Deze tool kan creditcardinformatie vinden in 6 seconden

Een groep onderzoekers heeft een tool ontworpen die hen helpt bij het vinden van creditcardinformatie - inclusief CVV ​​en de vervaldatum - door vragen te sturen naar verschillende e-commerce handelaarssites.

Een uitgebreid onderzoek door Mohammad Aamir Ali, Budi Arief, Martin Emms en Aad van Moorsel, schetst online betalingen met credit- en debitcards en de beveiligingsproblemen die worden veroorzaakt door meerdere betalingsgateways op verschillende handelssites, werd gepubliceerd in IEEE Security & Privacy.

Het algoritme van de tool raadt en test scores van permutaties van CVV's en vervaldatums op honderden websites van verkopers.

De auteurs van het onderzoek, verbonden aan Newcastle University, wezen erop dat hun tool ook kan worden gebruikt om postcode en adresgegevens te raden. Hackers kunnen de tool gebruiken om locatiegegevens te correleren met de financiële instelling die de kaart uitgeeft, of een skimming-apparaat gebruiken om erachter te komen welke sites van verkopers de kaart hebben meegenomen.

“Het verschil in beveiligingsoplossingen van verschillende websites introduceert een praktisch exploiteerbare kwetsbaarheid in het totale betalingssysteem. Een aanvaller kan deze verschillen benutten om een ​​gedistribueerde gokaanval te bouwen die bruikbare kaartbetalingsgegevens genereert - kaartnummer, vervaldatum, kaartverificatiewaarde en postadres - één veld tegelijk, elk gegenereerd veld kan achter elkaar worden gebruikt om de volgende veld door de website van een andere handelaar te gebruiken, ”verklaart de studie.

Als de betreffende verkoperssite niet om de postcode vraagt, werkt de tool als een briesje en is het verkrijgen van kaartinformatie een fluitje van een cent voor een aanvaller.

Hoe werkt de raadtool?

De studie schetst dat het giswerk mogelijk wordt gemaakt door twee belangrijke tekortkomingen van e-commerce sites.

"Om kaartgegevens te verkrijgen, kan men de betaalpagina van een webwinkelier gebruiken om de gegevens te raden: het antwoord van de webwinkelier op een transactiepoging zal aangeven of de gok correct was of niet, " voegt het rapport toe.

Ten eerste werpen meerdere betalingsverzoeken van dezelfde kaart op verschillende handelssites geen vlag op in het huidige online betalingsecosysteem. Ten tweede bieden verschillende webwinkels verschillende sets met kaartdetailvelden, waardoor de tool voor het raden van aanvallen kaartinformatie één veld per keer kan ontcijferen.

Als een aanvaller in staat is om uw kaartgegevens te kraken, kan hij niet alleen winkelen met de kaart, maar kan er ook een online geldoverboeking worden uitgevoerd - bij voorkeur naar een anonieme account in een ander land, omdat dergelijke aanvallen kunnen worden tegengewerkt door de banken door betalingen terug te draaien, maar het omkeren van landen naar andere landen is een lastiger en tijdrovend proces dat de aanvaller voldoende tijd geeft om zich terug te trekken.

Het onderzoek wijst er ook op dat Visa-kaarten gevoeliger zijn voor de aanval dan Mastercard. Dit komt omdat een Mastercard wordt afgesloten nadat 100 ongeldige pogingen zijn gedaan, maar dit is niet het geval met Visa.

“Om de aanval te voorkomen, kan standaardisatie of centralisatie worden nagestreefd, die al wordt verzorgd door enkele banken die kaarten uitgeven. Standaardisatie zou impliceren dat alle verkopers dezelfde betalingsinterface moeten aanbieden, dat wil zeggen hetzelfde aantal velden. Dan schaalt de aanval niet meer. Centralisatie kan worden bereikt door betalingsgateways of kaartbetaalnetwerken die een volledig zicht hebben op alle betalingspogingen in verband met het netwerk, ”concludeerde de studie.

Hoewel standaardisatie of centralisatie niet past bij de essentie van het internet - vrijheid en vrijheid - zal dit proces de zaken zeker veiliger maken voor kaarthouders en minder vatbaar maken voor online aanvallen.