이 도구는 6 초 내에 신용 카드 정보를 찾을 수 있습니다.

연구자 그룹은 여러 전자 상거래 판매자 사이트에 쿼리를 보내 CVV 및 만료일을 비롯한 신용 카드 정보를 찾는 데 도움이되는 도구를 설계했습니다.

Mohammad Aamir Ali, Budi Arief, Martin Emms 및 Aad van Moorsel의 광범위한 연구에 따르면 신용 카드 및 직불 카드를 사용한 온라인 지불 및 여러 가맹점의 다중 지불 게이트웨이로 인한 보안 문제가 IEEE Security & Privacy에 게시되었습니다.

이 도구의 알고리즘은 수백 개의 판매자 웹 사이트에서 CVV 및 유효 기간의 순열 점수를 추측하고 테스트합니다.

뉴캐슬 대학 (Newcastle University)과 관련된이 연구의 저자들은 그들의 도구가 우편 번호와 주소 데이터를 추측하는 데 사용될 수 있다고 지적했다. 해커는이 도구를 사용하여 위치 데이터를 카드 발급 금융 기관과 연관 시키거나 스키밍 장치를 사용하여 카드를 스 와이프 한 판매자 사이트를 파악할 수 있습니다.

"다양한 웹 사이트의 보안 솔루션의 차이점은 전반적인 지불 시스템에서 실제로 악용 될 수있는 취약점을 초래합니다. 공격자는 이러한 차이점을 이용하여 한번에 한 필드 씩 카드 번호, 만료일, 카드 검증 값 및 우편 주소와 같은 사용 가능한 카드 지불 세부 정보를 생성하는 분산 추측 공격을 구축 할 수 있습니다. 생성 된 각 필드를 연속적으로 사용하여 다른 상인의 웹 사이트를 사용하여 다음 필드를 검색 할 수 있습니다.

해당 상인 사이트가 ZIP 코드를 요구하지 않으면 도구는 산들 바람처럼 작동하고 카드 정보를 습득하면 공격자가 얻는 케이크 조각입니다.

추측 도구는 어떻게 작동합니까?

이 연구는 추측 작업이 전자 상거래 사이트의 두 가지 약점에 의해 가능하다고 설명합니다.

"카드 세부 정보를 얻으려면 웹 상인의 지불 페이지를 사용하여 데이터를 추측 할 수 있습니다. 상인의 거래 시도에 대한 회신은 추측이 맞는지 여부를 나타냅니다."

첫째, 서로 다른 판매자 사이트에있는 동일한 카드의 여러 지불 요청은 현재의 온라인 지불 시스템에서 플래그를 발생시키지 않습니다. 둘째, 서로 다른 웹 판매자는 서로 다른 카드 세부 정보 집합을 제공하여 추측 공격 도구가 한 번에 한 필드 씩 카드 정보를 해독 할 수있게합니다.

공격자가 카드 세부 정보를 해독 할 수 있다면 카드를 사용하여 쇼핑 할 수있을뿐만 아니라 다른 국가의 익명 계좌로 온라인 송금을 할 수도 있습니다. 은행에서 이러한 공격을 저지 할 수 있습니다. 지불을 되 돌리지 만 크로스 컨트리 리버설은 더 지루하고 시간이 많이 걸리는 프로세스로 공격자가 철회하는데 충분한 시간을줍니다.

이 연구는 Visa 카드가 Mastercard보다 공격에 더 취약하다는 점도 지적했습니다. 마스터 카드가 100 회 이상 유효하지 않은 시도를 한 후에 종료되기 때문입니다. 그러나 Visa는 그렇지 않습니다.

"공격을 막기 위해 이미 표준화 또는 중앙 집중화를 추구 할 수 있습니다.이 표준화는 이미 일부 카드 발급 은행에서 제공하고 있습니다. 표준화는 모든 판매자가 동일한 지불 인터페이스, 즉 동일한 수의 필드를 제공해야 함을 의미합니다. 그러면 공격은 더 이상 확장되지 않습니다. 중앙 집중화는 네트워크와 관련된 모든 지불 시도에 대한 완전한 시각을 가진 지불 게이트웨이 또는 카드 지불 네트워크에 의해 달성 될 수 있습니다 "라고 연구는 결론을 내렸다.

표준화 나 중앙 집중화가 인터넷의 본질, 즉 자유와 자유에 부합하지는 않지만, 이 과정을 통해 카드 소지자의 보안이 강화되고 온라인 공격에 덜 취약해질 것입니다.