Исследователи из Ньюкаслского университета представили любопытный доклад (PDF), в котором описали необычный метод атак. Исследователи утверждают, что при помощи распределенного брутфорса можно за считанные секунды подобрать любые данные для карты Visa, в том числе CVV-код и дату истечения срока действия.

Для реализации атаки специалисты изучили топ Alexa и выбрали 400 наиболее популярных онлайн-магазинов. Затем из списка были отсеяны магазины с хорошей защитой, после чего осталось 342 сайта. Теоретически исследователи могли составить куда более обширный список, однако для их эксперимента было достаточно и этого.

Затем ученые вооружились номером работающей банковской карты и попытались подобрать  для нее дату истечения срока действия. Обращаясь к выбранным сайтам, исследователи пытались осуществить транзакцию. Срок «жизни» большинства карт составляет 60 месяцев, и исследователям потребовалось лишь несколько секунд, чтобы разослать всем 342 сайтам запросы с разными комбинациями дат и подобрать нужную. Аналогичный распределенный брутфорс был использован для подбора CVV-кода: так как в CVV-коде всего три цифры, атакующему понадобится сделать не более тысячи предположений.

visa

В своем докладе исследователи отмечают, что привязанным к карте адресом интересуются далеко не все сайты, а правильность ввода имени держателя карты не проверяет вообще никто. При этом специалисты пишут, что злоумышленнику не обязательно искать и покупать где-то информацию о картах, ведь подобрать таким образом можно и сам номер карты, а не только детали.

В среднем на атаку уходит порядка 6 секунд. Видео ниже демонстрирует работу приложения, созданного исследователями, и саму атаку в работе.

Уязвимость перед таким распределенным брутфорсом демонстрируют только платежные карты Visa. Так, Mastercard фиксирует и блокирует множественные запросы, поступающие для одной карты из различных мест (онлайновых магазинов). Также в безопасности владельцы, карт, которые оснащены поддержкой технологии 3D Secure и жители стран, где распространены chip-and-PIN карты.

Исследователи пишут, что 78% сайтов (303 ресурса), использованных для атак, никак не прореагировали на раскрытие информации о данной бреши. Операторы ряда ресурсов все же поспешили обновить защитные механизмы, однако некоторые из этих обновлений сделали лишь хуже, и процедура оформления и оплаты заказа стала еще более небезопасной.

11 комментарий

  1. AzatOff

    05.12.2016 at 19:19

    ‘о банной бреши’ Исправьте

  2. devbutch

    06.12.2016 at 01:14

    Очень странно что на первом этапе множественные запросы не блочит сам сервис электронных платежей, а на втором службы банка.
    Даже допустим что cvv код подбираемся таким образом. Но сколько форм я не встречал, везде необходимо ввести сразу ВСЕ данные карты, после чего попадаешь на подтверждение по СМС. (Под всеми я имею ввиду номер, ФИО, дата, cvv)

    • Int

      06.12.2016 at 13:08

      На алиэкспрессе на подтверждение по смс не попадаешь, просто происходит покупка.
      Как написано в статье, имя владельца никто не сверяет. Я свою фамилию и через i, и через y писал (буква й), прокатывает и так и так.

    • mahodzin

      11.12.2016 at 09:15

      Скорее всего проверка происходит по очереди, то есть сначала вам выдаст что-то типа «неверная дата окончания карты», что по сути равно бруту по одному полю. Фио обычно либо вообще не проверяется (часто делаются ошибки), либо допускается N ошибок в написании (по регламенту)

    • Eugene100

      11.12.2016 at 09:32

      Это просто англичане не пуганные. У нас в каждом процессинге, так или иначе стоит анти-фрод система. Т.е. защита (да и ответственность) на стороне банка, который выдал Вам карту.

      Имя и фамилия на карте — рудимент, с того времени, когда карты «катали». Но поле для транзакции осталось, как необходимое, поэтому его нужно заполнить какой-то билибердой.

  3. sazhnikoff

    11.12.2016 at 09:46

    Бред — исходя хотя бы из того, что любая неверная информация возвращается без указания причины. Так что не могли они сначала дату подобрать, а потом CVV …

    • hudson

      13.12.2016 at 21:29

      Вы бы доклад для начала прочитали, а потом рассказывали что бред

      The data
      fields that web merchants use can be divided into three
      categories:
       2 fields: PAN + Expiry date (the absolute minimum)
       3 fields: PAN + Expiry date + CVV2
       4 fields: PAN + Expiry date + CVV2 + Address
      Starting with a valid card number (PAN), to guess the expiry
      date an attacker can utilise several merchants’ websites that
      check only two fields: the card number and the expiry date.

  4. rissik

    11.12.2016 at 14:33

    А каким именно образом защищены от данной уязвимости chip-and-PIN карты? Насколько я знаю, весь механизм chip-and-PIN связан с физической оплатой чипом, на не виртуальной по CVV-коду.

    • Eugene100

      11.12.2016 at 14:58

      Да. Усилением защиты онлайн платежей есть технология 3D secure. Это когда тебя перебрасывают с сайта магазина на сайт твоего банка.

  5. s.erasev

    11.12.2016 at 18:12

    Если брут идет по expiry date и CVV2, а PAN не меняется(предположительно он известный и корректный), то как правило, при множественных авторизациях такая карта будет заблочена автоматически (у каждого банка свои правила) или же службой мониторинга банка, 3Dsec(как эмитентский, так и экваерский) также не пропустит авторизацию. Процессинг проверяет все 3 составляющие одновременно и выдает реджект, будь то все значения не корректны, будь то только одно. Даже если вдруг случится практически невозможное и брутфорс будет успешным, то такую трансакцию будет легко оспорить и получить свои деньги обратно, т.к.: а)факт мошенничества на лицо(множественные запросы) б) операция не 3Dsec в) zero liability shift. Так что об этом не нужно волноваться. А вот фишинг….. Но это уже относится к другой теме.

Оставить мнение

Check Also

eBay умышленно ухудшает безопасность, предлагая использовать SMS-сообщения вместо токенов

Известный ИБ-журналист Брайан Кребс обратил внимание, что eBay пытается понизить безопасно…