Account Testing (Authorization Testing) Saldırısı / BIN Saldırısı

Kart numaraları Mod 10 veya Luhn algoritması da denilen IBM çalışanı Hans Peter Luhn tarafından geliştirilen bir algoritmaya göre üretilirler. Luhn algoritması sadece kart numaraları için değil numerik sayı dizinlerinden oluşan pekçok farklı numaranın oluşturulmasında da kullanılan genel bir algoritmadır. ISO 7812 standardı içerisinde yer alan algoritmanın amacı herhangi bir güvenlik katmanı oluşturmak değil tamamen yazım hatalarından kaynaklanabilecek olumsuzlukların önüne geçmektir. Bu sebeple de kamuya açık bir algoritmadır.

Görsel Kaynak : Bilgiguvende.com

Kartlı ödeme sisteminde yapılan saldırılardan biri olan Account Testing saldırısında sahtekarlar algoritmaya uygun şekilde ürettikleri gerçek bir hesaba denk gelme ihtimali bulunan kart numarası ve beraberinde oluşturdukları vade ve CVV2 bilgileri ile birlikte bazı uygun e-ticaret işyerlerinden ardı ardına işlem denemesi yaparlar. Farklı bir senaryoda da elde edilen ilk 6 ve son 4 gibi datasetler brute force atağı ile denenerek doğru karta ulaşmaya çalışılır. Bu denemelerin ortak özelliği ;

• Genellikle sabit tutarlı ve çoğunlukla 1 birimlik (1 USD vb) işlem tutarına sahip olurlar
• Onay alınamayan her işlemden sonra hemen aynı kart için farklı vade ve/veya CVV2 kombinasyonlarında yeni bir istek veya yine algoritmaya uygun fakat belirli bir düzen içerisinde değiştirilmiş kart numarası ile yeni bir istek gönderirler

İşleme taraf olan Issuer ve Acquirer açısından bu tür saldırıları tespit edip engelleyecek önlemlerin alınması kritiktir. Bu tür ataklar :

• Sistemde kolayca tespit edilebilecek ani “Hatalı Kart” redlerinde yaşanan artış
• Benzer şekilde hatalı vade ve CVV2 nedeni ile red edilen işlem adetlerinde yaşanan artış
• Bu tür işlem gönderebilme potansiyeline sahip işyerlerinin işlem hacimlerinde yaşanan ani değişimler

gibi basit kurallarla online tarafta yakalanarak gerekli önlemler alınabilir.

Ayrıca bu tür işlem gönderme potansiyeli olan örneğin hesap açılışlarında 1 birimlik kart doğrulama işlemi gönderen işyerlerinin ödeme sayfalarında captcha kontrolü ile otomatik işlem üretilmesi engellenebilir.

Kart ihraççıları BIN’i belirli aralıklarını kullanıyor ise kullanmadıkları aralıkları ilgili networkler nezdinde kapalı konuma çekebilir.

Tokenizasyon, gerçek verilerin sistemler arasıda taşınırken ele geçirilme ihtimaline karşı kullanılan bir önlem olması nedeniyle BIN saldırısına karşı kullanılabilecek bir çözüm değildir.

Kartlı ödemelerde özellikle CNP işlemler için kart hesabına işaret edecek bir belirtecin yani Kart Numarasının varlığına duyulan ihtiyaç devam ettikçe bu tür saldırıların yapılması ihtimali hep var olacaktır. Dünya üzerinde farklı bölgeler diğer pekçok konuda olduğu gibi teknoloji konusunda da farklı seviyeleri yaşıyor. Kartlı ödeme hizmetleri belirli küçük gruplardan ziyade genele yönelik hizmetler olduğundan teknolojik olarak en alt seviyede olan kullanıcıların ödeme senaryolarını da kapsayacak şekilde veriliyor. Dolayısıyla esasında kartlı ödemeler için numaranın (en azından tahmin edilebilir ve üretilebilir bir numaranın) kullanılmadığı alternatif yöntemlerin geliştirilmesi bugünün teknolojisi ile pekala mümkünken, bu tür bir çözümün kapsayıcılık açısından zayıf kalacağını söylemek yanlış olmayacaktır.

Bu nedenle numara kullanımı var oldukça sistem paydaşları alacakları önlemler ile bu tür saldırıları etkisiz hale getirmenin yollarını aramalıdır.

Kaynaklar:

https://blog.pcisecuritystandards.org/beware-of-account-testing-attack?utm_campaign=Blog&utm_medium=email&_hsmi=97930328&_hsenc=p2ANqtz-9UMHGwfFY-oaKSOJUSPa7yrnGcCH8S8-qi2iINFc1wvBJk_Ju13wXTypTKHiHPD3rbOoTPvMpF1Tjh5JzfMHy-I2up-g&utm_content=97930328&utm_source=hs_email

https://patents.google.com/patent/US2950048

https://www.pcisecuritystandards.org/pdfs/PCI_SSC_NCFTA_Account_Testing_Bulletin_Final.pdf