Alat Ini Dapat Menemukan Informasi Kartu Kredit Dalam 6 Detik:
Sekelompok peneliti telah merancang alat yang membantu mereka menemukan informasi kartu kredit — termasuk CVV dan tanggal kedaluwarsa — dengan mengirimkan kueri ke beberapa situs pedagang e-niaga.
Sebuah studi ekstensif oleh Mohammad Aamir Ali, Budi Arief, Martin Emms dan Aad van Moorsel, menguraikan pembayaran online menggunakan kartu kredit dan debit dan masalah keamanan yang disebabkan oleh beberapa gerbang pembayaran di situs pedagang yang berbeda, dipublikasikan di IEEE Security & Privacy.
Algoritme alat menebak dan menguji skor permutasi CVV dan tanggal kedaluwarsa di ratusan situs web pedagang. Penulis penelitian, yang terkait dengan Universitas Newcastle, menunjukkan bahwa alat mereka juga dapat digunakan untuk menebak kode pos dan data alamat.
Peretas dapat menggunakan alat tersebut untuk mengkorelasikan data lokasi dengan lembaga keuangan penerbit kartu atau menggunakan perangkat skimming untuk mencari tahu situs pedagang mana yang menggesek kartu tersebut. “Perbedaan solusi keamanan dari berbagai situs web memperkenalkan kerentanan yang dapat dieksploitasi secara praktis dalam sistem pembayaran secara keseluruhan.
Penyerang dapat mengeksploitasi perbedaan ini untuk membuat serangan tebakan terdistribusi yang menghasilkan detail pembayaran kartu yang dapat digunakan — nomor kartu, tanggal kedaluwarsa, nilai verifikasi kartu, dan alamat pos — satu bidang pada satu waktu, Setiap bidang yang dihasilkan dapat digunakan secara berurutan untuk menghasilkan bidang berikutnya dengan menggunakan situs web pedagang yang berbeda,” kata studi tersebut. Jika situs pedagang yang bersangkutan tidak meminta kode ZIP, maka alat tersebut bekerja dengan sangat mudah dan memperoleh informasi kartu sangat mudah bagi penyerang.
Bagaimana Cara Kerja Alat Tebak?
Studi tersebut menguraikan bahwa pekerjaan menebak-nebak dimungkinkan oleh dua kelemahan utama situs e-niaga. Alat (tangkapan layar) yang dikembangkan oleh para peneliti Universitas Newcastle
“Untuk mendapatkan detail kartu, seseorang dapat menggunakan halaman pembayaran web merchant untuk menebak datanya: balasan merchant untuk upaya transaksi akan menyatakan apakah tebakannya benar atau tidak,” tambah laporan tersebut.
Pertama, beberapa permintaan pembayaran dari kartu yang sama di situs pedagang yang berbeda tidak menimbulkan tanda di ekosistem pembayaran online saat ini. Kedua, pedagang web yang berbeda menyediakan kumpulan bidang detail kartu yang berbeda, yang memungkinkan alat serangan tebakan untuk menguraikan informasi kartu satu bidang pada satu waktu.
Jika penyerang dapat memecahkan detail kartu Anda, itu tidak hanya akan memungkinkan dia untuk berbelanja menggunakan kartu tersebut tetapi transfer uang online juga dapat dilakukan — sebaiknya ke akun anonim di beberapa negara lain karena serangan tersebut dapat digagalkan oleh bank. dengan membalikkan pembayaran tetapi pembalikan lintas negara merupakan proses yang lebih membosankan dan memakan waktu yang memberi penyerang cukup waktu untuk menarik diri.
Penelitian juga menunjukkan bahwa kartu Visa lebih rentan terhadap serangan daripada Mastercard. Ini karena Mastercard mati setelah 100 upaya yang tidak valid dilakukan, tetapi tidak demikian halnya dengan Visa.
“Untuk mencegah serangan itu, bisa ditempuh standarisasi atau sentralisasi yang sudah disediakan oleh beberapa bank penerbit kartu. Standarisasi akan menyiratkan bahwa semua pedagang perlu menawarkan antarmuka pembayaran yang sama, yaitu jumlah bidang yang sama.
Kemudian serangan itu tidak berskala lagi. Sentralisasi dapat dicapai dengan gateway pembayaran atau jaringan pembayaran kartu yang memiliki pandangan penuh atas semua upaya pembayaran yang terkait dengan jaringannya, ”penelitian menyimpulkan.
Meskipun baik standardisasi maupun sentralisasi tidak sesuai dengan esensi internet — kebebasan dan kebebasan — proses ini pasti akan membuat segalanya lebih aman bagi pemegang kartu dan membuat mereka tidak terlalu rentan terhadap serangan online.