Эксперты из Университета Ньюкасла заявляют, что личные данные, открывающие доступ к счету в платежной системе Visa, могут быть украдены всего за шесть секунд.
Специалисты по информационной безопасности Newcastle University обнародовали отчет об угрозе считывания личных данных в платежной системе Visa – вычислить и сопоставить шестнадцатизначный номер карты, срок ее действия и секретный код по кредиткам и дебетовым картам с помощью новой вредоносной системы можно не больше чем за шесть секунд. Технология Distributed Guessing Attack (кибератака с распределенным подбором значений) позволила успешно вскрыть данные держателей карт Tesco Bank месяц назад.
Главная проблема на данный момент состоит в том, что системы безопасности Visa в рамках DGA не идентифицируют ошибочные попытки автоматического подбора значений, иначе говоря, воры незаметно перебирают отмычки к замкам, а сигнализация не реагирует на происходящее.
Аспирант Университета Ньюкасла Мохаммед Али прокомментировал публикацию отчета в академическом журнале IEEE Security &; Privacy:
«Этот вид атаки осуществляется на основе двух видов уязвимости, каждая из которых сама по себе не является критической, но их синергетический эффект создает огромный риск для всей платежной системы.
Нынешний уровень защиты платежной системы Visa не идентифицирует одновременные множественные ошибочные запросы, если они идут с разных сайтов. Благодаря этому злоумышленники не ограничены в числе попыток подбора каждой цифры карты, но мы видим, что в большинстве случаев они находят совпадение с 10-20 попыток с каждого вредоносного сервера.
После идентификации номера карты сайты отсылают множественные запросы для подтверждения секретных кодов, с помощью которых подтверждаются онлайн-покупки. Таким образом, теперь мошенникам не нужно знать полный номер карты – достаточно первых шести цифр, в которых заложен код банка и тип карты, а эти данные есть в открытом доступе – чтобы всего за шесть секунд подобрать полную комбинацию цифр».