Mekanisme serangan baru, yang disebut Distributed Guessing Attack, dapat mencuri data kartu kredit dan debit secara rinci dalam sedikitnya enam detik. Serangan ini memanfaatkan dua kelemahan keamanan dasar dalam pembayaran sistem-online yang tak terbatas pada halaman pembayaran dan variasi dalam data pembayaran.
Para peneliti dari University of Newcastle telah melakukan penelitian dan mempublikasikan hasil mereka di IEEE Security & Privacy Journal. Studi ini menunjukkan bagaimana mekanisme serangan, yang disebut Distributed Guessing Attack, dapat melakukan bypass semua langkah-langkah keamanan yang digunakan untuk menjamin keamanan transaksi online.
Yang mengejutkan invasi ini dapat membantu penjahat cyber mengambil nomor kartu kredit, kode keamanan, tanggal kadaluwarsa, dan informasi lainnya dalam waktu hanya 6 detik.
Cara ini mengeksploitasi dua kelemahan. Pertama, sistem pembayaran tidak mendeteksi beberapa permintaan yang tidak valid pada kartu yang sama dari website yang berbeda. Hal ini menggambarkan bahwa tebakan terbatas dapat dilakukan dengan "mendistribusikan" tebakan ke lebih banyak website. Kedua, sebagai pedagang yang dapat memasukkan data, dapat menggunakan teknik ini untuk mendapatkan informasi dari data kartu kredit/debit.
Cara ini mudah bagi penyerang untuk mendapatkan semua rincian kartu kredit. Dalam hitungan detik, serangan ini dapat diluncurkan pada berbagai halaman pembayaran. Dengan bantuan dari eliminasi, jumlah kartu yang benar, kode keamanan dan nomor CVV dapat diverifikasi.
Dalam studi tersebut, serangan dilakukan dengan menggunakan skrip otomatis yang ditulis menggunakan bahasa pemrograman Java Selenium browser automation framework. Semua percobaan dilakukan pada open source web browser Firefox Mozilla.
Setelah penelitian, para peneliti telah memberitahukan kelemahan tersebut kepada Visa dan situs lainnya yang terkena dampak. Sementara beberapa situs telah memperbaiki pengaturan keamanan mereka, dan banyak situs yang memilih untuk mengabaikan peringatan terkait celah keamanan ini.
Setelah penelitian, para peneliti telah memberitahukan kelemahan tersebut kepada Visa dan situs lainnya yang terkena dampak. Sementara beberapa situs telah memperbaiki pengaturan keamanan mereka, dan banyak situs yang memilih untuk mengabaikan peringatan terkait celah keamanan ini.
VARIASI PENGATURAN KEAMANAN PEMBAYARAN ONLINE
Dalam rangka meningkatkan keamanan pribadi, para peneliti telah menyarankan bahwa pemegang kartu kredit/debit harus menggunakan satu kartu untuk pembayaran online dan meminimalkan batas pengeluaran serendah mungkin.
No comments:
Post a Comment