Luka w zabezpieczeniach kart Visa. Hakerzy mogą odgadnąć dane w 6 sekund
Zabezpieczenia kart kredytowych Visa mogą być w łatwy sposób ominięte przez hakerów. Cyberprzestępcy nie muszą nawet znać numeru karty. Dzięki sprytnemu trikowi są w stanie je odgadnąć w niespełna 6 sekund - podaje serwis thenextweb.com.
Zabezpieczenia kart kredytowych Visa mogą być w łatwy sposób ominięte przez hakerów. Cyberprzestępcy nie muszą nawet znać numeru karty. Dzięki sprytnemu trikowi są w stanie je odgadnąć w niespełna 6 sekund - podaje serwis thenextweb.com.
Właśnie w taki sposób ofiarą hakerów padli klienci Tesco Banku. Prawdopodobny scenariusz kradzieży został powtórzony eksperymentalnie przez badaczy z Newcastle University. Naukowcy znaleźli lukę w systemie zapobiegający oszustwom Tesco Banku. Zabezpieczenia nie wykrywały jako próby oszustwa transakcji przeprowadzanych za pomocą jednej karty na wielu witrynach jednocześnie. Tymczasem odpowiednie oprogramowanie pozwala na automatyczne wykonywanie setek prób na wielu stronach autoryzujących płatności. Dzięki temu ostatecznie udaje się zgadnąć numer karty i dopasować do tego datę ważności i kod zabezpieczający. Cała operacja zajmuje 6 sekund.
Naukowcy z Newcastle mówią, że tego typu atak wykorzystuje dwie słabości, które same w sobie nie są specjalnie groźne. Jednak wykorzystane równocześnie są dużym zagrożeniem dla systemu płatności. Po pierwsze - system nie wykrywa wielokrotnych odrzuconych transakcji pochodzących z różnych witryn. To pozwala na nieograniczone próby zgadnięcia kombinacji.
Drugim zdiagnozowanym punktem krytycznym są niejednakowe formularze stosowane przez różne witryny internetowe podczas zatwierdzania transakcji. Skutek jest taki, że z czerpiąc z różnych źródeł cyberprzestępca otrzymuje pełen zestaw danych o karcie. A jedno odgadnięte pole pozwala łatwiej zgadywać kolejne. Zdaniem badaczy, hakerowi wystarczy tylko sześć pierwszych cyfr numeru karty, oznaczających rodzaj karty i bank wydawcy, by odgadnąć pozostałe informacje w 6 sekund.
Przed opublikowaniem wyników eksperymentu, naukowcy z Newcastle poinformowali Visę o luce. Na łamach "The Independent", Visa oświadczyła, że "badania nie uwzględniają wielu aspektów zapobiegania nadużyciom, które istnieją w ramach systemu płatniczego, z których każdy musi być spełniony w celu dokonania transakcji".
Visa informuje ponadto, że coraz szerzej stosowane systemy Verified by Visa zapobiegają tego typu "prostym kradzieżom", a klienci są w całości chronieni od strat finansowych wynikających z luk systemu.
Jak podaje portal Anglia.today, ofiarami ataku padło 9 tys. klientów Tesco Banku, którym skradziono 2,5 miliona funtów. Śledztwo w tej sprawie prowadzą brytyjskie służby kryminalne.
