Карты Visa уязвимы перед обычным брутфорсом

Исследователи из Ньюкаслского университета представили любопытный доклад (PDF), в котором описали необычный метод атак. Исследователи утверждают, что при помощи распределенного брутфорса можно за считанные секунды подобрать любые данные для карты Visa, в том числе CVV-код и дату истечения срока действия.

Для реализации атаки специалисты изучили топ Alexa и выбрали 400 наиболее популярных онлайн-магазинов. Затем из списка были отсеяны магазины с хорошей защитой, после чего осталось 342 сайта. Теоретически исследователи могли составить куда более обширный список, однако для их эксперимента было достаточно и этого.

Затем ученые вооружились номером работающей банковской карты и попытались подобрать для нее дату истечения срока действия. Обращаясь к выбранным сайтам, исследователи пытались осуществить транзакцию. Срок «жизни» большинства карт составляет 60 месяцев, и исследователям потребовалось лишь несколько секунд, чтобы разослать всем 342 сайтам запросы с разными комбинациями дат и подобрать нужную. Аналогичный распределенный брутфорс был использован для подбора CVV-кода: так как в CVV-коде всего три цифры, атакующему понадобится сделать не более тысячи предположений.



В своем докладе исследователи отмечают, что привязанным к карте адресом интересуются далеко не все сайты, а правильность ввода имени держателя карты не проверяет вообще никто. При этом специалисты пишут, что злоумышленнику не обязательно искать и покупать где-то информацию о картах, ведь подобрать таким образом можно и сам номер карты, а не только детали.

В среднем на атаку уходит порядка 6 секунд. Видео ниже демонстрирует работу приложения, созданного исследователями, и саму атаку в работе.



Уязвимость перед таким распределенным брутфорсом демонстрируют только платежные карты Visa. Так, Mastercard фиксирует и блокирует множественные запросы, поступающие для одной карты из различных мест (онлайновых магазинов). Также в безопасности владельцы, карт, которые оснащены поддержкой технологии 3D Secure и жители стран, где распространены chip-and-PIN карты.

Исследователи пишут, что 78% сайтов (303 ресурса), использованных для атак, никак не прореагировали на раскрытие информации о данной бреши. Операторы ряда ресурсов все же поспешили обновить защитные механизмы, однако некоторые из этих обновлений сделали лишь хуже, и процедура оформления и оплаты заказа стала еще более небезопасной.

5.12.2016
https://xakep.ru/2016/12/05/visa-brutforce/​

 

наверное это уязвимость какого то отдельного банка, а то выходит больно мощная уязвимость которую не могли не заметить раньше,
всегда думал что количество попыток там сильно ограничено, хотя возникает вопрос, что делать если злоумышленники, например конкуренты, знают номер карты и постоянно делают попытки оплаты, тем самым блокируя возможность сделать оплату настоящему владельцу

странно что его можно отдельно брутфорсить, а не все данные разом отсылать, а банк в ответ говорит верны ли все данные вместе срок действия + cvv

 

Прикольно)) берем в работу) Осталось найти программу)

 

Как я понял, предполагается, что дату ты знаешь.

 

Ох чую кто-то пошопится на таких новостях...

 

дату они сбрутфорсили

видимо так уязвимость ещё в том, что позволяет один параметр отдельно брутфорсить, если бы данные все одновременно проверялись, то комбинаций было бы намного больше

 

Сначала дату, затем CVV (на основе того, что дату ты уже сбрутил.

 

Уже давно думал об этом, но до эксперимента руки не доходили из-за отсутствия мотивации.
Кроме того, некоторые шопы требуют ввода не только срока действия, но и правильного имени+фамилии.
Если для покупки нужны только номер карты, cvv и срок действия то:
Число комбинаций cvv-кода = 999
Число комбинаций дат (если срок действия карты до 3 лет) 12*3 = 36
Итого нам надо попыток покупки: 999*36 = 35964
Если мы сделали брут для 1000 шопов то на каждый шоп получится 36 попыток покупки.

Сделать поддержку хотябы 100 шопов - это дохерища работы, у одного человека как минимум на месяц. Если это реализуют то народ будут грабить в промышленных масштабах. По мелочи не получится. Хотя, если сделать под один популярный движок шопа то уже работы меньше. Вообще меня всегда удивлял идиотизм карточных систем. Сделать cvv-код длиной в 3 цифры - это верх идиотизма.

Ага, ищи.

 

Давно уже видел ребята на тематических бордах обсуждали и практиковали данный способ. Не знаю правда успешно или нет))

 

там прикол в том, что каждый параметр по отдельности брутят, хотя я кажется догадался как, вспомнил что некоторым магазинам достаточно только номера карты и срока действия, на них подбирают срок действия, а cvv подбирают на других магазинах,
однако остаётся не ясно как они брутят номер карты, там же 16 знаков, даже если на каждого жителя планеты приходится по одной карте, то это 9 знаков, остаётся ещё 7 знаков, то есть 10 млн вариантов на одну карту, может номера картам по порядку выдают, и ещё не понятно где проверить номер на валидность

 

http://www.planetcalc.ru/2465/

https://ru.wikipedia.org/wiki/Алгоритм_Луна

 

Номер карточки никто не брутит. Их в нэте полно. Основной затык у кардеров не номер карточки а её параметры.

 

я в курсе, просто в статье написано, что номер карточки они тоже могут брутить

 

Если банк выдаёт карточки в диапазоне примерно миллион то можно брутить не cvv+дата у одной карточки а подбирать номер карточки под пару cvv+дата. Таким образом если рассматривать безопасность одной карточки то её не брутят. Вот только этот диапазон ещё узнать надо, да и есть-ли он вообще - это вопрос.
По моему проще взять список реальных номеров и прогонять по ним.

 

а смысл этих движений, только как спортивный интерес поймать рыбку и здесь же ее отпустить!? Ведь шопнутся то при тотальной двухфакторной аутентификации, которая каждый пук проверяет на валидность, как бы не камильфо будет! Ставить мобильную малварь на непонятно какой телефон, или привлекать дропперов нереально.

 

зависит от маганзина в котором покупаешь, если банк ему доверяет, то не будет двухфакторной,
попробуй что нибудь купить на амазоне или алиэкспрессе, не знаю как сейчас, но раньше на амазоне спрашивало только номер карты и срок действия

 

отправка смс происходит вообще независимо от магазина, любая трансакция сразу смсится. И прежде чем шопер получит посылку/доставку, платеж уже десять раз будет анулирован с соответствующими последствиями.

 

Что за бред? Идет набитие постов? trolex правильно написал. С некоторыми оговорками, если в случае Visa в магазине 3d Secure вырублен/или он есть но неактивны шаги авторизации, то вся ответственность ложится на магазин.

 

бред это ты пишешь, не прочитав видимо или не поняв что я написал в предыдущем посте.

 

Уязвимость чисто теоретическая, будет работать только в случае, когда банку конкретно пофигу на всё. Если 3+ раза за короткое время введен неверный cvv, да еще в разных ТТ - у СБ банка должен быть алерт на анртифроде - на мой взгляд, это очевидное правило безопасности. Дальше либо карту заблокируют, либо позвонят клиенту и спросят, что же это он делает такое.