Kali ini, saya akan membicarakan sebuah masalah yang memang tergolong serius. Dan mengungkapkan bagaimana cara hack kartu kredit dalam 6 detik. Tentu termasuk menemukan informasi dari kartu kredit seperti tanggal kadaluarsa dan nomor CVV. Lalu apa yang lebih menariknya? peretasan ini tidak lebih hanya menggunakan teknik menebak query beberepa situs e-Commerce.
Dalam laporan penelitian baru yang berjudul “Does The Online Card Payment Landscape Unwittingly Facilitate Fraud?” yang diterbitkan dalam jurnal akademik IEEE Security & Privacy, peneliti dari University of Newcastle memberikan penjelasan. Dia menjelaskan bagaimana pembayaran online tetap menjadi titik lemah dalam keamanan kartu kredit. Dimana membuat mudah bagi penipu untuk mengambil informasi sensitif dari kartu.
Teknik ini bernama Distributed Guessing Attack. Teknik ini dapat menghindari semua fitur keamanan yang ada untuk mengamankan pembayaran online dari penipuan. Teknik serupa diyakini sudah berhasil meretas ribuan customer Bank Tesco di U.K bulan lalu.
Masalah ini bergantung pada sistem pembayaran Visa. Dimana si penyerang bisa menebak dan mencoba semua permutasi dan kombinasi dari tanggal kadaluwarsa dan nomor CVV dalam ratusan website.
Para peneliti menemukan dua kelemahan dalam cara transaksi online yang diverifikasi menggunakan sistem pembayaran Visa:
- Sistem pembayaran online tidak mendeteksi berbagai permintaan pembayaran yang salah jika tampil dalam beberapa situs. Yang juga memungkinkan maksimum 20 kali limit input per kartu di setiap situs.
- Situs web tidak menjalankan pemeriksaan secara teratur. Dan membuat variasi informasi kartu yang diminta.
Newcastle University PhD kandidat, Mohammed Ali mengatakan bahwa kelemahan ini sebenarnya tida terlalu parah. Tapi jika digunakan secara bersamaan dan dimanfaatkan dengan baik, maka para cyber crime dapat memulihkan informasi keamanan kartu kredit hanya dalam 6 detik. Lalu menyajikan resiko yang serius untuk sistem pembayaran secara keseluruhan.
Serangan ini tidak lain hanya sebuah serangan very clever Brute Force yang bekerja terhadap beberapa situs e-Commerce populer.
Berikut video demonstrasi dari serangan ini:
https://youtu.be/uwvjZGKwKvY
Jadi, serangan ini bukannya Brute-Forcing situs hanya dalam satu retailer. Yang dapat memicu sistem pendeteksi penipuan karena dugaan salah atau mengunci kartu. Para peneliti mencoba menyebarkan tebakan nomor CVC kartu di beberapa situs dengan upaya mempersempit kemungkinan kombinasi. Sampai tanggal kadaluwarsa valid dan nomor CVV ditetapkan.
Video demonstrasi diatas menunjukan bahwa hanya membutuhkan 6 detik untuk tools yang khusus dirancang untuk menampilkan kode keamanan kartu. Pertama, penyerang memerlukan 16 digit nomor kartu. Nomor tersebut dapat diperoleh dari situs pasar gelap dengan harga kurang dari $1. Atau dari smartphone yang dilengkapi dengan komunikasi terdekat (NFC) untuk menepis mereka.
Setelah nomor 16 digit yang valid didapatkan, penyerang menggunakan bot web untuk Brute Force 3 digit kode verifikasi kartu (CVV) dan tanggal kadaluwarsa untuk ratusan retailer sekaligus. CVV hanya membutuhkan waktu maksimum 1.000 tebakan untuk meng-crack dan tanggal kadaluwarsa tidak lebih dari 60 kali percobaan.
Bot kemudian bekerja untuk mendapatkan alamat penagihan jika diperlukan. Laporan penelitian ini menunjukan seluruh serangan dapat dilakukan hanya dalam waktu 6 detik.
“Percobaan ini juga menunjukan bahwa mungkin untuk menjalankan beberapa bot pada saat yang sama di ratusan situs pembayaran tanpa memicu alarm keamanan dalam sistem pembayaran.” Peniliti menjelaskan dalam laporan penelitian ini.
“Menggabungkan pengetahuan dengan fakta bahwa permintaan pembayaran online biasanya akan resmi dalam waktu dua detik membuat serangan yang layak dan terukur secara real time. Sebagai ilustrasi, dengan bot web yang dikonfigurasikan dengan cerdik untuk berjalan pada 30 situs, penyerang dapat memperoleh informasi yang benar dalam waktu empat detik“.
Lalu, Bagaimana cara melindungi diri dari serangan ini?
Tim menyelidiki dalam Alexa top-400 kategori situs perdagangan online dan menemukan bahwa platform pembayaran yang ada saat ini memfasilitasi serangan Distributed Guessing Attack.
Para peneliti sudah menghubungi 36 situs terbesar yang mempunyai kerentanan untuk serangan ini. Sebagai hasil dari pengungkapan, 8 situs sudah merubah sistem keamanan mereka untuk menggagalkan serangan Distributed Guessing Attack. Dan 28 situs sisanya belum melakukan perubahan.
Untuk Visa, cara terbaik untuk menggagalkan serangan ini yaitu menerapkan approach yang sama untuk MasterCard. Dan mengunci kartu ketika seseorang mencoba menebak informasi kartu beberapa kali, bahkan jika mencoba menebak dalam beberapa situs.
Akhir kata dari saya, untuk para pembaca, hindari menggunakan kartu kredit atau kartu debit Visa untuk melakukan pembayaran online. Selalu mengawasi laporan kamu dan menjaga batas pengeluaran pada kartu Visa kamu serendah mungkin 🙂
