Za samo nekoliko sekundi hakeri mogu pogoditi informacije o VISA karticama

Vesti, 06.12.2016, 10:00 AM

Za samo nekoliko sekundi hakeri mogu pogoditi informacije o VISA karticama

Grupa naučnika sa Univerziteta Njukasl otkrila je praktičan i lak način (pdf) na koji hakeri mogu brzo da pogode informacije o platnim karticama Visa koje mogu iskoristiti za kasnije neovlašćene transakcije bez kartica.

Oni misle da je metod koji je nazvan Distributed Guessing Attack korišćen u nedavnim napadima na korisnike Tesco Banke, kada je ukradeno 2,5 miliona funti od 9000 korisnika i to upravo u neovlašćenim transakcijama.

Tesco Bank je nadoknadila štetu korisnicima i normalno nastavila sa radom, ali pitanje kako su hakeri uspeli da izvedu ovu pljačku još uvek čeka odgovor koji treba da da istraga koja je u toku.

Naučnici su za Distributed Guessing Attack imali računar sa internet konekcijom i browserom (koristili su Firefox), softver za izvođenje napada i nekoliko Visa kartica, mada su pokušavali i sa Mastercardom, ali napad ne funkcioniše sa tim karticama.

Prva slabost na koju se oslanja napad je da trenutni sistem plaćanja ne detektuje brojne neuspele pokušaje zahteva za plaćanjem sa istom karticom na različitim web sajtovima. To praktično omogućava hakerima neograničeni broj pogađanja koji mogu biti izvedeni nagađanjima na različitim sajtovima, čak i ako neki web sajtovi ograničavaju broj pokušaja.

Druga slabost leži u činjenici da različiti web prodavci koriste različita polja u formama za plaćanje, i da to omogućava da se ovakvim napadom dođe do željenih informacija iz jednog polja.

Ako haker ima validan broj kartice, da bi pogodio datum isteka kartice on može iskoristiti nekoliko sajtova prodavaca koji proveravaju SVV2 tako što će sada koristiti druge web sajtove da bi proverio 3 polja: broj kartice, datum isteka i CVV2.

Do broja kartice hakeri lako mogu doći. Oni se mogu kupiti na internetu, gde se prodaju liste sa ovakvim informacijama, i kada pogodi datum isteka i CVV2 na ovakav način, haker ima sve informacije koje su mu neophodne za kupovinu u mnogim online prodavnicama.

Neki sajtovi zahtevaju i da polje za adresu bude popunjeno, ali proveravaju samo brojeve stanova/kuća i polja za poštanski broj, a do toga nije teško doći.

Do tih informacija je moguće doći tako što se sa prvih šest brojeva kartice pretraže poznate baze podataka kao što su BinDb i ExactBins. Tako je moguće otkriti marku kartice, koja ju je banka izdala, i tip kartice. Kada je poznata banka, povećava se verovatnoća pogađanja poštanskog broja pretpostavkom da je žrtva registrovala karticu u nekoj od obližnjih filijala.

Na kraju, web sajtovi mogu tražiti ime vlasnika kartice, ali prema tvrdnjama naučnika, nijedan web sajt ne proverava da li je uneto ime tačno.

Sve u svemu, oni su otkrili da istovremenim bombardovanjem 30-ak web sajtova pogađanjima, haker može da otkrije sve informacije koje su mu potrebne za svega nekoliko sekundi.

Napad ne funkcioniše sa Mastercard jer Mastercardova centralizovana mreža detektuje ovakav napad posle manje od 10 pokušaja pogađanja, čak i ako su ti pokušaji izvedeni preko više web sajtova.

Portparol kompanije Visa je komentarišući istraživanje rekao da ono nije uzelo u obzir nekoliko slojeva zaštite od prevara koji postoje u platnom sistemu, i da neki uslovi koje naučnici nisu uzeli u obzir moraju biti ispunjeni da bi se izvela transakcija u stvarnom svetu. On kaže da oni imaju svoj "Verified by Visa" (3D Secure) sistem koji koristi dodatnu autentifikaciju za online plaćanja, poboljšavajući bezbednost online transakcija.

Sa druge strane, naučnici tvrde da su njihovi eksperimenti potvrdili da su 3D Secure plaćanja zaštićena od ovakvog napada jer banka koja je izdala karticu ima uvid u sve zahteve za transakcijama koji se tiču jedne kartice, čak i ako se oni rasporede na mnogo sajtova. Ali sa aspekta trgovca, 3D Secure ima neke nedostatke, zbog čega ga samo manji broj trgovaca primenjuje.

Najlakše rešenje, prema rečima naučnika je ili da se za mrežu platnih kartica primeni detekcija i sprečavanje takvog napada, ili da svi trgovci nude isti interfejs za plaćanje, što bi pogađanje svakog od polja posebno učinilo nemogućim.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Firefox će upozoravati korisnike kada se nađu na sajtu koji je ranije hakovan

Firefox će upozoravati korisnike kada se nađu na sajtu koji je ranije hakovan

Mozilla je dodala novu funkciju svom Quantum Browseru koja će korisnicima prikazivati upozorenja Firefox Monitora prilikom posete sajtovima na kojima... Dalje

Japanski ministar za sajber bezbednost priznao da nikada nije koristio računar

Japanski ministar za sajber bezbednost priznao da nikada nije koristio računar

Jošitaka Sakurada, novi japanski ministar za sajber bezbednost zapanjio je javnost svoje zemlje izjavom da nikada nije koristio računar. "Od svoje 2... Dalje

Maliciozni oglasi vode korisnike do malvera DanaBot, Nocturnal i GlobeImposter

Maliciozni oglasi vode korisnike do malvera DanaBot, Nocturnal i GlobeImposter

Maliciozni oglasi u kampanji HookAds preusmeravaju posetioce sajtova na exploit paket Fallout. Kada se Fallout aktivira, pokušaće da iskoristi pozn... Dalje

Podaci skoro svih banaka u Pakistanu ukradeni, i sada se prodaju na Dark Webu

Podaci skoro svih banaka u Pakistanu ukradeni, i sada se prodaju na Dark Webu

Podaci korisnika skoro svih pakististanskih banaka prodaju se na Dark Webu. To je najveća hakerska kampanja pokrenuta protiv banaka u Pakistanu. Pro... Dalje

Chrome 71 će vas upozoravati na sumnjive usluge pretplate

Chrome 71 će vas upozoravati na sumnjive usluge pretplate

Počev od verzije 71, Chrome će prikazivati upozorenja kako bi vas sprečio da se slučajno prijavite za uslugu pretplate. Novi protokol će se bav... Dalje