هکرها با حدس زدن جزییات کارت‌های ویزا را به‌سرقت ‌بردند

اما متاسفانه تعداد زیادی از سایت‌های خرید آنلاین از این الگو پیروی نمی‌کنند و به هکرها اجازه می‌دهند  با ارسال درخواست‌های موازی پرداخت متفاوت به صدها سایت، اطلاعات ناقص خود در ارتباط با کارت‌های اعتباری را تکمیل کنند. تکنیکی که به‌شدت بحث‌برانگیز بوده و نگرانی کارشناسان امنیتی را برانگیخته است. 

مطلب پیشنهادی

کاربران مراقب باشند

با‌ج‌افزارها از طریق پروتکل ریموت دسکتاپ RDP حمله می‌کنند

در همین ارتباط پژوهشگران دانشگاه نیوکاسل در انگلستان اعلام کرده‌اند: «تنها شش ثانیه زمان کافی است تا چنین حملات موازی شکل گیرند». حدس زدن زمان اتمام انقضای یک کارت اعتباری فرآیند پیچیده و دشواری نیست. بیشتر کارت‌ها دارای بازه زمانی پنج ساله هستند. در نتیجه اگر 60 مقدار ممکن را برای سایت‌های مختلف ارسال کنید در نهایت این شانس را به‌دست خواهید آورد تا مقدار صحیح را به‌‌دست آورید. دسترسی به کد دیجیتالی سه رقمی CVV کمی دشوارتر است و برای دستیابی به این کد باید 1000 درخواست برای سایت‌های مختلف ارسال شود. 

پژوهشگران این تحقیق محمد امیر علی، بودی عارف، مارتین انز و آدوان مورسل در این ارتباط گفته‌اند: «با توجه به آن‌که تعداد تلاش‌های مستمری که به‌منظور دسترسی به اطلاعات کارت اعتباری از طریق یک سایت انجام می‌شود محدود است، در نتیجه تکنیک حدس‌های نامحدود در ارتباط با این اطلاعات از طریق توزیع درخواست‌های متفاوت میان سایت‌های مختلف به‌راحتی امکان‌پذیر است، حتی اگر سایت‌ها برای تعداد تلاش‌‌های ناموفق مقدار پیش‌فرضی را تعیین کرده باشند». کارشناسان امنیتی نتایج دستاوردهای خود را در مقاله‌ای تحت عنوان "آیا بستر پرداخت آنلاین ناخواسته زمینه‌ساز کلاهبرداری‌های آنلاین می‌شود؟" منتشر کرده‌اند. آن‌ها در مقاله فوق تکنیک‌ها و راهکارهایی که امروزه برای پرداخت‌ها مورد استفاده قرار می‌گیرند را زیر سوال برده‌اند و نشان داده‌اند که ادعای آن‌ها حداقل در ارتباط با کارت‌های ویزا صحت داشته است. آن‌ها موفق شدند در ارتباط با کارت‌های ویزا با ارسال درخواست‌های کافی اطلاعات و جزییات مورد نیاز در ارتباط با این کارت‌ها را به‌دست آورند. 

آن‌ها در مقاله خود یادآور شده‌اند در نقطه مقابل شبکه پرداخت مرکزی مسترکارت پس از ده بار تلاش روی یک حساب حمله آن‌ها را شناسایی کرد. علی و همکارانش در این تحقیق 389 سایت را از میان 400 سایتی که آلکسا آن‌ها را به‌عنوان سایت‌های برتر دسته‌بندی کرده بود انتخاب کردند. علی در این ارتباط گفته است: «تنها 47 مورد از این سایت‌ها از سامانه‌های احراز هویت سه بعدی استفاده می‌کنند و همین موضوع آن‌ها را در برابر حملات ما مقاوم کرده بود. 26 مورد از این سایت‌‌ها از ضعیف‌ترین رویکردها استفاده کرده بودند، به‌طوری که برای انجام تراکنش‌ها تنها از شماره کارت و تاریخ انقضای آن استفاده می‌کردند. 20 عدد از این سایت‌ها به کاربر اجازه می‌دادند تا شش بار تلاش ناموفق داشته باشد که همین موضوع حدس زدن جزییات مربوط به کارت‌ها را ساده می‌کند. 291 مورد از سایت‌ها از ترکیب شماره کارت، تاریخ انقضا و CVV به‌منظور اعتبارسنجی تراکنش‌ها استفاده می‌کردند که از این میان 238 مورد به کاربر اجازه می‌دادند که شش بار تلاش ناموفق داشته باشد.
25 مورد از سایت‌ها آدرس متعلق به صاحب کارت را به‌همراه تاریخ انقضا و CVV برای انجام تراکنش نیاز داشتند که حتی با این اقدامات پیشگیرانه بازهم امکان نفوذ وجود دارد. ما کشف کردیم که تعدادی از بانک‌ها اطلاعات متعلق به شعبه خود را روی شماره کارت به‌صورت رمزنگاری شده حک می‌کنند. همین موضوع به هکرها اجازه می‌دهد کد پستی محدوده شعبه را حدس بزنند. بدتر آن‌که دو مورد از این سایت‌ها به کاربر اجازه می‌دادند به‌طور نامحدود شانس خود را در ورود اطلاعات مورد آزمایش قرار دهد.»
پژوهشگران در ارتباط با تحقیق خود گفته‌اند: «سایت‌هایی که در این مطالعه مورد بررسی قرار دادیم را بر مبنای اطلاعات موردنیاز در پرداخت به سه گروه تقسیم‌بندی کردیم و با تعدادی از آن‌ها ارتباط برقرار کردیم. از میان 36 سایت، 28 مورد از آن‌ها پس از گذشت چهار هفته به درخواست ما پاسخ دادند و هشت مورد سایت خود را در ارتباط با کاهش خطر نقص اطلاعات ترمیم کردند. ترمیم‌هایی که از سوی این سایت‌ها مورد استفاده قرار گرفته در ارتباط با محدود کردن تعداد درخواست‌ها بر مبنای آدرس IP یا شماره کارت مالک، اضافه کردن کد امنیتی و ملزم کردن کاربر مبنی بر وارد کردن اطلاعات دیگری در کنار شماره کارت و تاریخ انقضای آن بود».
آن‌ها در بخش پایانی مقاله خود یادآور شده‌اند که اگر به‌دنبال راهکار جامعی برای مقابله با حملات حدس توزیع‌شده در ارتباط با سامانه‌های پرداخت هستید، باید از الگویی که مسترکارت از آن استفاده کرده است استفاده کنید یا استاندارهای ویژه‌ای را در ارتباط با تمامی سایت‌ها مورد استفاده قرار دهید. به‌طوری که از اطلاعات کاملی برای احراز هویت کاربران استفاده شود. به‌کارگیری این تکنیک باعث می‌شود تا سرویس‌های پرداخت در برابر حملات حدس‌توزیع شده ایمن شوند.