info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

به دست آوردن اطلاعات کامل کارت بانکی تنها در ۶ ثانیه!

خلاصه: محققان دانشگاه نیوکاسل انگلیس در مقاله‌ای که به تازگی منتشر کرده‌اند از روشی خبر داده‌اند که تنها با صرف ۶ ثانیه، می‌توان همه اطلاعات یک کارت بانکی، از قبیل رمز CVV و تاریخ انقضا و رمز دوم را به دست آورد. این روش روی کارت‌های اعتباری ویزا کارت امتحان شده است و تمام تلاش‌ها برای رسیدن به اطلاعات کارت بانکی موفقیت آمیز بوده است.

تیتر این خبر بسیار جذاب و در عین حال رعب آور است. شاید اطلاعات حساب بانکی افراد را بتوان جزئی از حساس‌ترین اطلاعات آن‌ها به حساب آورد که امنیت آن‌ برای افراد اهمیت زیادی دارد. طی تحقیقی که در دانشگاه نیوکاسل انگلیس انجام شده، با یک روش خلاقانه همه اطلاعات یک کارت اعتباری ویزا در عرض تنها ۶ ثانیه قابل دسترس خواهد بود. نتایج این تحقیق تحت یک مقاله در مجله IEEE Security & Privacy به چاپ رسیده است.

در این تحقیق، از حدس کلمات به صورت توزیع‌شده استفاده شده است. این روش به این صورت است که در درگاه‌های الکترونیکی مختلفی که از ویزا کارت پشتیبانی می‌کنند کلمه‌های عبور مختلف آزمایش شده تا به کلمه عبور مورد نظر دست یابیم. این روش در تنها ۶ ثانیه همه اطلاعات یک کارت بانکی همچون رمز دوم و CVV و تاریخ انقضای کارت افشا خواهد شد.

محققان معتقدند دو ضعف امنیتی که در سیستم ویزا کارت وجود دارد باعث شده تا بتوان با این روش به اطلاعات حساب کاربران دست یافت. سیستم ویزاکارت درخواست‌های اشتباه از درگاه‌های متفاوت را کنترل نمی‌کند و همینطور برای هر درگاه اجازه بیست درخواست اشتباه را می‌دهد. همینطور وب‌سایت‌ها کنترل‌های لازم برای بررسی درخواست‌های متعدد را انجام نمی‌دهند.

هیچ کدام از این آسیب‌پذیری‌ها و ضعف‌های امنیتی به تنهایی خیلی خطرناک جلوه نمی‌کنند. ولی وقتی از آن‌ها با هم و به صورت توزیع‌شده استفاده می‌شود می‌توان اطلاعات کارت‌های بانکی کاربران را به سادگی استخراج نمود. 

همانطور که در شکل مشخص است، مهاجم با مشخص کردن شماره کارت هدف، ابتدا با حدس شماره سه رقمی CVV روی درگاه‌های مختلف، این عدد را به دست آورده و سپس به حدس تاریخ انقضای کارت می‌پردازد. برای CVV حداکثر با ۱۰۰۰ حدس و برای تاریخ انقضا با کمتر از ۶۰ حدس می‌توان به مقادیر صحیح دست یافت. همچنین می‌توان بات‌هایی را فعال کرد که با این روش اطلاعات حساب میلیون‌ها مشتری را استخراج کنند، بدون اینکه حتی یک اخطار امنیتی ارسال شود.

این تیم تحقیقاتی که به این مشکل امنیتی پی برده است با مطلع کردن وب‌سایت‌های مختلف از این روش سعی بر این دارد که بتواند با همکاری با این وب‌سایت‌ها این مشکل امنیتی را در آن‌ها برطرف کند؛ اما همچنان تعداد وب‌سایت‌های زیادی هنوز این آسیب امنیتی را دارند.