Схоже, заходи безпеки не такі вже й надійні. І хоча вразливості поки знайшли тільки у Visa, можна не сумніватися, що у MasterCard їх теж скоро знайдуть.
Дослідники Ньюкаслського університету (Newcastle University) продемонстрували, що підібрати номер, дату закінчення терміну дії і код безпеки карти Visa можна за шість секунд. У статті, опублікованій в журналі IEEE Security & Privacy, вони описали, як можна обійти захист за допомогою атаки розподіленим перебором (distributed guessing attack).
Перевіряючи різні варіанти номерів, дат і кодів за допомогою різних сайтів, фахівці з комп'ютерної безпеки всього через кілька секунд отримали збіг і підтвердили всі необхідні дані. Вони попереджають, що перед Новим роком і Різдвом, коли тисячі людей купують подарунки в інтернеті, ризик хакерських атак буде особливо високим. «Ця атака використовує дві вразливості, які, самі по собі не дуже небезпечні, але разом вони являють собою серйозний ризик для платіжної системи в цілому», - говорить провідний автор дослідження Мохаммед Алі (Mohammed Ali).
«По-перше, сучасні системи електронних платежів не реєструють невдалі спроби платежу на різних веб-сайтах, - пояснює він. - Це дозволяє нескінченно перебирати варіанти для кожного з реквізитів картки, використовуючи дозволену сайтом кількість спроб - зазвичай, 10 або 20». "По-друге, для того, щоб підтвердити покупку, різні сайти вимагають ввести різні реквізити. Це означає, що зібрати шматочки інформації і скласти їх разом, як фрагменти пазла - досить просто ", - говорить Алі. За допомогою одного вірно вгаданого поля підбирають наступне і так далі. Якщо надсилати запити одночасно на безліч сайтів, можна отримати позитивну відповідь на кожен з них протягом двох секунд - саме стільки, в середньому, займає авторизація в системі. «Так що якщо у хакера немає нічого крім перших шести цифр, - які вказують на банк і тип картки, і тому однакові для всіх карток одного постачальника, - він може отримати дані, достатні для здійснення онлайн-покупки всього за 6 секунд», - зазначає дослідник.
Щоб отримати реквізити карти, зловмисники використовують інтернет-магазини. Вони перебирають різні варіанти і залежно від реакції сайту на спробу зробити покупку, розуміють, чи правильно вгадали. Залежно від того, які дані запитують платіжні системи, їх можна розділити на три категорії: номер карти + дата закінчення терміну дії; номер + дата + код безпеки (CVV); номер + дата + код + адреса. Найпростіше отримати реквізити для здійснення покупок в магазинах перших двох типів, але і підібрати адресу цілком реально, особливо враховуючи той факт, що деякі магазини вимагають ввести тільки поштовий індекс. Дослідники виявили, що Visa за допомогою такої атаки зламати легко: система ніяк не реагує на невдалі спроби платежу, зроблені на різних сайтах за допомогою однієї і тієї ж картки. «Централізована мережа MasterCard розпізнавала атаку перебором менш ніж за десять спроб - навіть у тих випадках, коли платежі були розподілені по декількох мережах», - говорить Мохаммед Алі.
"Більшість хакерів спочатку отримують валідні номери пластикових карт, але навіть без них згенерувати кілька варіантів, автоматично розіслати їх по різних сайтах і підтвердити - відносно просто, - пояснює він. - Наступний крок - дата закінчення терміну дії. Зазвичай банки видають картки, які діють до 60 місяців, тому на те, щоб підібрати дату потрібно максимум 60 спроб ". Для більшості магазинів останнім бар'єром виявляється CVV. Теоретично його знає тільки власник карти - ця інформація більше ніде не зберігається. "Але перебір цього номера з трьох цифр вимагає менше 1000 спроб. Відправте запити на 1000 сайтів, і протягом двох секунд один з них підтвердить комбінацію. І ось у вас є всі необхідні дані для того, щоб зламати акаунт ". Є і ще одна погана новина: отримавши реквізити картки, можна не тільки робити покупки в інтернет-магазинах, а й переправити гроші на інший рахунок. За допомогою цієї інформації дослідникам вдалося перевести частину коштів в Індію, і довірена особа підтвердила отримання грошей. Під час експериментів жоден невинний громадянин не постраждав: як піддослідні кролики члени наукової групи використовували власні карти.
Фахівці попереджають, що поки магазини вимагають різні реквізити для підтвердження покупки, описана ними атака буде ефективною. Вони не можуть запропонувати рецептів, які б напевно захистили б власників карт від крадіжки - їх просто не існує. Мінімізувати збитки можна за допомогою широко відомих і банальних запобіжних заходів. «Використовуйте для онлайн-платежів одну картку з мінімальним витратним лімітом, - говорить один з авторів дослідження, доктор Мартін Еммс (Martin Emms). - Якщо це дебетова карта, тримайте на ній якомога менше грошей і додавайте їх у міру необхідності». «Єдиний вірний спосіб не стати жертвою хакерів - тримати гроші під матрацом, але я б вам не рекомендував», - підсумовує він.