Lo que vas a encontrar...
Expertos en seguridad informática han encontrado cómo robar datos de una tarjeta de crédito, entre los cuales se pueden obtener fechas de vencimiento y números de CVV; y todo esto en sólo 6 Segundos.
¿Y qué más interesante? El hack utiliza nada más que adivinar consultando múltiples sitios de comercio electrónico.
En un nuevo trabajo de investigación titulado «Does The Online Card Payment Landscape Unwittingly Facilitate Fraud?» Publicado en la revista académica IEEE Security & Privacy, por investigadores de la Universidad de Newcastle; los cuales explican cómo los pagos en línea siguen siendo un punto débil en la seguridad de las tarjeta de crédito, lo que facilita a los estafadores obtener información sensible de la tarjeta.
Método para robar datos de una tarjeta de crédito
La técnica, denominada Distributed Guessing Attack, puede eludir todas las características de seguridad establecidas para proteger los pagos en línea del fraude. Se cree que la técnica similar es responsable del hacking de miles de clientes de Tesco en Estados Unidos el mes pasado.
El problema se basa en el sistema de pago Visa, donde un atacante puede adivinar e intentar todas las permutaciones y combinaciones posibles de fechas de vencimiento y números CVV en cientos de sitios web.
Como funciona el método para robar datos de una tarjeta de crédito?
Los investigadores descubrieron dos deficiencias en la forma en que las transacciones en línea se verifican utilizando el sistema de pago Visa, los cuales son los siguientes:
- Los sistemas de pago en línea no detectan múltiples solicitudes de pago incorrectas si se realizan en varios sitios. También permiten un máximo de 20 intentos por cada tarjeta en cada sitio.
- Los sitios web no realizan chequeos regularmente, variando la información de la tarjeta solicitada.
Mohammed Ali, un candidato a un doctorado de la Universidad de Newcastle, afirma que ni la debilidad es demasiado severa, sino que cuando se utiliza conjuntamente y se explota adecuadamente, un «hacker» puede recuperar la información de seguridad de una tarjeta de crédito en sólo 6 segundos, presentando «un serio riesgo para todo el sistema de pagos».
Así es como funciona el ataque [vídeo]
El ataque no es más que un ataque de fuerza bruta muy inteligente que funciona en algunos de los sitios de comercio electrónico más populares.
Por lo tanto, en lugar de forzar a un solo sitio web de un minorista que podría desencadenar un sistema de detección de fraude debido a conjeturas incorrectas o bloquear la tarjeta, los investigadores extendieron las conjeturas para el número de CVC de la tarjeta a través de múltiples sitios con cada intento de estrechar las combinaciones posibles hasta un válido Fechas de vencimiento y números de CVV.
La demostración de vídeo demuestra que sólo se necesitan 6 segundos para que una herramienta especialmente desarrollada revele el código seguro de una tarjeta.
En primer lugar, un atacante necesita un número de 16 dígitos de la tarjeta, que puede obtenerse de sitios web del mercado negro por menos de $1 USD, o desde un teléfono inteligente equipado con un lector de comunicación de campo cercano (NFC) para examinarlos.
Una vez que se obtiene un número válido de 16 dígitos, el hacker utiliza los bots web para calcular el valor de verificación de tres dígitos (o CVV) de la fuerza bruta y la fecha de caducidad para cientos de minoristas a la vez. El CVV toma un máximo de 1.000 conjeturas para romperlo y la fecha de caducidad no toma más de 60 intentos.
Los bots entonces trabajan para obtener la dirección, si es necesario. El documento sugiere que el ataque completo se puede llevar a cabo en sólo 6 segundos.
«Estos experimentos también han demostrado que es posible ejecutar múltiples bots al mismo tiempo en cientos de sitios de pago sin activar ninguna alarma en el sistema de pago», explican los investigadores en el documento.
«Combinar ese conocimiento con el hecho de que una solicitud de pago en línea normalmente se autoriza dentro de dos segundos hace que el ataque sea viable y escalable en tiempo real.Como ilustración, con el bot website configurado inteligentemente para ejecutar en 30 sitios, un atacante puede obtener la correcta Información en cuatro segundos «.
El ataque funciona contra los clientes de la tarjeta Visa, ya que la empresa no detecta múltiples intentos de usar una tarjeta en su red, mientras que MasterCard detecta el ataque de fuerza bruta después de menos de 10 intentos, incluso cuando las suposiciones se distribuyen en varios sitios web.
¿Cómo protegerse?
El equipo investigó los sitios Web de pago de los comerciantes online de los 400 principales según Alexa y encontró que la plataforma de pago actual facilita el ataque de adivinación distribuida.
Los investigadores se pusieron en contacto con los 36 sitios web más grandes contra los que ejecutaron su número de tarjetas distribuidas y adivinaron el ataque y les notificaron sus hallazgos. Como resultado de la revelación, ocho sitios ya han cambiado sus sistemas de seguridad para frustrar los ataques.
Sin embargo, los otros 28 sitios web no hicieron cambios a pesar de la divulgación.
Para Visa, la mejor manera de frustrar el ataque de adivinación de tarjetas distribuidas es adoptar un enfoque similar a MasterCard y bloquear una tarjeta cuando alguien intenta adivinar los detalles de la tarjeta varias veces, incluso probado en varios sitios web.
Para los clientes, evite utilizar tarjetas de crédito o débito Visa para realizar pagos en línea, mantenga siempre un ojo en sus declaraciones y mantenga el límite de gastos de su tarjeta Visa lo más bajo posible.
