Venom
New member
Парни из Университета Ньюкасла показали как взломать кредитную карту за 6 секунд, даже не зная её реквизитов.
Они использовали метод, который называется Distributed Guessing Attack (Атака с помощью распределенного перебора).
Этот вид атаки использует две уязвимости, которые сами по себе не являются особо страшными, но при использовании в комплексе представляют серьезный риск.
Во-первых, платёжные системы не суммируют неудачные попытки ввода данных с разных сайтов. Так как каждый сайт предоставляет 10-20 попыток для ввода данных, хакеры могут использовать фактически неограниченное количество попыток.
Во-вторых, сайты позволяют пробовать различные варианты в полях, предназначенных для данных карты, так что информацию можно собрать, как паззл, используя каждое следующее поле для подбора следующей комбинации цифр.
«Большинство хакеров в качестве отправной точки будут использовать действительный номер карты. Но даже без него можно относительно легко подбирать варианты и вводить их через многочисленные веб-сайты для проверки.
Следующий шаг — дата истечения срока действия. Банки обычно выпускают карты, которые действительны в течение 60 месяцев, так что угадать дату занимает не более 60 попыток.
Ваш последний барьер — CVV-код, который теоретически известен только держателю карты. Но, полагаю, что угадать это трёхзначное число можно менее чем за 1000 попыток. Введите их на более чем 1000 сайтов — и варианты будут проверены в течение нескольких секунд», — рассказал автораспирант Мохаммед Али.
Он утверждает, что успешно проверил этот метод на платёжной системе Visa. Представитель Visa, однако, заявил, что исследование не учитывает «нескольких уровней защиты от мошенничества, которые существуют в платежной системе».
Система MasterCard, по словам Али, оказалась более надёжной: она смогла обнаружить атаку с помощью перебора менее чем за 10 попыток, даже если запросы были распределены по нескольким сайтам.
Авторы подозревают, что именно этот способ использовали мошенники, ограбившие в прошлом месяце 9000 клиентов Tesco Bank. Общий ущерб составил 2,5 миллионов фунтов стерлингов.
Чтобы защититься от мошенничества, учёные рекомендуют использовать для онлайн-платежей только одну карту с минимальным балансом и пополнять его непосредственно перед оплатой. «Единственный безотказный способ избежать взлома — держать свои деньги под матрасом, но я бы не рекомендовал так делать», — добавил соавтор исследования доктор Мартин Эммс.
Ссылка на новость (с видео):
Они использовали метод, который называется Distributed Guessing Attack (Атака с помощью распределенного перебора).
Этот вид атаки использует две уязвимости, которые сами по себе не являются особо страшными, но при использовании в комплексе представляют серьезный риск.
Во-первых, платёжные системы не суммируют неудачные попытки ввода данных с разных сайтов. Так как каждый сайт предоставляет 10-20 попыток для ввода данных, хакеры могут использовать фактически неограниченное количество попыток.
Во-вторых, сайты позволяют пробовать различные варианты в полях, предназначенных для данных карты, так что информацию можно собрать, как паззл, используя каждое следующее поле для подбора следующей комбинации цифр.
«Большинство хакеров в качестве отправной точки будут использовать действительный номер карты. Но даже без него можно относительно легко подбирать варианты и вводить их через многочисленные веб-сайты для проверки.
Следующий шаг — дата истечения срока действия. Банки обычно выпускают карты, которые действительны в течение 60 месяцев, так что угадать дату занимает не более 60 попыток.
Ваш последний барьер — CVV-код, который теоретически известен только держателю карты. Но, полагаю, что угадать это трёхзначное число можно менее чем за 1000 попыток. Введите их на более чем 1000 сайтов — и варианты будут проверены в течение нескольких секунд», — рассказал автораспирант Мохаммед Али.
Он утверждает, что успешно проверил этот метод на платёжной системе Visa. Представитель Visa, однако, заявил, что исследование не учитывает «нескольких уровней защиты от мошенничества, которые существуют в платежной системе».
Система MasterCard, по словам Али, оказалась более надёжной: она смогла обнаружить атаку с помощью перебора менее чем за 10 попыток, даже если запросы были распределены по нескольким сайтам.
Авторы подозревают, что именно этот способ использовали мошенники, ограбившие в прошлом месяце 9000 клиентов Tesco Bank. Общий ущерб составил 2,5 миллионов фунтов стерлингов.
Чтобы защититься от мошенничества, учёные рекомендуют использовать для онлайн-платежей только одну карту с минимальным балансом и пополнять его непосредственно перед оплатой. «Единственный безотказный способ избежать взлома — держать свои деньги под матрасом, но я бы не рекомендовал так делать», — добавил соавтор исследования доктор Мартин Эммс.
Ссылка на новость (с видео):