@ johnbiggs/4:47 am PST * Dezember 5, 2016
Bildnachweis:
In einem sehr cleveren Brute–Force–Angriff hat eine Gruppe von Forschern herausgefunden, wie Kreditkarteninformationen – einschließlich Ablaufdaten und CVV-Nummern – durch Abfragen von E-Commerce-Websites gefunden werden können. Der Prozess, der in IEEE Security & Privacy beschrieben wurde, beinhaltet das Erraten und Testen von Hunderten von Permutationen von Ablaufdaten und CVV-Nummern auf Hunderten von Websites.
MasterCards sind nicht anfällig für diesen Angriff, da ihr System Karten nach 100 Versuchen herunterfährt. Visa-Karteninhaber haben nicht so viel Glück.
Die Forscher Mohammed Aamir Ali, Budi Arief, Martin Emms und Aad van Moorsel glauben, dass ihr Tool auch verwendet werden kann, um Postleitzahlen und Adressdaten zu erraten, oder Hacker können einfach Standortdaten mit ausstellenden Banken korrelieren oder Skimmer verwenden, um herauszufinden, wo verschiedene Karten verwendet werden. Wenn die Commerce-Site jedoch keine Postleitzahl benötigt, ist das Knacken der Karte so einfach wie das Ausführen eines Programms.
Um den Angriff zu verhindern, kann entweder eine Standardisierung oder eine Zentralisierung angestrebt werden (einige Kartenzahlungsnetzwerke bieten dies bereits an). Eine Standardisierung würde bedeuten, dass alle Händler die gleiche Zahlungsschnittstelle, also die gleiche Anzahl von Feldern, anbieten müssen. Dann skaliert der Angriff nicht mehr. Die Zentralisierung kann durch Zahlungs-Gateways oder Kartenzahlungsnetzwerke erreicht werden, die einen vollständigen Überblick über alle mit ihrem Netzwerk verbundenen Zahlungsversuche haben. Weder Standardisierung noch Zentralisierung passen natürlich zu der Flexibilität und Wahlfreiheit, die man mit dem Internet oder einer erfolgreichen kommerziellen Tätigkeit verbindet, aber sie bieten den erforderlichen Schutz. Es liegt an den verschiedenen Interessengruppen, den Fall und den Zeitpunkt solcher Lösungen zu bestimmen.
Die Forscher glauben, dass diese Angriffe bereits in freier Wildbahn stattfinden und dass ihre Lösung – obwohl belastend – nicht einzigartig ist, was sie viel beängstigender macht.
{{ titel}}
{{ datum}}{{Autor}}
