يمكن لهذه الأداة العثور على معلومات بطاقة الائتمان في 6 ثوان

صممت مجموعة من الباحثين أداة تساعدهم في العثور على معلومات بطاقة الائتمان - بما في ذلك CVV وتاريخ انتهاء الصلاحية - عن طريق إرسال استفسارات إلى العديد من مواقع التجارة الإلكترونية.

نشرت دراسة واسعة النطاق أجراها محمد عامر علي ، وبودي أريف ، ومارتن إيمز ، وعاد فان مورسيل ، المدفوعات عبر الإنترنت باستخدام بطاقات الائتمان والخصم ، وقضايا الأمن التي تسببها بوابات الدفع المتعددة على مواقع تجارية مختلفة ، ونشرت في IEEE Security & Privacy.

خوارزمية الأداة تخمن وتختبر عشرات التباديل من CVVs وتواريخ انتهاء الصلاحية على مئات المواقع التجارية.

أشار مؤلفو الدراسة ، المرتبطون بجامعة نيوكاسل ، إلى أن أداتهم يمكن استخدامها أيضًا لتخمين الرموز البريدية وبيانات العناوين. يمكن للمتسللين استخدام الأداة لربط بيانات الموقع بالمؤسسة المالية التي تصدر البطاقات أو استخدام جهاز القشط لمعرفة المواقع التجارية التي تم تمرير البطاقة عليها.

"إن الاختلاف في الحلول الأمنية للمواقع المختلفة يقدم ثغرة قابلة للاستغلال عملياً في نظام الدفع الكلي. يمكن للمهاجم استغلال هذه الاختلافات لإنشاء هجوم تخمين موزع يتم من خلاله إنشاء تفاصيل دفع بطاقة قابلة للاستخدام - رقم البطاقة وتاريخ انتهاء الصلاحية وقيمة التحقق من البطاقة والعنوان البريدي - حقل واحد في المرة الواحدة ، ويمكن استخدام كل حقل تم إنشاؤه بالتتابع لإنشاء الحقل التالي باستخدام موقع التاجر مختلفة ، "تنص الدراسة.

إذا لم يطلب موقع التاجر المعني الرمز البريدي ، فعندئذ تعمل الأداة مثل نسيم والحصول على معلومات البطاقة هو قطعة من الكعكة للمهاجمين.

كيف تعمل أداة التخمين؟

توضح الدراسة أن عمل التخمين يتم تمكينه لضعفين رئيسيين في مواقع التجارة الإلكترونية.

"للحصول على تفاصيل البطاقة ، يمكن للمرء استخدام صفحة الدفع الخاصة بتاجر الويب لتخمين البيانات: سيوضح رد التاجر على محاولة معاملة ما إذا كان التخمين صحيحًا أم لا" ، يضيف التقرير.

أولاً ، لا ترفع طلبات الدفع المتعددة من نفس البطاقة على مواقع تجارية مختلفة علامة في نظام الدفع عبر الإنترنت الحالي. ثانياً ، يوفر تجار الويب المختلفون مجموعات مختلفة من حقول تفاصيل البطاقة ، والتي تمكن أداة هجوم التخمين من فك شفرة معلومات البطاقة في حقل واحد في المرة الواحدة.

إذا كان المهاجم قادرًا على كسر تفاصيل بطاقتك ، فلن يسمح له بالتسوق باستخدام البطاقة فحسب ، بل يمكن أيضًا إجراء تحويل للأموال عبر الإنترنت - ويفضل أن يتم ذلك لحساب مجهول في بعض البلدان الأخرى لأن مثل هذه الهجمات يمكن أن تحبطها البنوك عن طريق عكس المدفوعات ، لكن عملية الانعكاس عبر البلاد هي عملية أكثر مملة وتستغرق وقتًا طويلًا والتي تمنح المهاجم متسعًا من الوقت للانسحاب.

ويشير البحث أيضًا إلى أن بطاقات Visa أكثر عرضة للهجوم من Mastercard. هذا بسبب توقف Mastercard بعد 100 محاولة غير صالحة ، ولكن هذا ليس هو الحال مع Visa.

"لمنع الهجوم ، يمكن متابعة التوحيد أو المركزية ، والتي يتم توفيرها بالفعل من قبل عدد قليل من البنوك المصدرة للبطاقات. يتضمن التقييس أن جميع التجار بحاجة إلى تقديم واجهة الدفع نفسها ، أي نفس عدد الحقول. ثم الهجوم لا مقياس بعد الآن. وخلصت الدراسة إلى أنه يمكن تحقيق المركزية من خلال بوابات الدفع أو شبكات الدفع بالبطاقات التي تتمتع برؤية كاملة لجميع محاولات الدفع المرتبطة بشبكتها.

على الرغم من أنه لا يوجد توحيد أو مركزية تتناسب مع جوهر الإنترنت - الحرية والحرية - فإن هذه العملية بالتأكيد ستجعل الأمور أكثر أمانًا لحاملي البطاقات وتجعلها أقل عرضة للهجمات عبر الإنترنت.