2016年,法國電子商務預計將突破20萬個線上銷售網站的大關,較上年成長16%以上(資料來源:Fevad)。網站的激增對於經濟來說是個好消息,但對於支付方式的安全並非如此。因為這些不同的站點間接導致銀行卡的敏感資料洩露,例如其視覺密碼(CVV)。
事實上,紐卡斯爾大學和肯特大學的安全研究人員已經注意到銀行卡資料驗證方面存在相當大的差異。大多數人要求提供卡號、有效期限和 CVV。但有些人對卡號和有效期限感到滿意。相反,其他人也需要郵遞區號。研究人員的研究表明,透過知道 Visa 銀行卡號,這些程式差異使攻擊者能夠在短短幾秒鐘內猜出所有其他資料。
為了實現這一點,您只需要有條不紊地測試不同電子商務網站上的不同可能性。這種暴力攻擊是可能的,因為網站的數量和它們允許的嘗試次數非常大。因此,為了猜測有效日期,攻擊者會將自己限制在僅要求兩個資料的網站。 400家最大的電子商務網站中有26家,這已經綽綽有餘了。研究人員表示,最多需要六十次才能猜出,因為銀行卡的有效期不超過60個月。
然後,為了猜測 CCV,攻擊者將重點放在聲稱擁有該 CCV 的網站上。 400 家最大的電子商務網站中有 291 家,其中 266 家允許至少 6 次嘗試。再說一次,這已經足夠了。只需要嘗試一千次就可以猜出這個小小的三位數。另一方面,要找郵遞區號則更為複雜。您必須先透過識別問題國家/地區來限制搜尋空間,這可以在 www.exactbins.com 或 www.bindb.com 等網站上實現。
在法國,這將預先提供 6,300 個郵遞區號進行檢查。雖然很多,但也是可能的,因為一些電子商務網站允許無限次數的試用。
研究人員使用七張 Visa 銀行卡進行了測試。他們開發了可以在大約三十個電子商務網站上自動進行驗證測試的軟體。結果:從銀行卡號開始,他們在不到…四秒的時間內獲得了所有其他資訊!因此,這種方法非常有效。
系統性缺陷
有幾個原因使這個安全缺陷特別令人擔憂。首先,駭客取得銀行卡號的複雜性越來越低。它可以進入暗網並在那裡批量出售。他還可以嘗試在人群中捕捉他們,感謝 NFC 讀取器。駭客還可以嘗試使用 Luhn 演算法隨機產生數字,該演算法用於對數字進行嚴格的數學驗證。
第二個問題是這個缺陷的系統性。它並非來自軟體錯誤,而是來自線上支付的技術組織方式,涉及眾多參與者:電子商務網站、支付網關、支付網路、銀行機構。
因此,如果所有網站都要求相同的訊息,則可以避免這種類型的暴力攻擊。但考慮到電子商務網站的數量,要讓每個人都同意是很複雜的。
研究人員表示,理想的情況是在支付網路(Visa、Mastercard、American Express 等)層級偵測對卡號的攻擊,因為它們是唯一對支付網路具有全球視野的網路。此外,在萬事達卡,這種攻擊不起作用。因此,研究人員假設該網路具有合適的檢測系統。然而,在用戶方面,還沒有真正的解決方案。除非你把Visa卡換成Mastercard。
