在線購物通常是對某些人的威懾,因為他們認為他們可能會成為在線的不幸受害者信用卡欺詐。那些經常在線購物者的人只會熟悉零售商要求提供額外的信用卡或借記卡數據(例如安全代碼)以最大程度地減少在線欺詐的風險的事實。
但是,英國紐卡斯爾大學的學生進行的一項新研究表明,黑客的袖子有點小技巧,這使簽證信用卡或借記卡容易受到“分佈式猜測攻擊”的影響。
布迪·阿里夫(Budi Arief),穆罕默德·阿米爾·阿里(Mohammed Aamir Ali)和阿德·範·摩爾(Aad van Moorsel)的研究名為“在線卡支付格局是否不知不覺地促進欺詐?”一直是出版在學術期刊IEEE安全與隱私。
研究小組透露,黑客可以使用簡單的工具猜測有關Visa借記卡/信用卡上的卡信息。該分佈式猜測攻擊揭示的信息包括敏感數據,例如卡的CVV數量及其到期日期。可以通過像查詢電子商務門戶那樣簡單的內容來訪問這一點。
利用工作簽證卡由於安全缺陷,該漏洞使黑客可以從多個網站上的猜測中構建數據。該軟件能夠積累信息,例如卡的到期日期,所有者的郵政編碼,地址和CVV。
據信,黑客在特易購銀行事件中部署了這項技術,在那裡將20,000個賬戶排出了。
研究人員承認,如果您有筆記本電腦和互聯網連接,則剝削非常容易”。
利用如何工作?
黑客基本上是部署機器人來共享信用卡詳細信息對於幾百個零售商來說,去幫助他們猜測安全法規是什麼。
安全代碼或CVV僅由三個數字組成,因此,它最多需要1,000次破解代碼並成功地進行猜測攻擊利用。
當前用於付款的在線系統無法通過不同網站感知多個空白付款請求的事實使黑客可以在卡的每個數據字段中進行無限的猜測。這使黑客可以在每個站點上使用允許的嘗試 - 通常是10或20。
此外,每個站點的數據字段的差異都不同,用於授權在線購買的卡。這樣做的是,它使黑客更容易輕鬆整理分散的信息並將它們拼湊在一起。
確實可以在6秒內進行嗎?
是的,它可以。研究團隊的實驗表明,黑客可以在大量付款地點上成功運行多個機器人。他們可以這樣做,而無需檢測或激活支付系統中的任何警報。
利用這些知識以及任何在線支付系統請求通常在2秒內獲得優勢的事實,黑客可以輕鬆地輕鬆地進行猜測攻擊,並實時“可擴展”。
“無限的猜測與付款數據字段中的變化相結合使攻擊者一次生成所有卡片的詳細信息時,可以連續使用每個生成的卡字段來生成一個字段。
因此,例如,如果該機器人已配置為在30個網站上運行,則該研究將在僅4秒內訪問必要的信息。
正如阿里所說,即使黑客只有一張方便的卡片的前六位數字,這也會在卡類型和銀行上提示它們,並且特定提供商的每張卡都相同。有了這些重要數據,黑客可以在6秒內在線購買所需的信息。下面的視頻說明瞭如何!
為什麼利用在簽證上工作而不是萬事達卡?
與萬事達卡相比,研究人員認為,簽證卡的詳細信息可以輕鬆黑客入侵,因為研究人員認為,前者並沒有感覺到在其網絡上使用的卡片的許多嘗試。另一方面,研究人員透露,萬事達卡(Mastercard)在不到10次嘗試中檢測到猜測攻擊,即使猜測在幾個網站上分為幾個。
如何防止攻擊?
研究小組認為,標準化或集中化是防止此類攻擊的解決方案。
標準化意味著所有商人都需要提供相同的付款接口,即相同數量的字段。然後,黑客將無法再擴展攻擊了。另一方面,可以通過卡支付網絡或付款網關來完成集中化,這些網絡或付款網關可以完整地查看與其網絡相關的付款嘗試。
研究人員指出:“標準化和集中化自然不符合選擇的靈活性和自由,一個人與互聯網或成功的商業活動相關聯,但它們將提供所需的保護。”
卡持有人應保持警惕,並定期檢查其聲明,並留意任何可疑活動或付款。
