I dati della carta di credito VISA? Si ottengono in appena sei secondi con un attacco distributed guessing

Redazione di Hardware Upg · 06-12-2016, 11:15

Link alla notizia: http://www.hwupgrade.it/news/sicurez...ing_66064.html

L'University of Newcastle dimostra con quale facilità sia possibile risalire a tutti i dati legati ad una carta di credito VISA semplicemente usando una serie di web bot capaci di effettuare numerosi tentativi su un ampio pool di siti web

Click sul link per visualizzare la notizia.

06-12-2016, 11:31

Perché la Postepay (ad esempio) ha la "sicurezza web" (PIN via sms monouso per ogni acquisto) attivato su pochissimi siti?
E perché il CVV è di solo tre cifre numeriche?

AceGranger · 06-12-2016, 11:33

"Nel caso in cui si riesca ad ottenere prima il numero CVV (un processo che i ricercatori affermano non abbia richiesto mai più di 1000 tentativi)"

eh bè, con 3 numeri... non serviano certo i ricercatori per dircelo

lucusta · 06-12-2016, 12:11

proprio una forzatura brutta brutta allo stato brado...
non capisco pero' l'indrizzo di fatturazione come fanno... mhà..

Simonex84 · 06-12-2016, 12:15

Quote:

Originariamente inviato da kuru

Perché la Postepay (ad esempio) ha la "sicurezza web" (PIN via sms monouso per ogni acquisto) attivato su pochissimi siti?
E perché il CVV è di solo tre cifre numeriche?

Ma soprattutto perchè il CVV è stampato sulla carta stessa

come se scriverlo dietro lo rendesse inviolabile

paolodekki · 06-12-2016, 12:19

1000 tentativi???? Sono pazziiiiiiiiiiii!!!! Perché non bloccare il tutto al TERZO?!? Quanto è difficile scrivere 3 numeretti??

X-ray guru · 06-12-2016, 12:22

Caspita, questa notizia fa davvero accapponare la pelle dello scroto e far girare il suo contenuto.

VISA...SVEGLIA!

X-ray guru · 06-12-2016, 12:24

Quote:

Originariamente inviato da paolodekki

1000 tentativi???? Sono pazziiiiiiiiiiii!!!! Perché non bloccare il tutto al TERZO?!? Quanto è difficile scrivere 3 numeretti??

Esatto.
La menano a noi utenti di stare attenti con la sicurezza sul web e poi i siti accettano infiniti o altissimi numeri di tentativi nel digitare il numero della carta.

VERGOGNA!

paolodekki · 06-12-2016, 12:29

Quote:

Originariamente inviato da X-ray guru

Esatto.
La menano a noi utenti di stare attenti con la sicurezza sul web e poi i siti accettano infiniti o altissimi numeri di tentativi nel digitare il numero della carta.

VERGOGNA!

Si comunque questa cosa è assurda. E' una falla nel sistema di pagamento online. Basterebbe limitare sui siti di acquisto il numero di tentativi:
5 per il numero di carta di credito
3 Intestazione carta
3 CCV
3 scadenza carta

Quanto diventerebbero più sicuri i pagamenti?

andbad · 06-12-2016, 13:08

Quote:

Originariamente inviato da paolodekki

Si comunque questa cosa è assurda. E' una falla nel sistema di pagamento online. Basterebbe limitare sui siti di acquisto il numero di tentativi:
5 per il numero di carta di credito
3 Intestazione carta
3 CCV
3 scadenza carta

Quanto diventerebbero più sicuri i pagamenti?

Non hai capito. Il problema non è sul singolo sito, che magari ha limiti come quelli da te citati. Il problema è che questo tipo di attacco fa queste prove su 1000 siti, bypassando eventuali limiti del singolo ecommerce.
Il problema è che è il circuito a verificare se vengono fatti decine, centinaia o migliaia di tentativi sullo stesso numero di carta.

By(t)e

paolodekki · 06-12-2016, 13:14

Quote:

Originariamente inviato da andbad

Non hai capito. Il problema non è sul singolo sito, che magari ha limiti come quelli da te citati. Il problema è che questo tipo di attacco fa queste prove su 1000 siti, bypassando eventuali limiti del singolo ecommerce.
Il problema è che è il circuito a verificare se vengono fatti decine, centinaia o migliaia di tentativi sullo stesso numero di carta.

