Фахівці з Ньюкаслського університету представили звіт, в якому стверджується, що хакери можуть досить просто отримати доступ до засобів на картах Visa. CVV-код і дата закінчення терміну карти підбираються простим перебором числових комбінацій, повідомляє стаття на сайті університету.
Як «зламати» карту Visa
Фахівці вивчили топ сайтів за версією аналітичної компанії Alexa і вибрали 400 найбільш популярних з них. Потім вони виключили зі списку ресурси з надійною системою захисту, залишивши 342 сайта для експериментів.
На обраних ресурсах вчені намагалися провести оплату за допомогою однієї і тієї ж банківської карти. Зазвичай термін дії Visa не перевищує п’яти років, так що на формування запитів з різними комбінаціями дат і тризначних CVV-кодів пішло близько 6 секунд.
результати експерименту
Вчені встановили, що адресою, прив’язаним до карти, цікавилися далеко не всі ресурси. Жоден з сайтів не перевіряв справжності прізвища та імені власника Visa.
Експерти запевняють, що хакерам не потрібно навіть купувати бази даних з номерами карт. Підбір номери здійснюється аналогічним брутфорсом з урахуванням правил складання номера карти.
Діра в безпеці тільки у карт Visa
Фахівці підкреслюють, що Mastercard не мають такої вразливості — система блокує множинні запити для однієї карти з різних магазинів, а також передає інформацію про них. В безпеки і карти з підтримкою технології 3D Secure, а також карти chip-and-PIN.
303 з 342 сайтів (78% ресурсів) не відреагували на повідомлення про уразливість і не вжили заходів для захисту від атак. Деякі ресурси вже отримали оновлення, але часто виявлялося, що нова система безпеки працювала ще гірше, ніж стара.