Αναλυτές προειδοποιούν ότι χάκερ μπορούν να μαντέψουν το νούμερο, την ημερομηνία λήξης, αλλά και τον κωδικό ασφαλείας της πιστωτικής ή χρεωστικής κάρτας σας Visa μόλις μέσα σε έξι δευτερόλεπτα.
Ειδικοί στο Πανεπιστήμιο του Newcastle στο Ην. Βασίλειο αναφέρουν ότι είναι «τρομακτικά» εύκολο να εκτεθούν διαδικτυακά τα στοιχεία μιας πιστωτικής κάρτας Visa. Χρησιμοποιώντας τη μέθοδο «guesswork» (μέσω μαντέματος) με ένα laptop και πρόσβαση στο διαδίκτυο, χάκερ μπορούν να έχουν πρόσβαση στα στοιχεία σας μόλις μέσα σε έξι δευτερόλεπτα. Η Distributed Guessing Attack είναι μια μέθοδος που πιθανόν χρησιμοποιήθηκε και στην πρόσφατη ληστεία στην τράπεζα Tesco, όπου χάθηκαν 2,5 εκατ. λίρες.
Οι χάκερ χρησιμοποίησαν την DGA για να προσπεράσουν τα χαρακτηριστικά ασφαλείας που χρησιμοποιούνται για τις διαδικτυακές απάτες, δίνοντας έτσι «πάτημα» για την επίθεση στη βρετανική τράπεζα.
Μόνο οι κάρτες Visa επηρεάζονται από το συγκεκριμένο κενό ασφαλείαςΜε μια έξυπνη brute force επίθεση, οι ερευνητές ανακάλυψαν ότι αν οι μαντεψιές για τον κωδικό ασφαλείας της κάρτας γίνουν από διαφορετικούς ιστοτόπους, δεν ενεργοποιείται το σύστημα ασφαλείας της κάρτας. Η διαδικασία συμπεριλαμβάνει έλεγχο πολλών εκατοντάδων συνδυασμών από ημερομηνίες λήξης και CVV αριθμούς από διαφορετικά sites, ώστε να αποφευχθούν τα μέτρα ασφαλείας για απάτες.
Οι ερευνητές επεξηγούν τη μέθοδο σε εργασία του Ινστιτούτου Ηλεκτρολόγων Μηχανικών και Μηχανικών Ηλεκτρονικών Υπολογιστών, η οποία επιβεβαιώνει ότι αυτή η μέθοδος hacking δεν απαιτεί κάποιες ειδικές γνώσεις ή εξοπλισμό, αλλά μόνο ένα laptop και σύνδεση στο διαδίκτυο.
Οι πιστωτικές και χρεωστικές κάρτες MasterCard δεν επηρεάζονται από αυτό το κενό ασφαλείας, καθώς μπορούν να εντοπίσουν τη συγκεκριμένη μέθοδο ακόμα κι αν χρησιμοποιούνται πολλοί διαφορετικοί ιστότοποι. Το συγκεκριμένο σύστημα είναι σχεδιασμένο να απενεργοποιείται έπειτα από περίπου 10 προσπάθειες, όπως αναφέρουν οι ερευνητές.
Ωστόσο, η Visa δεν είναι σχεδιασμένη να ελέγχει ταυτόχρονα πολλά websites. Όπως φαίνεται και στο βίντεο παρακάτω, ο χάκερ μπορεί πολύ εύκολα να συλλέξει τις απαραίτητες πληροφορίες, δοκιμάζοντας τους διαφορετικούς συνδυασμούς αριθμών καρτών, CVV και ημερομηνιών λήξης, αποφεύγοντας το όριο προσπαθειών.
Προτού δημοσιεύσουν τα ευρήματά τους, οι ερευνητές επικοινώνησαν με τη Visa. Δυστυχώς, η εταιρεία δεν έδωσε την απαραίτητη προσοχή στην έρευνα. Σε ένα email που έστειλε στην «Independent» η Visaαναφέρει ότι «η έρευνα δεν λαμβάνει υπ’ όψιν της τα πολλαπλά επίπεδα προστασίας από απάτες που υπάρχουν ήδη στο σύστημα πληρωμών, καθένα από τα οποία θα μπει στη μέση προτού ολοκληρωθεί μια συναλλαγή στην πραγματικότητα».
Η τράπεζα Tesco ανέφερε ότι η απάτη τον περασμένο μήνα επηρέασε 9.000 πελάτες της. Η Visa όμως δεν θέλει να ανησυχείτε γι’ αυτό: «Το πιο σημαντικό που πρέπει να θυμάστε είναι ότι αν ένας αριθμός κάρτας χρησιμοποιηθεί σε απάτη, ο κάτοχος αποποιείται τις ευθύνες και προστατεύεται».
Επιμέλεια: Παύλος Κρούστης