Výzkumníci hackli kreditku během šesti sekund (foto: Visa)
Čtveřice vědců ukázala sílu tzv. distribuované odhadovacího útoku. Visa proti němu nemá obranu, vše nechává na platebních bránách, které používají prodejci. A to je problém, protože všechny možné kombinace čísel můžou útočníci vyzkoušet na desítkách různých bran (odtud „distribuovaný“).
Útočník stále potřebuje znát 16místné číslo karty. K němu se může dostat na černém trhu (prý stojí dolar jedno), případně jej lze při blízkém setkání načíst pomocí NFC čtečky v mobilu. Některým platebním bránám stačí jen číslo karty a datum konce platnosti karty. To lze získat na maximálně 60 pokusů, protože karty mají platnost nanejvýš pět let. Pokud už znají oba hlavní údaje, lze na dalších bránách otestovat platný kód CVV2. To je maximálně 1000 pokusů.
Pokud by všechny brány vyžadovaly zadání data konce platnosti a kontrolního kódu, útočníci by potřebovali až 60 000 pokusů. Protože ale někteří kód vůbec nepotřebují, lze kartu hacknout po 1060 odhadech. Některé brány ale navíc vyžadují ještě zadání adresy, to už se odhaduje těžko. Ideální jsou pak brány s plně implementovaným systémem 3D Secure. Přes ně distribuovaný útok neprojde.
Výzkumníci otestovali brány na 389 nejnavštěvovanějších webech světa. Z toho 26 jich vyžadovalo jen datum expirace, 291 chtělo CVV2, 25 bran pak i adresu. Jen 47 stránek používalo 3D Secure. Tým vědců svůj výzkum publikovalo a ještě dopředu informovalo 36 největších zranitelných webů. Osmadvacet na výzvu pro zvýšení zabezpečení nereagovalo.
Není ale pouze problém v obchodech, že používají nezabezpečené brány. Za nos se musí chytnout i Visa, která na rozdíl od MasterCardu nedokáže rozpoznat distribuovaný útoky ani po tisících pokusech o prolomení jedné karty.
Zdroj: NCL via The Hacker News