Группа исследователей разработала инструмент, который помогает им находить информацию о кредитной карте, включая CVV и срок действия, путем отправки запросов на несколько сайтов электронной коммерции.
Обширное исследование, проведенное Мохаммадом Аамиром Али, Буди Ариефом, Мартином Эммсом и Аадом ван Мурселем, описывает онлайн-платежи с использованием кредитных и дебетовых карт и проблемы безопасности, вызванные несколькими платежными шлюзами на разных сайтах продавцов, было опубликовано в IEEE Security & Privacy.
Алгоритм инструмента угадывает и проверяет множество комбинаций CVV и сроков действия на сотнях веб-сайтов продавцов.
Авторы исследования, связанные с Университетом Ньюкасла, отметили, что их инструмент также можно использовать для угадывания почтовых индексов и адресных данных. Хакеры могут использовать этот инструмент для сопоставления данных о местоположении с финансовым учреждением, выпустившим карту, или использовать скимминговое устройство, чтобы выяснить, какие торговые сайты использовали карту.
«Разница в решениях по обеспечению безопасности различных веб-сайтов создает практически уязвимость в платежной системе в целом. Злоумышленник может использовать эти различия для создания распределенной атаки с угадыванием, которая генерирует используемые платежные данные карты — номер карты, дату истечения срока действия, значение проверки карты и почтовый адрес — по одному полю за раз. Каждое сгенерированное поле может использоваться последовательно для генерации следующее поле, используя веб-сайт другого продавца», — говорится в исследовании.
Если заинтересованный торговый сайт не запрашивает почтовый индекс, то инструмент работает как ветерок, и получение информации о карте не составляет труда для злоумышленника.
Как работает инструмент угадывания?
В исследовании подчеркивается, что работа по угадыванию обеспечивается двумя основными недостатками сайтов электронной коммерции.
Инструмент (скриншот), разработанный исследователями Ньюкаслского университета
«Чтобы получить реквизиты карты, можно использовать платежную страницу интернет-продавца, чтобы угадать данные: ответ продавца на попытку транзакции покажет, было ли предположение правильным или нет», — добавляется в отчете.
Во-первых, несколько запросов на оплату с одной и той же карты на разных сайтах продавцов не поднимают флаг в текущей экосистеме онлайн-платежей. Во-вторых, разные интернет-магазины предоставляют разные наборы полей сведений о карте, что позволяет инструменту атаки с угадыванием расшифровывать информацию карты по одному полю за раз.
Если злоумышленник сможет взломать данные вашей карты, это позволит ему не только совершать покупки с помощью карты, но также может быть осуществлен онлайн-перевод денег — предпочтительно на анонимный счет в какой-либо другой стране, поскольку такие атаки могут быть предотвращены банками. аннулирование платежей, но аннулирование в разных странах является более утомительным и трудоемким процессом, который дает злоумышленнику достаточно времени для вывода средств.
Исследование также указывает на то, что карты Visa более подвержены атакам, чем Mastercard. Это связано с тем, что Mastercard закрывается после 100 неверных попыток, но это не относится к Visa.
«Чтобы предотвратить атаку, можно провести либо стандартизацию, либо централизацию, что уже обеспечивается несколькими банками-эмитентами карт. Стандартизация подразумевает, что все продавцы должны предлагать один и тот же платежный интерфейс, то есть одинаковое количество полей. Тогда атака больше не масштабируется. Централизация может быть достигнута за счет того, что платежные шлюзы или сети карточных платежей будут иметь полное представление обо всех попытках оплаты, связанных с их сетью», — говорится в исследовании.
Хотя ни стандартизация, ни централизация не соответствуют сущности Интернета — свободе и свободе — этот процесс, несомненно, сделает жизнь держателей карт более безопасной и сделает их менее уязвимыми для онлайн-атак.