Haker w sześć sekund może zdobyć szczegóły Twojej karty Visa

W ciągu zaledwie 6 sekund cyberprzestępcy mogą zdobyć numer dowolnej karty Visa, datę jej wygaśnięcia oraz kod CVV. Distributed Guessing Attack wykorzystuje dwie słabości, które same z siebie nie są zbyt groźne, jednak połączone razem stanowią poważne zagrożenie dla całego systemu płatności elektronicznych, stwierdza doktorant Mohammed Ali, główny autor badań z Newcastle University. Co więcej ani banki, ani operatorzy internetu nie są w stanie wykryć ataku.

Do zdobycia wrażliwych danych wystarczy… zabawa w zgaduj-zgadulę. Obecnie wykorzystywane systemy płatnicze nie wszczynają alarmu, gdy wielokrotnie z różnych witryn otrzymają żądania przeprowadzenia transakcji, w których pojawią się wadliwe dane. Jako, że typowa witryna dopuszcza nawet 20 prób wprowadzenia danych karty napastnik może wykorzystać wiele takich witryn i automatycznie generować dane, sprawdzając, które z nich zostaną zaakceptowane. Drugą słabością jest fakt, że różne witryny żądają różnych danych z karty, a to pozwala na stopniowe zbieranie informacji tak długo, aż będziemy mieli wszystko, co potrzeba, by zapłacić cudzą kartą za swoje zakupy.Możliwość nieograniczonego zgadywania prawidłowych danych w połączeniu z różnymi danymi wymaganymi przez różne witryny powoduje, że wygenerowanie danych dla danego pola jest niezwykle łatwe. Każde dobrze wygenerowane pole może zostać wykorzystane do generowania kolejnego pola i tak dalej. Jeśli próby odgadnięcia są dokonywane na wystarczająco dużej liczbie witryn, to pozytywną odpowiedź dla każdego z pól możemy otrzymać w ciągu zaledwie 2 sekund – trwa to tyle co online’owa transakcja płatnicza – mówi Ali.

Sześć pierwszych cyfr numeru naszej karty to numer banku, który ją wystawił. Zaczynając od nich haker może w ciągu zaledwie 6 sekund zdobyć wszystkie pozostałe dane potrzebne do przeprowadzenia transakcji. Atak ułatwia fakt, że różne witryny proszą o różne kombinacje danych. Absolutne minimum to numer karty i data jej wygaśnięcia. Niektóre witryny żądają też podania kodu CVV. Nieograniczona możliwość zgadywanie daje szerokie pole do popisu. Po odgadnięciu numeru karty trzeba jeszcze zdobyć datę jej wygaśnięcia. Nie jest to szczególnie trudne, gdyż zwykle karty są ważne przez 60 miesięcy, wystarczy zatem nie więcej niż 60 prób.

Ostatnia przeszkoda to numer CVV. Teoretycznie ma do niego dostęp wyłącznie właściciel karty. Numer ten nie jest nigdzie przechowywany. Odgadnięcie 3-cyfrowego kodu wymaga nie więcej niż 1000 zapytań. Wystarczy zatem zadać 1000 witrynom po 1 zapytaniu, by w ciągu sekund mieć ostatnie dane potrzebne do przeprowadzenia transakcji. Co interesujące, okazuje się, że na atak podatne są jedynie karty VISA. Scentralizowany system MasterCard wykrył taki atak po mniej niż 10 próbach odgadnięcia danych, nawet wówczas, jeśli przeprowadzono je za pomocą wielu witryn.

Eksperci uważają, że w opisany powyżej sposób działali przestępcy, którzy niedawno zaatakowali sieć Tesco i ukradli swoim ofiarom 2,5 miliona funtów. Jeśli chcemy się chronić przed tego rodzaju atakami powinniśmy trzymać pieniądze w materacu. Możemy też ustawić limity na transakcje internetowe na swojej karcie płatniczej i regularnie sprawdzać wyciągi z konta. Co kto woli.