《全网追踪》 揭开短信嗅探、盗刷银行卡案件背后的黑色产业链 20191215 | CCTV社会与法
目录:
一组研究人员设计了一种工具,通过向多个电子商务商家网站发送查询,帮助他们找到信用卡信息 - 包括CVV和到期日期。
Mohammad Aamir Ali,Budi Arief,Martin Emms和Aad van Moorsel的广泛研究概述了使用信用卡和借记卡的在线支付以及由不同商家网站上的多个支付网关引起的安全问题,该研究发表在IEEE Security&Privacy。
该工具的算法猜测并测试了数百个商家网站上的CVV排列和到期日期的得分。
与纽卡斯尔大学有关的研究的作者指出,他们的工具也可用于猜测邮政编码和地址数据。 黑客可以使用该工具将位置数据与发卡金融机构相关联,或使用略读设备来确定哪些商家网站刷卡。
“各种网站的安全解决方案的差异在整个支付系统中引入了一个实际可利用的漏洞。 攻击者可以利用这些差异来构建分布式猜测攻击,该攻击生成可用的卡支付详细信息 - 卡号,有效期,卡验证值和邮政地址 - 一次一个字段,每个生成的字段可以连续使用以生成通过使用不同商家的网站,下一个领域,“研究表明。
如果相关的商家网站没有要求邮政编码,那么该工具就像一件轻而易举的事情,获取卡信息对于攻击者来说是件小事。
猜测工具如何工作?
该研究概述了猜测工作是由电子商务网站的两个主要弱点实现的。
“要获得卡片详细信息,可以使用网络商家的支付页面来猜测数据:商家对交易尝试的回复将说明猜测是否正确,”报告补充说。
如果攻击者能够破解您的卡详细信息,它不仅允许他使用该卡购物,而且还可以进行在线汇款 - 最好是在其他国家的匿名帐户,因为银行可能会阻止此类攻击通过扭转付款但跨国逆转是一个更繁琐和耗时的过程,使攻击者有足够的时间撤回。
研究还指出,Visa卡比Mastercard更容易受到攻击。 这是因为万事达卡在100次无效尝试后关闭,但Visa不是这种情况。
“为了防止这种攻击,可以进行标准化或集中化,这已经由一些发卡银行提供。 标准化意味着所有商家都需要提供相同的支付界面,即相同数量的字段。 然后攻击不再扩展。 集中化可以通过支付网关或卡支付网络实现,该网络拥有与其网络相关的所有支付尝试的完整视图,“该研究得出结论。
虽然标准化或集中化都不符合互联网的本质 - 自由和自由 - 但这一过程肯定会使持卡人的信息更加安全,并使他们不易受到在线攻击。