来自纽卡斯尔大学的一组安全研究人员发现了一种称为分布式猜测攻击的新方法,只需 6 秒即可破解 VISA 信用卡。攻击者利用 VISA 支付系统漏洞,自动生成不同的信用卡数据并在多个网站交易,通过交易回复信息判断信用卡数据是否正确。
研究人员推测,这种方法可能被用于最近针对乐购银行的网络攻击,导致 250 万英镑被黑客窃取。
研究发表在学术期刊《IEEE Security & Privacy》,讲述了所谓的分布式猜测攻击如何规避所有的安全防御功能,以保护在线支付免受欺诈。
攻击利用了支付系统两个不太严重的缺陷,但是一起使用会对整个支付系统造成严重的威胁。
首先,目前的在线支付系统无法检测出,来自不同网站的多个无效付款请求。这允许攻击者对每个信用卡片的数据字段进行无限次猜测,每个网站通常可以进行 10 到 20 次尝试。
其次,不同的网站要求卡片的不同数据字段来验证是“真实”的在线支付交易。 这意味着攻击者可以像拼玩具一样,把卡片各数据字段拼凑出来。
具体步骤:
首先,黑客以有效卡号为起点自动发送它们到许多网站去验证有限性。
下一步是到期日期,信用卡的有效期为 60 月,所以猜测日期最多需要 60 次。
CVV(信用卡安全代码)是最后的屏障,理论上只有卡持有人知道该号码,但猜测这三位数最多尝试 1000 次
通过上述步骤就可以获得被黑账户的所有数据。
如何避免此类欺诈:
1、限制在线支付金额
2、银行卡不要存大量的钱,资金已到位立刻转出
3、保持警惕、注意交易记录
稿源:本站翻译整理,封面来源:百度搜索
from hackernews.cc.thanks for it.