如果在电商网站输错多次某信用卡的有效期和CVV安全码,该网站将禁止使用该信用卡,以防止网络罪犯猜解信用卡。但是电商网站有很多,如果把这些网站同时利用起来猜解信用卡的凭证信息呢?结果是只需6秒钟,就可达到目的。
英国纽卡斯尔大学的研究人员在其论文中介绍,猜解信用卡的有效期并不难,一般Visa信用卡的有效期最多5年,猜解次数就是5*12等于60次,而3位的CVV码是1000次。通过把不同的猜解以“分布式”的方法发送到各个有信用卡支付功能的网站上,可以很快的得到正确的有效期和CVV码。
研究人员研究了世界排名前400个网站中的389个网站,只有47个网站使用3D安全授权机制,对此种攻击免疫。有238家网站允许输错6次或6次以上,而更差劲的网站,甚至只需要卡号和有效期,而无需输入CVV码。即便是信用卡拥有者的地址(25个网站需要输入这个地址)也可以被猜出,因为有些银行的分支机构代码就隐含在卡号中。
为了测试网站对此事的关心程度,研究人员按照他们获取信息的不同,把这些网站分成了三类,然后选择了三类用户最多的网站,把他们的研究结果发给这些网站。其中,有28个网站在四个星期内给予了回复,有8家网站打上了补丁(如限制每个IP或卡号输错的次数,添加图片验证,以及需要输入额外的信息)。
解决这种分布式猜解攻击的唯一办就是中心化或标准化,比如万事达卡的支付系统就是中心化的,不管你在哪个支付平台输错了验证信息,都会统一累加到中心系统中,从而有效的避免了分布式猜解攻击。
研究论文下载地址:
http://eprint.ncl.ac.uk/file_store/production/230123/19180242-D02E-47AC-BDB3-73C22D6E1FDB.pdf