loading...

هکرها با حدس زدن جزییات کارت های ویزا را به سرقت بردند

آکاایران: هکرها با حدس زدن جزییات کارت های ویزا را به سرقت بردند

آکاایران: بیگانه ای پرسه می زند شماره 188

هکرها با حدس زدن جزییات کارت های ویزا را به سرقت بردند

کارشناسان امنیتی هشدار داده اند که پردازش توزیع شده این پتانسیل را دارد تا به کلاه برداری از کارت های اعتباری شتاب بیشتری ببخشد. یک سایت تجارت الکترونیک به طور معمول تراکنش مربوط به یک کارت اعتباری را ده یا بیست مرتبه بعد از آن که اطلاعات مربوط به کارت اعتباری همچون رمز دوم کارت و CVV به اشتباه وارد شدند مسدود می کنند، همین موضوع باعث می شود تا کلاهبرداران فاقد در اختیار داشتن اطلاعات کامل شانس کمی برای سوء استفاده دارا باشند.

اما متاسفانه تعداد زیادی از سایت های خرید آنلاین از این الگو پیروی نمی کنند و به هکرها اجازه می دهند  با ارسال درخواست های موازی پرداخت متفاوت به صدها سایت، اطلاعات ناقص خود در ارتباط با کارت های اعتباری را تکمیل کنند. تکنیکی که به شدت بحث برانگیز بوده و نگرانی کارشناسان امنیتی را برانگیخته است. 

آن ها در مقاله خود یادآور شده اند در نقطه مقابل شبکه پرداخت مرکزی مسترکارت پس از ده بار تلاش روی یک حساب حمله آن ها را شناسایی کرد. علی و همکارانش در این تحقیق 389 سایت را از میان 400 سایتی که آلکسا آن ها را به عنوان سایت های برتر دسته بندی کرده بود انتخاب کردند. علی در این ارتباط گفته است: «تنها 47 مورد از این سایت ها از سامانه های احراز هویت سه بعدی استفاده می کنند و همین موضوع آن ها را در برابر حملات ما مقاوم کرده بود. 26 مورد از این سایت ها از ضعیف ترین رویکردها استفاده کرده بودند، به طوری که برای انجام تراکنش ها تنها از شماره کارت و تاریخ انقضای آن استفاده می کردند. 20 عدد از این سایت ها به کاربر اجازه می دادند تا شش بار تلاش ناموفق داشته باشد که همین موضوع حدس زدن جزییات مربوط به کارت ها را ساده می کند. 291 مورد از سایت ها از ترکیب شماره کارت، تاریخ انقضا و CVV به منظور اعتبارسنجی تراکنش ها استفاده می کردند که از این میان 238 مورد به کاربر اجازه می دادند که شش بار تلاش ناموفق داشته باشد.
25 مورد از سایت ها آدرس متعلق به صاحب کارت را به همراه تاریخ انقضا و CVV برای انجام تراکنش نیاز داشتند که حتی با این اقدامات پیشگیرانه بازهم امکان نفوذ وجود دارد. ما کشف کردیم که تعدادی از بانک ها اطلاعات متعلق به شعبه خود را روی شماره کارت به صورت رمزنگاری شده حک می کنند. همین موضوع به هکرها اجازه می دهد کد پستی محدوده شعبه را حدس بزنند. بدتر آن که دو مورد از این سایت ها به کاربر اجازه می دادند به طور نامحدود شانس خود را در ورود اطلاعات مورد آزمایش قرار دهد.»
به گزارش آکاایران: پژوهشگران در ارتباط با تحقیق خود گفته اند: «سایت هایی که در این مطالعه مورد بررسی قرار دادیم را بر مبنای اطلاعات موردنیاز در پرداخت به سه گروه تقسیم بندی کردیم و با تعدادی از آن ها ارتباط برقرار کردیم. از میان 36 سایت، 28 مورد از آن ها پس از گذشت چهار هفته به درخواست ما پاسخ دادند و هشت مورد سایت خود را در ارتباط با کاهش خطر نقص اطلاعات ترمیم کردند. ترمیم هایی که از سوی این سایت ها مورد استفاده قرار گرفته در ارتباط با محدود کردن تعداد درخواست ها بر مبنای آدرس IP یا شماره کارت مالک، اضافه کردن کد امنیتی و ملزم کردن کاربر مبنی بر وارد کردن اطلاعات دیگری در کنار شماره کارت و تاریخ انقضای آن بود».
آن ها در بخش پایانی مقاله خود یادآور شده اند که اگر به دنبال راهکار جامعی برای مقابله با حملات حدس توزیع شده در ارتباط با سامانه های پرداخت هستید، باید از الگویی که مسترکارت از آن استفاده کرده است استفاده کنید یا استاندارهای ویژه ای را در ارتباط با تمامی سایت ها مورد استفاده قرار دهید. به طوری که از اطلاعات کاملی برای احراز هویت کاربران استفاده شود. به کارگیری این تکنیک باعث می شود تا سرویس های پرداخت در برابر حملات حدس توزیع شده ایمن شوند. 

.

منبع : shabakeh-mag.com

تبلیغات