学术界链接支付卡片漏洞到Tesco Bank Cyber Heist
纽卡斯尔大学的研究人员发现了一个可以利用的支付卡脆弱性,以便在线进行欺诈性交易。
对前400名在线商家的付款地点的调查显示,“分布式猜测攻击”可用于解决任何签证卡的卡号,到期日和安全码。
研究人员在学术纸上说,这次攻击将网站的卡验证机制归于网站以帮助攻击者生成制作在线交易所需的所有安全数据字段。
根据监护人,研究人员认为这种攻击方法可能用于欺骗2016年11月的250万英镑的Tesco银行客户。
研究人员表示,对于具有笔记本电脑和互联网连接的任何人来说,这种猜测攻击方法是“可怕的”。
研究人员发现,攻击者可以利用支付网站使用不同的安全检查来构建软件工具,以便在一次揭示支付卡详细信息的分布式猜测攻击。
研究人员表示,通过使用不同的商家的网站来连续使用每个字段来生成下一个字段。实验揭示了这可以在六秒钟内完成。
软件工具会生成卡的安全数据的不同变体,然后在全球范围内测试数千个网站的组合,直到找到工作组合。
研究人员认为,他们的发现的影响很大,因为卡详细信息可用于将受害者银行账户的资金转账给海外的匿名受援人员使用金融服务公司。
使用Visa和MasterCard进行的付款卡进行了研究,发现Visa卡易受攻击,因为它们不会在不同网站上执行跨交易的集中检查。
然而,研究人员发现,MasterCard的集中式网络在少于10次尝试后检测到猜测攻击。
研究人员说,使用签证服务验证的签证服务验证的少数有用验证者是安全的。
几个网站,包括世界上一些最大,最受欢迎的网站,在学者们在公开之前提出了他们的发现后,改变了他们的在线支付处理。
在选择的400个商业网站中,只有389个提供足够的信息可用。其中,47采用了额外的安全性,使他们免于攻击,但发现342人被发现脆弱。
学者说,通过标准化或集中化,可以防止这种类型的攻击。标准化意味着所有商家都需要提供相同的支付接口,需要相同的支付卡信息。
可以通过支付网关或卡片支付网络来实现集中化,处理完整的视图,通过与其网络相关的所有付款尝试。
“既不是标准化也没有集中,自然地符合选择互联网或成功商业活动的选择的灵活性和自由,但他们将提供所需的保护,”研究论文说。
签证表示,它欢迎行业和学术努力来识别和解决在支付系统中的感知漏洞,但研究没有考虑到付款系统中存在的多层欺诈预防。
签证在一份声明中表示,它是“致力于在低级欺诈,并与卡发行人和收购者密切合作,使其非常困难非法获得和使用持卡人数据”。
“我们提供了有必要数据的发行人,以了解有关交易风险的知情决策。签证说,商人和发行人还可以采取措施来阻止蛮力尝试。“
如果卡片详细信息被欺诈性地使用,签证称,持卡人受到责任的保护,并且在商家选择不使用签证系统的核查范围内的责任,他们为欺诈的风险造成了欺诈风险。
TESCO银行退还所有受欺诈性交易影响的银行表示,该事件强调银行需要融入客户和金融体系的利益。
