Ang tool na ito ay maaaring makahanap ng impormasyon sa credit card sa loob ng 6 segundo

Ang isang pangkat ng mga mananaliksik ay nagdisenyo ng isang tool na makakatulong sa kanila na makahanap ng impormasyon sa credit card - kabilang ang CVV at petsa ng pag-expire - sa pamamagitan ng pagpapadala ng mga query sa maraming mga site ng mangangalakal ng e-commerce.

Ang isang malawak na pag-aaral ni Mohammad Aamir Ali, Budi Arief, Martin Emms at Aad van Moorsel, binabalangkas ang mga online na pagbabayad gamit ang credit at debit cards at ang mga isyu sa seguridad na dulot ng maramihang mga gateway ng pagbabayad sa iba't ibang mga site ng mangangalakal, ay nai-publish sa IEEE Security & Privacy.

Ang algorithm ng tool at mga pagsubok sa mga marka ng permutasyon ng mga CVV at mga petsa ng pag-expire sa daan-daang mga website ng mangangalakal.

Ang mga may-akda ng pag-aaral, na nauugnay sa Newcastle University, ay itinuro na ang kanilang tool ay maaari ring magamit upang hulaan ang mga code ng Zip at data ng address. Ang mga hacker ay maaaring gumamit ng tool upang maiugnay ang data ng lokasyon gamit ang card na nagbibigay ng pinansiyal na institusyon o gumamit ng isang aparato sa skimming upang malaman kung aling mga site ng mangangalakal ang nag-swipe ng card.

"Ang pagkakaiba sa mga solusyon sa seguridad ng iba't ibang mga website ay nagpapakilala ng isang madaling mapagsamantalang kahinaan sa pangkalahatang sistema ng pagbabayad. Ang isang magsasalakay ay maaaring samantalahin ang mga pagkakaiba-iba upang makabuo ng isang ipinamamahagi na pag-atake na nagbibigay ng kapaki-pakinabang na mga detalye sa pagbabayad ng card - numero ng card, petsa ng pag-expire, halaga ng pag-verify ng card, at isang address ng postal - isang patlang sa isang pagkakataon, Ang bawat nabuong patlang ay maaaring magamit nang sunud-sunod upang makabuo ng susunod na larangan sa pamamagitan ng paggamit ng ibang website ng mangangalakal, ”ang sabi ng pag-aaral.

Kung ang nababahaging site ng mangangalakal ay hindi humingi ng ZIP code, ang tool ay gumagana tulad ng simoy at pagkuha ng impormasyon sa card ay isang piraso ng cake para sa isang mananalakay.

Paano Gumagana ang Guessing Tool?

Inilarawan ng pag-aaral na ang gawaing paghula ay pinapagana ng dalawang pangunahing kahinaan ng mga site ng e-commerce.

"Upang makakuha ng mga detalye ng card, maaaring gumamit ang isang pahina ng pagbabayad ng isang web merchant upang hulaan ang data: ang tugon ng mangangalakal sa isang pagtatangka ng transaksyon ay ipapahayag kung tama ba ang hula o hindi, " dagdag ng ulat.

Una, maramihang mga kahilingan sa pagbabayad mula sa parehong card sa iba't ibang mga site ng mangangalakal ay hindi nagtataas ng watawat sa kasalukuyang ekosistema ng pagbabayad online. Pangalawa, ang iba't ibang mga mangangalakal sa web ay nagbibigay ng iba't ibang mga hanay ng mga patlang ng detalye ng card, na nagbibigay-daan sa paghula ng tool sa pag-atake upang matukoy ang impormasyon ng card nang isang patlang.

Kung ang isang nagsasalakay ay magagawang basagin ang mga detalye ng iyong card, hindi lamang ito papayagan na mamili gamit ang card ngunit maaari ring gawin ang isang online transfer ng pera - mas mabuti sa isang hindi nagpapakilalang account sa ilang ibang bansa dahil ang nasabing pag-atake ay maaaring mapigilan ng mga bangko sa pamamagitan ng pag-urong ng mga pagbabayad ngunit ang pagbabalik-balik sa bansa ay isang mas nakakapagod at oras na proseso na nagbibigay ng pag-atake ng sapat na oras upang bawiin.

Tinukoy din ng pananaliksik na ang mga card ng Visa ay mas madaling kapitan sa pag-atake kaysa sa Mastercard. Ito ay dahil ang isang Mastercard ay bumagsak pagkatapos ng 100 hindi wastong mga pagtatangka ang ginawa, ngunit hindi ito ang kaso kay Visa.

"Upang maiwasan ang pag-atake, maaaring maihabol ang standardization o sentralisasyon, na ibinibigay na ng ilang mga bank card na nagpapalabas. Ang standardisasyon ay magpahiwatig na ang lahat ng mga mangangalakal ay kailangang mag-alok ng parehong interface ng pagbabayad, iyon ay, ang parehong bilang ng mga patlang. Pagkatapos ang pag-atake ay hindi na scale. Maaaring maisakatuparan ang sentralisasyon sa pamamagitan ng mga gateway ng pagbabayad o mga network ng pagbabayad ng card na may ganap na pagtingin sa lahat ng mga pagtatangka sa pagbabayad na nauugnay sa network nito, "pagtatapos ng pag-aaral.

Bagaman ang pamantayan sa pamantalaan o sentralisasyon ay hindi umaangkop sa kakanyahan ng internet - kalayaan at kalayaan - ang prosesong ito ay tiyak na gagawa ng mga bagay na mas ligtas para sa mga cardholders at gawing mas madaling kapitan sa mga pag-atake sa online.