“分布式猜测”攻击让黑客验证签证卡详细信息
VMware从vSphere Data Protection中删除硬编码的根访问密钥
超过10人员工落在社会工程袭击中
数据分析是关于文化,而不是技术
Apple提供了对自动汽车政策的看法,仍然是凯奇的计划
拿到:戴尔将XPS 13扭曲成2合1
AB Inbev以600亿美元的SAP许可争议定居在法庭上
加利福尼亚州表示,优步自治车试验需要首先是许可证
澳大利亚,东盟深化智能城市和数字贸易的联系
黄貂鱼使用可能是违宪的,房屋报告发现
索尼用眼睛突然的图片预览OLED电视
Fitbit可以为其IP购买SmartWatch Maker Pebble
AWS希望以Lambda更新占据公共云之外
政府承诺300万英镑的额外资金,作为1亿英镑的AI部门交易的一部分
备份101:增量VS差异备份
用于运行容器的Docker Open-Sources关键工具
澳大利亚需要插入创新缺口
勒索软件对事件响应进行压力
AWS与A.I摇摆。服务
谷歌,像苹果一样,将建造一辆汽车操作系统,而不是汽车
英国监测法是一个潜在的“粘性点”后Brexit
Apple从无线路由器出口会产生后果
诺基亚指责苹果侵犯了32项专利
呼吁欧盟130亿欧元的苹果税裁决造成形状
英特尔的超级计算机用于汽车指向像电脑的马力比赛
谈到多样性时,科技公司不会“走路”
卫生秘书长说,由于乳腺癌癌症筛选,最多可死于270名女性可能已死亡。
澳大利亚政府拨打70米的刷新超级计算机
Mark Zuckerberg在他的岁月内检查A.I.为了他的家
卡巴斯基杀毒毒蕈暴露了用户到交通拦截攻击
英特尔新的Nuc Nuci-Desktops获取Kaby湖,奥波坦和霹雳3
谷歌被员工起诉了“枪口”员工的保密政策
互动GIS地图有助于Gatlinburg Wildfires的受害者
亚马逊Prime视频扩展到200多个国家
实际效果谷歌的像素手机正在拥有Android
MPS到Tsb Ceo over It灾难
最高法院在Apple案件中杀害三星的399万美元专利奖
£500万英镑的Ada Lovelace Institute推出了数据伦理
ServiceNow:企业必须重新考虑工作场所沟通,因为生成Z进入劳动力
EM驱动器打破了物理定律 - 但这并不会阻止它工作
土耳其黑客正在为DDOS攻击提供奖品
索尼的Playstation VR上衣HTC在耳机装运战斗中vive
AI工具于2016年从实验室中出来
做分析迪士尼方式
威尔士政府计划山谷中的数字飞行员
佩洛西说,UC IT工人处于“无法维持的位置”
Microsoft将让一些用户在Windows 10更新时花掉
北欧Cio采访:Jussi Sorvali,HMD Global
研究表明,目标网络攻击一倍翻了一番
数据泄露在四个美国零售链中透露
您的位置:首页 >产品 > 人工智能 >

“分布式猜测”攻击让黑客验证签证卡详细信息

2021-08-01 14:44:11 [来源]:

将信用卡欺诈添加到分布式处理可以加速的东西列表中。

电子商务网站通常会在10或20次失败的尝试后拨出信用卡号码,以进入相应的到期日和CVV(卡核查值),使得Don“T的欺诈者具有完整凭据的欺诈者。

但是,存在大量的电子商务网站,它可以通过将略微不同的支付请求与数百个并行提交到数百个来获取缺失的帐户详细信息。

根据U.K的纽卡斯尔大学的研究人员,执行“分布式猜测攻击”需要不到六秒钟。谁会讲述如何做到这一点。

猜测有效卡的到期日是“T的所有困难:卡通常最多签发五年,因此向不同网站发送60个可能的值将获得其中一个的确认。三位数的CVV有点难,涉及在多个网站上传播1,000个请求。

“几乎可以通过在许多网站上分发猜测来进行实际上无限的猜测,即使匮乏网站限制了尝试的数量,”研究人员,穆罕默德Aamir Ali,Budi Arief,Martin Emms和Aad Van Moselel也是如此。

他们的论文的标题问了这个问题:“在线卡支付景观不知不觉地促进欺诈吗?”

他们的答案是强调的 - 至少对于签证卡,他们能够提交足够的要求来获得缺失的价值观。

另一方面,MasterCard的集中支付网络在授权尝试少于10次授权尝试后检测到卡账户的攻击。

阿里和同事研究了389个网站,根据Alexa.com的400次绘制的389个网站。其中,只有47使用3D安全授权系统,使它们免于攻击。

系统中的弱链接是只需要卡号和有效日期的26个站点以验证付款。其中20个允许至少六种猜测提供了足够的能力来猜测这种简单的答案。

另一个291个站点将仅用有效期和CVV验证卡号 - 但其中238个允许六个或更多猜测,可以很快获得CVV。

研究人员解释说,甚至在25个站点以及到期日和CVV中都需要猜到的持卡人的地址,也可以猜到。一些银行在卡号中编码分支机构详细信息,使得可以在分支周围的邮政编码中猜出,他们在论文中说。他们发现,其中两个站点允许无限尝试猜测地址 - 以及到期日和CVV,他们找到了。

为了了解这些网站的问题,研究人员根据他们所需的信息将它们分为三类,以验证卡号所需的信息,并与每个类别中的大多数用户联系12。

在这36个网站中,28个在四周内回复,其中八个补充了他们的网站以降低信息披露的风险。这些补丁包括通过IP地址或卡号,添加CAPTCHA,并要求其他数据来限制请求率,以验证卡号和到期日期。

他们质疑这些补丁的有用性,注意到测试地址而不限制查询的数量只是打开另一个攻击途径。同样,使用CAPTCHA和限制提交数量只是放慢攻击,但没有停止它。他们发现,没有修补的网站没有难以限制与一个卡号相关的测试数量。

最终,安全猜测猜测攻击的唯一方法是集中 - 主卡已经完成 - 或标准化,所有网站都需要相同的信息来验证卡号。通过这种方式,研究人员写道,无法缩放攻击。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。