信用卡是網上支付的主要方法,其安全必須受保障。不過最近有研究人員發現,他們只要手上有 VISA 信用卡號碼,便可在 6 秒內破解信用卡到期日和安全號碼,繼而盜用身分。
猜測過程分散進行 6 秒可破解到期日和安全碼
一般而言,購物網站會限制信用卡號碼及其到期日和安全碼(CVV)的輸入次數,以免被人撞破。不過網上有大量的網店,只要把破解的工序分拆到各個網站同時進行,事情就變得更容易。
英國紐卡素大學的研究人員發現,他們透過「分散式猜測攻擊(Distributed Guessing Attack)」,便可在 6 秒內得到正確的信用卡到期日和安全碼。研究稱,信用卡有效期一般最多為五年,因此只需試 60 次便可;三位數字的安全碼稍難,需要試 1,000 次。因此就算網站限制輸入次數,只要把過程分拆至多個網站進行便可快速破解。
研究在 389 個常到的網站進行,結果發現僅得 47 個網站用到 3-D Secure 認證,成功阻擋攻擊,但有 291 個網站只會單純地驗證到期日和安全碼,而且當中有 238 個網站允許超過 6 次以上的嘗試,大幅減低破解的難度;更有 26 個網站只需驗證到期日,連安全碼都不用。
另一信用卡發行機構 MasterCard 則不受「分散式猜測攻擊」影響,因為他們的支付網絡是集中的,在 10 次以內失敗的認證便會偵測到異樣。
VISA 回應:研究沒考慮其他防欺詐措施
VISA 其後回應有關研究稱,他們歡迎業界和學界分析和解決支付系統漏洞的努力,但支付系統中本身有多層防欺詐措施,交易必須通過這些措施方能完成,這一點在他們的研究沒有考慮到。
VISA 表示他們致力與發卡機構合作,避免他人非法獲得持卡人資料;假如消費者信用卡被盜用,他們亦會受保護,毋須消費者承擔責任。
VISA 又指他們已提供更加安全、建基於 3D Secure 的 Verified by VISA ,假如商家選擇不使用便會承擔欺詐的風險,因此採用 3-D Secure 認證是必須的。
Source : PC World
