Дослідники з'ясували, що зловмисники методом вгадування можуть за шість секунд дізнатися номер дебетової або кредитної картки Visa, дату закінчення її терміну дії і код безпеки. Експерти з Ньюкаслського університету заявили, що це «лякаюче легко» зробити за допомогою ноутбука та інтернет-з'єднання. Шахраї використовують так звані розподілені атаки типу «вгадування» (Distributed Guessing Attack) для обходу систем безпеки. Саме такий метод міг використовуватися при недавньому зломі Tesco Bank, який все ще розслідується.
Експерти запевняють, що система безпеки не може виявити множинні невдалі спроби введення даних, спрямовані на отримання платіжної інформації карт Visa. Це означає, що шахраї можуть використовувати комп'ютери для систематичного введення різних варіацій даних на сотнях сайтів одночасно. І буквально за кілька секунд методом виключення зловмисники здатні знайти правильний номер карти, дату закінчення терміну дії і тризначний код безпеки, який вказується на задній стороні карти.
Мохаммед Алі (Mohammed Ali), аспірант школи інформатики Ньюкаслського університету, сказав: «Такий тип атаки використовує дві вразливості, які самі по собі не є надто серйозними, але при спільному використанні представляють серйозний ризик для всієї платіжної системи».
По-перше, платіжна система не здатна визначати множинні невдалі запити, що надходять з різних сайтів. Це дозволяє зловмисникам робити велику кількість спроб вгадати дані карт - по 10-20 для кожного сайту. По-друге, різні сайти запитують різні варіації даних для введення, необхідних для підтвердження платежів. Це дає можливість зібрати інформацію разом і скласти з неї «мозаїку» - тобто побачити загальну картину.
"Кожне створене поле карти може бути використано в послідовності для генерування наступного поля і так далі. Якщо спроби поширюються на достатню кількість веб-сайтів, то позитивну відповідь на кожне питання може бути отримано протягом двох секунд - як і у випадку з будь-яким онлайн-платежем ", - додав Алі. Тому хакеру достатньо знати перші шість цифр номера картки, що вказують на банк і тип картки, щоб зробити з неї онлайн-платіж.
Visa зазначила, що в дослідженні не були враховані складні системи для запобігання шахрайства. «Visa спрямована на підтримку низького рівня шахрайства і тісно працює з емітентами карт і їх покупцями, щоб було дуже складно нелегальним способом отримати доступ і використовувати дані власника картки», - зазначила компанія.
