Карты Visa уязвимы перед обычным брутфорсом

Discussion in 'Мировые новости. Обсуждения.' started by +, 5 Dec 2016.

  1. +
    Исследователи из Ньюкаслского университета представили любопытный доклад (PDF), в котором описали необычный метод атак. Исследователи утверждают, что при помощи распределенного брутфорса можно за считанные секунды подобрать любые данные для карты Visa, в том числе CVV-код и дату истечения срока действия.

    Для реализации атаки специалисты изучили топ Alexa и выбрали 400 наиболее популярных онлайн-магазинов. Затем из списка были отсеяны магазины с хорошей защитой, после чего осталось 342 сайта. Теоретически исследователи могли составить куда более обширный список, однако для их эксперимента было достаточно и этого.

    Затем ученые вооружились номером работающей банковской карты и попытались подобрать для нее дату истечения срока действия. Обращаясь к выбранным сайтам, исследователи пытались осуществить транзакцию. Срок «жизни» большинства карт составляет 60 месяцев, и исследователям потребовалось лишь несколько секунд, чтобы разослать всем 342 сайтам запросы с разными комбинациями дат и подобрать нужную. Аналогичный распределенный брутфорс был использован для подбора CVV-кода: так как в CVV-коде всего три цифры, атакующему понадобится сделать не более тысячи предположений.

    [​IMG]

    В своем докладе исследователи отмечают, что привязанным к карте адресом интересуются далеко не все сайты, а правильность ввода имени держателя карты не проверяет вообще никто. При этом специалисты пишут, что злоумышленнику не обязательно искать и покупать где-то информацию о картах, ведь подобрать таким образом можно и сам номер карты, а не только детали.

    В среднем на атаку уходит порядка 6 секунд. Видео ниже демонстрирует работу приложения, созданного исследователями, и саму атаку в работе.



    Уязвимость перед таким распределенным брутфорсом демонстрируют только платежные карты Visa. Так, Mastercard фиксирует и блокирует множественные запросы, поступающие для одной карты из различных мест (онлайновых магазинов). Также в безопасности владельцы, карт, которые оснащены поддержкой технологии 3D Secure и жители стран, где распространены chip-and-PIN карты.

    Исследователи пишут, что 78% сайтов (303 ресурса), использованных для атак, никак не прореагировали на раскрытие информации о данной бреши. Операторы ряда ресурсов все же поспешили обновить защитные механизмы, однако некоторые из этих обновлений сделали лишь хуже, и процедура оформления и оплаты заказа стала еще более небезопасной.
     
  2. trolex

    trolex Well-Known Member

    Joined:
    6 Dec 2009
    Messages:
    592
    Likes Received:
    1,392
    Reputations:
    6
    наверное это уязвимость какого то отдельного банка, а то выходит больно мощная уязвимость которую не могли не заметить раньше,
    всегда думал что количество попыток там сильно ограничено, хотя возникает вопрос, что делать если злоумышленники, например конкуренты, знают номер карты и постоянно делают попытки оплаты, тем самым блокируя возможность сделать оплату настоящему владельцу
    странно что его можно отдельно брутфорсить, а не все данные разом отсылать, а банк в ответ говорит верны ли все данные вместе срок действия + cvv
     
  3. StaFFF

    StaFFF New Member

    Joined:
    5 Dec 2016
    Messages:
    2
    Likes Received:
    1
    Reputations:
    0
    Прикольно)) берем в работу) Осталось найти программу)
     
  4. Раrаdох

    Раrаdох Elder - Старейшина

    Joined:
    30 Jan 2014
    Messages:
    95
    Likes Received:
    140
    Reputations:
    33
    Как я понял, предполагается, что дату ты знаешь.
     
  5. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,816
    Likes Received:
    18,492
    Reputations:
    377
    Ох чую кто-то пошопится на таких новостях...
     
    _________________________
  6. trolex

    trolex Well-Known Member

    Joined:
    6 Dec 2009
    Messages:
    592
    Likes Received:
    1,392
    Reputations:
    6
    дату они сбрутфорсили
    видимо так уязвимость ещё в том, что позволяет один параметр отдельно брутфорсить, если бы данные все одновременно проверялись, то комбинаций было бы намного больше
     
  7. Раrаdох

    Раrаdох Elder - Старейшина

    Joined:
    30 Jan 2014
    Messages:
    95
    Likes Received:
    140
    Reputations:
    33
    Сначала дату, затем CVV (на основе того, что дату ты уже сбрутил.
     
  8. pas9x

    pas9x Elder - Старейшина

    Joined:
    13 Oct 2012
    Messages:
    423
    Likes Received:
    585
    Reputations:
    52
    Уже давно думал об этом, но до эксперимента руки не доходили из-за отсутствия мотивации.
    Кроме того, некоторые шопы требуют ввода не только срока действия, но и правильного имени+фамилии.
    Если для покупки нужны только номер карты, cvv и срок действия то:
    Число комбинаций cvv-кода = 999
    Число комбинаций дат (если срок действия карты до 3 лет) 12*3 = 36
    Итого нам надо попыток покупки: 999*36 = 35964
    Если мы сделали брут для 1000 шопов то на каждый шоп получится 36 попыток покупки.

