Учёные показали, как взломать банковскую карту за шесть секунд

Татьяна Новак

Исследователи кибербезопасности из Университета Ньюкасла показали, как можно взломать кредитную карту за 6 секунд, даже не зная её реквизитов.

Авторы использовали метод, который называется Distributed Guessing Attack (Атака с помощью распределенного перебора). Этот вид атаки использует две уязвимости, которые сами по себе не являются слишком серьезными, но при использовании в комплексе представляют серьезный риск. Во-первых, платёжные системы не суммируют неудачные попытки ввода данных с разных сайтов. Так как каждый сайт предоставляет 10-20 попыток для ввода данных, хакеры могут использовать фактически неограниченное количество попыток. Во-вторых, сайты позволяют пробовать различные варианты в полях, предназначенных для данных карты, так что информацию можно собрать, как паззл, используя каждое следующее поле для подбора следующей комбинации цифр.

«Большинство хакеров в качестве отправной точки будут использовать действительный номер карты. Но даже без него можно относительно легко подбирать варианты и вводить их через многочисленные веб-сайты для проверки. Следующий шаг — дата истечения срока действия. Банки обычно выпускают карты, которые действительны в течение 60 месяцев, так что угадать дату занимает не более 60 попыток. Ваш последний барьер — CVV-код, который теоретически известен только держателю карты. Но, полагаю, что угадать это трёхзначное число можно менее чем за 1000 попыток. Введите их на более чем 1000 сайтов — и варианты будут проверены в течение нескольких секунд», — рассказал автор исследования аспирант Мохаммед Али.

Он утверждает, что успешно проверил этот метод на платёжной системе Visa. Представитель Visa, однако, заявил, что исследование не учитывает «нескольких уровней защиты от мошенничества, которые существуют в платежной системе».

Система MasterCard, по словам Али, оказалась более надёжной: она смогла обнаружить атаку с помощью перебора менее чем за 10 попыток, даже если запросы были распределены по нескольким сайтам.

Авторы подозревают, что именно этот способ использовали мошенники, ограбившие в прошлом месяце 9000 клиентов Tesco Bank. Общий ущерб составил 2,5 миллионов фунтов стерлингов.

Чтобы защититься от мошенничества, учёные рекомендуют использовать для онлайн-платежей только одну карту с минимальным балансом и пополнять его непосредственно перед оплатой. «Единственный безотказный способ избежать взлома — держать свои деньги под матрасом, но я бы не рекомендовал так делать», — добавил соавтор исследования доктор Мартин Эммс.

Загрузить еще