dimarts, 17 de gener de 2017

Sis segons per esbrinar-ho tot sobre una tarja de crèdit

Un grup d'experts de la Universitat de Newcastle ha descobert com funciona el mètode que li va costar al banc Tesco 2,5 milions de lliures el mes de novembre del 2016. Les fallades en el sistema de pagaments de targetes de Visa permeten descobrir el número de targeta de crèdit / dèbit, data de caducitat i codi de seguretat i fer-ho, a més, en temps rècord: sis segons.
Els criminals que van portar a terme aquest robatori van aprofitar un mètode terroríficament senzill per desvetllar aquesta informació: l'anomenat Distributed Guessing Attack permetia aprofitar el fet que el sistema de Visa no detecta que els cibercriminals feien múltiples intents d'aconseguir les dades de les targetes i, en combinar tots els intents fallits, anaven aconseguint la informació desitjada.

Visa tira pilotes fora
Com explicava Mohammad Ali, un dels responsables de l'estudi, deia com aquests intents fallits se sumaven al fet que cada lloc web de compres en línia preguntava dades diferents per validar aquestes compres. Tota aquesta informació acaba sent útil per completar el trencaclosques i aconseguir la informació de la targeta de crèdit.


"El nombre d'intents il·limitats", apuntava Ali, "combinat amb les variacions en els camps de dades de pagaments fan terroríficament senzill per als atacants aconseguir generar tots els detalls de la targeta camp per camp". Cada camp generat de la targeta pot ser usat en successió per generar el següent camp, i aquest cicle es repeteix fins que s'aconsegueix tota aquesta informació.


En l'estudi revelaven que fins i tot si únicament tenim els primers sis dígits de la targeta (que només revelen el banc i el tipus de targeta) "un hacker pot obtenir les tres parts essencials d'informació per fer una compra en línia en tan sols sis segons".
Visa no sembla haver reconegut la validesa de l'estudi, i els seus responsables han indicat que "la investigació no té en compte les múltiples capes de prevenció de frau que hi ha als sistemes de pagament, cadascuna de les quals ha de ser validada per poder fer una transacció en el món real", i apuntaven que els comerços i els emissors de targeta poden prendre diferents mesures per evitar atacs per força bruta com aquests.


Font: The Guardian

Cap comentari:

Publica un comentari a l'entrada

Aquest és un blog amb moderador dels comentaris. Per tant, no apareixen immediatament