Sześć sekund. Tyle wystarczy, by złodzieje za pomocą specjalnie napisanego oprogramowania odgadli dokładne dane karty płatniczej wydanej przez firmę Visa. O odkryciu informują naukowcy z uniwersytetu w Newcastle.
Cyberprzestępcy do ataku potrzebują 16-cyfrowego numeru karty Visa. Wbrew pozorom jego zdobycie nie jest zbyt trudne. Na czarnym rynku są one sprzedawane nawet za dolara. Alternatywnie można przeszukać serwisy społecznościowe, gdzie nieroztropni internauci wrzucają zdjęcia swoich kart.
Do zrealizowania płatności w większości sklepów internetowych potrzebny jest jeszcze numer zabezpieczający CVV oraz data ważności karty. I właśnie te elementy złodzieje są w stanie odgadnąć w zaledwie 6 sekund.
Jak to możliwe? Specjalne oprogramowanie wykorzystuje boty, które łączą się jednocześnie z ponad 400 sklepami internetowymi, gdzie wpisywane są różne warianty danych. 26 witryn do weryfikacji wymaga wyłącznie dwóch pól formularza (numer karty i numer CCV), a 291 trzech (dodatkowo data ważności).
W przypadku sklepów z dwoma polami weryfikacji odgadnięcie numeru CCV to zaledwie 1000 prób. Posiadając tę informację znacznie łatwiej przewidzieć ważność karty. Cały proces zajmuje wspomnianemu oprogramowaniu maksymalnie 4 sekundy. Gdy sprzedawca wymaga dodatkowo adresu zamieszkania właściciela karty, czas oczekiwania na poprawne dane wydłuża się do 6 sekund.
Odgadnięcie danych karty płatniczej zajmuje niewiele czasuCo ciekawe, działa to wyłącznie w przypadku kart płatniczych Visa. System ten nie posiada bowiem mechanizmu, który blokuje kartę w przypadku wykrycia dużej ilości nieudanych prób wpisania danych. Takie zabezpieczenie posiada natomiast MasterCard.
Naukowcy z Newcastle postanowili przetestować opracowany sposób w praktyce. Napisany bot miał stworzyć fałszywe konto i przesłać pieniądze do kontaktu w Indiach, korzystając z podanego numeru karty płatniczej.
Oprogramowanie bezproblemowo odgadło resztę danych płatniczych. 27 minut później pieniądze były już wypłacone przez osobę w Indiach. Tak krótki czas trwania całej operacji sprawia, że bank nie zdąży nawet wycofać środków w przypadku wykrycia oszustwa.
Jak się chronić przed takim atakiem? Dopóki nie udostępniamy swojego numeru karty, możemy czuć się w miarę bezpieczni. Warto pamiętać, by nie robić jej zdjęcia ani nie trzymać na wierzchu w miejscach publicznych.
Niekiedy na wyciek nie mamy jednak wpływu, gdy dane wydostaną się z zewnętrznego serwisu. W takim przypadku pozostaje mieć nadzieję, że Visa wdroży w najbliższym czasie mechanizm blokujący karty, których dane zostały wielokrotnie źle wpisane.
Źródło: Ars Technica