【猎云网(微信号:ilieyun
)】12月7日报道(编译:海倩)
英国纽卡斯尔大学研究人员的在一篇研究论文中表示,在“短短六秒”的时间内,Visa的信用卡支付系统便能被成功入侵。这一安全漏洞或许正是使得英国Tesco银行遭受攻击的入口,当时这家银行被迫全面关闭网上银行系统,但还是损失了250万英镑。
这一报告还表示,这类网络攻击并不是那些高级黑客所为。对于一个要窃取信用卡数据信息库的黑客来说,他只需一个可上网的笔记本电脑和一些基本的猜测即可。
博士生穆罕默德·阿里(Mohammed Ali)领导的研究团队把这种方法称为“分布式猜测攻击”(Distributed Guessing Attack)。其操作方法很简单:黑客通过生成随机数,来猜测信用卡卡号,到期日期和安全码(即CVV代码,通常是指卡背面的三位数字)等。
接下来,研究人员一次一个字段地在不同的在线支付网站上测试他们的密码组合。由于大多数的电子商务网站都要求,信用卡支付的数据字段要有不同的变体,因此更容易使用排除的方式来逐个审查每个数字,而不是一次性将这些数据集合在一起。这份报告显示,网络商家使用的数据字段有三个级别:卡号+到期日期;卡号+到期日+安全码;卡号+到期日+安全码+地址。
黑客在“轰击”多个供应商网站时,既要避开个人网站对请求次数的限制,还要避免触犯欺诈防护措施。
阿里在发布于IEEE安全和隐私期刊上的新闻稿中谈到:“当前的支付系统无法检测出来自不同网站的多次无效支付请求,从而允许攻击者可以对每个信用卡的数据字段进行无限次的猜测,直到达到每个网站设定的上限(通常为10或20次)。
一旦黑客拥有一组有效的信用卡号码后,通过几次的猜测他便能得到有效的数据。由于大多数信用卡的有效期限为5年,因此黑客最多只要猜60次就能得到正确的到期日。
三位数字的安全码有些难度,但也不是特别困难;团队估计最多需要试1000次。因此就算网站限制输入次数,只要把过程分拆至1000多个网站上进行便可在几秒钟内快速破解。
为了检测这一方法,Newcastle团队通过借助自己的信息卡数据和程序来执行攻击。
特别是对于Visa安全性能来说,这是一个大问题。因为研究团队发现信用卡发行机构MasterCard在10次以内失败的认证就会侦测到异样,即使是在在多个站点上进行操作,也完全不受“分散式猜测攻击”影响。也就是说,只有Visa和MasterCard 被纳入到这次研究,因此团队又对其他信用卡提供商的安全性进行了一系列的“分布式猜测攻击”测验。
针对这一研究报告,Visa发言人并不在意“分布式猜测攻击”带来的大规模风险,并将责任放在供应商身上。他还表示,Visa致力与发卡机构或收购商展开合作,避免他人非法窃取和盗用持卡人的数据资料;商家和发行机构也能够采取一些相应的步骤来阻止暴力攻击。”
这些步骤包括采用3D安全系统,如“Visa验证”技术,这增加了在线验证过程的额外程序。 这份报告的结论是,采用这些措施的网站可以免受“分布式猜测攻击”,但在400个线上零售网站中,只有47个网站采用3-D安全认证。
Visa其后回应这一研究并表示,他们欢迎业界和学界分析和解决支付系统漏洞的努力。
但消费者群体仍处于危险之中。这份研究报告的作者之一,Martin Emms博士表示,目前没有任何可以避免这些攻击的办法,只能通过采取相应的措施来限制安全漏洞的危害。要想限制风险,人们需做到在线支付仅用一卡,并对未经验证的消费保持警惕。
