Hacker Bisa Dengan Mudah Mendapatkan Informasi Kartu Kredit Anda Hanya 6 Detik
Dalam berita meresahkan, dari para peneliti di Newcastle University di Inggris mengklaim bahwa sistem pembayaran kartu kredit Visa dapat dikompromikan secara online di "sesedikit enam detik." Lubang keamanan mungkin adalah titik masuk untuk serangan cyber pada Inggris Tesco Bank yang kehilangan £ 2,5 juta.
Ini bukan hacking tingkat tinggi yang terjadi di sini baik yang dibutuhkan untuk pencuri bertekad untuk mengambil harta karun penuh data kartu adalah laptop dengan koneksi internet dan beberapa dugaan dasar, kertas mengatakan.
Tim peneliti, yang dipimpin oleh mahasiswa PhD Mohammed Ali, memanggil metode "Distributed Menebak Serangan tersebut." Ini merupakan pendekatan sederhana: pencuri menghasilkan angka acak untuk menebak kombinasi nomor kartu, tanggal kadaluarsa dan kode CVV (nomor tiga digit biasanya ditemukan di bagian belakang kartu).
Berikutnya, mereka menguji kombinasi mereka pada layanan pembayaran online beberapa satu bidang pada suatu waktu. Karena banyak situs meminta berbagai variasi data untuk bidang pembayaran-masuknya mereka (tidak ada persyaratan keamanan minimum untuk vendor online), lebih mudah untuk menggunakan proses eliminasi untuk menemukan setiap nomor individual daripada berharap untuk kuku set bersama-sama dalam satu pergi . Menurut koran itu, ada tiga tingkatan dari bidang data yang digunakan oleh pedagang web: Nomor Kartu + Tanggal kadaluarsa; Jumlah kartu + Tanggal kadaluarsa + CVV; Jumlah kartu + Tanggal kadaluarsa + CVV + Alamat.
Membombardir situs beberapa vendor 'juga memungkinkan pencuri untuk menghindari batas situs individu pada upaya pembelian dan menghindari memicu tindakan perlindungan penipuan.
"... Sistem pembayaran online saat ini tidak mendeteksi beberapa permintaan pembayaran yang tidak valid dari website yang berbeda," kata Ali dalam siaran pers yang menyertai penerbitan kertas di IEEE Keamanan dan Privasi. "Hal ini memungkinkan dugaan terbatas pada masing-masing bidang data kartu, menggunakan hingga jumlah diperbolehkan usaha - biasanya 10 atau 20 tebakan -. pada setiap situs "
Dibutuhkan mengejutkan beberapa upaya untuk menebak data sekali hack tersebut dimasukkan ke dalam gerak dengan nomor kartu aktif. Kebanyakan kartu berlaku selama 60 bulan, jadi menebak tanggal kadaluarsa memakan waktu paling 60 upaya.
CVV adalah sedikit lebih sulit untuk menemukan, tetapi tidak banyak: tim memperkirakan sekitar 1.000 upaya paling banyak. "Spread ini keluar lebih dari 1.000 situs dan satu akan kembali diverifikasi dalam beberapa detik," kata Ali.
Tim Newcastle menguji metode dengan menggunakan data kartu mereka sendiri dan bot untuk melakukan serangan.
Ini merupakan masalah besar yang unik untuk keamanan Visa, sebagai tim menemukan bahwa perlindungan penipuan online MasterCard terdeteksi serangan menebak setelah 10 upaya atau kurang, bahkan tersebar di beberapa situs. Yang mengatakan, hanya Visa dan MasterCard dilibatkan dalam penelitian, sehingga juri keluar tentang keselamatan penyedia kartu kredit lain dari Menebak Serangan Distributed.
Menanggapi wahyu kertas, The Guardian melaporkan bahwa juru bicara Visa adalah meremehkan banyak risiko skala besar dari kerentanan dan menempatkan tanggung jawab pada vendor. Mereka mengatakan bahwa Visa adalah "berkomitmen untuk menjaga penipuan pada tingkat rendah, dan bekerja sama dengan penerbit kartu dan acquirer untuk membuatnya sangat sulit untuk mendapatkan dan menggunakan data pemegang kartu secara ilegal ... Ada juga beberapa langkah yang pedagang dan penerbit dapat dilakukan untuk menggagalkan upaya kekerasan . "
langkah-langkah termasuk menggunakan sistem Secure 3D seperti Visa "Verified by Visa" teknologi, yang menambahkan langkah tambahan untuk proses verifikasi online. Makalah ini menyimpulkan bahwa situs yang menggunakan langkah-langkah yang dilindungi dari serangan - tapi dari 400 situs ritel terbesar di internet, hanya 47 memiliki perlindungan.
Namun, rep Visa adalah menerima penelitian. "Visa menyambut upaya industri dan akademis untuk mengidentifikasi dan alamat dirasakan kerentanan dalam sistem pembayaran," kata mereka.
Namun konsumen masih beresiko. Menurut Dr. Martin Emms, salah satu co-penulis kertas, tidak ada cara untuk melindungi dari serangan ini, hanya beberapa langkah untuk mengambil untuk membatasi kerusakan dari pelanggaran keamanan. Hanya menggunakan satu kartu online dapat membantu limit risiko, bersama dengan tetap waspada untuk pembelian belum diverifikasi.