“分布式猜测”攻击让黑客验证签证卡详细信息
将信用卡欺诈添加到分布式处理可以加速的东西列表中。
电子商务网站通常会在10或20次失败的尝试后拨出信用卡号码,以进入相应的到期日和CVV(卡核查值),使得Don“T的欺诈者具有完整凭据的欺诈者。
但是,存在大量的电子商务网站,它可以通过将略微不同的支付请求与数百个并行提交到数百个来获取缺失的帐户详细信息。
根据U.K的纽卡斯尔大学的研究人员,执行“分布式猜测攻击”需要不到六秒钟。谁会讲述如何做到这一点。
猜测有效卡的到期日是“T的所有困难:卡通常最多签发五年,因此向不同网站发送60个可能的值将获得其中一个的确认。三位数的CVV有点难,涉及在多个网站上传播1,000个请求。
“几乎可以通过在许多网站上分发猜测来进行实际上无限的猜测,即使匮乏网站限制了尝试的数量,”研究人员,穆罕默德Aamir Ali,Budi Arief,Martin Emms和Aad Van Moselel也是如此。
他们的论文的标题问了这个问题:“在线卡支付景观不知不觉地促进欺诈吗?”
他们的答案是强调的 - 至少对于签证卡,他们能够提交足够的要求来获得缺失的价值观。
另一方面,MasterCard的集中支付网络在授权尝试少于10次授权尝试后检测到卡账户的攻击。
阿里和同事研究了389个网站,根据Alexa.com的400次绘制的389个网站。其中,只有47使用3D安全授权系统,使它们免于攻击。
系统中的弱链接是只需要卡号和有效日期的26个站点以验证付款。其中20个允许至少六种猜测提供了足够的能力来猜测这种简单的答案。
另一个291个站点将仅用有效期和CVV验证卡号 - 但其中238个允许六个或更多猜测,可以很快获得CVV。
研究人员解释说,甚至在25个站点以及到期日和CVV中都需要猜到的持卡人的地址,也可以猜到。一些银行在卡号中编码分支机构详细信息,使得可以在分支周围的邮政编码中猜出,他们在论文中说。他们发现,其中两个站点允许无限尝试猜测地址 - 以及到期日和CVV,他们找到了。
为了了解这些网站的问题,研究人员根据他们所需的信息将它们分为三类,以验证卡号所需的信息,并与每个类别中的大多数用户联系12。
在这36个网站中,28个在四周内回复,其中八个补充了他们的网站以降低信息披露的风险。这些补丁包括通过IP地址或卡号,添加CAPTCHA,并要求其他数据来限制请求率,以验证卡号和到期日期。
他们质疑这些补丁的有用性,注意到测试地址而不限制查询的数量只是打开另一个攻击途径。同样,使用CAPTCHA和限制提交数量只是放慢攻击,但没有停止它。他们发现,没有修补的网站没有难以限制与一个卡号相关的测试数量。
最终,安全猜测猜测攻击的唯一方法是集中 - 主卡已经完成 - 或标准化,所有网站都需要相同的信息来验证卡号。通过这种方式,研究人员写道,无法缩放攻击。