憂慮すべきニュースの中で、紙英国のニューカッスル大学の研究者らは、Visa のクレジット カード支払いシステムはオンラインで「わずか 6 秒」で侵害される可能性があると主張しています。このセキュリティ上の欠陥が侵入口となった可能性があります。英国テスコ銀行へのサイバー攻撃250万ポンドを失った。
これも高度なハッキングが行われているわけではない。断固とした泥棒がカードデータが詰まった宝の山を手に入れるのに必要なのは、インターネット接続のあるラップトップと基本的な推測だけだ、と同紙は述べている。
関連項目:
博士課程の学生モハメド・アリが率いる研究チームは、この手法を「分散推測攻撃」と呼んでいる。これは単純な手法です。泥棒は乱数を生成して、カード番号、有効期限、CVV コード (通常はカードの裏面に記載されている 3 桁の番号) の組み合わせを推測します。以下のビデオは、これらすべてのフィールドを素早く生成することがいかに簡単かを示しています。
次に、複数のオンライン決済サービスの組み合わせを一度に 1 フィールドずつテストします。多くの Web サイトでは、支払い入力フィールドにさまざまなデータのバリエーションを要求するため (オンライン ベンダーには最低限のセキュリティ要件はありません)、セットを一度にまとめることを期待するよりも、消去法を使用して各数値を個別に見つける方が簡単です。 。この論文によると、Web 販売業者が使用するデータ フィールドには 3 つのレベルがあります。カード番号 + 有効期限です。カード番号 + 有効期限 + CVV;カード番号 + 有効期限 + CVV + 住所。
クレジット: ニューカッスル大学コンピューティングサイエンス学部
複数のベンダーのサイトを攻撃することにより、窃盗犯は購入試行に対する個々のサイトの制限を回避し、詐欺防止措置の発動を回避することもできます。
「...現在のオンライン決済システムは、異なるウェブサイトからの複数の無効な支払いリクエストを検出しません」とアリ氏は述べた。ニュースリリースでの論文の出版に伴うものIEEE のセキュリティとプライバシー。 「これにより、各ウェブサイトで許可された試行回数 (通常は 10 回または 20 回の推測) まで、各カード データ フィールドで無制限の推測が可能になります。」
有効なカード番号を使用してハッキングが開始されると、データを推測するのに驚くほど短時間で済みます。ほとんどのカードは 60 か月間有効なので、有効期限を推測するには最大 60 回の試行が必要です。
マッシュ可能な光の速度
CVV を見つけるのは少し難しくなりますが、それほど難しくはありません。チームは最大で約 1,000 回の試行が必要であると推定しています。 「これを1,000のウェブサイトに広めれば、そのうちの1つが数秒以内に検証されて戻ってくるだろう」とアリ氏は語った。
ニューカッスルのチームは、独自のカードデータとボットを使用して攻撃を実行する方法をテストしました。
これは、Visa のセキュリティに特有の大きな問題であり、MasterCard のオンライン詐欺防止機能は、推測攻撃を 10 回以下の試行で、さらには複数のサイトにまたがって検出したことをチームが発見したためです。とはいえ、この調査には Visa と MasterCard のみが含まれているため、分散型推測攻撃からの他のクレジット カード プロバイダーの安全性については陪審は判断を下しています。
同紙の暴露を受けて、ガーディアンの報道によると、Visaの広報担当者はこの脆弱性による大規模なリスクを否定し、その責任をベンダーに負わせたという。彼らは、Visaは「不正行為を低レベルに抑えることに尽力しており、カード発行会社やアクワイアラーと緊密に連携して、カード会員データの違法な入手や使用を非常に困難にしている。また、総当り攻撃を阻止するために加盟店や発行会社が講じることができる措置もある」と述べた。 」
これらの手順には、Visa の「Verified by Visa」テクノロジーのような 3D セキュア システムの採用が含まれており、オンライン認証プロセスに追加の手順が追加されます。この論文は、これらの対策を採用しているサイトは攻撃から保護されていると結論付けていますが、インターネット最大の小売サイト 400 件のうち、保護されていたのは 47 件のみでした。
それでも、ビザの担当者は調査を受け入れてくれました。 「ビザは、決済システムに認識されている脆弱性を特定し、それに対処するための産業界と学術機関の取り組みを歓迎する」と彼らは述べた。
しかし、消費者は依然として危険にさらされています。この論文の共著者の一人であるマーティン・エムズ博士によると、これらの攻撃から身を守る方法はなく、セキュリティ侵害の被害を制限するために講じるべき手段があるだけだという。オンラインで 1 枚のカードを使用するだけで、リスクを制限でき、未確認の購入に注意を払うことができます。
「しかし、ハッキングされない唯一の確実な方法は、お金をマットレスの中に入れておくことです。それはお勧めできません。」と彼は言いました。