Специалисты по кибербезопасности из университета в Ньюкасле обнаружили, что зная номер карты можно подобрать остальные параметры и осуществить платеж с чужого счета буквально за секунды.

Многие современные интернет-магазины при совершении платежа с помощью банковской карты кроме традиционных данных (номер карты, имя держателя и срок действия) также в целях безопасности запрашивают код проверки подлинности CVV/CVC, отпечатанный на обратной стороне – таким образом, злоумышленник, завладевший остальными данными карты, не может совершить платеж. Британские специалисты по кибербезопасности выяснили, что трехзначный CVV-код карты платежной системы Visa можно за короткий срок получить прямым перебором с помощью распределенных запросов, рассказывается в публикации научно-популярного журнала N+1.

Авторы взяли данные о топ-400 онлайн-магазинах по рейтингу сервиса Alexa, принадлежащего Amazon. Из полученного массива исследователи убрали наиболее защищенные магазины, которые не позволили им получить данные, в результате чего список сократился до 389 сайтов. С помощью фреймворка Selenium авторы создали бота для Mozilla Firefox, который использовал доступный список сайтов для большого количества одновременно рассылаемых запросов на проведение транзакции с разными параметрами карты – фактически разработчики реализовали распределенный прямой перебор.

Исследователи выяснили, что 291 сайт из 389 проверенных требовал ввода минимальной информации всего в трех полях: номер карты, срок действия и CVV, а 26 магазинов даже не запрашивали CVV-код и требовали заполнения всего двух полей. Остальные сайты оказались более защищенными: 25 использовали четвертое поле для запроса почтового индекса, а оставшиеся 47 использовали технологию дополнительной защиты 3-D Secure.

Исследователи обнаружили, что распределенный брутфорс позволяет за считанные секунды подобрать не только CVV-код карты платежной системы Visa, но и срок действия карты. Таким образом, злоумышленник может только при наличии номера карты подобрать остальные параметры за несколько секунд. При этом платежная система Visa во время проведенных экспериментов никак не реагировала на многократные запросы с разных сайтов, содержащие неправильные данные. По словам авторов, платежная система Mastercard в аналогичной ситуации определяет атаку перебором меньше, чем за десять попыток запросов с разных сайтов.

Представители Visa в ответе на запрос исследователей не опровергли возможность подбора данных, а также не уточнили, как именно происходит защита от мошеннических транзакций. Возможно, речь идет о технологии 3-D Secure, однако данные авторов исследования показали, что многие сайты не используют этот инструмент.

Москва, Алексей Усов

© 2016, РИА «Новый День»