Za samo nekoliko sekundi hakeri mogu pogoditi informacije o VISA karticama

Vesti, 06.12.2016, 10:00 AM

Grupa naučnika sa Univerziteta Njukasl otkrila je praktičan i lak način (pdf) na koji hakeri mogu brzo da pogode informacije o platnim karticama Visa koje mogu iskoristiti za kasnije neovlašćene transakcije bez kartica.

Oni misle da je metod koji je nazvan Distributed Guessing Attack korišćen u nedavnim napadima na korisnike Tesco Banke, kada je ukradeno 2,5 miliona funti od 9000 korisnika i to upravo u neovlašćenim transakcijama.

Tesco Bank je nadoknadila štetu korisnicima i normalno nastavila sa radom, ali pitanje kako su hakeri uspeli da izvedu ovu pljačku još uvek čeka odgovor koji treba da da istraga koja je u toku.

Naučnici su za Distributed Guessing Attack imali računar sa internet konekcijom i browserom (koristili su Firefox), softver za izvođenje napada i nekoliko Visa kartica, mada su pokušavali i sa Mastercardom, ali napad ne funkcioniše sa tim karticama.

Prva slabost na koju se oslanja napad je da trenutni sistem plaćanja ne detektuje brojne neuspele pokušaje zahteva za plaćanjem sa istom karticom na različitim web sajtovima. To praktično omogućava hakerima neograničeni broj pogađanja koji mogu biti izvedeni nagađanjima na različitim sajtovima, čak i ako neki web sajtovi ograničavaju broj pokušaja.

Druga slabost leži u činjenici da različiti web prodavci koriste različita polja u formama za plaćanje, i da to omogućava da se ovakvim napadom dođe do željenih informacija iz jednog polja.

Ako haker ima validan broj kartice, da bi pogodio datum isteka kartice on može iskoristiti nekoliko sajtova prodavaca koji proveravaju SVV2 tako što će sada koristiti druge web sajtove da bi proverio 3 polja: broj kartice, datum isteka i CVV2.

Do broja kartice hakeri lako mogu doći. Oni se mogu kupiti na internetu, gde se prodaju liste sa ovakvim informacijama, i kada pogodi datum isteka i CVV2 na ovakav način, haker ima sve informacije koje su mu neophodne za kupovinu u mnogim online prodavnicama.

Neki sajtovi zahtevaju i da polje za adresu bude popunjeno, ali proveravaju samo brojeve stanova/kuća i polja za poštanski broj, a do toga nije teško doći.

Do tih informacija je moguće doći tako što se sa prvih šest brojeva kartice pretraže poznate baze podataka kao što su BinDb i ExactBins. Tako je moguće otkriti marku kartice, koja ju je banka izdala, i tip kartice. Kada je poznata banka, povećava se verovatnoća pogađanja poštanskog broja pretpostavkom da je žrtva registrovala karticu u nekoj od obližnjih filijala.

Na kraju, web sajtovi mogu tražiti ime vlasnika kartice, ali prema tvrdnjama naučnika, nijedan web sajt ne proverava da li je uneto ime tačno.

Sve u svemu, oni su otkrili da istovremenim bombardovanjem 30-ak web sajtova pogađanjima, haker može da otkrije sve informacije koje su mu potrebne za svega nekoliko sekundi.

Napad ne funkcioniše sa Mastercard jer Mastercardova centralizovana mreža detektuje ovakav napad posle manje od 10 pokušaja pogađanja, čak i ako su ti pokušaji izvedeni preko više web sajtova.

Portparol kompanije Visa je komentarišući istraživanje rekao da ono nije uzelo u obzir nekoliko slojeva zaštite od prevara koji postoje u platnom sistemu, i da neki uslovi koje naučnici nisu uzeli u obzir moraju biti ispunjeni da bi se izvela transakcija u stvarnom svetu. On kaže da oni imaju svoj "Verified by Visa" (3D Secure) sistem koji koristi dodatnu autentifikaciju za online plaćanja, poboljšavajući bezbednost online transakcija.

Sa druge strane, naučnici tvrde da su njihovi eksperimenti potvrdili da su 3D Secure plaćanja zaštićena od ovakvog napada jer banka koja je izdala karticu ima uvid u sve zahteve za transakcijama koji se tiču jedne kartice, čak i ako se oni rasporede na mnogo sajtova. Ali sa aspekta trgovca, 3D Secure ima neke nedostatke, zbog čega ga samo manji broj trgovaca primenjuje.

Najlakše rešenje, prema rečima naučnika je ili da se za mrežu platnih kartica primeni detekcija i sprečavanje takvog napada, ili da svi trgovci nude isti interfejs za plaćanje, što bi pogađanje svakog od polja posebno učinilo nemogućim.