cartoes-de-credito

 

Um grupo de especialistas da Universidade de Newcastle descobriu como funciona o método que custou ao banco Tesco 2.5 milhões de libras no mês passado. As falhas no sistema de pagamentos dos cartões Visa revelaram o número dos cartões de crédito/débito, data de caducidade e códigos de segurança. E tudo isso em um tempo recorde: seis segundos.

O método usado para revelar os dados é relativamente simples, e se chama Distribuited Guessing Attack. Ela aproveita o fato do sistema da Visa não detectar que os cibercriminosos faziam múltiplas tentativas de obter os dados, combinando todas as tentativas fracassadas para obter a informação desejada.

 

Várias bolas fora da Visa

 

vulnerabilidade-cartoes

 

Cada site de compras online pergunta por dados diferentes para validar as compras. Toda essa informação foi útil para completar o quebra-cabeça e obter os dados dos cartões.

As tentativas ilimitadas combinadas com as variações nos campos de dados de pagamento tornou tudo muito simples para os atacantes. Cada campo gerado pelo cartão pode ser usado para as tentativas, e o ciclo se repete até que todos os dados sejam revelados.

O estudo mostra que até quando temos apenas os seis primeiros dígitos do cartão (que só revelam o banco e o tipo do cartão) é possível ober as três partes essenciais de informação para uma compra online. E, repito: em apenas seis segundos.

Por sua parte, a Visa parece não reconhecer a validade do estudo. Seus responsáveis informam que “a investigação não leva em consideração as múltiplas capas de prevenção de fraude que existem nos sistemas de pagamento, que precisam ser validades para uma transação no mundo real”.

Também aponta que os comércios e emissores de cartões podem tomar medidas diferentes para evitar ataques de força bruta.

Mas que o risco existe, existe. Fato.

 

Via The Guardian