Исследователи из Ньюкаслского университета представили любопытный доклад (PDF), в котором описали необычный метод атак. Исследователи утверждают, что при помощи распределенного брутфорса можно за считанные секунды подобрать любые данные для карты Visa, в том числе CVV-код и дату истечения срока действия.
Для реализации атаки специалисты изучили топ Alexa и выбрали 400 наиболее популярных онлайн-магазинов. Затем из списка были отсеяны магазины с хорошей защитой, после чего осталось 342 сайта. Теоретически исследователи могли составить куда более обширный список, однако для их эксперимента было достаточно и этого.
Затем ученые вооружились номером работающей банковской карты и попытались подобрать для нее дату истечения срока действия. Обращаясь к выбранным сайтам, исследователи пытались осуществить транзакцию. Срок «жизни» большинства карт составляет 60 месяцев, и исследователям потребовалось лишь несколько секунд, чтобы разослать всем 342 сайтам запросы с разными комбинациями дат и подобрать нужную. Аналогичный распределенный брутфорс был использован для подбора CVV-кода: так как в CVV-коде всего три цифры, атакующему понадобится сделать не более тысячи предположений.
В своем докладе исследователи отмечают, что привязанным к карте адресом интересуются далеко не все сайты, а правильность ввода имени держателя карты не проверяет вообще никто. При этом специалисты пишут, что злоумышленнику не обязательно искать и покупать где-то информацию о картах, ведь подобрать таким образом можно и сам номер карты, а не только детали.
В среднем на атаку уходит порядка 6 секунд. Видео ниже демонстрирует работу приложения, созданного исследователями, и саму атаку в работе.
Уязвимость перед таким распределенным брутфорсом демонстрируют только платежные карты Visa. Так, Mastercard фиксирует и блокирует множественные запросы, поступающие для одной карты из различных мест (онлайновых магазинов). Также в безопасности владельцы, карт, которые оснащены поддержкой технологии 3D Secure и жители стран, где распространены chip-and-PIN карты.
Исследователи пишут, что 78% сайтов (303 ресурса), использованных для атак, никак не прореагировали на раскрытие информации о данной бреши. Операторы ряда ресурсов все же поспешили обновить защитные механизмы, однако некоторые из этих обновлений сделали лишь хуже, и процедура оформления и оплаты заказа стала еще более небезопасной.
#Ср Dec 07, 2016 1:27 pmYabutiЗарег.: 28.11.2008 ; Сообщ.: 16263
Возможно заблуждаюсь, но разве при Интернет-платежах у большинства банков-эмитентов платежных карт не включено SMS-подтверждение? И у нас, и зарубежом. А где-то и более мощные средства используются, в виде аппаратных генераторов одноразовых паролей. То есть, провести оплату без дополнительного кода, только зная номер карты, дату истечения и cvv-код, в большинстве случаев, просто не получится.
#Ср Dec 07, 2016 1:41 pmLeonizzЗарег.: 17.09.2015 ; Сообщ.: 1849
Возможно заблуждаюсь, но разве при Интернет-платежах у большинства банков-эмитентов платежных карт не включено SMS-подтверждение? И у нас, и зарубежом. А где-то и более мощные средства используются, в виде аппаратных генераторов одноразовых паролей. То есть, провести оплату без дополнительного кода, только зная номер карты, дату истечения и cvv-код, в большинстве случаев, просто не получится.
На Али оплачивал покупку картой и на мое удивление смс подтверждение транзы не пришло. В своем эксперименте эти ученные хакеры, видимо, выбрали для атаки только крупные онлайн магазины, которые позволяют делать покупки без смс.
#Пт Dec 09, 2016 10:57 amceberЗарег.: 13.05.2010 ; Сообщ.: 4290
Сейчас можно оплатить покупки в интернете даже не зная CVV и имени владельца. Вот небольшой мануал.
Можно, но каждый владелец карты также может отозвать свой платёж, тогда накажут штрафами как продавца, так и банк. Поэтому никому, кроме хакеров, не интересно, чтобы крали деньги клиентов.
#Вс Dec 11, 2016 11:50 amvitvirtualЗарег.: 11.06.2007 ; Сообщ.: 9061
Есть Сберовская карта, там при оплате в инете никаких смс не требуется
У меня урезанная так называемая социальная карта Сбера, на которую обычно пенсию получают, даже при платежах с такой карты требуется смс подтверждение, правда ее не везде принимают.
