เครื่องมือนี้สามารถค้นหาข้อมูลบัตรเครดิตได้ใน 6 วินาที

กลุ่มนักวิจัยได้ออกแบบเครื่องมือที่ช่วยให้พวกเขาค้นหาข้อมูลบัตรเครดิตรวมถึง CVV และวันหมดอายุโดยส่งข้อความค้นหาไปยังเว็บไซต์ร้านค้าอีคอมเมิร์ซหลายแห่ง

การศึกษาอย่างกว้างขวางโดย Mohammad Aamir Ali, Budi Arief, Martin Emms และ Aad van Moorsel แสดงการชำระเงินออนไลน์โดยใช้บัตรเครดิตและบัตรเดบิตและปัญหาด้านความปลอดภัยที่เกิดจากเกตเวย์การชำระเงินหลายแห่งในเว็บไซต์ร้านค้าต่างๆเผยแพร่ใน IEEE Security & Privacy

อัลกอริทึมของเครื่องมือจะเดาและทดสอบคะแนนการเปลี่ยนลำดับของ CVV และวันที่หมดอายุในเว็บไซต์ร้านค้านับร้อย

ผู้เขียนการศึกษาที่เกี่ยวข้องกับมหาวิทยาลัยนิวคาสเซิลชี้ให้เห็นว่าเครื่องมือของพวกเขาสามารถใช้ในการเดารหัสไปรษณีย์และข้อมูลที่อยู่ แฮกเกอร์สามารถใช้เครื่องมือเพื่อเชื่อมโยงข้อมูลสถานที่กับสถาบันการเงินที่ออกบัตรหรือใช้อุปกรณ์การข้ามข้อมูลเพื่อพิจารณาว่าเว็บไซต์ใดที่ร้านค้าทำการรูดบัตร

“ ความแตกต่างในการแก้ปัญหาความปลอดภัยของเว็บไซต์ต่าง ๆ นำเสนอช่องโหว่ที่หาประโยชน์ได้จริงในระบบการชำระเงินโดยรวม ผู้โจมตีสามารถใช้ประโยชน์จากความแตกต่างเหล่านี้เพื่อสร้างการโจมตีแบบกระจายซึ่งสร้างรายละเอียดการชำระเงินด้วยบัตรที่สามารถใช้งานได้ - หมายเลขบัตรวันหมดอายุมูลค่าการตรวจสอบบัตรและที่อยู่ทางไปรษณีย์ - ครั้งละหนึ่งเขตข้อมูล สาขาถัดไปโดยใช้เว็บไซต์ของผู้ค้ารายอื่น” รัฐศึกษา

หากเว็บไซต์ร้านค้าที่เกี่ยวข้องไม่ขอรหัสไปรษณีย์เครื่องมือจะทำงานเหมือนสายลมและการรับข้อมูลบัตรเป็นเรื่องง่ายสำหรับผู้โจมตี

เครื่องมือคาดเดาทำงานอย่างไร

การศึกษาแสดงให้เห็นว่างานที่คาดเดาได้ถูกเปิดใช้งานโดยจุดอ่อนที่สำคัญสองแห่งของเว็บไซต์อีคอมเมิร์ซ

“ เพื่อรับรายละเอียดบัตรคุณสามารถใช้หน้าการชำระเงินของผู้ค้าทางเว็บเพื่อคาดเดาข้อมูล: การตอบกลับของผู้ค้าต่อความพยายามในการทำธุรกรรมจะระบุว่าการเดานั้นถูกต้องหรือไม่” รายงานกล่าวเสริม

ขั้นแรกคำขอการชำระเงินหลายรายการจากบัตรเดียวกันในเว็บไซต์ผู้ขายที่แตกต่างกันจะไม่ยกธงในระบบการชำระเงินออนไลน์ปัจจุบัน ประการที่สองผู้ค้าเว็บที่แตกต่างกันจะมีชุดรายละเอียดการ์ดที่แตกต่างกันซึ่งช่วยให้เครื่องมือโจมตีที่คาดเดาสามารถถอดรหัสข้อมูลการ์ดได้ครั้งละหนึ่งช่อง

หากผู้โจมตีสามารถถอดรหัสรายละเอียดบัตรของคุณได้จะไม่เพียง แต่อนุญาตให้เขาซื้อสินค้าด้วยบัตรเท่านั้น แต่ยังสามารถทำการโอนเงินออนไลน์ได้โดยเฉพาะบัญชีที่ไม่ระบุชื่อในบางประเทศเช่นการโจมตีดังกล่าวอาจถูกขัดขวางโดยธนาคาร โดยการย้อนกลับการชำระเงิน แต่การกลับรายการข้ามประเทศเป็นกระบวนการที่น่าเบื่อและใช้เวลานานซึ่งทำให้ผู้โจมตีมีเวลาเพียงพอในการถอน

การวิจัยยังชี้ให้เห็นว่าบัตรวีซ่ามีความอ่อนไหวต่อการถูกโจมตีมากกว่ามาสเตอร์การ์ด นี่เป็นเพราะมาสเตอร์การ์ดปิดตัวลงหลังจากพยายามที่ไม่ถูกต้อง 100 ครั้ง แต่นี่ไม่ใช่กรณีของ Visa

“ เพื่อป้องกันการโจมตีคุณสามารถดำเนินการตามมาตรฐานหรือการรวมศูนย์ซึ่งได้รับการจัดเตรียมโดยธนาคารผู้ออกบัตรสองสามแห่ง การกำหนดมาตรฐานจะหมายความว่าร้านค้าทั้งหมดต้องเสนออินเทอร์เฟซการชำระเงินเดียวกันนั่นคือจำนวนเขตข้อมูลเดียวกัน จากนั้นการโจมตีจะไม่ขยายอีกต่อไป การรวมศูนย์สามารถทำได้ด้วยเกตเวย์การชำระเงินหรือเครือข่ายการชำระเงินผ่านบัตรที่มีมุมมองที่สมบูรณ์เกี่ยวกับความพยายามในการชำระเงินทั้งหมดที่เกี่ยวข้องกับเครือข่ายของตน” การศึกษาสรุป

แม้ว่ามาตรฐานหรือการรวมศูนย์ไม่เหมาะกับสาระสำคัญของอินเทอร์เน็ต - อิสรภาพและอิสรภาพ - กระบวนการนี้จะทำให้ทุกอย่างปลอดภัยมากขึ้นสำหรับผู้ถือบัตรและทำให้พวกเขาอ่อนแอต่อการโจมตีทางออนไลน์