Специалисты из Университета Ньюкасла представили отчет, в котором утверждается, что хакеры могут достаточно просто получить доступ к средствам на картах Visa. Как пишет издание Independent, для обхода систем безопасности мошенники используют так называемые распределённые атаки типа «угадывание» (Distributed Guessing Attack). Именно такой метод мог использоваться при недавнем взломе Tesco Bank, который всё ещё расследуется. Специалисты изучили рейтинг сайтов по версии аналитической компании Alexa и выбрали 400 наиболее популярных из них. Затем они исключили из списка ресурсы с надежной системой защиты, оставив 342 сайта для экспериментов.
На выбранных ресурсах ученые пытались провести оплату с помощью одной и той же банковской карты. С помощью одного угаданного поля хакеры по цепочке подбирали следующее. Так, первые шесть цифр номера карты указывают на банк и тип карты. Дата истечения срока обычно составляет 60 месяцев, а на перебор всех комбинаций защитного трехзначного кода требуется 999 попыток, заключает специалисты. Эксперты заявили, что с помощью ноутбука и интернет-соединения сделать подбор паролей «пугающе легко» — требуется не больше 6 с.
Дело в том, что система безопасности не может обнаружить множественные неудачные попытки ввода данных, направленные на получение платёжной информации карт Visa. Это означает, что мошенники могут использовать компьютеры для систематического ввода различных вариаций данных на сотнях сайтов одновременно. Методом исключения злоумышленники способны найти правильный номер карты, дату истечения срока действия и трёхзначный код безопасности, который указывается на задней стороне карты.
Исследователи Мохаммед Амир Али, Буди Ариеф, Мартин Эммс и Аад ван Мурсел считают, что разработанный ими алгоритм также может быть использован для угадывания ZIP-кода (почтового индекса), чтобы затем узнать и точный адрес владельца карты. Разработчики потенциально хакерского алгоритма взлома банковских карт считают, что атаки по подобной технологии уже происходят. Уязвимость при подборе пароля демонстрируют только платежные карты Visa. Mastercard же фиксирует и блокирует множественные запросы, поступающие для одной карты из различных мест (онлайновых магазинов).
Исследователи пишут, что 78% сайтов, использованных для атак, не отреагировали на раскрытие информации о данной бреши. Операторы ряда ресурсов все же поспешили обновить защитные механизмы, однако некоторые из этих обновлений сделали процедуру оформления и оплаты заказа ещё более небезопасной. Тем временем представитель Visa сообщил, что исследователи не приняли во внимание многоуровневую защиту карт компании.