Det här verktyget kan hitta kreditkortsinformation på 6 sekunder

En grupp forskare har utformat ett verktyg som hjälper dem att hitta kreditkortsinformation - inklusive CVV och utgångsdatum - genom att skicka frågor till flera e-handelshandelssajter.

En omfattande studie av Mohammad Aamir Ali, Budi Arief, Martin Emms och Aad van Moorsel, sammanfattar onlinebetalningar med kredit- och betalkort och säkerhetsproblem som orsakats av flera betalningsportar på olika handelsplatser publicerades i IEEE Security & Privacy.

Verktygets algoritm gissar och testar poäng för permutationer av CVV: er och utgångsdatum på hundratals handelswebbplatser.

Studiens författare, som är associerade med Newcastle University, påpekade att deras verktyg också kan användas för att gissa postnummer och adressdata. Hackare kan använda verktyget för att korrelera platsinformation med det finansinstitut som utfärdar kortet eller använda en skimmingapparat för att ta reda på vilka handelsplatser som har kortet.

”Skillnaden i säkerhetslösningar på olika webbplatser introducerar en praktiskt utnyttjbar sårbarhet i det totala betalningssystemet. En angripare kan utnyttja dessa skillnader för att bygga en distribuerad gissningsattack som genererar användbar kortbetalningsinformation - kortnummer, utgångsdatum, kortverifieringsvärde och postadress - ett fält i taget. Varje genererat fält kan användas i följd för att generera nästa fält med hjälp av en annan köpman webbplats, "säger studien.

Om den berörda säljarens webbplats inte ber om postnumret fungerar verktyget som en bris och att skaffa kortinformation är en bit kaka för en angripare.

Hur fungerar gissningsverktyget?

Studien beskriver att gissningsarbetet möjliggörs av två stora svagheter på e-handelswebbplatser.

"För att få kortinformation kan man använda en webbhandels betalningssida för att gissa uppgifterna. Handlarens svar på ett transaktionsförsök anger om gissningen var korrekt eller inte, " lägger rapporten till.

Först höjer inte flera betalningsbegäranden från samma kort på olika handelsplatser en flagga i det nuvarande ekosystemet för betalningar online. För det andra tillhandahåller olika webbhandlare olika uppsättningar med kortdetaljfält, vilket gör det möjligt för gissa attackverktyget att dechiffrera kortinformation ett fält i taget.

Om en angripare kan knäcka dina kortuppgifter tillåter den inte bara att han handlar med kortet utan kan även en online-överföring göras - helst till ett anonymt konto i ett annat land eftersom sådana attacker kan hindras av bankerna genom att vända betalningar men återsändande är en mer tråkig och tidskrävande process som ger angriparen god tid att dra ut.

Forskningen påpekar också att visakort är mer mottagliga för attacken än Mastercard. Detta beror på att ett Mastercard stängs av efter 100 ogiltiga försök har gjorts, men detta är inte fallet med Visa.

”För att förhindra attacken kan antingen standardisering eller centralisering genomföras, vilket redan tillhandahålls av några få kort som utfärdar banker. Standardisering skulle innebära att alla handlare måste erbjuda samma betalningsgränssnitt, det vill säga samma antal fält. Då skalar attacken inte längre. Centralisering kan uppnås genom betalningsportar eller kortbetalningsnät med en fullständig vy över alla betalningsförsök som är associerade med dess nätverk, ”avslutade studien.

Även om varken standardisering eller centralisering passar kärnan i internet - frihet och frihet - kommer denna process säkert att göra saker säkrare för korthållare och göra dem mindre mottagliga för attacker online.