英國紐卡斯?fàn)柎髮W(xué)研究人員的在一篇研究論文中表示,在“短短六秒”的時間內(nèi),Visa的信用卡支付系統(tǒng)便能被成功入侵。這一安全漏洞或許正是使得英國Tesco銀行遭受攻擊的入口,當(dāng)時這家銀行被迫全面關(guān)閉網(wǎng)上銀行系統(tǒng),但還是損失了250萬英鎊。
這一報告還表示,這類網(wǎng)絡(luò)攻擊并不是那些高級黑客所為。對于一個要竊取信用卡數(shù)據(jù)信息庫的黑客來說,他只需一個可上網(wǎng)的筆記本電腦和一些基本的猜測即可。
博士生穆罕默德·阿里(Mohammed Ali)領(lǐng)導(dǎo)的研究團(tuán)隊把這種方法稱為“分布式猜測攻擊”(Distributed Guessing Attack)。其操作方法很簡單:黑客通過生成隨機(jī)數(shù),來猜測信用卡卡號,到期日期和安全碼(即CVV代碼,通常是指卡背面的三位數(shù)字)等。
接下來,研究人員一次一個字段地在不同的在線支付網(wǎng)站上測試他們的密碼組合。由于大多數(shù)的電子商務(wù)網(wǎng)站都要求,信用卡支付的數(shù)據(jù)字段要有不同的變體,因此更容易使用排除的方式來逐個審查每個數(shù)字,而不是一次性將這些數(shù)據(jù)集合在一起。這份報告顯示,網(wǎng)絡(luò)商家使用的數(shù)據(jù)字段有三個級別:卡號+到期日期;卡號+到期日+安全碼;卡號+到期日+安全碼+地址。
黑客在“轟擊”多個供應(yīng)商網(wǎng)站時,既要避開個人網(wǎng)站對請求次數(shù)的限制,還要避免觸犯欺詐防護(hù)措施。
阿里在發(fā)布于IEEE安全和隱私期刊上的新聞稿中談到:“當(dāng)前的支付系統(tǒng)無法檢測出來自不同網(wǎng)站的多次無效支付請求,從而允許攻擊者可以對每個信用卡的數(shù)據(jù)字段進(jìn)行無限次的猜測,直到達(dá)到每個網(wǎng)站設(shè)定的上限(通常為10或20次)。
一旦黑客擁有一組有效的信用卡號碼后,通過幾次的猜測他便能得到有效的數(shù)據(jù)。由于大多數(shù)信用卡的有效期限為5年,因此黑客最多只要猜60次就能得到正確的到期日。
三位數(shù)字的安全碼有些難度,但也不是特別困難;團(tuán)隊估計最多需要試1000次。因此就算網(wǎng)站限制輸入次數(shù),只要把過程分拆至1000多個網(wǎng)站上進(jìn)行便可在幾秒鐘內(nèi)快速破解。
為了檢測這一方法,Newcastle團(tuán)隊通過借助自己的信息卡數(shù)據(jù)和程序來執(zhí)行攻擊。
特別是對于Visa安全性能來說,這是一個大問題。因為研究團(tuán)隊發(fā)現(xiàn)信用卡發(fā)行機(jī)構(gòu)MasterCard在10次以內(nèi)失敗的認(rèn)證就會偵測到異樣,即使是在在多個站點上進(jìn)行操作,也完全不受“分散式猜測攻擊”影響。也就是說,只有Visa和MasterCard 被納入到這次研究,因此團(tuán)隊又對其他信用卡提供商的安全性進(jìn)行了一系列的“分布式猜測攻擊”測驗。
針對這一研究報告,Visa發(fā)言人并不在意“分布式猜測攻擊”帶來的大規(guī)模風(fēng)險,并將責(zé)任放在供應(yīng)商身上。他還表示,Visa致力與發(fā)卡機(jī)構(gòu)或收購商展開合作,避免他人非法竊取和盜用持卡人的數(shù)據(jù)資料;商家和發(fā)行機(jī)構(gòu)也能夠采取一些相應(yīng)的步驟來阻止暴力攻擊。”
這些步驟包括采用3D安全系統(tǒng),如“Visa驗證”技術(shù),這增加了在線驗證過程的額外程序。 這份報告的結(jié)論是,采用這些措施的網(wǎng)站可以免受“分布式猜測攻擊”,但在400個線上零售網(wǎng)站中,只有47個網(wǎng)站采用3-D安全認(rèn)證。
Visa其后回應(yīng)這一研究并表示,他們歡迎業(yè)界和學(xué)界分析和解決支付系統(tǒng)漏洞的努力。
但消費者群體仍處于危險之中。這份研究報告的作者之一,Martin Emms博士表示,目前沒有任何可以避免這些攻擊的辦法,只能通過采取相應(yīng)的措施來限制安全漏洞的危害。要想限制風(fēng)險,人們需做到在線支付僅用一卡,并對未經(jīng)驗證的消費保持警惕。
京公網(wǎng)安備 11010502049343號