Công cụ này có thể tìm thông tin thẻ tín dụng trong 6 giây
Một nhóm các nhà nghiên cứu đã thiết kế một công cụ giúp họ tìm kiếm thông tin thẻ tín dụng – bao gồm CVV và ngày hết hạn – bằng cách gửi các truy vấn đến một số trang web thương mại điện tử.
Một nghiên cứu sâu rộng của Mohammad Aamir Ali, Budi Arief, Martin Emms và Aad van Moorsel, phác thảo thanh toán trực tuyến bằng thẻ tín dụng và thẻ ghi nợ và các vấn đề bảo mật do nhiều cổng thanh toán trên các trang web thương mại khác nhau gây ra, đã được xuất bản trong IEEE Security & Privacy.
Thuật toán của công cụ đoán và kiểm tra điểm số hoán vị của CVV và ngày hết hạn trên hàng trăm trang web bán hàng.
Các tác giả của nghiên cứu, người được liên kết với Đại học Newcastle, chỉ ra rằng công cụ của họ cũng có thể được sử dụng để đoán mã Zip và dữ liệu địa chỉ. Tin tặc có thể sử dụng công cụ này để xác định mối tương quan giữa dữ liệu vị trí với tổ chức tài chính phát hành thẻ hoặc sử dụng thiết bị đọc lướt để tìm ra trang web bán hàng nào đã quẹt thẻ.
“Sự khác biệt trong các giải pháp bảo mật của các trang web khác nhau dẫn đến một lỗ hổng có thể khai thác thực tế trong hệ thống thanh toán tổng thể. Kẻ tấn công có thể khai thác những khác biệt này để xây dựng một cuộc tấn công phỏng đoán phân tán tạo ra các chi tiết thanh toán thẻ có thể sử dụng – số thẻ, ngày hết hạn, giá trị xác minh thẻ và địa chỉ bưu điện – một trường tại một thời điểm, Mỗi trường được tạo có thể được sử dụng liên tiếp để tạo trường tiếp theo bằng cách sử dụng trang web của một thương gia khác, ”nghiên cứu nêu rõ.
Nếu trang web bán hàng liên quan không yêu cầu mã ZIP, thì công cụ này hoạt động nhanh như chớp và việc thu thập thông tin thẻ là một miếng bánh cho kẻ tấn công.
Công cụ Đoán hoạt động như thế nào?
Nghiên cứu chỉ ra rằng công việc phỏng đoán được kích hoạt bởi hai điểm yếu chính của các trang web thương mại điện tử.
“Để có thông tin chi tiết về thẻ, người ta có thể sử dụng trang thanh toán của người bán trên web để đoán dữ liệu: câu trả lời của người bán đối với một nỗ lực giao dịch sẽ cho biết liệu phỏng đoán có đúng hay không,” báo cáo cho biết thêm.
Đầu tiên, nhiều yêu cầu thanh toán từ cùng một thẻ trên các trang web bán hàng khác nhau không được nêu cao trong hệ sinh thái thanh toán trực tuyến hiện tại. Thứ hai, các nhà cung cấp web khác nhau cung cấp các nhóm trường chi tiết thẻ khác nhau, cho phép công cụ tấn công phỏng đoán giải mã thông tin thẻ từng trường một.
Nếu kẻ tấn công có thể bẻ khóa chi tiết thẻ của bạn, nó sẽ không chỉ cho phép anh ta mua sắm bằng thẻ mà còn có thể thực hiện chuyển tiền trực tuyến – tốt nhất là vào một tài khoản ẩn danh ở một số quốc gia khác vì các cuộc tấn công như vậy có thể bị các ngân hàng cản trở bằng cách đảo ngược các khoản thanh toán nhưng việc đảo ngược xuyên quốc gia là một quá trình tẻ nhạt và tốn thời gian hơn, khiến kẻ tấn công có nhiều thời gian để rút tiền.
Nghiên cứu cũng chỉ ra rằng thẻ Visa dễ bị tấn công hơn thẻ Mastercard. Điều này là do thẻ Mastercard ngừng hoạt động sau 100 lần thử không hợp lệ được thực hiện, nhưng đây không phải là trường hợp của Visa.
“Để ngăn chặn cuộc tấn công, có thể theo đuổi tiêu chuẩn hóa hoặc tập trung hóa, điều này đã được một số ngân hàng phát hành thẻ cung cấp. Tiêu chuẩn hóa sẽ ngụ ý rằng tất cả người bán cần cung cấp cùng một giao diện thanh toán, tức là cùng một số trường. Sau đó, cuộc tấn công không quy mô nữa. Nghiên cứu kết luận: Tập trung hóa có thể đạt được nhờ các cổng thanh toán hoặc mạng thanh toán thẻ có cái nhìn đầy đủ về tất cả các nỗ lực thanh toán được liên kết với mạng của nó.
Mặc dù tiêu chuẩn hóa hoặc tập trung hóa không phù hợp với bản chất của internet – tự do và tự do – quá trình này chắc chắn sẽ làm cho mọi thứ an toàn hơn cho chủ thẻ và khiến họ ít bị tấn công trực tuyến hơn.
Cập nhật lần cuối vào ngày 4 tháng 2 năm 2021
Bài viết trên có thể chứa các liên kết liên kết giúp hỗ trợ smartreviewaz. Tuy nhiên, nó không ảnh hưởng đến tính toàn vẹn biên tập của chúng tôi. Nội dung vẫn không thiên vị và xác thực.