АРМАДА
Карты Visa уязвимы перед обычным брутфорсом
Новая тема Написать ответ

Miss Content
V.I.P.
Зарегистрирован: 05.03.2010
Сообщений: 7881
Обратиться по нику
# Добавлено:Ср Dec 07, 2016 12:52 pmДобавить в избранноеОтветить с цитатой
Исследователи из Ньюкаслского университета представили любопытный доклад (PDF), в котором описали необычный метод атак. Исследователи утверждают, что при помощи распределенного брутфорса можно за считанные секунды подобрать любые данные для карты Visa, в том числе CVV-код и дату истечения срока действия.

Для реализации атаки специалисты изучили топ Alexa и выбрали 400 наиболее популярных онлайн-магазинов. Затем из списка были отсеяны магазины с хорошей защитой, после чего осталось 342 сайта. Теоретически исследователи могли составить куда более обширный список, однако для их эксперимента было достаточно и этого.

Затем ученые вооружились номером работающей банковской карты и попытались подобрать для нее дату истечения срока действия. Обращаясь к выбранным сайтам, исследователи пытались осуществить транзакцию. Срок «жизни» большинства карт составляет 60 месяцев, и исследователям потребовалось лишь несколько секунд, чтобы разослать всем 342 сайтам запросы с разными комбинациями дат и подобрать нужную. Аналогичный распределенный брутфорс был использован для подбора CVV-кода: так как в CVV-коде всего три цифры, атакующему понадобится сделать не более тысячи предположений.



В своем докладе исследователи отмечают, что привязанным к карте адресом интересуются далеко не все сайты, а правильность ввода имени держателя карты не проверяет вообще никто. При этом специалисты пишут, что злоумышленнику не обязательно искать и покупать где-то информацию о картах, ведь подобрать таким образом можно и сам номер карты, а не только детали.

В среднем на атаку уходит порядка 6 секунд. Видео ниже демонстрирует работу приложения, созданного исследователями, и саму атаку в работе.



Уязвимость перед таким распределенным брутфорсом демонстрируют только платежные карты Visa. Так, Mastercard фиксирует и блокирует множественные запросы, поступающие для одной карты из различных мест (онлайновых магазинов). Также в безопасности владельцы, карт, которые оснащены поддержкой технологии 3D Secure и жители стран, где распространены chip-and-PIN карты.

Исследователи пишут, что 78% сайтов (303 ресурса), использованных для атак, никак не прореагировали на раскрытие информации о данной бреши. Операторы ряда ресурсов все же поспешили обновить защитные механизмы, однако некоторые из этих обновлений сделали лишь хуже, и процедура оформления и оплаты заказа стала еще более небезопасной.
Место для Вашей рекламы!

Yabuti
V.I.P.
Зарегистрирован: 28.11.2008
Сообщений: 16263
Contest (Сумма: 2)
Обратиться по нику
# Добавлено:Ср Dec 07, 2016 1:27 pmОтветить с цитатой
Возможно заблуждаюсь, но разве при Интернет-платежах у большинства банков-эмитентов платежных карт не включено SMS-подтверждение? И у нас, и зарубежом. А где-то и более мощные средства используются, в виде аппаратных генераторов одноразовых паролей. То есть, провести оплату без дополнительного кода, только зная номер карты, дату истечения и cvv-код, в большинстве случаев, просто не получится.
Ксен ВПС и выделенные серверы от PQCService.net с бесплатным администрированием в 7 локациях, icq: 87244588
--

Leonizz
V.I.P.
Зарегистрирован: 17.09.2015
Сообщений: 1849
Обратиться по нику
# Добавлено:Ср Dec 07, 2016 1:41 pmОтветить с цитатой
Цитата:
разве при Интернет-платежах у большинства банков-эмитентов платежных карт не включено SMS-подтверждение?


Есть Сберовская карта, там при оплате в инете никаких смс не требуется. Любой может ее спиздить и обнулить.

Skyworker
V.I.P.
Зарегистрирован: 25.12.2013
Сообщений: 11427
Обратиться по нику
# Добавлено:Чт Dec 08, 2016 9:22 amОтветить с цитатой
Yabuti писал(а):
Возможно заблуждаюсь, но разве при Интернет-платежах у большинства банков-эмитентов платежных карт не включено SMS-подтверждение? И у нас, и зарубежом. А где-то и более мощные средства используются, в виде аппаратных генераторов одноразовых паролей. То есть, провести оплату без дополнительного кода, только зная номер карты, дату истечения и cvv-код, в большинстве случаев, просто не получится.

На Али оплачивал покупку картой и на мое удивление смс подтверждение транзы не пришло. В своем эксперименте эти ученные хакеры, видимо, выбрали для атаки только крупные онлайн магазины, которые позволяют делать покупки без смс.
Надежный и отзывчивый VPS хостинг для серьезных проектов -|||- Проверенная годами пуш партнерка с выплатой по запросу

ceber
V.I.P.
Зарегистрирован: 13.05.2010
Сообщений: 4290
Обратиться по нику
# Добавлено:Пт Dec 09, 2016 10:57 amОтветить с цитатой
Сейчас можно оплатить покупки в интернете даже не зная CVV и имени владельца. Вот небольшой мануал.

Skyworker
V.I.P.
Зарегистрирован: 25.12.2013
Сообщений: 11427
Обратиться по нику
# Добавлено:Пт Dec 09, 2016 3:44 pmОтветить с цитатой
ceber писал(а):
Сейчас можно оплатить покупки в интернете даже не зная CVV и имени владельца. Вот небольшой мануал.


Можно, но каждый владелец карты также может отозвать свой платёж, тогда накажут штрафами как продавца, так и банк. Поэтому никому, кроме хакеров, не интересно, чтобы крали деньги клиентов.
Надежный и отзывчивый VPS хостинг для серьезных проектов -|||- Проверенная годами пуш партнерка с выплатой по запросу

vitvirtual
виртуальный
Зарегистрирован: 11.06.2007
Сообщений: 9061
Contest (Сумма: 1)
Обратиться по нику
# Добавлено:Вс Dec 11, 2016 11:50 amОтветить с цитатой
Цитата:
Есть Сберовская карта, там при оплате в инете никаких смс не требуется



У меня урезанная так называемая социальная карта Сбера, на которую обычно пенсию получают, даже при платежах с такой карты требуется смс подтверждение, правда ее не везде принимают.
www.King-Servers.com - Dedicated Servers от 65$, VDS от 25$
Новая тема Написать ответ    ГЛАВНАЯ ~ НОВОСТИ ИНТЕРНЕТА

Перейти:  





Генеральный спонсор



Партнеры