Ukázala se další slabina platebních karet. Hacknout je lze za šest sekund (video)

9

Výzkumníci z britské Univerzity v Newscastlu publikovali práci, v níž ukazují velmi slabé zabezpečení platebních karet. I s pouhou znalostí čísla karty lze v řádu sekund získat datum konce platnosti a také ochranný kód CVV2 napsaný na zadní straně. Visa totiž neimplementovala žádnou ochranu proti testování různých kombinací údajů. MasterCard na druhou stranu po méně než deseti neúspěšných pokusech kartu zablokoval.

Indové hackli kreditku během šesti sekund
Výzkumníci hackli kreditku během šesti sekund (foto: Visa)

Čtveřice vědců ukázala sílu tzv. distribuované odhadovacího útoku. Visa proti němu nemá obranu, vše nechává na platebních bránách, které používají prodejci. A to je problém, protože všechny možné kombinace čísel můžou útočníci vyzkoušet na desítkách různých bran (odtud „distribuovaný“).

 

Útočník stále potřebuje znát 16místné číslo karty. K němu se může dostat na černém trhu (prý stojí dolar jedno), případně jej lze při blízkém setkání načíst pomocí NFC čtečky v mobilu. Některým platebním bránám stačí jen číslo karty a datum konce platnosti karty. To lze získat na maximálně 60 pokusů, protože karty mají platnost nanejvýš pět let. Pokud už znají oba hlavní údaje, lze na dalších bránách otestovat platný kód CVV2. To je maximálně 1000 pokusů.

Pokud by všechny brány vyžadovaly zadání data konce platnosti a kontrolního kódu, útočníci by potřebovali až 60 000 pokusů. Protože ale někteří kód vůbec nepotřebují, lze kartu hacknout po 1060 odhadech. Některé brány ale navíc vyžadují ještě zadání adresy, to už se odhaduje těžko. Ideální jsou pak brány s plně implementovaným systémem 3D Secure. Přes ně distribuovaný útok neprojde.

Výzkumníci otestovali brány na 389 nejnavštěvovanějších webech světa. Z toho 26 jich vyžadovalo jen datum expirace, 291 chtělo CVV2, 25 bran pak i adresu. Jen 47 stránek používalo 3D Secure. Tým vědců svůj výzkum publikovalo a ještě dopředu informovalo 36 největších zranitelných webů. Osmadvacet na výzvu pro zvýšení zabezpečení nereagovalo.

Není ale pouze problém v obchodech, že používají nezabezpečené brány. Za nos se musí chytnout i Visa, která na rozdíl od MasterCardu nedokáže rozpoznat distribuovaný útoky ani po tisících pokusech o prolomení jedné karty.

Zdroj: NCL via The Hacker News

Ukázala se další slabina platebních karet. Hacknout je lze za šest sekund (video)

Ohodnoťte tento článek!

9 KOMENTÁŘE

      • ano, raději platím hotovostí. Aspoň tolik neutratím. Odpípnout kartou nákup nového notebooku pálí svědomí méně jak vysázet 25000Kč na dřevo. Lépe se pak i odolává nabídkám „a nechcete k tomu i nějakou pěknou brašnu, nebo třeba myš?“. Odpípnout dalších 2000Kč je tak snadné. Ale hotovost už v kapse nemáte, takže s díky odmítnete.
        Co se týče limitů, tak těžko určit nějaký nízký, který by vyhovoval. 500Kč? Se stává, že nárazově potřebuji platit desítky tisíc. Stejně bych to musel měnit.
        Takto jen šoupu prachy z účtu na účet(je to hned – v rámci banky) a alespoň vím i jaký je tam zůstatek. Kdysi to mělo i ten benefit, že se ten druhý účet „zhodnocoval“, proto bylo vhodné na něm mít veškeré finance. Jenže při dnešních 0,15%p.a. je to o ničem. Za rok koruna z tisícovky po zdanění …

      • Pety , na tu blokaci v mobilu bych po mé zkušenosti vůbec nesázela !!!
        Po osobní návštěvě České Spořitelny a písemné žádosti na blokaci karty mne po 10 dnech (údajného zablokování)kontaktovalo centrum karet ,že mi posílají zabavenou kartu pro udání 3 špatných pinů !!! Fatální odhalení celé té šaškárny s blokacemi !!

        • Tak tyhle archaické banky… těm bych peníze nikdy nedal, to je jako je házet do kanálu.

          Mám zkušenost se zneužitím karty na méně bezpečné platební bráně. Limit to zachránil, že to nebyla velká škoda. Po 2měsících mi banka/mastercard uznala reklamaci a peníze jsem dostal zpět. (Fio banka)

  1. Nějak v tom reportu nemůžu najít, kolik karet kolika různých bank testovali. Nemůžu si totiž pomoct, ale přijde mi, že takovéto hádání by především mělo bloknout kartové centrum banky co kartu vydala.

    Docela by mě zajímalo jak by obstály v tomto testu Visa karty českých bank, jestli je vůbec možné použít je na webech co neověřují CVC a jestli by tam prošlo takto neomezené hádání.