Исследователи из Ньюкаслского университета представили любопытный доклад (PDF), в котором описали необычный метод атак. Исследователи утверждают, что при помощи распределенного брутфорса можно за считанные секунды подобрать любые данные для карты Visa, в том числе CVV-код и дату истечения срока действия.
Для реализации атаки специалисты изучили топ Alexa и выбрали 400 наиболее популярных онлайн-магазинов. Затем из списка были отсеяны магазины с хорошей защитой, после чего осталось 342 сайта. Теоретически исследователи могли составить куда более обширный список, однако для их эксперимента было достаточно и этого.
Затем ученые вооружились номером работающей банковской карты и попытались подобрать для нее дату истечения срока действия. Обращаясь к выбранным сайтам, исследователи пытались осуществить транзакцию. Срок «жизни» большинства карт составляет 60 месяцев, и исследователям потребовалось лишь несколько секунд, чтобы разослать всем 342 сайтам запросы с разными комбинациями дат и подобрать нужную. Аналогичный распределенный брутфорс был использован для подбора CVV-кода: так как в CVV-коде всего три цифры, атакующему понадобится сделать не более тысячи предположений.
В своем докладе исследователи отмечают, что привязанным к карте адресом интересуются далеко не все сайты, а правильность ввода имени держателя карты не проверяет вообще никто. При этом специалисты пишут, что злоумышленнику не обязательно искать и покупать где-то информацию о картах, ведь подобрать таким образом можно и сам номер карты, а не только детали.
В среднем на атаку уходит порядка 6 секунд. Видео ниже демонстрирует работу приложения, созданного исследователями, и саму атаку в работе.
Уязвимость перед таким распределенным брутфорсом демонстрируют только платежные карты Visa. Так, Mastercard фиксирует и блокирует множественные запросы, поступающие для одной карты из различных мест (онлайновых магазинов). Также в безопасности владельцы, карт, которые оснащены поддержкой технологии 3D Secure и жители стран, где распространены chip-and-PIN карты.
Исследователи пишут, что 78% сайтов (303 ресурса), использованных для атак, никак не прореагировали на раскрытие информации о данной бреши. Операторы ряда ресурсов все же поспешили обновить защитные механизмы, однако некоторые из этих обновлений сделали лишь хуже, и процедура оформления и оплаты заказа стала еще более небезопасной.
Возможно заблуждаюсь, но разве при Интернет-платежах у большинства банков-эмитентов платежных карт не включено SMS-подтверждение? И у нас, и зарубежом. А где-то и более мощные средства используются, в виде аппаратных генераторов одноразовых паролей. То есть, провести оплату без дополнительного кода, только зная номер карты, дату истечения и cvv-код, в большинстве случаев, просто не получится.
Возможно заблуждаюсь, но разве при Интернет-платежах у большинства банков-эмитентов платежных карт не включено SMS-подтверждение? И у нас, и зарубежом. А где-то и более мощные средства используются, в виде аппаратных генераторов одноразовых паролей. То есть, провести оплату без дополнительного кода, только зная номер карты, дату истечения и cvv-код, в большинстве случаев, просто не получится.
На Али оплачивал покупку картой и на мое удивление смс подтверждение транзы не пришло. В своем эксперименте эти ученные хакеры, видимо, выбрали для атаки только крупные онлайн магазины, которые позволяют делать покупки без смс.
Надежный и отзывчивый VPS хостинг для серьезных проектов -|||- Проверенная годами пуш партнерка с выплатой по запросу
Сейчас можно оплатить покупки в интернете даже не зная CVV и имени владельца. Вот небольшой мануал.
Можно, но каждый владелец карты также может отозвать свой платёж, тогда накажут штрафами как продавца, так и банк. Поэтому никому, кроме хакеров, не интересно, чтобы крали деньги клиентов.
Надежный и отзывчивый VPS хостинг для серьезных проектов -|||- Проверенная годами пуш партнерка с выплатой по запросу
Есть Сберовская карта, там при оплате в инете никаких смс не требуется
У меня урезанная так называемая социальная карта Сбера, на которую обычно пенсию получают, даже при платежах с такой карты требуется смс подтверждение, правда ее не везде принимают.
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах
