Za samo nekoliko sekundi hakeri mogu pogoditi informacije o VISA karticama

Vesti, 06.12.2016, 10:00 AM

Za samo nekoliko sekundi hakeri mogu pogoditi informacije o VISA karticama

Grupa naučnika sa Univerziteta Njukasl otkrila je praktičan i lak način (pdf) na koji hakeri mogu brzo da pogode informacije o platnim karticama Visa koje mogu iskoristiti za kasnije neovlašćene transakcije bez kartica.

Oni misle da je metod koji je nazvan Distributed Guessing Attack korišćen u nedavnim napadima na korisnike Tesco Banke, kada je ukradeno 2,5 miliona funti od 9000 korisnika i to upravo u neovlašćenim transakcijama.

Tesco Bank je nadoknadila štetu korisnicima i normalno nastavila sa radom, ali pitanje kako su hakeri uspeli da izvedu ovu pljačku još uvek čeka odgovor koji treba da da istraga koja je u toku.

Naučnici su za Distributed Guessing Attack imali računar sa internet konekcijom i browserom (koristili su Firefox), softver za izvođenje napada i nekoliko Visa kartica, mada su pokušavali i sa Mastercardom, ali napad ne funkcioniše sa tim karticama.

Prva slabost na koju se oslanja napad je da trenutni sistem plaćanja ne detektuje brojne neuspele pokušaje zahteva za plaćanjem sa istom karticom na različitim web sajtovima. To praktično omogućava hakerima neograničeni broj pogađanja koji mogu biti izvedeni nagađanjima na različitim sajtovima, čak i ako neki web sajtovi ograničavaju broj pokušaja.

Druga slabost leži u činjenici da različiti web prodavci koriste različita polja u formama za plaćanje, i da to omogućava da se ovakvim napadom dođe do željenih informacija iz jednog polja.

Ako haker ima validan broj kartice, da bi pogodio datum isteka kartice on može iskoristiti nekoliko sajtova prodavaca koji proveravaju SVV2 tako što će sada koristiti druge web sajtove da bi proverio 3 polja: broj kartice, datum isteka i CVV2.

Do broja kartice hakeri lako mogu doći. Oni se mogu kupiti na internetu, gde se prodaju liste sa ovakvim informacijama, i kada pogodi datum isteka i CVV2 na ovakav način, haker ima sve informacije koje su mu neophodne za kupovinu u mnogim online prodavnicama.

Neki sajtovi zahtevaju i da polje za adresu bude popunjeno, ali proveravaju samo brojeve stanova/kuća i polja za poštanski broj, a do toga nije teško doći.

Do tih informacija je moguće doći tako što se sa prvih šest brojeva kartice pretraže poznate baze podataka kao što su BinDb i ExactBins. Tako je moguće otkriti marku kartice, koja ju je banka izdala, i tip kartice. Kada je poznata banka, povećava se verovatnoća pogađanja poštanskog broja pretpostavkom da je žrtva registrovala karticu u nekoj od obližnjih filijala.

Na kraju, web sajtovi mogu tražiti ime vlasnika kartice, ali prema tvrdnjama naučnika, nijedan web sajt ne proverava da li je uneto ime tačno.

Sve u svemu, oni su otkrili da istovremenim bombardovanjem 30-ak web sajtova pogađanjima, haker može da otkrije sve informacije koje su mu potrebne za svega nekoliko sekundi.

Napad ne funkcioniše sa Mastercard jer Mastercardova centralizovana mreža detektuje ovakav napad posle manje od 10 pokušaja pogađanja, čak i ako su ti pokušaji izvedeni preko više web sajtova.

Portparol kompanije Visa je komentarišući istraživanje rekao da ono nije uzelo u obzir nekoliko slojeva zaštite od prevara koji postoje u platnom sistemu, i da neki uslovi koje naučnici nisu uzeli u obzir moraju biti ispunjeni da bi se izvela transakcija u stvarnom svetu. On kaže da oni imaju svoj "Verified by Visa" (3D Secure) sistem koji koristi dodatnu autentifikaciju za online plaćanja, poboljšavajući bezbednost online transakcija.

Sa druge strane, naučnici tvrde da su njihovi eksperimenti potvrdili da su 3D Secure plaćanja zaštićena od ovakvog napada jer banka koja je izdala karticu ima uvid u sve zahteve za transakcijama koji se tiču jedne kartice, čak i ako se oni rasporede na mnogo sajtova. Ali sa aspekta trgovca, 3D Secure ima neke nedostatke, zbog čega ga samo manji broj trgovaca primenjuje.

Najlakše rešenje, prema rečima naučnika je ili da se za mrežu platnih kartica primeni detekcija i sprečavanje takvog napada, ili da svi trgovci nude isti interfejs za plaćanje, što bi pogađanje svakog od polja posebno učinilo nemogućim.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

OBAVEŠTENJE o godišnjem odmoru

Sajt neće biti ažuriran u periodu od 10. do 30. septembra zbog godišnjih odmora.... Dalje

Hakovan British Airways, ukradeni podaci o 380000 platnih kartica

Hakovan British Airways, ukradeni podaci o 380000 platnih kartica

Kompanija British Airways, koja za sebe kaže da je "omiljena svetska avio-kompanija", potvrdila je da je hakovana i da su tokom dve nedelje napadači... Dalje

Lozinke 570000 igrača Mortal Online prodaju se na forumima

Lozinke 570000 igrača Mortal Online prodaju se na forumima

Informacije o nalozima 569703 igrača Mortal Onlinea, prodate su nekoliko puta posle napada koji se dogodio 17. juna, kada je nepoznati napadač ili v... Dalje

Za deseti rođendan Chrome dobio brojna funkcionalna i sigurnosna poboljšanja

Za deseti rođendan Chrome dobio brojna funkcionalna i sigurnosna poboljšanja

Pre deset godina Google je objavio prvu verziju svog pregledača koji je nazvan Chrome. Ove nedelje je kompanija objavila 69. verziju Chromea. Novi Ch... Dalje

Vodafon traži od korisnika koji su koristili lozinku 1234 da vrate novac koji su ukrali hakeri

Vodafon traži od korisnika koji su koristili lozinku 1234 da vrate novac koji su ukrali hakeri

Sud u Češkoj nedavno je osudio dvojicu hakera na tri godine zatvora zbog toga što su opljačkali na desetine korisnika Vodafona. Oni su upadali u n... Dalje