分散猜測到期日及安全碼 研究人員破解 VISA 信用卡只需 6 秒 ?!

信用卡是網上支付的主要方法,其安全必須受保障。不過最近有研究人員發現,他們只要手上有 VISA 信用卡號碼,便可在 6 秒內破解信用卡到期日和安全號碼,繼而盜用身分。

信用卡是網上支付的主要方法,其安全必須受保障。不過最近有研究人員發現,他們只要手上有 VISA 信用卡號碼,便可在 6 秒內破解信用卡到期日和安全號碼,繼而盜用身分。

 

猜測過程分散進行 6 秒可破解到期日和安全碼

一般而言,購物網站會限制信用卡號碼及其到期日和安全碼(CVV)的輸入次數,以免被人撞破。不過網上有大量的網店,只要把破解的工序分拆到各個網站同時進行,事情就變得更容易。

英國紐卡素大學的研究人員發現,他們透過「分散式猜測攻擊(Distributed Guessing Attack)」,便可在 6 秒內得到正確的信用卡到期日和安全碼。研究稱,信用卡有效期一般最多為五年,因此只需試 60 次便可;三位數字的安全碼稍難,需要試 1,000 次。因此就算網站限制輸入次數,只要把過程分拆至多個網站進行便可快速破解。

 

研究在 389 個常到的網站進行,結果發現僅得 47 個網站用到 3-D Secure 認證,成功阻擋攻擊,但有 291 個網站只會單純地驗證到期日和安全碼,而且當中有 238 個網站允許超過 6 次以上的嘗試,大幅減低破解的難度;更有 26 個網站只需驗證到期日,連安全碼都不用。

另一信用卡發行機構 MasterCard 則不受「分散式猜測攻擊」影響,因為他們的支付網絡是集中的,在 10 次以內失敗的認證便會偵測到異樣。

 

VISA 回應:研究沒考慮其他防欺詐措施

VISA 其後回應有關研究稱,他們歡迎業界和學界分析和解決支付系統漏洞的努力,但支付系統中本身有多層防欺詐措施,交易必須通過這些措施方能完成,這一點在他們的研究沒有考慮到。

VISA 表示他們致力與發卡機構合作,避免他人非法獲得持卡人資料;假如消費者信用卡被盜用,他們亦會受保護,毋須消費者承擔責任。

VISA 又指他們已提供更加安全、建基於 3D Secure 的 Verified by VISA ,假如商家選擇不使用便會承擔欺詐的風險,因此採用 3-D Secure 認證是必須的。

Source : PC World