VISA: 6 segundos para um ataque bem sucedido

 

 

Pesquisadores de segurança da Universidade de New Castle (UK) conseguiram, através da exploração em conjunto de duas vulnerabilidades de baixo risco, efetuar ataques aos cartões VISA sem conhecer nenhum dado do usuário/vítima.

 

Desta forma, conseguem de forma efetiva realizar transações consideradas legais, já que os dados são verdadeiros.

 

Publicada no jormal acadêmico IEEE Security & Privacy, a pesquisa demonstra que a técnica chamada de "Distributed Guessing Attack" (DGA ou Ataque por Adivinhação Distribuída) permite burlar todos os procedimentos de segurança existentes para impedir fraudes online.

 

Nesta forma de ataque, o atores efetuam transações iniciando apenas com o "número da bandeira" (os 6 primeiros dígitos de todo cartão) em dezenas ou centenas de websites ao mesmo tempo, obtendo a combinação correta, já que o sistema VISA não consegue detectar a tentativa de fraude desta forma "distribuída".

 

O ataque consiste em automática e sistematicamente gerar diferentes variações de dados de cartões em diferentes websites, obtendo em poucos segundos a combinação correta. Um dos motivos també está relacionado ao fato de que websites diferentes exigem informações diferentes para validar uma transação. Pensando assim, podemos estimar o desafio como um "quebra-cabeças", onde cada sistema acaba informando (ou exigindo) uma peça de outro sistema.

 

E em relação ao código de segurança (CVV), lembro que sendo composto de apenas 3 dígitos, permite um máximo de 1000 combinações - logo, ao se efetuar um acesso à 1000 diferentes sistemas, teremos, invariavelmente, o CVV válido em um deles.

 

De acordo com os pesquisadores, muito provavelmente foi este tipo de procedimento que foi utilizado no ataque à TESCO.

Não há ainda nenhuma proteção contra este tipo de ataque ao sistema VISA.

 

O sistema Mastercard consegue detectar esta fraude pois é um sistema centralizado e percebe a quantidade de tentativas, mesmo que vinda de sistemas diferentes.

 

Não há notícia de outras bandeiras terem sido testadas.

 

 

Please reload

Destaques
Please reload

Posts Recentes

December 12, 2016