Cet outil peut trouver des informations de carte de crédit en 6 secondes.

Un groupe de chercheurs a conçu un outil qui les aide à trouver des informations sur les cartes de crédit, y compris les CVV et les dates d'expiration, en envoyant des requêtes à plusieurs sites marchands de commerce électronique.

Une étude approfondie réalisée par Mohammad Aamir Ali, Budi Arief, Martin Emms et Aad van Moorsel, décrit les paiements en ligne effectués avec des cartes de crédit et de débit, ainsi que les problèmes de sécurité causés par plusieurs passerelles de paiement sur différents sites marchands, a été publiée dans IEEE Security & Privacy.

L'algorithme de l'outil devine et teste les scores de permutations de CVV et les dates d'expiration sur des centaines de sites Web marchands.

Les auteurs de l’étude, associés à l’Université de Newcastle, ont souligné que leur outil pouvait également être utilisé pour deviner des codes postaux et des données d’adresse. Les pirates peuvent utiliser cet outil pour corréler les données de localisation avec l’institution financière émettrice de la carte ou utiliser un dispositif de skimming pour déterminer quels sites marchands ont glissé la carte.

«La différence entre les solutions de sécurité de différents sites Web introduit une vulnérabilité pratiquement exploitable dans l’ensemble du système de paiement. Un attaquant peut exploiter ces différences pour créer une attaque de suppositions distribuée générant des informations de paiement par carte utilisables - numéro de carte, date d'expiration, valeur de vérification de la carte et adresse postale - un champ à la fois. Chaque champ généré peut être utilisé successivement pour générer le fichier. champ suivant en utilisant le site Web d’un commerçant différent », indique l’étude.

Si le site marchand concerné ne demande pas le code postal, alors l'outil fonctionne comme une brise et l'acquisition d'informations sur une carte est un jeu d'enfant pour un attaquant.

Comment fonctionne l'outil de devinette?

L’étude souligne que le travail d’ajustement est rendu possible par deux faiblesses majeures des sites de commerce électronique.

"Pour obtenir les détails de la carte, on peut utiliser la page de paiement d'un marchand Web pour deviner les données: la réponse du commerçant à une tentative de transaction indiquera si le choix est correct ou non", ajoute le rapport.

Premièrement, plusieurs demandes de paiement émanant de la même carte sur différents sites marchands ne constituent pas un drapeau dans l'écosystème actuel des paiements en ligne. Deuxièmement, différents marchands Web fournissent différents ensembles de champs de détail de carte, ce qui permet à l'outil d'attaque de devinettes de déchiffrer les informations de carte, un champ à la fois.

Si un attaquant est en mesure de déchiffrer les informations de votre carte, cela lui permettra non seulement de magasiner avec sa carte, mais également d'effectuer un virement de fonds en ligne - de préférence sur un compte anonyme situé dans un autre pays, car de telles attaques peuvent être déjouées par les banques. en inversant les paiements, mais l’annulation transnationale est un processus plus fastidieux et fastidieux qui donne à l’attaquant suffisamment de temps pour se retirer.

La recherche indique également que les cartes Visa sont plus vulnérables à l’attaque que Mastercard. En effet, une carte MasterCard s’arrête après 100 tentatives infructueuses, mais ce n’est pas le cas avec Visa.

«Pour empêcher l'attaque, il est possible de poursuivre la standardisation ou la centralisation, déjà fournie par quelques banques émettrices de cartes. La normalisation impliquerait que tous les commerçants doivent offrir la même interface de paiement, c'est-à-dire le même nombre de champs. Ensuite, l'attaque n'est plus à l'échelle. La centralisation peut être réalisée par des passerelles de paiement ou des réseaux de paiement par carte disposant d'une vue complète sur toutes les tentatives de paiement associées à son réseau », a conclu l'étude.

Bien que ni la normalisation ni la centralisation ne correspondent à l'essence même d'Internet - liberté et liberté -, ce processus rendra sûrement les choses plus sûres pour les titulaires de cartes et les rendra moins vulnérables aux attaques en ligne.