Метод «угадывания», вероятно, использовался при взломе Tesco Bank
Исследователи предупреждают, что преступники могут угадать номер вашей кредитной или дебетовой карты Visa, дату истечения срока действия и ее защитный код всего за шесть секунд.
Эксперты из Университета Ньюкасла, Великобритания, утверждают, что «пугающе легко» скомпрометировать систему кредитных карт Visa онлайн. Преступным хакерам может потребоваться “всего шесть секунд”, используя догадки, с доступом к ноутбуку и интернет-соединению. Распределенная угадывающая атака, метод атаки, идентифицированный исследователями Ньюкасла, возможно, также использовался в недавнем ограблении банка Tesco, когда банк потерял 2,5 миллиона фунтов стерлингов.
Злоумышленники использовали DGA для обхода функций безопасности, которые используются для предотвращения мошенничества в Интернете, давая хакерам точку входа для атаки на британский банк.
Только карты Visa подвержены уязвимости
В ходе умной атаки методом грубой силы исследователи выяснили, что если вы угадали номер безопасности карты на нескольких разных веб-сайтах, система безопасности карты не сработала. Процесс включает в себя угадывание и тестирование сотен вариантов дат истечения срока действия и номеров CVV на сотнях различных сайтов, чтобы избежать запуска мер защиты от мошенничества.
Исследователи обрисовали метод в документе IEEE Security & Privacy, который подтверждает, что этот метод взлома даже не требует какого-либо сложного уровня знаний или оборудования для взлома, так как он требует только ноутбука и подключения к Интернету.
Кредитные и дебетовые карты MasterCard не подвержены этой уязвимости, поскольку они отслеживают один и тот же метод атаки, когда злоумышленник пытается угадать различные веб-сайты. Исследователи добавили, что платежная система предназначена для отключения карточек после 10 или менее попыток.
Visa, однако, не предназначена для учета нескольких веб-сайтов. Как показано в видео в конце этого поста, злоумышленник может легко собрать собранную информацию для бомбардировки сайтов нескольких поставщиков, опробовать различные комбинации номера карты, CVV и кода срока действия, легко уклоняясь от ограничений отдельных сайтов и избегая обнаружения мошенническая деятельность.
Говоря о методах профилактики, которые могут быть использованы, аспирант Мохаммед Али сказал:
PreventДля предотвращения атаки можно проводить либо стандартизацию, либо централизацию (некоторые сетевые платежные системы уже предоставляют это). Стандартизация подразумевает, что все продавцы должны предлагать один и тот же интерфейс оплаты, то есть одинаковое количество полей. Тогда атака больше не масштабируется. Централизация может быть достигнута платежными шлюзами или сетями платежных карт, обладающими полным обзором всех попыток оплаты, связанных с его сетью. Ни стандартизация, ни централизация не соответствуют гибкости и свободе выбора, которые каждый ассоциирует с Интернетом или успешной коммерческой деятельностью, но они обеспечат необходимую защиту. Это зависит от различных заинтересованных сторон, чтобы определить причину и сроки таких решений.
Перед публикацией своих выводов исследовательская группа связалась с Visa. К сожалению, платежный гигант не воспринял исследование слишком серьезно. В электронном письме Independent говорится, что «в исследовании не учитываются многочисленные уровни предотвращения мошенничества, существующие в платежной системе, каждый из которых должен быть выполнен, чтобы сделать транзакцию возможной в реальном мире. ”
Tesco Bank заявил, что в прошлом месяце мошенничество затронуло 9 000 клиентов. Но Visa не хочет, чтобы вы беспокоились об этом; «самое важное, что нужно помнить, это то, что если номер карты используется мошенническим образом, владелец карты защищен от ответственности».
-335x220.jpg)