Cercetătorii de la Universitatea Newcastle din Marea Britanie au expus vulnerabilitatea în sistemul de plată VISA, care permite hackerilor să ghicească detaliile cardului dvs. de credit / debit în doar șase secunde.
Cercetătorii au descoperit recent că toate caracteristicile de securitate menite să protejeze plățile online de fraudă pot fi sparte în decurs de șase secunde. Hackerii vă pot ghici numărul cardului de credit / debit, data de expirare și codul de securitate în doar șase secunde.
Cercetătorii de la Universitatea Newcastle, Marea Britanie, în timp ce expuneau defectele din sistemul de plată VISA, nu au găsit niciunul rețeaua și nici partea din spate nu au putut detecta atacatorii care făceau diverse încercări nevalide de a obține cardul de plată date.
Atacul este așa-numitul „Distribuit Guessing Attack”, care poate ocoli fiecare caracteristică de securitate implementată pentru a proteja utilizatorii online în câteva secunde. Această tehnică funcționează generând automat variații ale datelor de securitate a cardului pe mai multe site-uri web până când hackerii sunt capabili să aterizeze pe un „Hit” pentru fiecare informație necesară.
Anchetatorii susțin că este posibil ca această tehnică să fi fost utilizată în atacul cibernetic recent Tesco, pe care echipa îl descrie „înspăimântător de ușor dacă aveți un laptop și o conexiune la internet”.
Mohammed Ali, doctorand la Universitatea Newcastle, a declarat că „acest tip de atac exploatează două puncte slabe care pe cont propriu nu sunt prea severe, dar atunci când sunt utilizate împreună, prezintă un risc serios pentru întregul sistem de plăți ”
El a mai spus: „În primul rând, sistemul de plăți online actual nu detectează mai multe solicitări de plată nevalide de pe diferite site-uri web”. „Acest lucru permite presupuneri nelimitate pe fiecare câmp de date ale cardului, utilizând până la numărul permis de încercări - de obicei 10 sau 20 de presupuneri - pe fiecare site web”
„Acest lucru permite presupuneri nelimitate pe fiecare câmp de date ale cardului, utilizând până la numărul permis de încercări - de obicei 10 sau 20 de presupuneri - pe fiecare site web”
„În al doilea rând, diferite site-uri web solicită variații diferite în câmpurile de date ale cardului pentru a valida o achiziție online. Acest lucru înseamnă că este destul de ușor să construiți informațiile și să le împărțiți ca un puzzle ”
„Ghicirile nelimitate, combinate cu variațiile din câmpurile de date de plată fac înfricoșător de ușor pentru atacatori să genereze toate detaliile cardului câte un câmp la rând”
„Fiecare câmp generat de card poate fi folosit succesiv pentru a genera următorul câmp și așa mai departe”. „Dacă accesările sunt răspândite pe suficiente site-uri web, atunci un răspuns pozitiv la fiecare întrebare poate fi primit în două secunde - la fel ca orice plată online”
„Deci, chiar și începând cu niciun detaliu, cu excepția primelor șase cifre - care vă indică tipul de bancă și de card și deci sunt aceleași pentru fiecare card de la un singur furnizor - un hacker poate obține cele trei informații esențiale pentru a efectua o achiziție online în doar șase secunde ”
https://www.youtube.com/watch? v = uwvjZGKwKvY
Deci, hackerii folosesc site-uri web de plată online pentru a ghici datele, iar răspunsul la tranzacție va confirma dacă presupunerea a fost corectă sau nu. În acest fel, hackerii pot obține cu ușurință detaliile cardului de credit / debit. Cu toate acestea, echipa a constatat că în prezent rețeaua VISA era vulnerabilă. Deci, puteți obține detalii complete despre lucrarea de cercetare care a fost publicată în jurnal academic IEEE Security and Privacy.