Эксперты из Ньюкаслского университета подготовили доклад с описанием необычной методики атак. Специалисты утверждают, что с помощью метода полного перебора злоумышленники могут за несколько секунд подобрать любую информацию для карты Visa, включая CVV-код и срок действия.
Для проведения кибератаки эксперты провели анализ списка Alexa и выбрали 400 самых популярных онлайн-магазинов. После из перечня были исключены магазины, имеющие хорошую защиту. В результате осталось 342 сайта.
Далее специалисты, имея в своем распоряжении номер работающей банковской карты, пытались выяснить срок ее действия. Специалисты обращались к выбранным сайтам и пробовали провести транзакцию. В большинстве своем карты функционируют 60 месяцев. Исследователи потратили несколько секунд на рассылку запросов с разными комбинациями дат на все 342 сайта и подбор нужной. Аналогично специалисты осуществили подбор CVV-кода.
Эксперты подчеркивают, что адрес, привязанный к карте, представляет интерес далеко не для всех сайтов, а проверка правильности ввода имени держателя карты не осуществляется вообще нигде. При этом специалисты утверждают, что злоумышленник не должен обязательно осуществлять поиск и покупку информации о картах, поскольку такой подбор можно использовать и для выяснения номера карты.
Уязвимость перед методом полного перебора присутствует лишь в платежных картах Visa. В свою очередь, Mastercard отслеживает множественные запросы, поступающие для одной карты из разных мест, и осуществляет их блокировку. Кроме того, защищенными являются обладатели карт с поддержкой технологии 3D Secure и chip-and-PIN карт.