top of page

VISA: 6 segundos para um ataque bem sucedido


Pesquisadores de segurança da Universidade de New Castle (UK) conseguiram, através da exploração em conjunto de duas vulnerabilidades de baixo risco, efetuar ataques aos cartões VISA sem conhecer nenhum dado do usuário/vítima.


Desta forma, conseguem de forma efetiva realizar transações consideradas legais, já que os dados são verdadeiros.


Publicada no jormal acadêmico IEEE Security & Privacy, a pesquisa demonstra que a técnica chamada de "Distributed Guessing Attack" (DGA ou Ataque por Adivinhação Distribuída) permite burlar todos os procedimentos de segurança existentes para impedir fraudes online.


Nesta forma de ataque, o atores efetuam transações iniciando apenas com o "número da bandeira" (os 6 primeiros dígitos de todo cartão) em dezenas ou centenas de websites ao mesmo tempo, obtendo a combinação correta, já que o sistema VISA não consegue detectar a tentativa de fraude desta forma "distribuída".


O ataque consiste em automática e sistematicamente gerar diferentes variações de dados de cartões em diferentes websites, obtendo em poucos segundos a combinação correta. Um dos motivos també está relacionado ao fato de que websites diferentes exigem informações diferentes para validar uma transação. Pensando assim, podemos estimar o desafio como um "quebra-cabeças", onde cada sistema acaba informando (ou exigindo) uma peça de outro sistema.


E em relação ao código de segurança (CVV), lembro que sendo composto de apenas 3 dígitos, permite um máximo de 1000 combinações - logo, ao se efetuar um acesso à 1000 diferentes sistemas, teremos, invariavelmente, o CVV válido em um deles.


De acordo com os pesquisadores, muito provavelmente foi este tipo de procedimento que foi utilizado no ataque à TESCO. Não há ainda nenhuma proteção contra este tipo de ataque ao sistema VISA.


O sistema Mastercard consegue detectar esta fraude pois é um sistema centralizado e percebe a quantidade de tentativas, mesmo que vinda de sistemas diferentes.


Não há notícia de outras bandeiras terem sido testadas.



Destaques
Posts Recentes
Arquivo
Busca por Tags
Siga-nos
  • LinkedIn Social Icon
bottom of page