קרדיט: PA Wire/PA Images
בחדשות מטרידות, אנְיָרמחוקרים מאוניברסיטת ניוקאסל בבריטניה טוענים כי מערכת התשלום בכרטיס האשראי של ויזה יכולה להיפגע באופן מקוון תוך "כמעט שש שניות". ליקוי האבטחה היה אולי נקודת הכניסה שלמתקפת סייבר על בנק טסקו בבריטניהשהפסיד 2.5 מיליון פאונד.
גם כאן לא מדובר באיזו פריצה ברמה גבוהה - כל מה שנדרש לגנב נחוש לתפוס אוצר מלא בנתוני כרטיסים הוא מחשב נייד עם חיבור לאינטרנט וכמה ניחושים בסיסיים, נכתב בעיתון.
ראה גם:
צוות החוקרים, בראשות הדוקטורנט מוחמד עלי, מכנה את השיטה "התקפת הניחושים המופצת". זו גישה פשוטה: גנב מייצר מספרים אקראיים כדי לנחש שילובים של מספרי כרטיסים, תאריכי תפוגה וקודי CVV (המספר התלת ספרתי הזה נמצא בדרך כלל בגב הכרטיס). הסרטון למטה מדגים עד כמה קל ליצור את כל השדות האלה במהירות:
לאחר מכן, הם בודקים את השילובים שלהם במספר שירותי תשלום מקוונים, שדה אחד בכל פעם. מכיוון שאתרי אינטרנט רבים מבקשים וריאציות שונות של נתונים עבור שדות הזנת התשלום שלהם (אין דרישת אבטחה מינימלית לספקים מקוונים), קל יותר להשתמש בתהליך של חיסול כדי למצוא כל מספר בנפרד במקום לקוות למסמר את הסט יחד במכה אחת . על פי המאמר, ישנן שלוש רמות של שדות נתונים המשמשים את סוחרי האינטרנט: מספר כרטיס + תאריך תפוגה; מספר כרטיס + תאריך תפוגה + CVV; מספר כרטיס + תאריך תפוגה + CVV + כתובת.
קרדיט: בית הספר למדעי המחשוב של אוניברסיטת ניוקאסל
הפצצת אתרי ספקים מרובים מאפשרת לגנבים גם להתחמק ממגבלות אתרים בודדים על ניסיונות רכישה ולהימנע מהפעלת אמצעי הגנה מפני הונאה.
"... מערכת התשלומים המקוונת הנוכחית אינה מזהה מספר בקשות תשלום לא חוקיות מאתרים שונים", אמר עלי ב-מהדורת חדשותשליוותה את פרסום העיתון בIEEE אבטחה ופרטיות. "זה מאפשר ניחושים בלתי מוגבלים בכל שדה נתוני כרטיס, תוך שימוש עד למספר הניסיונות המותר - בדרך כלל 10 או 20 ניחושים - בכל אתר אינטרנט."
נדרשים מעט ניסיונות מזעזע כדי לנחש את הנתונים ברגע שהפריצה מופעלת עם מספר כרטיס פעיל. רוב הכרטיסים תקפים ל-60 חודשים, כך שלנחש את תאריך התפוגה לוקח לכל היותר 60 ניסיונות.
מהירות אור ניתנת לריסוק
קצת יותר קשה למצוא את ה-CVV, אבל לא בהרבה: הצוות מעריך כ-1,000 ניסיונות לכל היותר. "הפיצו את זה על פני 1,000 אתרים ואחד יחזור מאומת תוך כמה שניות", אמר עלי.
צוות ניוקאסל בדק את השיטות על ידי שימוש בנתוני כרטיסים משלהם ובבוט לביצוע ההתקפות.
זוהי בעיה מרכזית ייחודית לאבטחה של ויזה, שכן הצוות גילה שההגנות המקוונות של מאסטרקארד זיהו את מתקפת הניחוש לאחר 10 ניסיונות או פחות, אפילו התפרסו על פני מספר אתרים. עם זאת, רק ויזה ומסטרקארד נכללו במחקר, כך שחבר המושבעים בחוץ לגבי בטיחותם של ספקי כרטיסי אשראי אחרים מהתקפת ניחוש מבוזרת.
בתגובה לגילויי העיתון,הגרדיאןמדווח כי דובר ויזה שלל בסיכון רב בקנה מידה גדול מהפגיעות והטיל את האחריות על הספקים. הם אמרו כי ויזה "מחויבת לשמור על הונאה ברמות נמוכות, ועובדת בשיתוף פעולה הדוק עם מנפיקי כרטיסים ורוכשים כדי להקשות מאוד על השגה ושימוש בנתוני מחזיקי הכרטיסים באופן בלתי חוקי... ישנם גם צעדים שסוחרים ומנפיקים יכולים לנקוט כדי לסכל ניסיונות כוח גס. ."
שלבים אלה כוללים שימוש במערכות 3D Secure כמו טכנולוגיית "Verified by Visa" של Visa, אשר מוסיפה שלבים נוספים לתהליך האימות המקוון. העיתון הגיע למסקנה שאתרים שמשתמשים באמצעים אלה מוגנים מפני ההתקפות - אך מתוך 400 אתרי הקמעונאות הגדולים באינטרנט, רק ל-47 היו ההגנות.
ובכל זאת, נציג הוויזה היה קשוב למחקר. "ויזה מברכת על מאמצי התעשייה והאקדמיה לזהות ולטפל בפגיעויות נתפסות במערכת התשלומים", אמרו.
אבל הצרכנים עדיין נמצאים בסיכון. לדברי ד"ר מרטין אמס, אחד ממחברי העיתון, אין דרך להגן מפני התקפות אלה, אלא רק צעדים שיש לנקוט כדי להגביל את הנזק של פרצת אבטחה. רק שימוש בכרטיס אחד באינטרנט יכול לעזור להגביל את הסיכון, יחד עם שמירה על ערנות לרכישות לא מאומתות.
"עם זאת, הדרך הבטוחה היחידה לא להיפרץ היא לשמור את הכסף שלך במזרן", אמר, "וזה לא משהו שהייתי ממליץ עליו!"
ברט וויליאמס הוא כתב טכנולוגי ב- Mashable. הוא כותב על חדשות טכנולוגיות, טרנדים ונושאים אחרים הקשורים למשיק עם עניין מיוחד בציוד לביש ובטכניקת פעילות גופנית. לפני Mashable, הוא כתב עבור Inked Magazine ו- Thrillist. עבודתו של ברט הופיעה גם ב-Fusion וב-AskMen, אם להזכיר כמה. אתה יכול לעקוב אחר ברט בטוויטר @bdwilliams910.
ניוזלטרים אלה עשויים להכיל פרסומות, עסקאות או קישורי שותפים. בלחיצה על הירשם, אתה מאשר שאתה בן 16+ ומסכים לנותנאי שימושומדיניות פרטיות.
