Questo strumento può trovare le informazioni della carta di credito in 6 secondi

Un gruppo di ricercatori ha progettato uno strumento che li aiuta a trovare le informazioni sulla carta di credito, inclusi CVV e data di scadenza, inviando query a diversi siti di commercianti e-commerce.

In IEEE Security & Privacy è stato pubblicato un ampio studio di Mohammad Aamir Ali, Budi Arief, Martin Emms e Aad van Moorsel, che delinea i pagamenti online utilizzando carte di credito e di debito e i problemi di sicurezza causati da più gateway di pagamento su diversi siti commerciali.

L'algoritmo dello strumento indovina e testa decine di permutazioni di CVV e date di scadenza su centinaia di siti web commerciali.

Gli autori dello studio, associati all'Università di Newcastle, hanno sottolineato che il loro strumento può essere utilizzato anche per indovinare i codici postali e i dati di indirizzo. Gli hacker possono utilizzare lo strumento per correlare i dati sulla posizione con l'istituto finanziario che emette la carta o utilizzare un dispositivo di scrematura per capire quali siti commerciali hanno trascinato la carta.

“La differenza nelle soluzioni di sicurezza di vari siti Web introduce una vulnerabilità praticamente sfruttabile nel sistema di pagamento complessivo. Un utente malintenzionato può sfruttare queste differenze per creare un attacco di ipotesi distribuito che genera dettagli di pagamento della carta utilizzabili - numero di carta, data di scadenza, valore di verifica della carta e indirizzo postale - un campo alla volta, ogni campo generato può essere utilizzato in successione per generare il campo successivo utilizzando un sito Web di un altro commerciante ", afferma lo studio.

Se il sito commerciante interessato non richiede il codice postale, lo strumento funziona come un gioco da ragazzi e acquisire informazioni sulla carta è un gioco da ragazzi per un attaccante.

Come funziona lo strumento Indovina?

Lo studio sottolinea che il lavoro di ipotesi è reso possibile da due principali punti deboli dei siti di e-commerce.

"Per ottenere i dettagli della carta, è possibile utilizzare la pagina di pagamento di un commerciante web per indovinare i dati: la risposta del commerciante a un tentativo di transazione indicherà se l'ipotesi era corretta o meno", aggiunge il rapporto.

Innanzitutto, più richieste di pagamento dalla stessa carta su siti commerciali diversi non sollevano una bandiera nell'ecosistema di pagamento online corrente. In secondo luogo, diversi commercianti web forniscono diversi set di campi dettagli carta, che consente allo strumento di indovinare l'attacco di decifrare le informazioni della carta un campo alla volta.

Se un utente malintenzionato è in grado di decifrare i dettagli della tua carta, non solo gli permetterà di fare acquisti utilizzando la carta, ma può anche essere effettuato un trasferimento di denaro online, preferibilmente su un conto anonimo in qualche altro paese in quanto tali attacchi possono essere contrastati dalle banche invertendo i pagamenti ma l'inversione tra paesi è un processo più noioso e dispendioso in termini di tempo che offre all'aggressore il tempo di ritirarsi.

La ricerca sottolinea inoltre che le carte Visa sono più suscettibili all'attacco rispetto a Mastercard. Questo perché una Mastercard si spegne dopo 100 tentativi non validi, ma non è il caso di Visa.

“Per prevenire l'attacco, è possibile perseguire la standardizzazione o la centralizzazione, che è già fornita da alcune banche emittenti di carte. La standardizzazione implicherebbe che tutti i commercianti devono offrire la stessa interfaccia di pagamento, ovvero lo stesso numero di campi. Quindi l'attacco non si ridimensiona più. La centralizzazione può essere raggiunta da gateway di pagamento o reti di pagamento con carta che abbiano una visione completa di tutti i tentativi di pagamento associati alla sua rete ", ha concluso lo studio.

Sebbene né la standardizzazione né la centralizzazione si adattino all'essenza di Internet - libertà e libertà - questo processo renderà sicuramente le cose più sicure per i titolari di carte e le renderà meno suscettibili agli attacchi online.