यह टूल 6 सेकंड में क्रेडिट कार्ड की जानकारी पा सकता है

शोधकर्ताओं के एक समूह ने एक उपकरण तैयार किया है जो उन्हें क्रेडिट कार्ड की जानकारी - सीवीवी और समाप्ति तिथि सहित - कई ई-कॉमर्स व्यापारी साइटों पर प्रश्न भेजने में मदद करता है।

मोहम्मद आमिर अली, बडी एरी, मार्टिन एम्स और एड वैन मूरसेल द्वारा एक व्यापक अध्ययन, क्रेडिट और डेबिट कार्ड का उपयोग करके ऑनलाइन भुगतान की रूपरेखा और विभिन्न व्यापारी साइटों पर कई भुगतान गेटवे के कारण होने वाले सुरक्षा मुद्दों को IEEE सुरक्षा और गोपनीयता में प्रकाशित किया गया था।

उपकरण का एल्गोरिथ्म सीवीवी और सैकड़ों व्यापारी वेबसाइटों पर समाप्ति तिथियों के क्रमांक का अनुमान और परीक्षण करता है।

अध्ययन के लेखकों, जो न्यूकैसल विश्वविद्यालय से जुड़े हैं, ने बताया कि उनके उपकरण का उपयोग ज़िप कोड और डेटा का पता लगाने के लिए भी किया जा सकता है। हैकर्स कार्ड जारी करने वाले वित्तीय संस्थान के साथ स्थान डेटा को सहसंबंधित करने के लिए उपकरण का उपयोग कर सकते हैं या यह पता लगाने के लिए स्किमिंग डिवाइस का उपयोग कर सकते हैं कि किन व्यापारियों ने कार्ड स्वाइप किया।

“विभिन्न वेबसाइटों के सुरक्षा समाधानों में अंतर समग्र भुगतान प्रणाली में व्यावहारिक रूप से शोषक भेद्यता का परिचय देता है। एक हमलावर इन अंतरों का उपयोग कर एक वितरित अनुमान लगाने वाले हमले का निर्माण कर सकता है, जो उपयोग करने योग्य कार्ड भुगतान विवरण उत्पन्न करता है - कार्ड नंबर, समाप्ति तिथि, कार्ड सत्यापन मूल्य और डाक पता - एक समय में एक फ़ील्ड, प्रत्येक उत्पन्न फ़ील्ड को उत्पन्न करने के लिए उत्तराधिकार में उपयोग किया जा सकता है एक अलग व्यापारी की वेबसाइट का उपयोग करके अगला क्षेत्र, ”अध्ययन में कहा गया है।

यदि संबंधित व्यापारी साइट ज़िप कोड के लिए नहीं पूछती है, तो उपकरण एक हवा की तरह काम करता है और कार्ड की जानकारी प्राप्त करना एक हमलावर के लिए केक का एक टुकड़ा है।

कैसे लगता है उपकरण काम करता है?

अध्ययन बताता है कि ई-कॉमर्स साइटों की दो बड़ी कमजोरियों से अनुमान लगाने का काम सक्षम है।

रिपोर्ट में कहा गया है, "कार्ड का विवरण प्राप्त करने के लिए, एक वेब व्यापारी के भुगतान पृष्ठ का उपयोग डेटा का अनुमान लगाने के लिए कर सकता है: लेनदेन के प्रयास के लिए व्यापारी का उत्तर यह बताएगा कि अनुमान सही था या नहीं"।

सबसे पहले, विभिन्न व्यापारी साइटों पर एक ही कार्ड से कई भुगतान अनुरोध वर्तमान ऑनलाइन भुगतान पारिस्थितिकी तंत्र में एक झंडा नहीं बढ़ाते हैं। दूसरे, विभिन्न वेब व्यापारी कार्ड डिटेल फ़ील्ड के विभिन्न सेट प्रदान करते हैं, जो एक समय में कार्ड की जानकारी को एक क्षेत्र में समझने के लिए अटैकिंग अटैक टूल को सक्षम बनाता है।

यदि कोई हमलावर आपके कार्ड के विवरण को क्रैक करने में सक्षम है, तो यह न केवल उसे कार्ड का उपयोग करके खरीदारी करने की अनुमति देगा, बल्कि एक ऑनलाइन मनी ट्रांसफर भी किया जा सकता है - अधिमानतः किसी अन्य देश में एक अनाम खाते के लिए, क्योंकि इस तरह के हमलों को बैंकों द्वारा विफल किया जा सकता है भुगतानों को उलट कर, लेकिन क्रॉस-कंट्री रिवर्सल एक अधिक थकाऊ और समय लेने वाली प्रक्रिया है जो हमलावर को वापस लेने के लिए पर्याप्त समय देता है।

शोध यह भी बताते हैं कि मास्टर कार्ड की तुलना में वीज़ा कार्ड हमले के लिए अतिसंवेदनशील होते हैं। ऐसा इसलिए है क्योंकि 100 अमान्य प्रयासों के बाद एक मास्टरकार्ड बंद हो जाता है, लेकिन वीज़ा के साथ ऐसा नहीं है।

“हमले को रोकने के लिए या तो मानकीकरण या केंद्रीकरण को आगे बढ़ाया जा सकता है, जो पहले से ही कुछ कार्ड जारी करने वाले बैंकों द्वारा प्रदान किया जा रहा है। मानकीकरण का मतलब यह होगा कि सभी व्यापारियों को समान भुगतान इंटरफ़ेस, यानी समान फ़ील्ड की पेशकश करने की आवश्यकता है। फिर हमले का कोई पैमाना नहीं होता। केंद्रीयकरण को भुगतान गेटवे या कार्ड से भुगतान नेटवर्क द्वारा प्राप्त किया जा सकता है, जो अपने नेटवर्क से जुड़े सभी भुगतान प्रयासों पर एक पूर्ण दृष्टिकोण रखता है, ”अध्ययन का निष्कर्ष निकाला गया।

यद्यपि न तो मानकीकरण या केंद्रीकरण इंटरनेट के सार के साथ फिट बैठता है - स्वतंत्रता और स्वतंत्रता - यह प्रक्रिया निश्चित रूप से कार्डधारकों के लिए चीजों को अधिक सुरक्षित बनाएगी और उन्हें ऑनलाइन हमलों के लिए कम संवेदनशील बना देगी।