Распределенная лобовая атака позволяет угадывать данные банковских карт




09:26 05.12.2016 |   3409



По словам исследователей, распределяя запросы между многими сайтами интернет-магазинов, можно делать практически любое число попыток ввода, даже если есть ограничение.

Интернет-магазины обычно заносят карту в черный список после 10-20 попыток ошибочного ввода срока действия и кода CVV, чтобы не дать воспользоваться ею посторонним, знающим только номер. Но как выяснили исследователи из Ньюкаслского университета, недостающие сведения можно получить перебором за считанные секунды, если делать запросы одновременно ко многим сайтам электронной коммерции.

Угадать срок действия несложно — карты действительны не больше пяти лет, так что перебрать надо всего 60 значений. Трехзначный CVV подобрать сложнее — нужно 1000 запросов. Но, по словам исследователей, распределяя запросы между многими сайтами, можно делать практически любое число попыток даже если есть ограничение.

Они удостоверились в действенности метода против карт Visa, тогда как платежная система Mastercard распознала атаку уже после десяти попыток авторизации. Исследователи проверили 389 сайтов из 400 самых посещаемых по данным Alexa: система авторизации 3D Secure использовалась только на 47, а остальные оказались уязвимыми.

Исследователи отмечают, что в принципе иногда можно попытаться угадать даже адрес держателя карты, поскольку некоторые эмитенты кодируют в номере карты сведения о филиале банка, а по ним можно определить почтовые индексы поблизости.


Теги: Информационная безопасность Самое интересное Интернет-магазины Онлайн-банкинг
На ту же тему: