“分布式猜解”攻击可六秒钟内搞定Visa卡的安全验证

安全 黑客攻防 分布式
如果在电商网站输错多次某信用卡的有效期和CVV安全码,该网站将禁止使用该信用卡,以防止网络罪犯猜解信用卡。但是电商网站有很多,如果把这些网站同时利用起来猜解信用卡的凭证信息呢?结果是只需6秒钟,就可达到目的。

如果在电商网站输错多次某信用卡的有效期和CVV安全码,该网站将禁止使用该信用卡,以防止网络罪犯猜解信用卡。但是电商网站有很多,如果把这些网站同时利用起来猜解信用卡的凭证信息呢?结果是只需6秒钟,就可达到目的。

[[178317]]

英国纽卡斯尔大学的研究人员在其论文中介绍,猜解信用卡的有效期并不难,一般Visa信用卡的有效期最多5年,猜解次数就是5*12等于60次,而3位的CVV码是1000次。通过把不同的猜解以“分布式”的方法发送到各个有信用卡支付功能的网站上,可以很快的得到正确的有效期和CVV码。

研究人员研究了世界排名前400个网站中的389个网站,只有47个网站使用3D安全授权机制,对此种攻击免疫。有238家网站允许输错6次或6次以上,而更差劲的网站,甚至只需要卡号和有效期,而无需输入CVV码。即便是信用卡拥有者的地址(25个网站需要输入这个地址)也可以被猜出,因为有些银行的分支机构代码就隐含在卡号中。

为了测试网站对此事的关心程度,研究人员按照他们获取信息的不同,把这些网站分成了三类,然后选择了三类用户最多的网站,把他们的研究结果发给这些网站。其中,有28个网站在四个星期内给予了回复,有8家网站打上了补丁(如限制每个IP或卡号输错的次数,添加图片验证,以及需要输入额外的信息)。

解决这种分布式猜解攻击的唯一办就是中心化或标准化,比如万事达卡的支付系统就是中心化的,不管你在哪个支付平台输错了验证信息,都会统一累加到中心系统中,从而有效的避免了分布式猜解攻击。

研究论文下载地址:

http://eprint.ncl.ac.uk/file_store/production/230123/19180242-D02E-47AC-BDB3-73C22D6E1FDB.pdf

责任编辑:赵宁宁 来源: 安全牛
相关推荐

2022-05-17 11:43:17

特斯拉黑客系统

2023-02-11 00:04:17

分布式系统安全

2022-10-19 08:39:46

⾼可⽤分布式集群

2024-06-06 08:40:07

2011-12-24 18:16:56

2021-03-18 09:18:39

分布式事务Saga

2018-08-29 11:57:17

分布式存储优点

2022-06-27 08:36:27

分布式事务XA规范

2024-10-10 14:01:34

2019-06-19 15:40:06

分布式锁RedisJava

2021-03-03 08:13:23

程序员分布式网络

2023-02-10 00:04:53

2013-03-22 15:55:22

Web架构架构

2012-08-17 14:42:28

APP移动应用

2013-06-04 09:40:00

阿里云黑色10秒钟阿里巴巴

2024-05-23 10:19:57

2015-07-28 10:14:33

HBasehadoop

2023-02-23 07:55:41

2023-03-20 00:04:07

2022-08-16 18:52:20

分布式容错架构
点赞
收藏

51CTO技术栈公众号