Dette verktøyet kan finne kredittkortinformasjon på 6 sekunder

En gruppe forskere har designet et verktøy som hjelper dem å finne kredittkortinformasjon - inkludert CVV og utløpsdato - ved å sende spørsmål til flere e-handelshandelssider.

En omfattende studie av Mohammad Aamir Ali, Budi Arief, Martin Emms og Aad van Moorsel, skisserer online betalinger ved å bruke kreditt- og debetkort og sikkerhetsproblemene forårsaket av flere betalingsportaler på forskjellige selgersider, ble publisert i IEEE Security & Privacy.

Verktøyets algoritme gjetter og tester score til permutasjoner av CVV-er og utløpsdatoer på hundrevis av selgernettsteder.

Forfatterne av studien, som er tilknyttet Newcastle University, påpekte at verktøyet deres også kan brukes til å gjette postnummer og adressedata. Hackere kan bruke verktøyet til å korrelere posisjonsdata med den finansinstitusjonen som utsteder kortet, eller bruke en skimming-enhet for å finne ut hvilke selgersteder som har sveipet kortet.

Forskjellen i sikkerhetsløsninger på forskjellige nettsteder introduserer en praktisk utnyttbar sårbarhet i det samlede betalingssystemet. En angriper kan utnytte disse forskjellene for å lage et distribuert gjetningsangrep som genererer brukbare kortbetalingsdetaljer - kortnummer, utløpsdato, kortverifiseringsverdi og postadresse - ett felt om gangen. Hvert generert felt kan brukes etter hverandre for å generere neste felt ved å bruke en annen selgers nettsted, ”heter det i studien.

Hvis det berørte selgernettstedet ikke ber om postnummeret, fungerer verktøyet som en lek og innhenting av kortinformasjon er et stykke kake for en angriper.

Hvordan fungerer gjetteverktøyet?

Studien skisserer at gjettearbeidet er muliggjort av to store svakheter ved e-handelsnettsteder.

"For å få kortinformasjon, kan man bruke en nettbutikkers betalingsside for å gjette dataene: selgerens svar på et transaksjonsforsøk vil angi om gjetningen var riktig eller ikke, " legger rapporten til.

For det første hever ikke flere betalingsforespørsler fra det samme kortet på forskjellige selgersider et flagg i det gjeldende elektroniske økosystemet for betaling. For det andre gir forskjellige nettforhandlere forskjellige sett med kortdetaljfelt, som gjør det mulig for gjetteangrepsverktøyet å tyde kortinformasjon ett felt av gangen.

Hvis en angriper er i stand til å knekke kortinformasjonen din, vil den ikke bare tillate ham å handle ved hjelp av kortet, men en online pengeoverføring kan også gjøres - helst til en anonym konto i et annet land, da slike angrep kan hindres av bankene ved å reversere betalinger, men tilbakeføring over land er en mer slitsom og tidkrevende prosess som gir angriperen god tid til å trekke seg.

Forskningen peker også på at Visa-kort er mer utsatt for angrepet enn Mastercard. Dette er fordi et Mastercard lukker seg etter at 100 ugyldige forsøk er gjort, men dette er ikke tilfelle med Visa.

- For å forhindre angrepet, kan enten standardisering eller sentralisering følges, noe som allerede er levert av noen få kortutstedende banker. Standardisering vil innebære at alle selgere trenger å tilby det samme betalingsgrensesnittet, det vil si samme antall felt. Da skalerer ikke angrepet lenger. Sentralisering kan oppnås ved betalingsportaler eller kortbetalingsnettverk som har full oversikt over alle betalingsforsøk tilknyttet nettverket, ”konkluderte studien.

Selv om verken standardisering eller sentralisering passer med essensen av internett - frihet og frihet - vil denne prosessen helt sikkert gjøre ting sikrere for kortholdere og gjøre dem mindre utsatt for nettangrep.