Attack virker kun på Visa netværk, siger forskere.

denne historie blev opdateret den 12/5/2016 på 12.30 pm med en kommentar fra Visa Inc.

forskere har udviklet, hvad de siger, er en næsten absurd nem måde at få kortnummeret, sikkerhedskoden og udløbsdatoen for ethvert Visa-kredit-eller betalingskort ved kun at bruge gætterier-seks sekunder fladt.

deres såkaldte Distributed Guess Attack, som er beskrevet i et papir, der blev offentliggjort i denne uge i IEE Security & Privacy Journal, omgår i det væsentlige alle sikkerhedsfunktioner til beskyttelse af onlinebetalinger.

forskerne mener, at det sandsynligvis er den samme taktik, som angribere for nylig brugte til at stjæle i alt 2,5 m fra omkring 20.000 kunder hos Tesco Bank.

angrebet drager fordel af to faktorer i betalingskortets økosystem. Den ene er den måde, hvorpå forskellige onlinehandlere anmoder om forskellige typer oplysninger til behandling af en debet-eller kreditkortbetaling.

alle forhandlere kræver som minimum kortnummer eller primært kontonummer (PAN) og udløbsdato. Derudover beder nogle købmænd også om kortverifikationsværdien (cvv), den trecifrede sikkerhedskode på bagsiden af hvert kort. Nogle beder også om kortholderens adresse ud over de tre andre felter.

angrebet udnytter også det faktum, at der i mange tilfælde ikke er nogen mekanisme i øjeblikket til at opdage flere ugyldige betalingsanmodninger, der fremsættes på det samme kort fra forskellige online handelssteder. Det gør det muligt for nogen at tage et ubegrænset antal revner ved at gætte et korts CVV eller en udløbsdato ved at sprede gætterne på tværs af flere steder.

disse to faktorer skaber sammen et scenarie, hvor en angriber kan få fuld kortoplysninger et felt ad gangen ved automatisk at generere og verificere forskellige kombinationer. Processen tager så lidt som seks sekunder at generere komplette oplysninger til et kort, hævder forskerne.

“de ubegrænsede gæt, når de kombineres med variationerne i betalingsdatafelterne, gør det skræmmende let for angribere at generere alle kortoplysningerne et felt ad gangen,” sagde Mohammed Ali, en ph.d. – studerende ved University of Computing Science, i en erklæring.

gætteangrebet fungerede kun på visas netværk. MasterCards netværk – det eneste andet netværk, som forskerne testede-opdagede hurtigt gætteriet selv på tværs af forskellige netværk.

for at bekræfte angrebet brugte forskerne deres egne kort og kørte en hjemmeside bot og et automatiseret script mod 400 top merchant sites for at se, om de kunne gætte deres egne Visa-kortoplysninger.

for papiret begyndte forskerne med panden for hvert af deres kort og forsøgte at se, om de kunne gætte CVV, udløbsdato og adresse i forbindelse med hver. Angrebet fungerer, selv når PAN-nummeret ikke er tilgængeligt.

med en gyldig PAN er alt, hvad en angriber skal gøre for at gætte udløbsdatoen, at kigge efter handelssteder, der kun kræver kortnummer og udløbsdato. Fordi de fleste kort er gyldige i fem år, har en angriber kun brug for 60 forsøg spredt over flere handelssider for at gætte udløbsmåned og år. Med udløbsdatoen på hånden tager det mindre end 1.000 forsøg på at få den 3-cifrede CVV igen ved at sprede gætterne over flere steder.

som et resultat, med så få som 1.060 automatiserede gæt, bliver det muligt for en angriber at få CVV og udløbsdato på ethvert kort. På samme tid, hvis alle handlende krævede kortindehavere at indtaste de samme tre felter—PAN, CVV og udløbsdato, ville det tage så mange som 60.000 forsøg på at få hvert felt, sagde forskerne i deres papir.

“forskellen mellem 1.060 og 60.000 er forskellen mellem et hurtigt og praktisk angreb og et kedeligt, tæt på upraktisk angreb,” sagde de.

at få kortholderens adresse er lidt mere involveret og kræver, at angriberne først identificerer den udstedende bank. Men selv her er online databaser tilgængelige, der afslører et korts mærke, type og udstedende banknavn. Dette giver angriberen et udgangspunkt for at begynde at gætte det korrekte postkort til kortet. Da adressebekræftelse normalt kun udføres på numeriske værdier—som gadenummer og Postnummer-er der ikke behov for, at angriberen har det faktiske gadenavn.

tilsvarende er det også muligt at generere gyldige kortnumre fra bunden ved kun at bruge de første seks cifre i en PAN—som er de samme baseret på korttype og andre faktorer—og en algoritme kaldet Luhns algoritme til validering af kortnumre.

i en erklæring bagatelliserede Visa sværhedsgraden af problemet.

“forskningen tager ikke højde for de mange lag af svindelforebyggelse, der findes inden for betalingssystemet, som hver især skal opfyldes for at gøre en transaktion mulig i den virkelige verden,” bemærkede Visa.

mekanismer som Verified by Visa, baseret på 3dsecure-standarden, har styrket sikkerheden for e-handelstransaktioner, og Visa arbejder tæt sammen med kortudstedere og indløsere for at gøre det vanskeligt for nogen at få og bruge kortholderdata ulovligt.

“Visa glæder sig over industri og akademiske bestræbelser på at identificere og adressere opfattede sårbarheder i betalingssystemet,” hedder det i erklæringen. “Sammen med vores egen interne overvågning og test gør dette det muligt for Visa og betalingsbranchen at gøre betalinger stadig mere sikre.”

Relaterede historier:

  • Var Tyveri Af Penge Fra 20.000 Tesco Bankkunder Et Internt Job?
  • fejl i EMV Chip og PIN underskæring sikkerhed