示意圖,與新聞事件無關。

來自英國新堡大學的研究人員近日公布了一研究報告,他們利用「分散式猜測攻擊」(Distributed Guessing Attack)來破解Visa信用卡的到期日與安全碼,最快可在6秒內找出正確數值並進行盜刷。

根據該報告,此為Visa支付系統的缺失,該系統無法妥善偵測駭客所執行的數次無效的數值輸入,造成駭客可正確猜出信用卡的到期日與安全碼,並成功進行盜刷。

事實上,每個電子商務網站都會限制使用者輸錯到期日或安全碼的次數,然而,研究人員所採取的方式是在不同的網站上進行猜測,當駭客擁有一組有效的信用卡號碼時,由於一般信用卡的有效期限為5年,因此駭客最多只要猜60次就能得到正確的到期日,再撰寫程式於不同的網站上猜測3位數的安全碼,最快可在6秒內得到信用卡的安全資訊。

研究人員在389個電子商務網站上進行測試,發現當中只有47個網站採用3D安全驗證系統(3D Secure authorization system),會額外要求使用者輸入在手機上所收到的驗證碼才能完成交易,也只有這些網站才能閃避分散式猜測攻擊。

新堡大學電腦科學博士班學生Mohammed Ali指出,Visa的支付系統無法偵測同一信用卡在不同網站上所輸入的無效次數,允許駭客無限次地猜測卡片安全資訊,再加上各網站於信用卡欄位上要求不同的資訊,將能允許駭客取得信用卡的所有詳細資訊。

Ali強調,目前只在Visa網路上發現此一漏洞,MasterCard的中央網路因可限制單一信用卡於多個網站上的輸入錯誤次數而能倖免於難。

在此一報告公布後,Visa旋即發表聲明表示該研究並未提到Visa網路上既有的詐騙預防措施,他們提供了必要的資訊予信用卡發行銀行,以警告可能帶有風險的交易,而且若使用者遭到詐騙類的盜刷,持卡人亦免負相關責任。

 

 


Advertisement

更多 iThome相關內容