Esta herramienta puede encontrar información de tarjeta de crédito en 6 segundos

Un grupo de investigadores ha diseñado una herramienta que los ayuda a encontrar información de la tarjeta de crédito, incluido el CVV y la fecha de vencimiento, enviando consultas a varios sitios de comercio electrónico.




Un extenso estudio realizado por Mohammad Aamir Ali, Budi Arief, Martin Emms y Aad van Moorsel, describe los pagos en línea utilizando tarjetas de crédito y débito y los problemas de seguridad causados ​​por múltiples pasarelas de pago en diferentes sitios comerciales, se publicó en IEEE Seguridad y privacidad.



El algoritmo de la herramienta adivina y prueba decenas de permutaciones de CVV y fechas de vencimiento en cientos de sitios web de comerciantes.

Los autores del estudio, que están asociados con la Universidad de Newcastle, señalaron que su herramienta también se puede utilizar para adivinar códigos postales y datos de direcciones. Los piratas informáticos pueden usar la herramienta para correlacionar los datos de ubicación con la institución financiera emisora ​​de la tarjeta o usar un dispositivo de descremado para determinar qué sitios comerciales robaron la tarjeta.

“La diferencia en las soluciones de seguridad de varios sitios web introduce una vulnerabilidad prácticamente explotable en el sistema de pago general. Un atacante puede explotar estas diferencias para crear un ataque de adivinanzas distribuido que genere detalles de pago utilizables de la tarjeta: número de tarjeta, fecha de vencimiento, valor de verificación de la tarjeta y dirección postal, un campo a la vez. Cada campo generado se puede usar en sucesión para generar el siguiente campo mediante el uso de un sitio web de un comerciante diferente ' el estudio declara.

Si el sitio del comerciante en cuestión no solicita el código postal, entonces la herramienta funciona como una brisa y la adquisición de información de la tarjeta es pan comido para un atacante.





¿Cómo funciona la herramienta de adivinanzas?

El estudio describe que el trabajo de adivinanzas está habilitado por dos debilidades principales de los sitios de comercio electrónico.

La herramienta (captura de pantalla) desarrollada por investigadores de la Universidad de Newcastle

'Para obtener los detalles de la tarjeta, se puede usar la página de pago de un comerciante web para adivinar los datos: la respuesta del comerciante a un intento de transacción indicará si la suposición fue correcta o no', agrega el informe.

Primero, las múltiples solicitudes de pago de la misma tarjeta en diferentes sitios de comerciantes no levantan una bandera en el ecosistema de pagos en línea actual. En segundo lugar, diferentes comerciantes web proporcionan diferentes conjuntos de campos de detalle de tarjeta, lo que permite que la herramienta de ataque de adivinanzas descifre la información de la tarjeta un campo a la vez.

Si un atacante puede descifrar los datos de su tarjeta, no solo le permitirá comprar con la tarjeta, sino que también se puede realizar una transferencia de dinero en línea, preferiblemente a una cuenta anónima en otro país, ya que los bancos pueden frustrar tales ataques al revertir los pagos, pero la reversión a través del país es un proceso más tedioso y lento que le da al atacante suficiente tiempo para retirarse.

La investigación también señala que las tarjetas Visa son más susceptibles al ataque que Mastercard. Esto se debe a que una Mastercard se cierra después de realizar 100 intentos no válidos, pero este no es el caso con Visa.

“Para evitar el ataque, se puede buscar la estandarización o la centralización, que ya está siendo proporcionada por algunos bancos emisores de tarjetas. La estandarización implicaría que todos los comerciantes deben ofrecer la misma interfaz de pago, es decir, la misma cantidad de campos. Entonces el ataque ya no escala. La centralización se puede lograr mediante pasarelas de pago o redes de pago con tarjeta que posean una vista completa de todos los intentos de pago asociados con su red ”, concluyó el estudio.

Aunque ni la estandarización ni la centralización encajan con la esencia de Internet, la libertad y la libertad, este proceso seguramente hará las cosas más seguras para los titulares de tarjetas y los hará menos susceptibles a los ataques en línea.