Sistemul de plati online poate fi compromis in doar cateva clipe!
Un articol al unor cercetatori de la Universitatea Newcastle din Marea Britanie sustine ca sistemul de plati cu cardul online poate fi compromis "in doar 6 secunde". Vulnerabilitatea aceasta este probabil cea care a dus la atacul asupra Tesco Bank ce a pierdut 2.5 milioane de lire luna trecuta.
Ce este mai periculos este ca nu sunt necesare cunostinte avansate de hacking - tot ce este nevoie este un hot determinat cu un laptop cu o conexiune la internet si putin talent la ghicit!
Echipa de cercetare, condusa de studentul PhD Mohammed Ali, numeste metoda "atacul ghicirii distribuite". Abordarea este simpla: un hot genereaza numere aleatorii pentru a ghici numarul cardului, data de expirare si codul CVV. Cei de la Mashable au publicat un clip care demonstreaza cat de usor se genereaza toate campurile.
Atacatorul testeaza apoi combinatiile pe multiple servicii de plata online (cate un camp). Din moment ce multe site-uri cer diferite variatii ale datelor, este mai usor sa fie descoperite individual prin proces de eliminare. Bombardarea mai multor site-uri simultan ii mai permite atacatorului sa evite limita de incercari de pe un site si sa evite masurile de protectie impotriva fraudei.
Practic, dupa ce un atacator a descoperit numarul cardului, are nevoie doar de maxim 60 de incercari pentru detectarea datei de expirare a cardului (majoritatea sunt valide pentru 60 luni) si de maxim 1000 de incercari pentru descoperirea codului CVV. Testarea pe 1000 de site-uri duce la descoperirea numarului corect in cateva secunde! Echipa din Newcastle a testat metoda folosind propriile date de carduri si un bot pentru atac.
Ca raspuns la publicatie, un purtator de cuvant al celor de la Visa a negat posibilitatea unui atac la scala mare si a plasat responsabilitatea pe umerii comerciantilor. "Suntem determinati sa tinem fraudele la cote foarte mici si lucram de aproape cu cei care creaza cardurile pentru a face mai dificil de obtinut si folosit datele proprietarului cardului". Acesti pasi includ un sistem 3D Secure precum tehnologia "Verified by Visa" ce ofera un pas suplimentar in verificarea procesului online. Insa intre cele mai mari 400 de site-uri de retail online, doar 47 au protectii!
Dr Martin Emms, unul dintre co-autorii articolului, spune ca nu exista niciun mod pentru a te proteja de aceste atacuri, ci doar sa faci pasi pentru limitarea daunelor produse de o incalcare a securitatii. Folosirea unui singur card online poate reduce riscul, alaturi de notificari pentru tranzactiile facute cu cardul.