بیگانه‌ای پرسه می‌زند شماره 188
هکرها با حدس زدن جزییات کارت‌های ویزا را به‌سرقت ‌بردند
کارشناسان امنیتی هشدار داده‌اند که پردازش توزیع شده این پتانسیل را دارد تا به کلاه‌برداری از کارت‌های اعتباری شتاب بیشتری ببخشد. یک سایت‌ تجارت الکترونیک به‌طور معمول تراکنش مربوط به‌یک کارت اعتباری را ده یا بیست مرتبه بعد از آن‌که اطلاعات مربوط به کارت اعتباری همچون رمز دوم کارت و CVV به اشتباه وارد شدند مسدود می‌کنند، همین موضوع باعث می‌شود تا کلاهبرداران بدون در اختیار داشتن اطلاعات کامل شانس کمی برای سوء استفاده داشته باشند.

1606683296_1_0.gif

اما متاسفانه تعداد زیادی از سایت‌های خرید آنلاین از این الگو پیروی نمی‌کنند و به هکرها اجازه می‌دهند  با ارسال درخواست‌های موازی پرداخت متفاوت به صدها سایت، اطلاعات ناقص خود در ارتباط با کارت‌های اعتباری را تکمیل کنند. تکنیکی که به‌شدت بحث‌برانگیز بوده و نگرانی کارشناسان امنیتی را برانگیخته است. 

در همین ارتباط پژوهشگران دانشگاه نیوکاسل در انگلستان اعلام کرده‌اند: «تنها شش ثانیه زمان کافی است تا چنین حملات موازی شکل گیرند». حدس زدن زمان اتمام انقضای یک کارت اعتباری فرآیند پیچیده و دشواری نیست. بیشتر کارت‌ها دارای بازه زمانی پنج ساله هستند. در نتیجه اگر 60 مقدار ممکن را برای سایت‌های مختلف ارسال کنید در نهایت این شانس را به‌دست خواهید آورد تا مقدار صحیح را به‌‌دست آورید. دسترسی به کد دیجیتالی سه رقمی CVV کمی دشوارتر است و برای دستیابی به این کد باید 1000 درخواست برای سایت‌های مختلف ارسال شود. 

پژوهشگران این تحقیق محمد امیر علی، بودی عارف، مارتین انز و آدوان مورسل در این ارتباط گفته‌اند: «با توجه به آن‌که تعداد تلاش‌های مستمری که به‌منظور دسترسی به اطلاعات کارت اعتباری از طریق یک سایت انجام می‌شود محدود است، در نتیجه تکنیک حدس‌های نامحدود در ارتباط با این اطلاعات از طریق توزیع درخواست‌های متفاوت میان سایت‌های مختلف به‌راحتی امکان‌پذیر است، حتی اگر سایت‌ها برای تعداد تلاش‌‌های ناموفق مقدار پیش‌فرضی را تعیین کرده باشند». کارشناسان امنیتی نتایج دستاوردهای خود را در مقاله‌ای تحت عنوان "آیا بستر پرداخت آنلاین ناخواسته زمینه‌ساز کلاهبرداری‌های آنلاین می‌شود؟" منتشر کرده‌اند. آن‌ها در مقاله فوق تکنیک‌ها و راهکارهایی که امروزه برای پرداخت‌ها مورد استفاده قرار می‌گیرند را زیر سوال برده‌اند و نشان داده‌اند که ادعای آن‌ها حداقل در ارتباط با کارت‌های ویزا صحت داشته است. آن‌ها موفق شدند در ارتباط با کارت‌های ویزا با ارسال درخواست‌های کافی اطلاعات و جزییات مورد نیاز در ارتباط با این کارت‌ها را به‌دست آورند. 

آن‌ها در مقاله خود یادآور شده‌اند در نقطه مقابل شبکه پرداخت مرکزی مسترکارت پس از ده بار تلاش روی یک حساب حمله آن‌ها را شناسایی کرد. علی و همکارانش در این تحقیق 389 سایت را از میان 400 سایتی که آلکسا آن‌ها را به‌عنوان سایت‌های برتر دسته‌بندی کرده بود انتخاب کردند. علی در این ارتباط گفته است: «تنها 47 مورد از این سایت‌ها از سامانه‌های احراز هویت سه بعدی استفاده می‌کنند و همین موضوع آن‌ها را در برابر حملات ما مقاوم کرده بود. 26 مورد از این سایت‌‌ها از ضعیف‌ترین رویکردها استفاده کرده بودند، به‌طوری که برای انجام تراکنش‌ها تنها از شماره کارت و تاریخ انقضای آن استفاده می‌کردند. 20 عدد از این سایت‌ها به کاربر اجازه می‌دادند تا شش بار تلاش ناموفق داشته باشد که همین موضوع حدس زدن جزییات مربوط به کارت‌ها را ساده می‌کند. 291 مورد از سایت‌ها از ترکیب شماره کارت، تاریخ انقضا و CVV به‌منظور اعتبارسنجی تراکنش‌ها استفاده می‌کردند که از این میان 238 مورد به کاربر اجازه می‌دادند که شش بار تلاش ناموفق داشته باشد.
25 مورد از سایت‌ها آدرس متعلق به صاحب کارت را به‌همراه تاریخ انقضا و CVV برای انجام تراکنش نیاز داشتند که حتی با این اقدامات پیشگیرانه بازهم امکان نفوذ وجود دارد. ما کشف کردیم که تعدادی از بانک‌ها اطلاعات متعلق به شعبه خود را روی شماره کارت به‌صورت رمزنگاری شده حک می‌کنند. همین موضوع به هکرها اجازه می‌دهد کد پستی محدوده شعبه را حدس بزنند. بدتر آن‌که دو مورد از این سایت‌ها به کاربر اجازه می‌دادند به‌طور نامحدود شانس خود را در ورود اطلاعات مورد آزمایش قرار دهد.»
پژوهشگران در ارتباط با تحقیق خود گفته‌اند: «سایت‌هایی که در این مطالعه مورد بررسی قرار دادیم را بر مبنای اطلاعات موردنیاز در پرداخت به سه گروه تقسیم‌بندی کردیم و با تعدادی از آن‌ها ارتباط برقرار کردیم. از میان 36 سایت، 28 مورد از آن‌ها پس از گذشت چهار هفته به درخواست ما پاسخ دادند و هشت مورد سایت خود را در ارتباط با کاهش خطر نقص اطلاعات ترمیم کردند. ترمیم‌هایی که از سوی این سایت‌ها مورد استفاده قرار گرفته در ارتباط با محدود کردن تعداد درخواست‌ها بر مبنای آدرس IP یا شماره کارت مالک، اضافه کردن کد امنیتی و ملزم کردن کاربر مبنی بر وارد کردن اطلاعات دیگری در کنار شماره کارت و تاریخ انقضای آن بود».
آن‌ها در بخش پایانی مقاله خود یادآور شده‌اند که اگر به‌دنبال راهکار جامعی برای مقابله با حملات حدس توزیع‌شده در ارتباط با سامانه‌های پرداخت هستید، باید از الگویی که مسترکارت از آن استفاده کرده است استفاده کنید یا استاندارهای ویژه‌ای را در ارتباط با تمامی سایت‌ها مورد استفاده قرار دهید. به‌طوری که از اطلاعات کاملی برای احراز هویت کاربران استفاده شود. به‌کارگیری این تکنیک باعث می‌شود تا سرویس‌های پرداخت در برابر حملات حدس‌توزیع شده ایمن شوند. 

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