5 декабря 2016 г.
Преступники могут установить номер банковской карты, срок ее действия и код безопасности всего за шесть секунд, фактически угадывая нужные данные, выяснили эксперты из университета Ньюкасла. Как оказалось, похитить данные "пугающе легко" - для этого достаточно лишь ноутбука с подключенным интернетом.
The Daily Mail описывает технологию хищения данных как Distributed Guessing Attack, отмечая, что, возможно, именно этот способ был использован при недавнем взломе Tesco Bank.
Как оказалось, системы безопасности не фиксируют сделанные киберпреступниками неудачные попытки ввести платежные данные на разных веб-сайтах. Согласно результатам исследования, опубликованного в научном журнале IEEE Security & Privacy, это означает, что мошенники могут с помощью компьютеров пробовать бесчисленное количество комбинаций на сотнях сайтов одновременно. За несколько секунд, отсеивая неудачные попытки, преступники могут получить верный номер карты, срок ее действия и контрольные цифры.
Аспирант университета вычислительных науки Мохаммед Али так прокомментировал результаты исследования: "Подобного рода атаки становятся возможными из-за двух слабостей системы безопасности, каждая из которых не является достаточно серьезной, но при использовании вместе превращаются в серьезную угрозу для платежной системы. Во-первых, нынешняя онлайновая платежная система не обнаруживает несколько неудачных платежных запросов на разных сайтах. Это позволяет использовать неограниченное количество попыток для подбора нужных данных, как правило, на каждом сайте даются 10 или 20 попыток. Во-вторых, сайты позволяют пробовать различные варианты в полях, предназначенных для данных карты, так что информацию можно собрать, как головоломку".
Каждое следующее поле может быть использовано последовательно для генерации следующей комбинации цифр и так далее. Если отправлять запросы на достаточное количество сайтов, получить информацию можно в течение шести секунд. Хакеру требуется получить три составные части платежных данных, а это значит, что сделать онлайн-покупку за чужой счет можно всего за шесть секунд.
В то же время представители Visa, комментируя данные исследования, отметили, что ученые не учли несколько уровней защиты от мошенничества, которые действуют в платежной системе.
Добавим, в прошлом месяце стало известно о мошенничестве, в результате которого пострадали 9000 клиентов Tesco Bank. Общий ущерб составил 2,5 млн фунтов стерлингов. В банке уверяют, что "быстро" обнаружили уязвимость системы и инициировали уголовное расследование.