By(t)e

Avevo capito male. Allora è ancora peggio, perché la Visa ci rimette moltissimo d'immagine. Ho appena controllato e per fortuna ho tutto su circuito MasterCard quindi, per ora, non mi tange molto

andbad · 06-12-2016, 13:38

Quote:

Originariamente inviato da paolodekki

Avevo capito male. Allora è ancora peggio, perché la Visa ci rimette moltissimo d'immagine. Ho appena controllato e per fortuna ho tutto su circuito MasterCard quindi, per ora, non mi tange molto

Relativamente. E' un attacco teorico, quindi nessun addebito non voluto per i clienti. E la notizia rimarrà tra gli addetti ai lavori (più o meno). Immagino che VISA sarà già corsa ai ripari. Anche se, a quanto ne so, un meccanismo anti-frode era già presente su quel circuito. Evidentemente non sufficiente per arginare questo attacco.

By(t)e

06-12-2016, 13:58

Quote:

Originariamente inviato da kuru

Perché la Postepay (ad esempio) ha la "sicurezza web" (PIN via sms monouso per ogni acquisto) attivato su pochissimi siti?
E perché il CVV è di solo tre cifre numeriche?

Bella domanda!
Io piazzerei sms monouso su ogni carta di credito e per ogni utilizzo.
Non sei ugualmente sicuro al 100% ma per confermare gli acquisti occorrerebbero anche i dati del telefono registrato.
Riguardo il CVV, non centra nulla con la notizia in quanto come scritto lo recuperano per tentativi, ma io l'ho grattato (dopo averlo memorizzato chiaramente) da tutte le carte di credito che posseggo.
Pensateci...Quando pagate con la carta, anche se viene infilata in dispositivi non tarocchi, ve la possono riprendere con qualsiasi cosa nascosta chissà dove.
Per beccarvi il CCV, è sufficiente che la girano per controllare la firma ed ecco che hanno in mano tutti i vostri dati ugualmente.

Sandro kensan · 06-12-2016, 14:30

Meglio i bitcoin almeno non vi addebitano il costo delle truffe che come dimostra questo articolo sono numerose. State certi che la Visa & Mastercard (che fanno comunella) non ci rimettono ma guadagnano solo e le truffe le pagate tutte voi che avete le carte di credito.

ziozetti · 06-12-2016, 14:38

Quote:

Originariamente inviato da Sandro kensan

Meglio i bitcoin almeno non vi addebitano il costo delle truffe che come dimostra questo articolo sono numerose. State certi che la Visa & Mastercard (che fanno comunella) non ci rimettono ma guadagnano solo e le truffe le pagate tutte voi che avete le carte di credito.

Meglio una fantomatica criptovaluta o un contratto firmato con due fra le maggiori aziende del globo? Uhm... la scelta si fa veramente difficile...

Questo articolo non dimostra nulla, parla solo di possibilità. Nel mentre, nell'unico caso di clonazione che mi è capitato sono stato rimborsato di tutti i 2000 e rotti euro che qualcuno ha speso a mio nome sul sito Microsoft.

ziozetti · 06-12-2016, 14:40

Quote:

Originariamente inviato da Pegatorn

Bella domanda!
Io piazzerei sms monouso su ogni carta di credito e per ogni utilizzo.
...

Sia Visa che Mastercard offrono la possibilità di utilizzare un codice (SecurCode, se non erro) per gli acquisti online.
Purtroppo su molti negozi online questo codice non viene richiesto.

ziozetti · 06-12-2016, 14:41

Quote:

Originariamente inviato da andbad

Non hai capito. Il problema non è sul singolo sito, che magari ha limiti come quelli da te citati. Il problema è che questo tipo di attacco fa queste prove su 1000 siti, bypassando eventuali limiti del singolo ecommerce.
Il problema è che è il circuito a verificare se vengono fatti decine, centinaia o migliaia di tentativi sullo stesso numero di carta.

By(t)e

In teoria è ancora meglio: basterebbe bloccare temporaneamente la carta dopo x tentativi andati a male.

06-12-2016, 14:47

Quote:

Originariamente inviato da ziozetti

Meglio una fantomatica criptovaluta o un contratto firmato con due fra le maggiori aziende del globo? Uhm... la scelta si fa veramente difficile...

