Dieses Tool kann Kreditkarteninformationen in 6 Sekunden finden

Eine Gruppe von Forschern hat ein Tool entwickelt, mit dem sie Kreditkarteninformationen - einschließlich CVV und Ablaufdatum - finden können, indem sie Anfragen an mehrere E-Commerce-Händlerseiten senden.

Eine umfassende Studie von Mohammad Aamir Ali, Budi Arief, Martin Emms und Aad van Moorsel, in der Online-Zahlungen mit Kredit- und Debitkarten sowie Sicherheitsrisiken durch mehrere Zahlungsgateways auf verschiedenen Händlerseiten beschrieben werden, wurde in IEEE Security & Privacy veröffentlicht.

Der Algorithmus des Tools schätzt und testet zahlreiche Permutationen von CVVs und Ablaufdaten auf Hunderten von Händler-Websites.

Die Autoren der Studie, die mit der Newcastle University in Verbindung stehen, wiesen darauf hin, dass ihr Tool auch zum Erraten von Postleitzahlen und Adressdaten verwendet werden kann. Hacker können das Tool verwenden, um Standortdaten mit dem kartenausgebenden Finanzinstitut zu korrelieren, oder mithilfe eines Skimming-Geräts herausfinden, welche Händler-Websites die Karte geklaut haben.

„Der Unterschied in den Sicherheitslösungen verschiedener Websites führt zu einer praktisch ausnutzbaren Sicherheitslücke im gesamten Zahlungssystem. Ein Angreifer kann diese Unterschiede ausnutzen, um einen verteilten Rätselraten-Angriff zu erstellen, der verwendbare Kartenzahlungsdetails generiert - Kartennummer, Ablaufdatum, Kartenprüfwert und Postanschrift. Jedes generierte Feld kann nacheinander verwendet werden, um die zu generieren über die Website eines anderen Händlers “, heißt es in der Studie.

Wenn die betroffene Händlerseite nicht nach der Postleitzahl fragt, funktioniert das Tool wie ein Kinderspiel und das Abrufen von Karteninformationen ist für einen Angreifer ein Kinderspiel.

Wie funktioniert das Rätselraten?

Die Studie zeigt, dass die Rätselraten durch zwei Hauptschwächen von E-Commerce-Websites ermöglicht wird.

"Um Kartendetails zu erhalten, kann man die Zahlungsseite eines Webhändlers verwenden, um die Daten zu erraten: In der Antwort des Händlers auf einen Transaktionsversuch wird angegeben, ob die Vermutung richtig war oder nicht", fügt der Bericht hinzu.

Erstens wecken mehrere Zahlungsanforderungen von derselben Karte auf verschiedenen Händlerseiten im aktuellen Online-Zahlungssystem kein Flag. Zweitens stellen verschiedene Web-Händler verschiedene Sätze von Kartendetailfeldern zur Verfügung, wodurch das Rätselangriffstool Karteninformationen feldweise entschlüsseln kann.

Wenn ein Angreifer in der Lage ist, Ihre Kartendaten zu knacken, kann er nicht nur mit der Karte einkaufen, sondern auch online Geld überweisen - vorzugsweise auf ein anonymes Konto in einem anderen Land, da solche Angriffe von den Banken vereitelt werden können Die Stornierung von Zahlungen im Ausland ist jedoch langwieriger und zeitaufwändiger und gibt dem Angreifer ausreichend Zeit, sich zurückzuziehen.

Die Studie zeigt auch, dass Visa-Karten anfälliger für Angriffe sind als Mastercard. Dies liegt daran, dass eine Mastercard nach 100 ungültigen Versuchen heruntergefahren wird, was bei Visa nicht der Fall ist.

„Um den Angriff zu verhindern, kann entweder eine Standardisierung oder eine Zentralisierung angestrebt werden, die bereits von einigen wenigen kartenausgebenden Banken bereitgestellt wird. Standardisierung würde bedeuten, dass alle Händler die gleiche Zahlungsschnittstelle, dh die gleiche Anzahl von Feldern, anbieten müssen. Dann skaliert der Angriff nicht mehr. Die Zentralisierung kann durch Zahlungsgateways oder Kartenzahlungsnetzwerke erreicht werden, die einen vollständigen Überblick über alle mit ihrem Netzwerk verbundenen Zahlungsversuche haben “, schloss die Studie.

Obwohl weder Standardisierung noch Zentralisierung zum Wesen des Internets passen - Freiheit und Freiheit - wird dieser Prozess die Sicherheit der Karteninhaber erhöhen und sie weniger anfällig für Online-Angriffe machen.