Sześć sekund - tylko tyle potrzeba, aby okraść posiadacza karty Visa - twierdzą naukowcy z Uniwersytetu z Newcastle, którzy przeprowadzili eksperyment wykorzystując specjalne oprogramowanie. Visa powątpiewa w ich badanie, informując, że coraz szerzej stosowane systemy "Verified by Visa" zapobiegają tego typu "prostym kradzieżom".
Złamanie systemu płatności kartą Visa było prawdopodobną przyczyną udanego ataku hakerskiego na bank Tesco, do którego doszło w ostatnim czasie - pisze "The Guardian". Z kont 9 tys. klientów zniknęło 2,5 mln funtów.
Do zrealizowania płatności w większości sklepów online potrzebny jest numer karty, jej data ważności i niekiedy numer CVV (trzy cyfry na odwrocie karty). Jak się okazuje te dane można zdobyć w zaledwie sześć sekund. Udowodnili to naukowcy z Uniwersytetu z Newcastle, którzy przeprowadzili eksperyment wykorzystując specjalne oprogramowanie. Według nich "klucz do sukcesu" stanowi połączenie możliwości nieograniczonego zgadywania prawidłowych odpowiedzi z danymi wymaganymi przez różne witryny.
Jak zdobyć dane?
Okazuje się, że do skutecznego ataku wystarczy prosta metoda prób i błędów. Za pomocą specjalnego oprogramowania można w tym samym czasie przeprowadzić tysiące prób dokonania płatności w różnych sklepach internetowych. W ten sposób można wygenerować dane i sprawdzić, które z nich zostaną zaakceptowane. Wiele sklepów pozwala bowiem na wykonanie pod rząd 10 czy nawet 20 prób dokonania transakcji.
Ponadto, różne witryny żądają innych danych z karty i stosują niejednakowe formularze podczas zawierania transakcji. To pozwala hakerowi na stopniowe zbieranie informacji z witryn tak długo, aż zbierze je w całość i w końcu będzie miał wszystko, co potrzebne do zapłacenia cudzą kartą. Sprawę ułatwia fakt, że sześć pierwszych cyfr numeru naszej karty to numer banku, który ją wystawił.
Atak hakerów
Haker potrzebuje jeszcze datę ważności karty. Ponieważ zwykle ważność kart wygasa po 60 miesiącach, to wystarczy mu nie więcej niż 60 prób. Natomiast odgadnięcie 3-cyfrowego kodu CVV wymaga nie więcej niż 1000 prób - ocenił dr Mohammed Ali, który przeprowadził eksperyment.
Według badań, taki schemat ataku działa w przypadku kart Visa, ponieważ system nie posiada mechanizmu, który blokuje kartę, w przypadku wykrycia dużej liczby nieudanych prób wpisania danych.
Visa oświadczyła, że "badania nie uwzględniają wielu aspektów zapobiegania nadużyciom, które istnieją w ramach systemu płatniczego, z których każdy musi być spełniony w celu dokonania transakcji". Poinformowała też, że coraz szerzej stosowane systemy "Verified by Visa" zapobiegają tego typu "prostym kradzieżom", a klienci są w całości chronieni od strat finansowych wynikających z luk systemu.
Visa dodała, że docenia wysiłki zmierzające do tego, by wzmocnić słabsze strony systemu płatności i wskazała na konieczne wspólne kroki wszystkich banków.
ABW ostrzega przed cyberatakami, banki szykują się na najgorsze:
Autor: tol//ms / Źródło: The Guardian
Źródło zdjęcia głównego: Shutterstock