Un grupo de investigadores de seguridad de Newcastle descubrieron un nuevo método denominado Distributed Ataque de adivinanzas para introducirse tarjeta de crédito VISA en sólo 6 segundos.
La técnica se basa en un ataque distribuido de adivinanzas en el que los sitios web de pago en línea se utilizan para descubrir los datos de las tarjetas de crédito VISA. Los atacantes enviar datos a sitios web de pago en línea y analizar la respuesta a la operación de descubrir si los datos eran correctos.
"La investigación publicada en la revista académica IEEE Seguridad y Privacidad, muestra cómo la denominada Distributed Ataque de adivinanzas es capaz de eludir todas las características de seguridad establecidas para proteger a los pagos en línea de fraude.", Segun el comunicado de prensa . "Mediante la generación automática y sistemáticamente diferentes variaciones de los datos de seguridad de las tarjetas y dispararlo en múltiples sitios web, en cuestión de segundos los hackers son capaces de obtener un 'hit' y verificar todos los datos de seguridad necesarias."
Los investigadores especularon que el método es probable que se ha utilizado en el reciente ataque cibernético contra el banco de Tesco que resultó en el robo de 2,5 millones de libras.
Los investigadores demostraron que es posible poner en marcha un ataque distribuido de adivinanzas que adivinar los números de tarjeta, fecha de caducidad y códigos de seguridad de cualquier tarjeta de crédito o de débito Visa. El método es simple como efectiva, los expertos descubrieron que los sistemas de pago en línea no detectan múltiples solicitudes de pago no válidos desde diferentes sitios web. Un atacante puede tratar una cantidad ilimitada de conjeturas en cada división de campos de datos de tarjetas de los intentos OS varios sitios web. Los atacantes pueden hacer entre 10 y 20 conjeturas sobre cada sitio web.
"Este tipo de ataque explota dos debilidades que por su cuenta no son demasiado graves, pero cuando se usan juntos, presentan un grave riesgo para todo el sistema de pago", explica Mohammed Ali, un doctorado estudiante en la Universidad de Newcastle Facultad de Ciencias de la Computación y autor principal el papel.
"En primer lugar, el actual sistema de pago en línea no detecta múltiples solicitudes de pago no válidos desde diferentes sitios web. Esto permite conjeturas ilimitados en cada campo de datos de la tarjeta, utilizando hasta el número permitido de intentos típicamente 10 o 20 conjeturas sobre cada sitio web.
"En segundo lugar, los diferentes sitios web piden diferentes variaciones en los campos de datos de la tarjeta para validar una compra en línea. Esto significa que es muy fácil de construir la información y la pieza juntos como un rompecabezas ".
Ali explicó que los atacantes pueden recoger la tarjeta de información de un campo a la vez haciendo imposible para los comerciantes para detectar la actividad fraudulenta.
"Las conjeturas ilimitadas, cuando se combina con las variaciones en el pago campos de datos hacen que sea terriblemente fácil para los atacantes generar todos los datos de la tarjeta de un campo a la vez."
El atacante puede utilizar cada campo de tarjeta generada en la serie para generar el campo siguiente y así sucesivamente.
"Así que, comenzando con ningún detalle en absoluto aparte de los seis primeros dígitos, que le indican el tipo de banco y la tarjeta y así son los mismos para todas las tarjetas de un solo proveedor un hacker puede obtener las tres partes esenciales de información para hacer una compra en línea en tan sólo seis segundos. "
Los investigadores destacaron que sólo la red VISA era vulnerable al ataque distribuido de adivinanzas.
La red MasterCard está centralizado y es capaz de detectar un ataque distribuido de adivinanzas después de menos de 10 intentos, incluso cuando esos pagos se distribuyeron a través de múltiples redes.
Fecha actualización el 2017-6-18. Fecha publicación el 2016-12-4. Categoría: Seguridad. Autor: Oscar olg Mapa del sitio