Questo articolo non dimostra nulla, parla solo di possibilità. Nel mentre, nell'unico caso di clonazione che mi è capitato sono stato rimborsato di tutti i 2000 e rotti euro che qualcuno ha speso a mio nome sul sito Microsoft.

Ma come hai fatto a dimostrare che non sei stato tu a spendere quei soldi?
E me si strizzano le chiappe al solo pensiero che un giorno qualcuno potrebbe clonarmi la carta.

Quote:

Originariamente inviato da ziozetti

Sia Visa che Mastercard offrono la possibilità di utilizzare un codice (SecurCode, se non erro) per gli acquisti online.
Purtroppo su molti negozi online questo codice non viene richiesto.

Il problema è proprio quello. Io obbligherei tutti!

ziozetti · 06-12-2016, 14:50

Quote:

Originariamente inviato da Pegatorn

Ma come hai fatto a dimostrare che non sei stato tu a spendere quei soldi?
E me si strizzano le chiappe al solo pensiero che un giorno qualcuno potrebbe clonarmi la carta.

L'ho semplicemente dichiarato.
Evidentemente il sig. Visa è andato a chiedere lumi al sig. Microsoft e ha visto che il materiale non mi è mai stato spedito.
Per questioni di privacy, ovviamente, non mi hanno detto nulla.

Quote:

Il problema è proprio quello. Io obbligherei tutti!

Kri3g · 06-12-2016, 16:39

Poi il vbv te lo fai dare da gesù cristo? Che poi adesso, almeno per la mastercard non è neanche più una password sceglibile dall'utente ma un chiave ottenibile con la key dispositiva

06-12-2016, 11:33	#3
AceGranger Senior Member Iscritto dal: May 2005 Messaggi: 12135	"Nel caso in cui si riesca ad ottenere prima il numero CVV (un processo che i ricercatori affermano non abbia richiesto mai più di 1000 tentativi)" eh bè, con 3 numeri... non serviano certo i ricercatori per dircelo __________________ AMD 9950X3D - MSI X870E CARBON WIFI - 198 Gb - 5080 - Dual 4K - Leica RTC360 & BLK360

06-12-2016, 12:22	#7
X-ray guru Senior Member Iscritto dal: Mar 2010 Città: Milano Messaggi: 2569	Caspita, questa notizia fa davvero accapponare la pelle dello scroto e far girare il suo contenuto. VISA...SVEGLIA! __________________ plltxe nìNa'vi? GTX 4090 Gainward

06-12-2016, 11:15	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75166	Link alla notizia: http://www.hwupgrade.it/news/sicurez...ing_66064.html L'University of Newcastle dimostra con quale facilità sia possibile risalire a tutti i dati legati ad una carta di credito VISA semplicemente usando una serie di web bot capaci di effettuare numerosi tentativi su un ampio pool di siti web Click sul link per visualizzare la notizia.

06-12-2016, 11:31	#2
sdjhgafkqwihaskldds Messaggi: n/a	Perché la Postepay (ad esempio) ha la "sicurezza web" (PIN via sms monouso per ogni acquisto) attivato su pochissimi siti? E perché il CVV è di solo tre cifre numeriche?

06-12-2016, 12:11	#4
lucusta Bannato Iscritto dal: May 2001 Messaggi: 6246	proprio una forzatura brutta brutta allo stato brado... non capisco pero' l'indrizzo di fatturazione come fanno... mhà..

06-12-2016, 14:30	#14
Sandro kensan Senior Member Iscritto dal: Dec 2011 Messaggi: 3135	Meglio i bitcoin almeno non vi addebitano il costo delle truffe che come dimostra questo articolo sono numerose. State certi che la Visa & Mastercard (che fanno comunella) non ci rimettono ma guadagnano solo e le truffe le pagate tutte voi che avete le carte di credito.

06-12-2016, 16:39	#20
Kri3g Senior Member Iscritto dal: May 2015 Messaggi: 1677	Poi il vbv te lo fai dare da gesù cristo? Che poi adesso, almeno per la mastercard non è neanche più una password sceglibile dall'utente ma un chiave ottenibile con la key dispositiva

Strumenti
Mostra una versione stampabile Invia questa pagina per email