Công cụ này có thể tìm thấy thông tin thẻ tín dụng trong 6 giây

Một nhóm các nhà nghiên cứu đã thiết kế một công cụ giúp họ tìm thông tin thẻ tín dụng - bao gồm CVV và ngày hết hạn - bằng cách gửi truy vấn đến một số trang web thương mại điện tử.

Một nghiên cứu sâu rộng của Mohammad Aamir Ali, Budi Arief, Martin Emms và Aad van Moorsel, phác thảo thanh toán trực tuyến bằng thẻ tín dụng và thẻ ghi nợ và các vấn đề bảo mật gây ra bởi nhiều cổng thanh toán trên các trang web thương mại khác nhau, đã được xuất bản trên IEEE Security & Privacy.

Thuật toán của công cụ đoán và kiểm tra điểm số hoán vị của CVV và ngày hết hạn trên hàng trăm trang web thương gia.

Các tác giả của nghiên cứu, người liên kết với Đại học Newcastle, đã chỉ ra rằng công cụ của họ cũng có thể được sử dụng để đoán mã Zip và dữ liệu địa chỉ. Tin tặc có thể sử dụng công cụ này để tương quan dữ liệu vị trí với tổ chức tài chính phát hành thẻ hoặc sử dụng thiết bị đọc lướt để tìm ra trang web thương mại nào đã quẹt thẻ.

Sự khác biệt trong các giải pháp bảo mật của các trang web khác nhau giới thiệu một lỗ hổng thực tế có thể khai thác trong hệ thống thanh toán tổng thể. Kẻ tấn công có thể khai thác những khác biệt này để xây dựng một cuộc tấn công đoán phân tán, tạo ra chi tiết thanh toán thẻ có thể sử dụng - số thẻ, ngày hết hạn, giá trị xác minh thẻ và địa chỉ bưu chính - mỗi lần một trường, mỗi trường được tạo có thể được sử dụng để tạo ra lĩnh vực tiếp theo bằng cách sử dụng trang web của một thương gia khác, tình trạng nghiên cứu.

Nếu trang web thương gia có liên quan không yêu cầu mã ZIP, thì công cụ này hoạt động như một làn gió và có được thông tin thẻ là một miếng bánh cho kẻ tấn công.

Công cụ đoán hoạt động như thế nào?

Nghiên cứu chỉ ra rằng công việc đoán được kích hoạt bởi hai điểm yếu lớn của các trang web thương mại điện tử.

Để có được thông tin chi tiết về thẻ, người ta có thể sử dụng trang thanh toán của một người bán web để đoán dữ liệu: câu trả lời của người bán đối với một nỗ lực giao dịch sẽ cho biết dự đoán đó có đúng hay không, báo cáo cho biết thêm.

Đầu tiên, nhiều yêu cầu thanh toán từ cùng một thẻ trên các trang web thương mại khác nhau không giương cờ trong hệ sinh thái thanh toán trực tuyến hiện tại. Thứ hai, các thương nhân web khác nhau cung cấp các bộ trường chi tiết thẻ khác nhau, cho phép công cụ tấn công đoán giải mã thông tin thẻ một trường tại một thời điểm.

Nếu kẻ tấn công có thể bẻ khóa chi tiết thẻ của bạn, nó sẽ không chỉ cho phép anh ta mua sắm bằng thẻ mà còn có thể chuyển tiền trực tuyến - tốt nhất là vào một tài khoản ẩn danh ở một số quốc gia khác vì các cuộc tấn công đó có thể bị các ngân hàng ngăn chặn bằng cách đảo ngược các khoản thanh toán nhưng đảo ngược giữa các quốc gia là một quá trình tẻ nhạt và tốn thời gian hơn, giúp kẻ tấn công có nhiều thời gian để rút tiền.

Nghiên cứu cũng chỉ ra rằng thẻ Visa dễ bị tấn công hơn so với Mastercard. Điều này là do Mastercard tắt sau 100 lần thử không hợp lệ, nhưng đây không phải là trường hợp của Visa.

Để ngăn chặn cuộc tấn công, có thể theo đuổi tiêu chuẩn hóa hoặc tập trung hóa, vốn đã được cung cấp bởi một vài ngân hàng phát hành thẻ. Tiêu chuẩn hóa sẽ ngụ ý rằng tất cả các thương nhân cần cung cấp cùng một giao diện thanh toán, nghĩa là, cùng một số trường. Sau đó, cuộc tấn công không còn quy mô nữa. Việc tập trung hóa có thể đạt được bằng các cổng thanh toán hoặc mạng thanh toán thẻ sở hữu một cái nhìn đầy đủ về tất cả các nỗ lực thanh toán liên quan đến mạng của nó, nghiên cứu kết luận.

Mặc dù không tiêu chuẩn hóa hoặc tập trung hóa phù hợp với bản chất của internet - tự do và tự do - quá trình này chắc chắn sẽ giúp mọi thứ an toàn hơn cho chủ thẻ và khiến họ ít bị tấn công trực tuyến hơn.