Исследователи Ньюкаслского университета (Newcastle University) продемонстрировали, что подобрать номер, дату истечения срока действия и код безопасности карты Visa можно за шесть секунд. В статье, опубликованной в журнале IEEE Security & Privacy, они описали, как можно обойти защиту с помощью атаки распределённым перебором (distributed guessing attack).
Проверяя разные варианты номеров, дат и кодов с помощью разных сайтов, специалисты по компьютерной безопасности всего через несколько секунд получили совпадение и подтвердили все необходимые данные. Они предупреждают, что перед Новым годом и Рождеством, когда тысячи людей покупают подарки в интернете, риск хакерских атак будет особенно высоким. «Эта атака использует две уязвимости, которые, сами по себе не слишком опасны, но вместе они представляют собой серьёзный риск для платёжной системы в целом», — говорит ведущий автор исследования Мохаммед Али (Mohammed Ali).
«Во-первых, современные системы электронных платежей не регистрируют неудачные попытки платежа на разных веб-сайтах, — объясняет он. — Это позволяет бесконечно перебирать варианты для каждого из реквизитов карты, используя разрешённое сайтом количество попыток — обычно, 10 или 20». «Во-вторых, для того, чтобы подтвердить покупку, разные сайты требуют ввести разные реквизиты. Это значит, что собрать кусочки информации и сложить их вместе, как фрагменты пазла — довольно просто», — говорит Али. С помощью одного верно угаданного поля подбирают следующее и так далее. Если посылать запросы одновременно на множество сайтов, можно получить положительный ответ на каждый из них в течение двух секунд — именно столько, в среднем, занимает авторизация в системе. «Так что если у хакера нет ничего кроме первых шести цифр, — которые указывают на банк и тип карты, и потому одинаковы для всех карт одного поставщика, — он может получить данные, достаточные для совершения онлайн-покупки всего за 6 секунд», — отмечает исследователь.
Чтобы получить реквизиты карты, злоумышленники используют интернет-магазины. Они перебирает разные варианты и в зависимости от реакции сайта на попытку совершить покупку, понимают, правильно ли угадали. В зависимости от того, какие данные запрашивают платёжные системы, их можно разделить на три категории: номер карты + дата истечения срока действия; номер + дата + код безопасности (CVV); номер + дата + код + адрес. Проще всего получить реквизиты для совершения покупок в магазинах первых двух типов, но и подобрать адрес вполне реально, особенно учитывая тот факт, что некоторые магазины требуют ввести только почтовый индекс. Исследователи обнаружили, что Visa с помощью такой атаки взломать легко: система никак не реагирует на неудачные попытки платежа, предпринятые на разных сайтах с помощью одной и той же карты. «Централизованная сеть MasterCard распознавала атаку перебором менее чем за десять попыток — даже в тех случаях, когда платежи были распределены по нескольким сетям», — говорит Мохаммед Али.
«Большинство хакеров сначала получают валидные номера пластиковых карт, но даже без них сгенерировать несколько вариантов, автоматически разослать их по разным сайтам и подтвердить — относительно просто, — объясняет он. — Следующий шаг — дата истечения срока действия. Обычно банки выдают карты, которые действуют до 60 месяцев, поэтому на то, чтобы подобрать дату нужно максимум 60 попыток». Для большинства магазинов последним барьером оказывается CVV. Теоретически его знает только владелец карты — эта информация больше нигде не хранится. «Но перебор этого номера из трёх цифр требует менее 1000 попыток. Отправьте запросы на 1000 сайтов, и в течение двух секунд один из них подтвердит комбинацию. И вот у вас есть все необходимые данные для того, чтобы взломать аккаунт». Есть и ещё одна плохая новость: получив реквизиты карты, можно не только делать покупки в интернет-магазинах, но и переправить деньги на другой счёт. С помощью этой информации исследователям удалось перевести часть средств в Индию, и доверенное лицо подтвердило получение денег. В ходе экспериментов ни один невинный гражданин не пострадал: в качестве подопытных кроликов члены научной группы использовали собственные карты.
Специалисты предупреждают, что пока магазины требуют разные реквизиты для подтверждения покупки, описанная ими атака будет эффективной. Они не могут предложить рецептов, которые бы наверняка защитили бы владельцев карт от кражи — их попросту не существует. Минимизировать ущерб можно с помощью широко известных и банальны мер предосторожности. «Используйте для онлайн-платежей одну карту с минимальным расходным лимитом, — говорит один из авторов исследования, доктор Мартин Эммс (Martin Emms). — Если это дебетовая карта, держите на ней как можно меньше денег и добавляйте их по мере необходимости». «Единственный верный способ не стать жертвой хакеров — держать деньги под матрасом, но я бы вам не рекомендовал», — заключает он.