�ん� (Gon gitsune)
目次:
あるグループの研究者が、いくつかのeコマースのマーチャントサイトにクエリを送信することによって、CVVや有効期限などのクレジットカード情報を見つけるのに役立つツールを設計しました。
Mohammad Aamir Ali氏、Budi Arief氏、Martin Emms氏、Aad van Moorsel氏による広範な研究が、クレジットカードとデビットカードを使用したオンライン支払いと、さまざまなマーチャントサイトの複数の支払いゲートウェイによって引き起こされるセキュリティ問題について概説しています。
このツールのアルゴリズムは、何百もの販売者のウェブサイトでCVVの順列と有効期限のスコアを推測してテストします。
ニューカッスル大学に関連している研究の著者は、彼らのツールが郵便番号を推測してデータをアドレス指定するためにも使われることができると指摘しました。 ハッカーはこのツールを使用して位置データをカード発行元の金融機関と関連付けることも、スキミングデバイスを使用してどのマーチャントサイトがカードを盗んだのかを特定することもできます。
「さまざまなWebサイトのセキュリティソリューションの違いにより、支払いシステム全体に実質的に悪用可能な脆弱性がもたらされます。 攻撃者はこれらの違いを悪用して、使用可能なカード支払いの詳細(カード番号、有効期限、カードの検証値、および住所)を一度に1フィールドずつ生成する分散推測攻撃を構築できます。研究は次のように述べています。
関係するマーチャントサイトが郵便番号を要求しない場合、ツールはそよ風のように機能し、カード情報を取得することは攻撃者にとってはちょっとした困難です。
推測ツールはどのように機能しますか?
この調査では、推測作業が電子商取引サイトの2つの大きな弱点によって可能になることが概説されています。
「カードの詳細を取得するには、Webマーチャントの支払いページを使用してデータを推測することができます。トランザクションの試行に対するマーチャントの返信には、推測が正しいかどうかが記載されます」とレポートは付け加えます。
攻撃者があなたのカードの詳細を解読することができれば、それは彼がカードを使用して買い物をすることを可能にするだけでなく、オンライン送金も可能になります - そのような攻撃は銀行によって妨害されることができるので支払いを元に戻すが、クロスカントリーの元に戻すことは、より退屈で時間のかかるプロセスであり、攻撃者には撤退するのに十分な時間が与えられます。
調査はまたVisaカードがMastercardより攻撃に敏感であることを指摘する。 これは、マスターカードは100回の無効な試行が行われた後にシャットダウンするためですが、Visaの場合はそうではありません。
「攻撃を防ぐために、標準化または集中化のいずれかを追求することができます。これはすでに少数のカード発行銀行によって提供されています。 標準化は、すべての加盟店が同じ支払いインターフェース、つまり同じ数のフィールドを提供する必要があることを意味します。 それから攻撃はもはや拡大しません。 集中化は、そのネットワークに関連するすべての支払いの試みを完全に把握できる支払いゲートウェイまたはカード支払いネットワークによって実現できます。
標準化も集中化もインターネットの本質 - 自由と自由 - に適合しないが、このプロセスは確かに物事をカード保有者にとってより安全にし、それらをオンライン攻撃の影響を受けにくくする。