Исследователи из Ньюкаслского университета в Великобритании обнаружили, что «пугающе простая» распределенная атака угадывания может вычислить данные кредитной карты Visa за считанные секунды.
Исследователи изучили механизмы защиты платежей по кредитным картам [pdf] и обнаружили, что Visa, крупнейшая сеть кредитных карт в мире, уязвима для неограниченного количества догадок, если они распределены по нескольким сайтам.
Конкурент Mastercard способен обнаружить атаку угадывания менее чем через десять попыток с помощью централизованной проверки транзакций с нескольких сайтов.
Используя веб-сайты, запрашивающие различные фрагменты информации, исследователи смогли быстро собрать воедино полные данные кредитных карт. По словам исследователей, этот недостаток может облегчить злоумышленникам, получившим частичную информацию о кредитных картах в результате взлома данных, обойти меры защиты от проверки платежей.
Используя веб-сайты, запрашивающие различные фрагменты информации, исследователи смогли быстро собрать воедино полные данные кредитных карт. По словам исследователей, этот недостаток может облегчить злоумышленникам, получившим частичную информацию о кредитных картах в результате взлома данных, обойти меры защиты от проверки платежей.
В сочетании эти два недостатка в системе проверки платежей Visa могут позволить автоматизированную атаку угадывания на нескольких веб-сайтах, которая быстро возвращает полную информацию о карте и допускает мошеннические транзакции, показали эксперименты.
«… можно запускать несколько ботов одновременно на сотнях платежных сайтов, не вызывая никаких сигналов тревоги», — пишут исследователи.
Исследователи обнаружили, что бот, настроенный для работы на 30 сайтах, может собрать необходимую информацию в течение четырех секунд.
Исследователи нанесли на карту 342 платежных сайта, которые уязвимы для атаки распределенного угадывания, и раскрыли уязвимость для 36 лучших из них, а также Visa.
Несколько сайтов изменили свой подход к обработке платежей с момента раскрытия информации исследователями. Однако подавляющее большинство (78 процентов) сайтов ничего не сделали, а некоторые добавили поля проверки кредитных карт, что облегчило атаку.
Сайты должны стандартизировать свои платежные интерфейсы и запрашивать одинаковое количество полей кредитных карт для транзакций, сказали исследователи, чтобы остановить дальнейшее масштабирование атаки.
Однако неизвестно, сможет ли Visa модифицировать свою систему с глобально распределенными платежными шлюзами, включив в нее централизованное обнаружение нескольких догадок, разбросанных по нескольким сайтам.