Исследователи выяснили, что злоумышленники методом угадывания могут за шесть секунд узнать номер дебетовой или кредитной карты Visa, дату истечения её срока действия и код безопасности. Эксперты из Ньюкаслского университета заявили, что это «пугающе легко» сделать с помощью ноутбука и интернет-соединения. Мошенники используют так называемые распределённые атаки типа «угадывание» (Distributed Guessing Attack) для обхода систем безопасности. Именно такой метод мог использоваться при недавнем взломе Tesco Bank, который всё ещё расследуется.
Эксперты уверяют, что система безопасности не может обнаружить множественные неудачные попытки ввода данных, направленные на получение платёжной информации карт Visa. Это означает, что мошенники могут использовать компьютеры для систематического ввода различных вариаций данных на сотнях сайтов одновременно. И буквально за несколько секунд методом исключения злоумышленники способны найти правильный номер карты, дату истечения срока действия и трёхзначный код безопасности, который указывается на задней стороне карты.
Мохаммед Али (Mohammed Ali), аспирант школы информатики Ньюкаслского университета, сказал: «Такой тип атаки использует две уязвимости, которые сами по себе не являются слишком серьёзными, но при совместном использовании представляют серьёзный риск для всей платёжной системы».
Во-первых, платёжная система не способна определять множественные неудачные запросы, поступающие с различных сайтов. Это позволяет злоумышленникам делать большое количество попыток угадать данные карт — по 10–20 для каждого сайта. Во-вторых, различные сайты запрашивают разные вариации данных для ввода, необходимых для подтверждения платежей. Это даёт возможность собрать информацию вместе и сложить из неё «мозаику» — то есть увидеть общую картину.
«Каждое сгенерированное поле карты может быть использовано в последовательности для генерирования следующего поля и так далее. Если попытки распространяются на достаточное количество веб-сайтов, то положительный ответ на каждый вопрос может быть получен в течение двух секунд — как и в случае с любым онлайн-платежом», — добавил Али. Поэтому хакеру достаточно знать первые шесть цифр номера карты, указывающих на банк и тип карты, чтобы совершить с неё онлайн-платёж.
Visa отметила, что в исследовании не были учтены сложные системы для предотвращения мошенничества. «Visa направлена на поддержание низкого уровня мошенничества и тесно работает с эмитентами карт и их покупателями, чтобы было очень сложно нелегальным способом получить доступ и использовать данные держателя карты», — отметила компания.
Источник: