Sto cercando di capire in che modo gli hacker ottengono le informazioni sulle carte di credito e le usano online. Se avessi condotto un attacco MITM in un negozio che accetta carte di credito, posso utilizzare i dati della carta di credito per acquistare oggetti online?
Esistono diversi metodi di attacco che vengono utilizzati per la raccolta di CC, tra cui skimming da interfacce ATM fasulle, lettori di carte false, key logger su computer e database compromessi con pratiche di scarsa sicurezza.
Gli attacchi MITM in genere non sono altrettanto redditizi perché i commercianti sono costretti a implementare processi di sicurezza comuni per soddisfare determinati standard. Negli Stati Uniti, il comune citato è PCI.
PCI copre non solo la sicurezza per un commerciante (PCI DSS), ma anche i componenti utilizzati come lettori e software (PA DSS).
Targeting di utenti prima di inserire le loro informazioni nel sistema è più semplice.
Supponendo che tu sia MITM e puoi leggere la comunicazione in chiaro, SÌ.
È probabile che otterrai il numero della carta di credito, il nome del proprietario, la data di scadenza e il CVV.
Questo è ciò che normalmente viene fornito a qualsiasi acquirente per convalidare la carta di credito.
L'unica cosa tra te e l'acquisto di beni di successo è la squadra antifrode della banca / negozio.
I titolari di carte di credito di solito sono profilati e il comportamento anormale è facilmente individuabile.
Supponendo che lo usi saggiamente potresti avere un successo relativo per piccole quantità. Da una prospettiva criminale non ne vale la pena. Il rischio di rilevazione aumenta esponenziale quando il criminale ha bisogno di ripetere il processo con più carte.
Negli Stati Uniti, poiché usano ancora la banda magnetica, le informazioni possono essere utilizzate per generare carte false che potrebbero essere utilizzate anche per lo shopping. Anche un grande rischio per il piccolo ritorno e il criminale dovrà rischiare la sua presenza.
Questo sarebbe piuttosto difficile. Non so dove vivi, ma in Europa, le transazioni CNP (ad esempio online) utilizzano il numero della carta di credito, la data / numero di emissione, la data di scadenza e il codice di verifica (stampato sul retro). Diversi provider hanno anche un controllo della password.
Ma per gli acquisti da banco, viene scambiato solo il numero di carta e il codice di autenticazione (con gating tramite il PIN). il tuo attacco MITM non acquisirà i dettagli richiesti per i pagamenti online (o telefonici).
Dipende dal negozio, dai meccanismi di protezione utilizzati nel negozio, dal fornitore di pagamenti online e dal fornitore di carte di credito, comprendendo l'SSL dell'utente nel caso in cui ritenga che un certificato non possa essere verificato. È possibile in caso di pessima implementazione del processore di pagamento del negozio. Per la carta di credito devi attaccare l'utente, non il negozio.
Regole di buon senso, non hai bisogno di alcuna tecnologia sofisticata quando la carta fisica è a posto. La parte peggiore della carta di credito è l'autenticazione di acquisto online, basta scattare una foto per entrambi i lati della carta di credito per raccogliere tutte le informazioni. Un hacker può semplicemente posizionare una fotocamera camuffata per catturare l'immagine.
Mentre rimanere intrappolati dopo aver condotto la frode è un'altra storia. ;-)
Leggi altre domande sui tag man-in-the-middle