英國(guó)紐卡斯?fàn)柎髮W(xué)研究人員的在一篇研究論文中表示,在“短短六秒”的時(shí)間內(nèi),Visa的信用卡支付系統(tǒng)便能被成功入侵。這一安全漏洞或許正是使得英國(guó)Tesco銀行遭受攻擊的入口,當(dāng)時(shí)這家銀行被迫全面關(guān)閉網(wǎng)上銀行系統(tǒng),但還是損失了250萬英鎊。
這一報(bào)告還表示,這類網(wǎng)絡(luò)攻擊并不是那些高級(jí)黑客所為。對(duì)于一個(gè)要竊取信用卡數(shù)據(jù)信息庫(kù)的黑客來說,他只需一個(gè)可上網(wǎng)的筆記本電腦和一些基本的猜測(cè)即可。
博士生穆罕默德·阿里(Mohammed Ali)領(lǐng)導(dǎo)的研究團(tuán)隊(duì)把這種方法稱為“分布式猜測(cè)攻擊”(Distributed Guessing Attack)。其操作方法很簡(jiǎn)單:黑客通過生成隨機(jī)數(shù),來猜測(cè)信用卡卡號(hào),到期日期和安全碼(即CVV代碼,通常是指卡背面的三位數(shù)字)等。
接下來,研究人員一次一個(gè)字段地在不同的在線支付網(wǎng)站上測(cè)試他們的密碼組合。由于大多數(shù)的電子商務(wù)網(wǎng)站都要求,信用卡支付的數(shù)據(jù)字段要有不同的變體,因此更容易使用排除的方式來逐個(gè)審查每個(gè)數(shù)字,而不是一次性將這些數(shù)據(jù)集合在一起。這份報(bào)告顯示,網(wǎng)絡(luò)商家使用的數(shù)據(jù)字段有三個(gè)級(jí)別:卡號(hào)+到期日期;卡號(hào)+到期日+安全碼;卡號(hào)+到期日+安全碼+地址。
黑客在“轟擊”多個(gè)供應(yīng)商網(wǎng)站時(shí),既要避開個(gè)人網(wǎng)站對(duì)請(qǐng)求次數(shù)的限制,還要避免觸犯欺詐防護(hù)措施。
阿里在發(fā)布于IEEE安全和隱私期刊上的新聞稿中談到:“當(dāng)前的支付系統(tǒng)無法檢測(cè)出來自不同網(wǎng)站的多次無效支付請(qǐng)求,從而允許攻擊者可以對(duì)每個(gè)信用卡的數(shù)據(jù)字段進(jìn)行無限次的猜測(cè),直到達(dá)到每個(gè)網(wǎng)站設(shè)定的上限(通常為10或20次)。
一旦黑客擁有一組有效的信用卡號(hào)碼后,通過幾次的猜測(cè)他便能得到有效的數(shù)據(jù)。由于大多數(shù)信用卡的有效期限為5年,因此黑客最多只要猜60次就能得到正確的到期日。
三位數(shù)字的安全碼有些難度,但也不是特別困難;團(tuán)隊(duì)估計(jì)最多需要試1000次。因此就算網(wǎng)站限制輸入次數(shù),只要把過程分拆至1000多個(gè)網(wǎng)站上進(jìn)行便可在幾秒鐘內(nèi)快速破解。
為了檢測(cè)這一方法,Newcastle團(tuán)隊(duì)通過借助自己的信息卡數(shù)據(jù)和程序來執(zhí)行攻擊。
特別是對(duì)于Visa安全性能來說,這是一個(gè)大問題。因?yàn)檠芯繄F(tuán)隊(duì)發(fā)現(xiàn)信用卡發(fā)行機(jī)構(gòu)MasterCard在10次以內(nèi)失敗的認(rèn)證就會(huì)偵測(cè)到異樣,即使是在在多個(gè)站點(diǎn)上進(jìn)行操作,也完全不受“分散式猜測(cè)攻擊”影響。也就是說,只有Visa和MasterCard 被納入到這次研究,因此團(tuán)隊(duì)又對(duì)其他信用卡提供商的安全性進(jìn)行了一系列的“分布式猜測(cè)攻擊”測(cè)驗(yàn)。
針對(duì)這一研究報(bào)告,Visa發(fā)言人并不在意“分布式猜測(cè)攻擊”帶來的大規(guī)模風(fēng)險(xiǎn),并將責(zé)任放在供應(yīng)商身上。他還表示,Visa致力與發(fā)卡機(jī)構(gòu)或收購(gòu)商展開合作,避免他人非法竊取和盜用持卡人的數(shù)據(jù)資料;商家和發(fā)行機(jī)構(gòu)也能夠采取一些相應(yīng)的步驟來阻止暴力攻擊。”
這些步驟包括采用3D安全系統(tǒng),如“Visa驗(yàn)證”技術(shù),這增加了在線驗(yàn)證過程的額外程序。 這份報(bào)告的結(jié)論是,采用這些措施的網(wǎng)站可以免受“分布式猜測(cè)攻擊”,但在400個(gè)線上零售網(wǎng)站中,只有47個(gè)網(wǎng)站采用3-D安全認(rèn)證。
Visa其后回應(yīng)這一研究并表示,他們歡迎業(yè)界和學(xué)界分析和解決支付系統(tǒng)漏洞的努力。
但消費(fèi)者群體仍處于危險(xiǎn)之中。這份研究報(bào)告的作者之一,Martin Emms博士表示,目前沒有任何可以避免這些攻擊的辦法,只能通過采取相應(yīng)的措施來限制安全漏洞的危害。要想限制風(fēng)險(xiǎn),人們需做到在線支付僅用一卡,并對(duì)未經(jīng)驗(yàn)證的消費(fèi)保持警惕。