كشف بحث جديد أنه بالإمكان اختراق بطاقات الائتمان أو نظام فيزا للدفع الإلكتروني في غضون 6 ثوان فقط.
وقال البحث الذي نشر في مجلة "IEEE Security and Privacy" إن هناك ثغرة تسمح باختراق بطاقات الائتمان بكل سهولة ويمكن للقراصنة الحصول على المعلومات الحساسة في غضون 6 ثوان فقط.
وتتمثل الثغرة في أن أنظمة الدفع عبر شبكة الانترنت لا يمكنها كشف طلبات الدفع المزيفة التي تقوم بها مواقع عدة، كما أن طلب بعض المواقع للبيانات الكاملة للبطاقات الائتمانية في أكثر من حقل في صفحات الدفع يسهل على المخترقين سرقتها وتجميعها إذا تم تنفيذها عبر مواقع متعددة.
كما أن تلك الأنظمة تسمح بما يصل إلى ما بين 10 و20 محاولة للبطاقة الواحدة في كل موقع، وأوضح، محمد علي، أحد القائمين على البحث، وهو طالب دكتوراه في جامعة نيوكاسل، أن "المواقع الالكترونية تسأل عن معلومات مختلفة في حقول البيانات للتحقق من صحة عملية الشراء عبر الانترنت وهذا يعني أنه من السهل بناء المعلومات وجمعها معا".
ويفسر محمد علي قوله بأنه يمكن للبرامج المصممة خصيصا للكشف عن الرمز الأمني للبطاقة، بالاعتماد على البيانات التي تم جمعها من التخمينات في مواقع مختلفة، تجميع تلك المعلومات بشكل سريع مثل تاريخ انتهاء صلاحية البطاقة والرمز الرقمي لقيمة التحقق من البطاقة والرمز البريدي المرتبط بالبطاقة والذي يقدم تفاصيل جزئية.
وأكثر ما يثير القلق بهذه الثغرة هو أن نظام الدفع والبنوك المرتبطة به لا تستطيع اكتشاف حدوث هذا الهجوم، حيث يمكن للمهاجم خلق بطاقة مزيفة صالحة للعمل في بضع ثوان، مما يعني إمكانية سرقتها واستخدامها والتخلص منها بسرعة كبيرة حتى قبل أن يدرك ذلك مالك البطاقة.
وأشار البحث إلى أن بطاقة فيزا هي الأكثر عرضة لمثل هذا الهجوم، بينما يمكن لبطاقة ماستركارد تتبع محاولات التخمين عبر مواقع مختلفة والكشف عن المحاولات الفاشلة بعد 10 مرات.
ووجد الباحثون في جامعة نيوكاسل أن القراصنة قادرون على تخمين التفاصيل الكاملة لبطاقات فيزا وماستر كارد إذا كان لديهم أول 6 أرقام في البطاقة، التي عادة تحوي 16 رقما، وتكشف الأرقام الـ 6 الأولى معلومات عن البنك ونوع البطاقة وتتشارك فيها كل البطاقات الصادرة عن البنك ذاته.
ويستخدم القراصنة تقنية تسمى "هجوم التخمين الموزع"، وهي مصممة لتجنب التدابير الأمنية لوقف عملية تزوير البطاقة أو اختراقها، وتعمل هذه التقنية على الدمج بين عدة معلومات يتم جمعها من مواقع مختلفة من خلال التخمين كعنوان صاحب البطاقة أو رمزه البريدي و تاريخ انتهاء صلاحية البطاقة لتكون النتيجة هي الحصول على رقم "CVV" المكون من ثلاث خانات والذي يعتبر خطوة التحقق الأخيرة عند استخدام البطاقة للشراء من الانترنت.
ولا يستغرق تخمين تاريخ انتهاء الصلاحية أكثر من 60 محاولة، في حين يحتاج معرفة رمز قيمة التحقق من البطاقة أقل من 1000 محاولة، حيث يعود السبب الرئيسي إلى انكشاف المعلومات المخفية للبطاقة بسبب انتشار تفاصيل معينة للبطاقة على مئات أو آلاف أنظمة الدفع الإلكترونية في المواقع.
وكما يقول الدكتور مارتن إيمس المؤلف المشارك في البحث من جامعة نيوكاسل إنه "للأسف لا يوجد حل سحري" لكي لا نقع ضحية للقرصنة ولكن يمكن "اتخاذ خطوات بسيطة للحد من تأثير هذه الثغرة كي لا تجد نفسك ضحية للاختراق" وعلى سبيل المثال يمكن اعتماد بطاقة واحدة فقط للدفع عبر الانترنت والحد من الإنفاق عبر المواقع الالكترونية وتحويل الأموال التي تحتاجها فقط إلى بطاقتك الائتمانية.
وشدد إيمس على ضرورة "توخي الحذر والتحقق الدائم من البيانات الخاصة بكم وتتبع الدفوعات بانتظام" وأضاف مازحا بأن الطريقة الوحيدة الأكيدة لعدم الوقوع ضحية للاختراق "هو الحفاظ على الأموال داخل الفراش، وهذا ليس ما أود أن أوصي به".
المصدر: إن سي إل