Kriminelle hackere kan nå gjette seg frem til kredittkortnumre, utløpsdato og sikkerhetskode i løpet av så lite som seks sekunder, skriver The Independent i dag.
“Distributed guessing attack”
Ifølge en ny studie publisert i journalen IEE Security & Privacy, er det mulig å bruke et såkalt “Distributed Guessing Attack” for å forbigå svindelbeskyttelsen på enkelt-nettsider.
Angrepet fungerer ved å bruke programvare for å forsøke å betale på mange forskjellige nettsider samtidig, som forbigår beskyttelsmekanismen på enkeltnettsider.
I løpet av få sekunder kommer svaret, som er resultatet av å gjette seg frem til riktige verdier basert på en eliminasjonsprosess.
Annonse
Starter med får sifre
Hackere kan starte angrepet med bare de første settene med sifre på betalingskortet – som er standardtall som angir type betalingskort og utstedende bank, og så sendes det hundrevis av forskjellige kombinasjoner mot hundrevis av forskjellige nettsiders betalingsløsninger.
Dette forbigår enkeltnettsidenes betalingssikringsmekanismer, som sperrer deg ute hvis det er for mange gale forsøk, skriver The Independent.
Skremmende enkelt
– Denne typen angrep utnytter to sårbarheter i systemet som på egenhånd ikke er så alvorlige, men som sammenlagt presenterer en alvorlig risiko for hele betalingssystemet, sier Mohammed Ali, en doktorgradsstudent ved Newcastle-universitet som fant sårbarheten til The Independent.
– For det første detekterer ikke det nåværende betalingssystemet flere feilaktige betalingsforespørsler fra forskjellige nettisder, fortsetter han.
– For det andre ber forskjellige nettsider om forskjellige variasjoner i kortdatafeltet for å validere et kjøp. Det vil si at det er enkelt å bygge opp informasjonen og så sette den sammen som et puslespill.
– Det ubegrensede antallet med forsøk, kombinert med variasjoner i betalingsfeltene gjør det skremmende enkelt for angripere å generere kortdetaljene ett felt om gangen, sier han.
Kilde
The Independent
(Bilde: frankieleon, CC)
Annonse
