黑客分佈式猜測攻擊:只需 6 秒就可以盜取 Visa 信用卡
根據英國紐卡斯特爾大學的一份研究報告顯示,網絡犯罪者現在只需要 6 秒的時間就可以猜出用户的信用卡 CVV 和到期時間,然後將其用於非法的網絡交易,使用户損失大量錢財。
在這份研究報告中,研究人員利用瀏覽器機器人在 400 多家電商網站上猜測用户的信用卡到期時間。一半的信用卡有效期只有 5 年,所以黑客的軟件可以很快的就猜到信用卡的到期時間。隨後,黑客再利用相似的技術在電商網站上猜測 CVV 安全碼。CVV 安全碼是 3 位數的一組數字,所以機器只需要猜測不到 1000 次就可以猜中。從獲得用户的信用卡信息,到猜中到期時間和 CVV,整個過程不到 4 秒鐘就可以完成。在黑市上,一個「信用卡+人名」信息,不到 1 美元,在使用這種猜測軟件,黑客可以非常容易地猜中用户的信用卡敏感信息。
紐卡斯特爾大學的研究人員表示,「我們發現不同的網站採取了不同的安全保護措施,但卻都存在可以讓用户無限制地跨網站猜密碼的漏洞。」雖然有些電商網站有猜密碼的上限次數,但是某些網站為了留住客户,將上限次數提高到了 50 次,也就是説用户可以連續輸錯 50 次密碼才鎖定。即便限制 3-5 次,400 多個電商網站,依舊可以讓黑客有快速猜密碼的空間。Visa 到目前為止仍未修復這一漏洞,而 MasterCard 則採取了發現這種廣泛地猜密碼行為後就暫停交易的措施來保護用户的信用卡安全。
為了驗證這一方法,研究人員開設了一個假的收款賬號,然後在軟件裏輸入了研究人員的一張信用卡,幾分鐘之後……
引用「幾分鐘之後,郵箱裏就收到了確認郵件。印度的朋友也收到了這筆錢。整個交易過程只有 27 分鐘,而這麼短的時間,銀行業無能為力。」
為了提醒商家,他們聯繫了 40 家進行密碼猜測的電商網站,其中不少網站已經改變了驗證方法,對輸錯次數進行了限制。而這一問題歸根結底,需要 Visa 來解決。
資料來源:TECH2IPO