Serial Experiments Lain / Pioneer LDC
Дослідники з Ньюкаслського університету виявили, що за допомогою розподіленого перебору різних значень можна за кілька секунд підібрати діючі параметри карти платіжної мережі Visa. Стаття відправлена в IEEE Security & Privacy, препринт доступний на сайті університету.
Багато сучасних інтернет-магазини при здійсненні платежу за допомогою банківської карти крім традиційних даних (номер карти, ім'я власника і термін дії) також в цілях безпеки запитують код перевірки справжності CVV / CVC, видрукуваний на зворотному боці - таким чином, зловмисник, який заволодів іншими даними карти, не може зробити платіж. Нова робота британських фахівців з інформаційної безпеки показує, що тризначний CVV-код картки платіжної системи Visa можна отримати прямим перебором за допомогою розподілених запитів.
Автори взяли дані про топ-400 онлайн-магазинах за рейтингом сервісу Alexa, що належить Amazon. З отриманого масиву дослідники прибрали найбільш захищені магазини, які не дозволили їм отримати дані, в результаті чого список скоротився до 389 сайтів. За допомогою фреймворка Selenium автори створили бота для Mozilla Firefox, який використовував доступний список сайтів для великої кількості одночасно розсилаються запитів на проведення транзакції з різними параметрами карти - фактично, таким чином розробники реалізували розподілений прямий перебір.
В результаті проведених експериментів автори з'ясували, що 291 сайт з 389 перевірених вимагав введення мінімальної інформації всього в трьох полях: номер карти, термін дії та CVV, а 26 магазинів навіть не запитували CVV-код і вимагали заповнення всього двох полів. Решта сайти виявилися більш захищеними: 25 використовували четверте поле для запиту поштового індексу, а що залишилися 47 використовували технологію додаткового захисту 3-D Secure .
Дослідники виявили, що розподілений брутфорс дозволяє за лічені секунди підібрати не тільки CVV-код картки платіжної системи Visa, а й, наприклад, термін дії. Таким чином, зловмисник може тільки при наявності номера карти підібрати інші параметри за кілька секунд. При цьому платіжна система Visa під час проведених експериментів ніяк не реагувала на багаторазові запити з різних сайтів, що містять неправильні дані. За словами авторів, платіжна система Mastercard в аналогічній ситуації визначає атаку перебором менше, ніж за десять спроб запитів з різних сайтів.
Перед публікацією дослідження автори повідомили представників Visa, проте компанія прокоментувала виявлену уразливість в такий спосіб: «Дослідження не враховує багаторівневий захист від шахрайства, яка працює в платіжній системі і перешкоджає проведенню несанкціонованих транзакцій в реальному світі». Необхідно відзначити, що представники Visa не спростували можливість підбору даних, а також не уточнили, як саме відбувається захист від шахрайських транзакцій - можливо, мова йде про технології 3-D Secure, проте дані авторів дослідження показали, що багато сайтів не використовують цей інструмент.
Раніше британська компанія Intelligent Environments розробила технологію застосування смайликів замість цифр в якості пін-коду для доступу до банківських систем. Це дозволяє використовувати 3498308 різних комбінацій емодзі як пін-коду, в той час як число комбінацій з чотирьох неповторяющихся цифр всього 7290 - таким чином, використання смайликів виправдано з точки зору безпеки.
Микола Воронцов