حملات ‌«حدس توزیع‌شده» برای به دست آوردن اطلاعات کارت‌های ویزا

۴متخصصان امنیتی می‌گویند پردازش توزیع‌شده می‌تواند به تسریع کلاهبرداری‌های کارت‌ اعتباری کمک کند. یک درگاه خرید برخط معمولاً یک کارت اعتباری را پس از ۱۰ یا ۲۰ مرتبه ورود اطلاعات اشتباه (رمز دوم و CVV۲) مسدود می‌سازد.

کارشناسان امنیتی می‌گویند درگاه‌های خرید برخطی وجود دارند که به مجرمان سایبری امکان می‌دهند از طریق ارسال درخواست‌های پرداخت متفاوت به صدها درگاه مشابه به‌طور موازی اطلاعات ناقص خود را از کارت اعتباری تکمیل کنند.

به گفته محقق امنیتی دانشگاه نیوکاسل، تنها ۶ ثانیه زمان کافی است تا چنین حمله‌ای صورت گیرد.
حدس زدن تاریخ انقضای یک کارت اصلاً کار دشواری نیست: کارت‌ها معمولاً ۵ سال اعتبار دارند، بنابراین ارسال ۶۰ مقدار ممکن به وبگاه‌های مختلف درنهایت مقدار صحیح را به دست می‌دهد. دستیابی به کد CVV سه‌رقمی اندکی دشوارتر بوده و نیازمند ارسال ۱۰۰۰ درخواست به وبگاه‌های مختلف است.

محققان امنیتی، محمد امیر، بودی عارف، مارتین انز و آدوان مورسل می‌گویند: «از آنجا که تعداد تلاش‌های متوالی به‌منظور دستیابی به اطلاعات کارت اعتباری از طریق یک وبگاه محدود است، به‌طور عملی حدس‌های نامحدود درباره این اطلاعات از طریق توزیع درخواست‌های مختلف بین وبگاه‌های متفاوت امکان‌پذیر است.» مقاله آن‌ها با عنوان «آیا بستر پرداخت برخط به‌طور ناخواسته امکان کلاهبرداری برخط را فراهم کرده‌ است؟» سازوکارهای کنونی پرداخت را به چالش کشیده است. پاسخ آن‌ها دست‎کم برای کارت‌های ویزامثبت بود. آن‌ها توانسته‌اند در مورد این‌ کارت‌ها درخواست‌های کافی را به‌منظور به دست آوردن اطلاعات ضروری ارسال کنند. آن‌ها می‌گویند در طرف دیگر شبکه پرداخت مرکزی MasterCard حمله آن‌ها را پس از انجام ۱۰ تلاش بر روی یک حساب شناسایی کرده است.

علی و همکارانش در پژوهش خود ۳۸۹ وبگاه را از میان ۴۰۰ وبگاه برتر Alexa.com بررسی کرده و می‌گویند تنها ۴۷ مورد از سامانه احراز هویت امن سه‌بعدی استفاده کرده و در برابر حمله آن‌ها ایمن بوده‌اند.
«ضعیف‌ترین وبگاه‌ها ۲۶ موردی بودند که تنها شماره کارت و تاریخ انقضاء را برای پرداخت نیاز داشتند. ۲۰ نمونه از این وبگاه‌ها امکان انجام ۶ تلاش را به کاربر می‌دادند که کار حدس را بسیار ساده‌تر می‌کرد. ۲۹۱ وبگاه نیز از ترکیب شماره کارت، تاریخ انقضاء و CVV برای اعتبارسنجی استفاده می‌کردند ‌که از این میان ۲۳۸ مورد امکان ۶ تلاش را برای کاربر فراهم می‌کردند.»

این محققان می‌گویند در ۲۵ مورد، آدرس دارنده کارت به همراه تاریخ انقضاء و CVV ضروری بوده است که حتی در این مورد نیز امکان نفوذ وجود داشته است. آن‌ها می‌گویند برخی بانک‌ها اطلاعات شعبه خود را بر روی شماره کارت رمزنگاری می‌کنند. بدین‌ترتیب می‌توان کد پستی محدوده شعبه موردنظر را حدس زد. دو مورد از این وبگاه‌ها امکان بی‌شمار تلاش را می‌داده‌اند.

این محققان می‌گویند وبگاه‌های مورد مطالعه را برحسب اطلاعات مورد نیاز در پرداخت به سه دسته تقسیم کرده و با برخی از آن‌ها ارتباط گرفته‌اند. آن‌ها می‌گویند از میان ۳۶ وبگاه، ۲۸ مورد پس از ۴ هفته به آن‌ها پاسخ داده و ۸ مورد، وبگاه خود را به‌منظور کاهش خطر نقض اطلاعات وصله کردند. این وصله شامل محدود کردن تعداد درخواست‌ها برحسب آدرس IP‌ و یا شماره کارت، افزودن کد امنیتی (کپچا) و ضرورت ورود اطلاعات دیگر علاوه بر شماره کارت و تاریخ انقضاء بوده است.

در نهایت تنها راه تأمین امنیت سامانه‌های پرداخت علیه حملات« حدس توزیع‌شده» استفاده از نوعی سازوکار مرکزی همانند آنچه در MasterCard‌ وجود دارد است. در استانداردهای این‌‌چنینی تمامی وبگاه‌ها از اطلاعات مشخصی برای احراز هویت کاربر استفاده می‌کنند. در چنین شرایط امکان استفاده از حمله توزیع‌شده وجود ندارد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap