Za samo nekoliko sekundi hakeri mogu pogoditi informacije o VISA karticama

Vesti, 06.12.2016, 10:00 AM

Za samo nekoliko sekundi hakeri mogu pogoditi informacije o VISA karticama

Grupa naučnika sa Univerziteta Njukasl otkrila je praktičan i lak način (pdf) na koji hakeri mogu brzo da pogode informacije o platnim karticama Visa koje mogu iskoristiti za kasnije neovlašćene transakcije bez kartica.

Oni misle da je metod koji je nazvan Distributed Guessing Attack korišćen u nedavnim napadima na korisnike Tesco Banke, kada je ukradeno 2,5 miliona funti od 9000 korisnika i to upravo u neovlašćenim transakcijama.

Tesco Bank je nadoknadila štetu korisnicima i normalno nastavila sa radom, ali pitanje kako su hakeri uspeli da izvedu ovu pljačku još uvek čeka odgovor koji treba da da istraga koja je u toku.

Naučnici su za Distributed Guessing Attack imali računar sa internet konekcijom i browserom (koristili su Firefox), softver za izvođenje napada i nekoliko Visa kartica, mada su pokušavali i sa Mastercardom, ali napad ne funkcioniše sa tim karticama.

Prva slabost na koju se oslanja napad je da trenutni sistem plaćanja ne detektuje brojne neuspele pokušaje zahteva za plaćanjem sa istom karticom na različitim web sajtovima. To praktično omogućava hakerima neograničeni broj pogađanja koji mogu biti izvedeni nagađanjima na različitim sajtovima, čak i ako neki web sajtovi ograničavaju broj pokušaja.

Druga slabost leži u činjenici da različiti web prodavci koriste različita polja u formama za plaćanje, i da to omogućava da se ovakvim napadom dođe do željenih informacija iz jednog polja.

Ako haker ima validan broj kartice, da bi pogodio datum isteka kartice on može iskoristiti nekoliko sajtova prodavaca koji proveravaju SVV2 tako što će sada koristiti druge web sajtove da bi proverio 3 polja: broj kartice, datum isteka i CVV2.

Do broja kartice hakeri lako mogu doći. Oni se mogu kupiti na internetu, gde se prodaju liste sa ovakvim informacijama, i kada pogodi datum isteka i CVV2 na ovakav način, haker ima sve informacije koje su mu neophodne za kupovinu u mnogim online prodavnicama.

Neki sajtovi zahtevaju i da polje za adresu bude popunjeno, ali proveravaju samo brojeve stanova/kuća i polja za poštanski broj, a do toga nije teško doći.

Do tih informacija je moguće doći tako što se sa prvih šest brojeva kartice pretraže poznate baze podataka kao što su BinDb i ExactBins. Tako je moguće otkriti marku kartice, koja ju je banka izdala, i tip kartice. Kada je poznata banka, povećava se verovatnoća pogađanja poštanskog broja pretpostavkom da je žrtva registrovala karticu u nekoj od obližnjih filijala.

Na kraju, web sajtovi mogu tražiti ime vlasnika kartice, ali prema tvrdnjama naučnika, nijedan web sajt ne proverava da li je uneto ime tačno.

Sve u svemu, oni su otkrili da istovremenim bombardovanjem 30-ak web sajtova pogađanjima, haker može da otkrije sve informacije koje su mu potrebne za svega nekoliko sekundi.

Napad ne funkcioniše sa Mastercard jer Mastercardova centralizovana mreža detektuje ovakav napad posle manje od 10 pokušaja pogađanja, čak i ako su ti pokušaji izvedeni preko više web sajtova.

Portparol kompanije Visa je komentarišući istraživanje rekao da ono nije uzelo u obzir nekoliko slojeva zaštite od prevara koji postoje u platnom sistemu, i da neki uslovi koje naučnici nisu uzeli u obzir moraju biti ispunjeni da bi se izvela transakcija u stvarnom svetu. On kaže da oni imaju svoj "Verified by Visa" (3D Secure) sistem koji koristi dodatnu autentifikaciju za online plaćanja, poboljšavajući bezbednost online transakcija.

Sa druge strane, naučnici tvrde da su njihovi eksperimenti potvrdili da su 3D Secure plaćanja zaštićena od ovakvog napada jer banka koja je izdala karticu ima uvid u sve zahteve za transakcijama koji se tiču jedne kartice, čak i ako se oni rasporede na mnogo sajtova. Ali sa aspekta trgovca, 3D Secure ima neke nedostatke, zbog čega ga samo manji broj trgovaca primenjuje.

Najlakše rešenje, prema rečima naučnika je ili da se za mrežu platnih kartica primeni detekcija i sprečavanje takvog napada, ili da svi trgovci nude isti interfejs za plaćanje, što bi pogađanje svakog od polja posebno učinilo nemogućim.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Tokom protesta u Hong Kongu, Telegram napadnut iz Kine, milioni korisnika nisu mogli da koriste aplikaciju

Tokom protesta u Hong Kongu, Telegram napadnut iz Kine, milioni korisnika nisu mogli da koriste aplikaciju

Telegram, jedna od najpopularnijih aplikacija za šifrovanu razmenu poruka, nakratko je bio van funkcije za stotine hiljada korisnika širom sveta nak... Dalje

Otkriven sigurnosni propust u popularnom WordPress Live Chat pluginu

Otkriven sigurnosni propust u popularnom WordPress Live Chat pluginu

Istraživači iz firme Alert Logic upozorili su na ranjivost koju su otkrili u popularnom WordPress Live Chat pluginu, koja bi, ako se iskoristi, mogl... Dalje

Microsoft upozorava: Sajber-kriminalci koriste staru ranjivost u Microsoft Officeu za infekciju računara

Microsoft upozorava: Sajber-kriminalci koriste staru ranjivost u Microsoft Officeu za infekciju računara

Emailovi koji isporučuju RTF fajlove sa exploitom koji ne zahteva interakciju korisnika (osim otvaranja fajla) stižu na email adrese korisnika u Evr... Dalje

Kancelarija za budžet Bele kuće traži odlaganje zabrane za Huawei

Kancelarija za budžet Bele kuće traži odlaganje zabrane za Huawei

Kancelarija za upravljanje i budžet Bele kuće (OMB) zatražila je od Kongresa da odloži primenu zabrane zbog koje federalni izvođači radova ne m... Dalje

Facebook zabranio predinstalaciju njegovih aplikacija na Huawei telefonima

Facebook zabranio predinstalaciju njegovih aplikacija na Huawei telefonima

Vest da Facebook više ne dozvoljava predinstalaciju svojih aplikacija na Huawei telefonima najnoviji je udarac za kinesku kompaniju koja se suočava ... Dalje