Dieses Tool kann Kreditkarteninformationen in 6 Sekunden finden

Eine Gruppe von Forschern hat ein Tool entwickelt, das ihnen hilft, Kreditkarteninformationen – einschließlich CVV und Ablaufdatum – zu finden, indem Anfragen an mehrere E-Commerce-Händlerseiten gesendet werden.

Eine umfangreiche Studie von Mohammad Aamir Ali, Budi Arief, Martin Emms und Aad van Moorsel, die Online-Zahlungen mit Kredit- und Debitkarten und die Sicherheitsprobleme beschreibt, die durch mehrere Zahlungs-Gateways auf verschiedenen Händlerseiten verursacht werden, wurde in IEEE Security & Privacy veröffentlicht.

Der Algorithmus des Tools schätzt und testet zahlreiche Permutationen von CVVs und Ablaufdaten auf Hunderten von Händler-Websites.

Die Autoren der Studie, die mit der Newcastle University in Verbindung stehen, wiesen darauf hin, dass mit ihrem Tool auch Postleitzahlen und Adressdaten erraten werden können. Hacker können das Tool verwenden, um Standortdaten mit dem kartenausgebenden Finanzinstitut zu korrelieren oder ein Skimming-Gerät verwenden, um herauszufinden, welche Händlerseiten die Karte geklaut haben.

„Der Unterschied in den Sicherheitslösungen verschiedener Websites führt zu einer praktisch ausnutzbaren Schwachstelle im gesamten Zahlungssystem. Ein Angreifer kann diese Unterschiede ausnutzen, um einen verteilten Rateangriff aufzubauen, der verwendbare Kartenzahlungsdetails – Kartennummer, Ablaufdatum, Kartenprüfwert und Postanschrift – Feld für Feld generiert. Jedes generierte Feld kann nacheinander verwendet werden, um die nächsten Feld, indem Sie die Website eines anderen Händlers verwenden“, heißt es in der Studie.

Wenn die betreffende Händlerseite nicht nach der Postleitzahl fragt, funktioniert das Tool wie ein Kinderspiel und das Erfassen von Karteninformationen ist für einen Angreifer ein Kinderspiel.

Wie funktioniert das Ratetool?

Die Studie skizziert, dass die Ratearbeit durch zwei Hauptschwächen von E-Commerce-Sites ermöglicht wird.

Werkzeugbildschirm
Das von Forschern der Newcastle University entwickelte Tool (Screenshot).

„Um Kartendetails zu erhalten, kann man die Zahlungsseite eines Webhändlers verwenden, um die Daten zu erraten: Die Antwort des Händlers auf einen Transaktionsversuch gibt an, ob die Vermutung richtig war oder nicht“, fügt der Bericht hinzu.

Erstens fallen mehrere Zahlungsanforderungen von derselben Karte auf verschiedenen Händlerseiten im aktuellen Online-Zahlungsökosystem nicht ins Gewicht. Zweitens stellen verschiedene Webhändler unterschiedliche Sätze von Kartendetailfeldern bereit, was es dem Rateangriffstool ermöglicht, Karteninformationen Feld für Feld zu entschlüsseln.

Wenn es einem Angreifer gelingt, Ihre Kartendaten zu knacken, kann er mit der Karte nicht nur einkaufen, sondern auch online Geld überweisen – am besten auf ein anonymes Konto in einem anderen Land, da solche Angriffe von den Banken vereitelt werden können durch Rückbuchung von Zahlungen, aber eine länderübergreifende Rückbuchung ist ein mühsamerer und zeitaufwändigerer Prozess, der dem Angreifer ausreichend Zeit gibt, sich zurückzuziehen.

Die Untersuchung weist auch darauf hin, dass Visa-Karten anfälliger für den Angriff sind als Mastercard. Dies liegt daran, dass eine Mastercard nach 100 ungültigen Versuchen geschlossen wird, aber dies ist bei Visa nicht der Fall.

„Um den Angriff zu verhindern, kann entweder eine Standardisierung oder eine Zentralisierung angestrebt werden, die bereits von einigen kartenausgebenden Banken angeboten wird. Eine Standardisierung würde bedeuten, dass alle Händler die gleiche Zahlungsschnittstelle, also die gleiche Anzahl von Feldern, anbieten müssten. Dann skaliert der Angriff nicht mehr. Die Zentralisierung kann durch Zahlungsgateways oder Kartenzahlungsnetzwerke erreicht werden, die einen vollständigen Überblick über alle mit ihrem Netzwerk verbundenen Zahlungsversuche haben“, schloss die Studie.

Obwohl weder Standardisierung noch Zentralisierung zum Wesen des Internets – Freiheit und Freiheit – passen, wird dieser Prozess die Dinge für Karteninhaber sicherlich sicherer machen und sie weniger anfällig für Online-Angriffe machen.

Verwandt :  So finden Sie die IP-Adresse Ihres Druckers: 4 Methoden, die funktionieren
Moyens Staff
Moyens I/O-Personal. motivierte Sie und gab Ratschläge zu Technologie, persönlicher Entwicklung, Lebensstil und Strategien, die Ihnen helfen werden.