    Сделать поддержку хотябы 100 шопов - это дохерища работы, у одного человека как минимум на месяц. Если это реализуют то народ будут грабить в промышленных масштабах. По мелочи не получится. Хотя, если сделать под один популярный движок шопа то уже работы меньше. Вообще меня всегда удивлял идиотизм карточных систем. Сделать cvv-код длиной в 3 цифры - это верх идиотизма.

    Ага, ищи.
     
    #8 pas9x, 6 Dec 2016
    Last edited: 6 Dec 2016
  9. GroM88

    GroM88 Elder - Старейшина

    Joined:
    24 Oct 2007
    Messages:
    464
    Likes Received:
    62
    Reputations:
    26
    Давно уже видел ребята на тематических бордах обсуждали и практиковали данный способ. Не знаю правда успешно или нет))
     
  10. trolex

    trolex Well-Known Member

    Joined:
    6 Dec 2009
    Messages:
    592
    Likes Received:
    1,392
    Reputations:
    6
    там прикол в том, что каждый параметр по отдельности брутят, хотя я кажется догадался как, вспомнил что некоторым магазинам достаточно только номера карты и срока действия, на них подбирают срок действия, а cvv подбирают на других магазинах,
    однако остаётся не ясно как они брутят номер карты, там же 16 знаков, даже если на каждого жителя планеты приходится по одной карте, то это 9 знаков, остаётся ещё 7 знаков, то есть 10 млн вариантов на одну карту, может номера картам по порядку выдают, и ещё не понятно где проверить номер на валидность
     
  11. ToT161Rus

    ToT161Rus New Member

    Joined:
    22 Aug 2016
    Messages:
    2
    Likes Received:
    1
    Reputations:
    0
    http://www.planetcalc.ru/2465/

    https://ru.wikipedia.org/wiki/Алгоритм_Луна
     
    trolex likes this.
  12. pas9x

    pas9x Elder - Старейшина

    Joined:
    13 Oct 2012
    Messages:
    423
    Likes Received:
    585
    Reputations:
    52
    Номер карточки никто не брутит. Их в нэте полно. Основной затык у кардеров не номер карточки а её параметры.
     
  13. trolex

    trolex Well-Known Member

    Joined:
    6 Dec 2009
    Messages:
    592
    Likes Received:
    1,392
    Reputations:
    6
    я в курсе, просто в статье написано, что номер карточки они тоже могут брутить
     
  14. pas9x

    pas9x Elder - Старейшина

    Joined:
    13 Oct 2012
    Messages:
    423
    Likes Received:
    585
    Reputations:
    52
    Если банк выдаёт карточки в диапазоне примерно миллион то можно брутить не cvv+дата у одной карточки а подбирать номер карточки под пару cvv+дата. Таким образом если рассматривать безопасность одной карточки то её не брутят. Вот только этот диапазон ещё узнать надо, да и есть-ли он вообще - это вопрос.
    По моему проще взять список реальных номеров и прогонять по ним.
     
  15. shonsnow

    shonsnow New Member

    Joined:
    8 Dec 2016
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    а смысл этих движений, только как спортивный интерес поймать рыбку и здесь же ее отпустить!? Ведь шопнутся то при тотальной двухфакторной аутентификации, которая каждый пук проверяет на валидность, как бы не камильфо будет! Ставить мобильную малварь на непонятно какой телефон, или привлекать дропперов нереально.
     
  16. trolex

    trolex Well-Known Member

    Joined:
    6 Dec 2009
    Messages:
    592
    Likes Received:
    1,392
    Reputations:
    6
    зависит от маганзина в котором покупаешь, если банк ему доверяет, то не будет двухфакторной,
    попробуй что нибудь купить на амазоне или алиэкспрессе, не знаю как сейчас, но раньше на амазоне спрашивало только номер карты и срок действия
     
  17. shonsnow

    shonsnow New Member

    Joined:
    8 Dec 2016
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    отправка смс происходит вообще независимо от магазина, любая трансакция сразу смсится. И прежде чем шопер получит посылку/доставку, платеж уже десять раз будет анулирован с соответствующими последствиями.
     
  18. exiex

    exiex New Member

    Joined:
    28 Feb 2012
    Messages:
    0
    Likes Received:
    1
    Reputations:
    0
    Что за бред? Идет набитие постов? trolex правильно написал. С некоторыми оговорками, если в случае Visa в магазине 3d Secure вырублен/или он есть но неактивны шаги авторизации, то вся ответственность ложится на магазин.
     
    #18 exiex, 9 Dec 2016
    Last edited: 9 Dec 2016
  19. shonsnow

    shonsnow New Member

    Joined:
    8 Dec 2016
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    бред это ты пишешь, не прочитав видимо или не поняв что я написал в предыдущем посте.
     
  20. NekoKoneko

    NekoKoneko Elder - Старейшина

    Joined:
    29 Oct 2010
    Messages:
    175
    Likes Received:
    141
    Reputations:
    20
    Уязвимость чисто теоретическая, будет работать только в случае, когда банку конкретно пофигу на всё. Если 3+ раза за короткое время введен неверный cvv, да еще в разных ТТ - у СБ банка должен быть алерт на анртифроде - на мой взгляд, это очевидное правило безопасности. Дальше либо карту заблокируют, либо позвонят клиенту и спросят, что же это он делает такое.
     
Loading...