atak działa tylko w sieci Visa-twierdzą naukowcy z Newcastle University.

ta historia została zaktualizowana dnia 12/5/2016 o godzinie 12: 30 z komentarzem Visa Inc.

naukowcy z brytyjskiego Uniwersytetu w Newcastle opracowali to, co mówią, że jest to niemal absurdalnie łatwy sposób na uzyskanie numeru karty, kodu bezpieczeństwa i daty ważności dowolnej karty kredytowej lub debetowej Visa, używając tylko zgadywania-six seconds flat.

ich tak zwany rozproszony atak Guess, który został szczegółowo opisany w artykule opublikowanym w tym tygodniu w IEEE Security & Privacy Journal, zasadniczo omija wszystkie funkcje bezpieczeństwa do ochrony płatności online.

badacze uważają, że jest to prawdopodobnie ta sama taktyka, którą ostatnio wykorzystali napastnicy, kradnąc łącznie 2,5 mln zł od około 20 tysięcy klientów Banku Tesco.

atak wykorzystuje dwa czynniki w ekosystemie kart płatniczych. Jednym z nich jest sposób, w jaki różni sprzedawcy online żądają różnych rodzajów informacji do przetwarzania płatności kartą debetową lub kredytową.

wszyscy sprzedawcy co najmniej wymagają numeru karty lub głównego numeru konta (PAN) i daty ważności. Ponadto niektórzy sprzedawcy proszą również o wartość weryfikacji karty (CVV), trzycyfrowy kod bezpieczeństwa na odwrocie każdej karty. Niektóre z nich oprócz pozostałych trzech pól pytają również o adres posiadacza karty.

atak wykorzystuje również fakt, że w wielu przypadkach nie ma obecnie mechanizmu wykrywania wielu nieprawidłowych żądań płatności, które są dokonywane na tej samej karcie z różnych witryn internetowych sprzedawców. To sprawia, że ktoś może podjąć nieograniczoną liczbę pęknięć przy zgadywaniu CVV karty lub daty ważności, rozprzestrzeniając zgadywania w wielu miejscach.

te dwa czynniki razem tworzą scenariusz, w którym atakujący może uzyskać pełne dane karty po jednym polu na raz, automatycznie generując i weryfikując różne kombinacje. Proces ten zajmuje zaledwie sześć sekund, aby wygenerować pełne informacje dla Karty, twierdzą naukowcy.

„nieograniczone domysły w połączeniu z różnicami w polach danych płatności sprawiają, że atakujący mogą generować wszystkie dane karty po jednym polu naraz”, powiedział Mohammed Ali, doktorant w Szkole Informatyki Uniwersytetu w Newcastle, w oświadczeniu.

atak zgadywanek działał tylko w sieci Visa. Sieć MasterCard-jedyna inna sieć, którą badacze przetestowali – szybko wykryła zgadywanie nawet w różnych sieciach.

aby zweryfikować atak, naukowcy użyli własnych kart i uruchomili bota i zautomatyzowany skrypt przeciwko 400 najlepszych witrynom handlowców, aby sprawdzić, czy mogą odgadnąć własne dane karty Visa.

w przypadku artykułu naukowcy zaczęli od patelni dla każdej ze swoich kart i próbowali sprawdzić, czy mogą odgadnąć CVV, datę ważności i adres związany z każdą z nich. Atak działa nawet wtedy, gdy numer patelni nie jest dostępny.

przy prawidłowym patelni, wszystko, co atakujący musi zrobić, aby odgadnąć datę ważności, to poszukać witryn sprzedawców, które wymagają tylko numeru karty i pola daty ważności. Ponieważ większość kart jest ważna przez pięć lat, atakujący potrzebuje tylko 60 prób rozłożonych na wielu stronach internetowych sprzedawców, aby odgadnąć miesiąc i rok wygaśnięcia. Mając pod ręką datę ważności, potrzeba mniej niż 1000 prób ponownego uzyskania 3-cyfrowego CVV, rozprzestrzeniając domysły w wielu witrynach.

w rezultacie, z zaledwie 1.060 automatyczne domysły, atakujący może uzyskać CVV i datę ważności na dowolnej karcie. W tym samym czasie, gdyby wszyscy sprzedawcy wymagali od posiadaczy kart wprowadzenia tych samych trzech pól—PAN, CVV i daty ważności, potrzeba byłoby aż 60 000 prób uzyskania każdego pola, powiedzieli naukowcy w swoim artykule.

„różnica między 1060 a 60000 to różnica między szybkim i praktycznym atakiem, a żmudnym, blisko niepraktycznym atakiem”

uzyskanie adresu posiadacza karty jest nieco bardziej zaangażowane i wymaga od atakujących najpierw identyfikacji banku wydającego kartę. Ale nawet tutaj dostępne są internetowe bazy danych, które ujawniają markę, typ i nazwę banku wydającego kartę. Daje to atakującemu punkt wyjścia do rozpoczęcia zgadywania prawidłowej karty pocztowej dla Karty. Ponieważ Weryfikacja adresu odbywa się zwykle tylko na wartościach numerycznych—takich jak numer ulicy i Kod Pocztowy—atakujący nie musi mieć rzeczywistej nazwy ulicy.

podobnie, możliwe jest również generowanie prawidłowych numerów kart od zera, używając tylko pierwszych sześciu cyfr PAN—które są takie same w zależności od typu karty i innych czynników—oraz algorytmu zwanego algorytmem Luhna do sprawdzania numerów kart.

„badania nie biorą pod uwagę wielu warstw zapobiegania oszustwom, które istnieją w systemie płatności, z których każda musi być spełniona, aby transakcja była możliwa w prawdziwym świecie”, zauważył Visa.

mechanizmy, takie jak Verified by Visa, oparte na standardzie 3dsecure, wzmocniły bezpieczeństwo transakcji e-commerce, a Visa ściśle współpracuje z wydawcami kart i autoryzowanymi podmiotami, aby utrudnić każdemu nielegalne pozyskiwanie i wykorzystywanie danych posiadacza karty.

„Visa z zadowoleniem przyjmuje wysiłki branżowe i akademickie w celu zidentyfikowania i wyeliminowania postrzeganych luk w systemie płatniczym” – napisano w oświadczeniu. „Wraz z naszym własnym wewnętrznym monitorowaniem i testowaniem, umożliwia to firmie Visa i branży płatniczej zwiększanie bezpieczeństwa płatności.”

Related stories:

  • Czy Kradzież Pieniędzy Od 20 000 Klientów Banku Tesco Była Wewnętrzną Robotą?
  • błędy w zabezpieczeniach chipów EMV i pinów