Как «взломать» карту Visa
Специалисты изучили топ сайтов по версии аналитической компании Alexa и выбрали 400 наиболее популярных из них. Затем они исключили из списка ресурсы с надежной системой защиты, оставив 342 сайта для экспериментов.
На выбранных ресурсах ученые пытались провести оплату с помощью одной и той же банковской карты. Обычно срок действия Visa не превышает пяти лет, так что на формирование запросов с различными комбинациями дат и трехзначных CVV-кодов ушло около 6 секунд.
Результаты эксперимента
Ученые установили, что адресом, привязанным к карте, интересовались далеко не все ресурсы. Ни один из сайтов не проверял подлинности фамилии и имени держателя Visa.
Эксперты уверяют, что хакерам не нужно даже покупать базы данных с номерами карт. Подбор номера осуществляется аналогичным брутфорсом с учетом правил составления номера карты.
Специалисты подчеркивают, что Mastercard не имеют такой уязвимости – система блокирует множественные запросы для одной карты из разных магазинов, а также передает информацию о них. В безопасности и карты с поддержкой технологии 3D Secure, а также карты chip-and-PIN.
303 из 342 сайтов (78% ресурсов) не отреагировали на сообщение об уязвимости и не предприняли мер для защиты от атак. Некоторые ресурсы уже получили обновления, но часто оказывалось, что новая система безопасности работала еще хуже, чем старая.
