Alat ini dapat menemukan informasi kartu kredit dalam 6 detik

Sekelompok peneliti telah merancang alat yang membantu mereka menemukan informasi kartu kredit - termasuk CVV dan tanggal kedaluwarsa - dengan mengirimkan pertanyaan ke beberapa situs merchant e-commerce.

Sebuah studi ekstensif oleh Mohammad Aamir Ali, Budi Arief, Martin Emms dan Aad van Moorsel, menguraikan pembayaran online menggunakan kartu kredit dan debit dan masalah keamanan yang disebabkan oleh beberapa gateway pembayaran di situs pedagang yang berbeda, diterbitkan di IEEE Security & Privacy.

Algoritma alat ini menebak dan menguji skor permutasi CVV dan tanggal kedaluwarsa pada ratusan situs web pedagang.

Para penulis penelitian, yang terkait dengan Universitas Newcastle, menunjukkan bahwa alat mereka juga dapat digunakan untuk menebak kode pos dan data alamat. Peretas dapat menggunakan alat ini untuk menghubungkan data lokasi dengan lembaga keuangan penerbit kartu atau menggunakan alat skimming untuk mengetahui situs pedagang mana yang menggesek kartu tersebut.

“Perbedaan dalam solusi keamanan dari berbagai situs web memperkenalkan kerentanan praktis yang dapat dieksploitasi dalam sistem pembayaran keseluruhan. Seorang penyerang dapat mengeksploitasi perbedaan ini untuk membangun serangan tebakan terdistribusi yang menghasilkan rincian pembayaran kartu yang dapat digunakan - nomor kartu, tanggal kedaluwarsa, nilai verifikasi kartu, dan alamat pos - satu bidang pada satu waktu, Setiap bidang yang dihasilkan dapat digunakan secara berurutan untuk menghasilkan bidang selanjutnya dengan menggunakan situs web pedagang yang berbeda, ”kata studi tersebut.

Jika situs pedagang yang bersangkutan tidak meminta kode ZIP, maka alat itu bekerja seperti angin dan memperoleh informasi kartu adalah sepotong kue untuk penyerang.

Bagaimana Alat Tebak Bekerja?

Studi ini menguraikan bahwa pekerjaan menebak dimungkinkan oleh dua kelemahan utama situs e-commerce.

"Untuk mendapatkan detail kartu, seseorang dapat menggunakan halaman pembayaran pedagang web untuk menebak data: balasan pedagang untuk upaya transaksi akan menyatakan apakah tebakannya benar atau tidak, " tambah laporan itu.

Pertama, beberapa permintaan pembayaran dari kartu yang sama di situs merchant yang berbeda tidak menaikkan bendera di ekosistem pembayaran online saat ini. Kedua, pedagang web yang berbeda menyediakan rangkaian bidang detail kartu yang berbeda, yang memungkinkan alat serangan tebakan untuk menguraikan informasi kartu satu bidang pada satu waktu.

Jika penyerang dapat memecahkan rincian kartu Anda, itu tidak hanya akan memungkinkannya untuk berbelanja menggunakan kartu tersebut tetapi transfer uang online juga dapat dilakukan - lebih disukai ke akun anonim di beberapa negara lain karena serangan tersebut dapat digagalkan oleh bank. dengan membalik pembayaran tetapi pembalikan lintas negara adalah proses yang lebih membosankan dan memakan waktu yang memberi penyerang cukup waktu untuk menarik.

Penelitian ini juga menunjukkan bahwa kartu Visa lebih rentan terhadap serangan daripada Mastercard. Ini karena Mastercard dimatikan setelah 100 upaya yang tidak valid dilakukan, tetapi ini tidak berlaku untuk Visa.

“Untuk mencegah serangan itu, baik standardisasi atau sentralisasi dapat dikejar, yang sudah disediakan oleh beberapa bank penerbit kartu. Standarisasi akan menyiratkan bahwa semua pedagang harus menawarkan antarmuka pembayaran yang sama, yaitu jumlah bidang yang sama. Maka serangan itu tidak skala lagi. Sentralisasi dapat dicapai dengan gateway pembayaran atau jaringan pembayaran kartu yang memiliki pandangan penuh atas semua upaya pembayaran yang terkait dengan jaringannya, ”penelitian menyimpulkan.

Meskipun standardisasi atau sentralisasi tidak cocok dengan esensi internet - kebebasan dan kebebasan - proses ini pasti akan membuat hal-hal lebih aman bagi pemegang kartu dan membuat mereka lebih rentan terhadap serangan online.