我們大多數人都用信用卡線上刷卡過,線上刷卡除了要輸入卡號之外,還要輸入到期日的月年,以及信用卡背後的一組檢查碼,才能成功支付。而為了不讓別人利用多次嘗試來猜到你的輸入資訊,因此通常猜測幾次錯誤後,就會不讓你繼續輸入。
不過,最近英國的研究人員發現了一種作法,可以破解VISA信用卡的到期月年,以及檢查碼的方式,並且還可以不受到輸入次數的限制,進而在線上「幫你」刷卡,這份研究發表在IEEE Security & Privacy 期刊上。
英國新堡大學(Newcastle University)的測試方式稱為「分散式猜測攻擊(Distributed Guessing Attack)」,原理與一般分散式運算的原理差不多,就是將信用卡的所需輸入資訊,丟到不同的網站去猜測處理。每個網站的猜測次數都保持在安全範圍內,那麼就不會被鎖住。
詳細地說,一般信用卡的有效期限大約為五年,因此猜測的次數為六十次(5年x12個月)。至於三位數的檢查碼,最多則要猜測1000次。
研究人員測試了389 個人們常用到的線上電商網站,然後利用多工輸入的方式來進行猜測信用卡資訊,發現了兩個目前信用卡會有的弱點:
第一,目前的VISA支付系統不會偵測同一張信用卡在不同網站多重輸入錯誤的情況,這也暗示了目前信用卡無法有效防止駭客利用多個網站進行分散式猜測攻擊。
第二,雖然電商網站提供的輸入資料欄位各不相同,但是這個攻擊依然奏效。
在這個研究測試的389 個電商網站中,其中僅有 47 個網站成功阻擋了分散式攻擊,而有 291 個網站只會驗證到期日和檢查碼,其中 238 個網站還可以讓使用者輸入錯誤六次以上,其中還有 26 個網站只驗證到期日,不做檢查碼的驗證。而依照現在電腦的運算能力,估計利用這種分散式攻擊大約不到六秒鐘的時間就可以得到結果。
值得一提的是,同樣的問題在MASTERCARD上不會發生,因為他們會檢查多重輸入的問題。
不過VISA對於這個研究結果不覺得很嚴重,他們表示學術研究歸學術研究,這個研究並沒有將現存的電子支付系統中,多重防護詐騙的方式考慮進去。研究者必須將這些因素都考慮進去,才能夠符合現實世界中的實際交易狀況。
此外,VISA也強調,他們也有更安全的機制,電商可以使用 3D Secure技術 (就像是 Visa 或 MasterCard 的安全碼)來防止這些攻擊。
本文授權轉載自:T客邦
