分散猜測到期日及檢查碼,研究人員破解 VISA 信用卡只需 6 秒?

作者 | 發布日期 2016 年 12 月 06 日 9:14 | 分類 支付方案 , 資訊安全 follow us in feedly

信用卡是網路支付的主要方法,其安全必須受保障。不過最近有研究人員發現,他們只要手上有 VISA 信用卡號碼,便可在 6 秒內破解信用卡到期日和檢查碼,進而盜用身分。




猜測過程分散進行 6 秒可破解到期日和安全碼

一般而言,購物網站會限制信用卡號碼及其到期日和檢查碼(CVV)的輸入次數,以免被人撞破。不過網上有大量的商店,只要把破解的程序分拆到各個網站同時進行,事情就變得更容易。

英國新堡大學(Newcastle University)的研究人員發現,他們透過「分散式猜測攻擊(Distributed Guessing Attack)」,便可在 6 秒內得到正確的信用卡到期日和檢查碼。研究稱,信用卡有效期一般最多為 5 年,因此只需試 60 次便可;三位數字的檢查碼稍難,需要試 1,000 次。因此就算網站限制輸入次數,只要把過程分拆至多個網站進行便可快速破解。

研究在 389 個常到的網站進行,結果發現僅得 47 個網站用到 3-D Secure 認證,成功阻擋攻擊,但有 291 個網站只會單純地驗證到期日和檢查碼,而且當中有 238 個網站允許超過 6 次以上的嘗試,大幅減低破解的難度;更有 26 個網站只需驗證到期日,連檢查碼都不用。

另一信用卡發行機構 MasterCard 則不受「分散式猜測攻擊」影響,因為他們的支付網路是集中的,在 10 次以內失敗的認證便會偵測到異樣。

VISA 回應:研究沒考慮其他防欺詐措施

VISA 其後回應有關研究稱,他們歡迎業界和學界分析和解決支付系統漏洞的努力,但支付系統中本身有多層防欺詐措施,交易必須通過這些措施方能完成,這一點在他們的研究沒有考慮到。

VISA 表示他們致力與發卡機構合作,避免他人非法獲得持卡人資料;假如消費者信用卡被盜用,他們亦會受保護,毋須消費者承擔責任。

VISA 又指他們已提供更加安全、建基於 3D Secure 的 Verified by VISA ,假如商家選擇不使用便會承擔欺詐的風險,因此採用 3-D Secure 認證是必須的。

(本文由 Unwire Pro 授權轉載) 

關鍵字:

發表迴響