I ricercatori dell'Università di Newcastle nel Regno Unito hanno scoperto una vulnerabilità nel sistema di pagamento VISA che consente agli hacker di indovinare i dettagli della tua carta di credito/debito in soli sei secondi.
I ricercatori hanno recentemente scoperto che tutte le funzionalità di sicurezza destinate a proteggere i pagamenti online dalle frodi possono essere violate entro sei secondi. Gli hacker possono indovinare il numero della tua carta di credito/debito, la data di scadenza e il codice di sicurezza in soli sei secondi.
I ricercatori dell'Università di Newcastle, nel Regno Unito, mentre espongono i difetti nel sistema di pagamento VISA non hanno trovato nessuno dei due la rete né il retro sono stati in grado di rilevare gli aggressori che effettuavano vari tentativi non validi di ottenere la carta di pagamento dati.
L'attacco è il cosiddetto "Distributed Guessing Attack" che può aggirare ogni funzione di sicurezza implementata per proteggere gli utenti online in pochi secondi. Questa tecnica funziona generando automaticamente variazioni dei dati di sicurezza della carta su più siti Web fino a quando gli hacker non sono in grado di atterrare su un "Hit" per ogni informazione richiesta.
Gli investigatori affermano che è probabile che questa tecnica sia stata utilizzata nel recente attacco informatico di Tesco che il team descrive come "spaventosamente facile se si dispone di un laptop e di una connessione Internet".
Mohammed Ali, uno studente di dottorato alla Newcastle University, ha dichiarato: "Questo tipo di attacco sfrutta due punti deboli che da soli non sono troppo severi ma se usati insieme rappresentano un serio rischio per l'intero sistema di pagamento”
Ha anche affermato: "In primo luogo, l'attuale sistema di pagamento online non rileva più richieste di pagamento non valide da diversi siti Web". "Ciò consente ipotesi illimitate su ciascun campo dati della carta, utilizzando fino al numero consentito di tentativi - in genere 10 o 20 ipotesi - su ciascun sito web",
"Ciò consente ipotesi illimitate su ciascun campo dati della carta, utilizzando fino al numero consentito di tentativi - in genere 10 o 20 ipotesi - su ciascun sito web",
“In secondo luogo, diversi siti Web richiedono diverse variazioni nei campi dei dati della carta per convalidare un acquisto online. Ciò significa che è abbastanza facile costruire le informazioni e metterle insieme come un puzzle"
"Le ipotesi illimitate, se combinate con le variazioni nei campi dei dati di pagamento, rendono spaventosamente facile per gli aggressori generare tutti i dettagli della carta un campo alla volta",
“Ogni campo carta generato può essere utilizzato in successione per generare il campo successivo e così via”. "Se i risultati vengono distribuiti su un numero sufficiente di siti Web, è possibile ricevere una risposta positiva a ciascuna domanda entro due secondi, proprio come qualsiasi pagamento online"
“Quindi, anche iniziando senza alcun dettaglio a parte le prime sei cifre, che indicano la banca e il tipo di carta e quindi sono le stesse per ogni carta da un unico fornitore: un hacker può ottenere le tre informazioni essenziali per effettuare un acquisto online in appena sei secondi”
https://www.youtube.com/watch? v=uwvjZGKwKvY
Quindi, gli hacker utilizzano siti Web di pagamento online per indovinare i dati e la risposta alla transazione confermerà se l'ipotesi era giusta o meno. In questo modo, gli hacker possono facilmente ottenere i dettagli della carta di credito/debito. Tuttavia, il team ha scoperto che attualmente la rete VISA era vulnerabile. Quindi, puoi ottenere tutti i dettagli sul documento di ricerca che è stato pubblicato nel rivista accademica IEEE Security and Privacy.