WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Hack thẻ tín dụng Visa trong vòng 6 giây
Các nhà nghiên cứu từ Đại học Newcastle (Anh) vừa phát hiện rằng tấn công dò đoán phát tán (distributed guessing attack có thể tìm ra chi tiết thẻ tín dụng Visa trong vài giây.
Các nhà nghiên cứu đã nghiên cứu các cơ chế bảo vệ thanh toán thẻ tín dụng, và phát hiện rằng Visa, mạng thẻ tín dụng lớn nhất thế giới, tồn tại lỗ hổng cho phép dò đoán không giới hạn nếu các dò đoán được phát tán từ nhiều trang web.
Ngược lại, Mastercard có thể phát hiện một cuộc tấn công dò đoán sau ít hơn mười lần thử thông qua các kiểm tra tập trung vào các giao dịch từ nhiều trang web.
Bằng cách khai thác các trang web yêu cầu các mẩu thông tin khác nhau, các nhà nghiên cứu có thể ghép lại đầy đủ chi tiết thẻ tín dụng một cách nhanh chóng. Lỗ hổng này có thể giúp tin tặc dễ dàng có được từng phần thông tin thẻ tín dụng từ các vụ xâm phạm dữ liệu để vượt qua các biện pháp bảo vệ xác thực thanh toán.
Khi được kết hợp lại, hai điểm yếu trong hệ thống xác thực thanh toán của Visa có thể cho phép một cuộc tấn công dò đoán tự động trên nhiều trang web, nhanh chóng trả về thông tin thẻ hoàn chỉnh và cho phép giao dịch gian lận, nghiên cứu cho thấy.
"... Chúng ta hoàn toàn có thể chạy nhiều bot cùng một lúc trên hàng trăm trang web thanh toán mà không gây ra bất kỳ báo động", các nhà nghiên cứu cho biết.
Một bot được cấu hình để chạy trên 30 website có thể thu thập các thông tin cần thiết trong vòng bốn giây.
Các nhà nghiên cứu vạch ra 342 trang web thanh toán có nguy cơ bị tấn công dò đoán phát tán, và đã thông báo về lỗ hổng cho 36 trang web đứng đầu, cũng như Visa.
Một số trang web đã thay đổi cách tiếp cận quy trình xử lý thanh toán từ khi các nhà nghiên cứu công bố thông tin. Tuy nhiên, đại đa số (78%) trang web không làm gì cả, và một số bổ sung trường xác thực thẻ tín dụng, giúp cuộc tấn công dễ dàng hơn.
Theo các nhà nghiên cứu, các trang web nên chuẩn hóa giao diện thanh toán, và yêu cầu cùng số lượng trường thẻ tín dụng cần điền để giao dịch.
Hiện vẫn chưa rõ Visa có thể sửa đổi hệ thống của mình với cổng thanh toán phân phối trên toàn cầu hay không, bao gồm phát hiện tập trung nhiều dò đoán trên một số website.
Theo ITnews
Các nhà nghiên cứu đã nghiên cứu các cơ chế bảo vệ thanh toán thẻ tín dụng, và phát hiện rằng Visa, mạng thẻ tín dụng lớn nhất thế giới, tồn tại lỗ hổng cho phép dò đoán không giới hạn nếu các dò đoán được phát tán từ nhiều trang web.
Ngược lại, Mastercard có thể phát hiện một cuộc tấn công dò đoán sau ít hơn mười lần thử thông qua các kiểm tra tập trung vào các giao dịch từ nhiều trang web.
Bằng cách khai thác các trang web yêu cầu các mẩu thông tin khác nhau, các nhà nghiên cứu có thể ghép lại đầy đủ chi tiết thẻ tín dụng một cách nhanh chóng. Lỗ hổng này có thể giúp tin tặc dễ dàng có được từng phần thông tin thẻ tín dụng từ các vụ xâm phạm dữ liệu để vượt qua các biện pháp bảo vệ xác thực thanh toán.
[video=youtube;uwvjZGKwKvY]https://www.youtube.com/watch?v=uwvjZGKwKvY[/video]
Khi được kết hợp lại, hai điểm yếu trong hệ thống xác thực thanh toán của Visa có thể cho phép một cuộc tấn công dò đoán tự động trên nhiều trang web, nhanh chóng trả về thông tin thẻ hoàn chỉnh và cho phép giao dịch gian lận, nghiên cứu cho thấy.
"... Chúng ta hoàn toàn có thể chạy nhiều bot cùng một lúc trên hàng trăm trang web thanh toán mà không gây ra bất kỳ báo động", các nhà nghiên cứu cho biết.
Một bot được cấu hình để chạy trên 30 website có thể thu thập các thông tin cần thiết trong vòng bốn giây.
Các nhà nghiên cứu vạch ra 342 trang web thanh toán có nguy cơ bị tấn công dò đoán phát tán, và đã thông báo về lỗ hổng cho 36 trang web đứng đầu, cũng như Visa.
Một số trang web đã thay đổi cách tiếp cận quy trình xử lý thanh toán từ khi các nhà nghiên cứu công bố thông tin. Tuy nhiên, đại đa số (78%) trang web không làm gì cả, và một số bổ sung trường xác thực thẻ tín dụng, giúp cuộc tấn công dễ dàng hơn.
Theo các nhà nghiên cứu, các trang web nên chuẩn hóa giao diện thanh toán, và yêu cầu cùng số lượng trường thẻ tín dụng cần điền để giao dịch.
Hiện vẫn chưa rõ Visa có thể sửa đổi hệ thống của mình với cổng thanh toán phân phối trên toàn cầu hay không, bao gồm phát hiện tập trung nhiều dò đoán trên một số website.
Theo ITnews
Chỉnh sửa lần cuối bởi người điều hành: