Bu araç, kredi kartı bilgilerini 6 saniyede bulabilir

Bir grup araştırmacı, çeşitli e-ticaret mağazalarına sorgu göndererek, kredi kartı bilgilerini - CVV ve son kullanma tarihi de dahil - bulmalarına yardımcı olacak bir araç tasarladı.

Mohammad Aamir Ali, Budi Arief, Martin Emms ve Aad van Moorsel tarafından yapılan kapsamlı bir çalışma, kredi ve banka kartlarını kullanarak çevrimiçi ödemeleri ana hatlarıyla açıkladı ve farklı ticari sitelerdeki çoklu ödeme ağ geçitlerinin neden olduğu güvenlik sorunları IEEE Güvenlik ve Gizlilik bölümünde yayınlandı.

Aracın algoritması, yüzlerce ticari web sitesinde CVV izinlerinin ve son kullanma tarihlerinin permütasyon puanlarını tahmin eder ve test eder.

Newcastle Üniversitesi ile ilişkili olan çalışmanın yazarları, araçlarının Posta kodlarını tahmin etmek ve verileri ele almak için de kullanılabileceğini belirtti. Bilgisayar korsanları aracı konum verilerini kart düzenleyen finansal kurumla ilişkilendirmek için kullanabilir veya hangi ticari sitelerin kartı kaydırdığını bulmak için bir kayma aygıtı kullanabilir.

“Çeşitli web sitelerinin güvenlik çözümlerindeki fark, genel ödeme sisteminde pratik olarak sömürülebilir bir güvenlik açığı yaratıyor. Bir saldırgan, kullanılabilir kart ödeme ayrıntılarını - kart numarası, son kullanma tarihi, kart doğrulama değeri ve posta adresi - her seferinde bir alan kullanan dağıtılmış bir tahmin saldırısı oluşturmak için bu farklılıklardan yararlanabilir. Bir sonraki alan farklı bir tüccarın web sitesini kullanarak ”dedi.

İlgili satıcı sitesi ZIP kodunu istemiyorsa, araç bir esinti gibi çalışır ve kart bilgilerini almak bir saldırgan için çok kolay bir parçadır.

Tahmin Aracı Nasıl Çalışır?

Çalışma, tahmin çalışmasının e-ticaret sitelerinin iki ana zayıf yönünün sağladığını göstermektedir.

Rapor, “Kart ayrıntılarını almak için, verileri tahmin etmek için bir web satıcısının ödeme sayfasını kullanabilirsiniz: satıcının bir işlem girişimini yanıtlaması, tahminin doğru olup olmadığını belirtir” dedi.

İlk olarak, farklı satıcı sitelerinde aynı karttan yapılan birden fazla ödeme talebi, geçerli çevrimiçi ödeme ekosisteminde bir bayrak oluşturmaz. İkincisi, farklı web satıcıları, tahmin saldırı aracının kart bilgisini bir defada bir alanın şifresini çözmesini sağlayan farklı kart detay alanları setleri sağlar.

Eğer bir saldırgan kart bilgilerinizi kırabilirse, sadece kartı kullanarak alışveriş yapmasına izin vermekle kalmaz aynı zamanda çevrimiçi bir para transferi de yapılabilir - tercihen başka bir ülkede isimsiz bir hesaba bu tür saldırılar bankalar tarafından engellenebilir. ödemelerin tersine çevrilmesi ancak ülkeler arası tersine çevrilmesi, saldırgana çekilmesi için yeterli zaman tanıyan, daha sıkıcı ve zaman alan bir süreçtir.

Araştırma aynı zamanda Visa kartlarının saldırıya Mastercard'dan daha duyarlı olduğunu göstermektedir. Bunun nedeni bir Mastercard'ın 100 geçersiz deneme denemesinden sonra kapanmasıdır, ancak Visa ile durum böyle değildir.

“Saldırıyı önlemek için, zaten birkaç kart veren banka tarafından sağlanan standartlaştırma veya merkezileştirme yapılabilir. Standardizasyon, tüm tüccarların aynı ödeme alanını, yani aynı sayıda alanı sunması gerektiği anlamına gelir. O zaman saldırı artık ölçeklenmiyor. Merkezileştirme, ağına ilişkin tüm ödeme denemeleri üzerinde tam bir görüşe sahip ödeme ağ geçitleri veya kartlı ödeme ağları ile sağlanabilir. ”

Ne standardizasyon ne de merkezileştirme internetin özüne uymasa da - özgürlük ve özgürlük - bu işlem kesinlikle kart sahipleri için daha güvenli hale getirecek ve onları çevrimiçi saldırılara daha az duyarlı hale getirecektir.