil sige det samme antal felter. Så skalerer angrebet ikke længere. Centralisering kan opnås ved betalingsportaler eller kortbetalingsnetværk, der har et fuldt overblik over alle betalingsforsøg, der er forbundet med dets netværk, ”konkluderede undersøgelsen.

Selvom hverken standardisering eller centralisering passer til essensen af ​​internettet - frihed og frihed - vil denne proces helt sikkert gøre tingene mere sikre for kortholdere og gøre dem mindre modtagelige for online-angreb.