I dati della carta di credito VISA? Si ottengono in appena sei secondi con un attacco distributed guessing

I dati della carta di credito VISA? Si ottengono in appena sei secondi con un attacco distributed guessing

L'University of Newcastle dimostra con quale facilità sia possibile risalire a tutti i dati legati ad una carta di credito VISA semplicemente usando una serie di web bot capaci di effettuare numerosi tentativi su un ampio pool di siti web

di Andrea Bai pubblicata il , alle 11:15 nel canale Sicurezza
 

Un attacco distribuito, opportunamente orchestrato, potrebbe consentire ai criminali del web di individuare con una certa facilità i dati sensibili della carta di credito in appena sei secondi: è quanto scoperto da una ricerca della Newcastle University del Regno Unito. I malintenzionati possono fare uso di cosiddetti "browser bot" per distribuire tentativi su centinaia di legittimi esercenti online.

L'attacco prende il via usando il numero di 16 cifre della carta di credito, che può essere recuperato in vari modi. Gli attaccanti possono, ad esempio, acquistare i numeri al mercato nero della rete, spesso per meno di 1 dollaro al pezzo. I numeri possono inoltre essere recuperati combinando le prime sei cifre (che si basano su informazioni quali il circuit della carta, l'istituto di emissione ed il tipo di carta di credito) con una formula di verifica chiamata Algoritmo di Luhn: una volta che un attaccante è in possesso di un numero di 16 cifre valido, sono sufficienti appena quattro secondi per individuare la data di scadenza ed il codice CVV a tre cifre spesso usato come ulteriore emento di verifica. Anche nel caso in cui il sito web di un esercente richieda altri elementi di verifica, come ad esempio l'indirizzo di fatturazione del cliente, la tecnica ha permesso di individuare queste informazioni correttamente nel giro di sei secondi.

La tecnica si basa su web bot che distribuiscono tentativi casuali su circa 400 siti di e-commerce che accettano pagamenti con carte di credito. Di questi, 26 siti usano solamente due campi per verificare la carta, mentre altri 291 siti usano tre campi. Dal momento che siti differenti usano campi differenti, i bot cercano di inserire informazioni nel campo utente fino a quando un tentativo non va a buon fine. A questo punto il meccanismo cerca di individuare la data di scadenza (la maggior parte delle carte di credito ha una scadenza a 36 o 60 mesi) e, una volta ottenuta, procedono per tentativi con il numero CVV. Nel caso in cui si riesca ad ottenere prima il numero CVV (un processo che i ricercatori affermano non abbia richiesto mai più di 1000 tentativi), i bot lavorano al contrario per recuperare la data di scadenza e, se richiesto, l'indirizzo di fatturazione.

"Siamo giunti all'importante osservazione che la differenza tra le soluzioni di sicurezza dei vari siti web introduce una vulnerabilità che può essere sfruttata nel pratico su tutto il sistema di pagamenti. Un attaccante può sfruttare queste differenze per costruire un attacco distributed guessing che genera dettagli di pagamento utilizzabili, un campo alla volta. Ciascun campo può essere usato in successione per generare il successivo, usando un differente sito merchant. Inoltre se un esercente individuale cerca di migliorare la sicurezza del proprio sistema aggiungendo più campi di verifica, ciò potrebbe inavvertitamente indebolire ancor di più l'intero sistema offrendo l'opportunità di individuare il valore di un altro campo" spiegano i ricercatori.

Con lo scopo di rendere l'esperienza d'acquisto online il più possibile semplice per la vasta tipologia di utenti che popola la rete, molti siti web permettono ai potenziali clienti di compiere fino a 50 (e in taluni casi illimitati) tentativi non corretti. Anche nel caso in cui il numero sia inferiore, la tecnica studiata dai ricercatori può ugualmente aver successo distribuendo i tentativi su un parco più ampio di siti web.

Uno dei compiti dei bot è stato di creare un account fittizio in grado di effettuare un addebito ad una carta di credito intestata ai ricercatori per trasferire una somma di denaro ad un contatto in India. I ricercatori osservano che nel giro di pochi minuti hanno ricevuto la conferma via e-mail dell'addebito e il contatto ha confermato il trasferimento della somma. Il tempo trascorso tra la creazione dell'account da parte del bot e l'accredito della somma è stato di appena 27 minuti.

I ricercatori hanno contattato i 40 maggiori siti web usati nella ricerca, informandoli di quanto scoperto. Alcuni siti hanno già cambiato le procedure di verifica, anche se sarebbe auspicabile un processo di standardizzazione più adeguato. Dalla ricerca è inoltre emerso come Visa e MasterCard, i due principali circuiti di pagamento mondiali, si comportano in modo molto differente nei casi di attacchi di tipo distributed guessing: MasterCard dispone di un sistema di sicurezza capace di individuare in breve tempo questo genere di attacchi e neutralizzarli, mentre Visa (che i ricercatori hanno già provveduto ad informare) non impiega nessun meccanismo ad ampio spettro capace di individuare gli attacchi mass-guessing.

Il consiglio che si può dare al pubblico è quello di controllare con regolarità gli addebiti mensili della carta di credito, per individuare acquisti non autorizzati, così come abilitare tutti i sistemi di segnalazione e notifica delle spese. Un'ulteriore misura di sicurezza può essere quella di dedicare una sola carta di credito, sia essa tradizionale o ricaricabile, per gli acquisti online mantenendo il limite di spesa il più basso possibile compatibilmente con le abitudini d'acquisto.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

54 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
kuru06 Dicembre 2016, 11:31 #1
Perché la Postepay (ad esempio) ha la "sicurezza web" (PIN via sms monouso per ogni acquisto) attivato su pochissimi siti?
E perché il CVV è di solo tre cifre numeriche?
AceGranger06 Dicembre 2016, 11:33 #2
"Nel caso in cui si riesca ad ottenere prima il numero CVV (un processo che i ricercatori affermano non abbia richiesto mai più di 1000 tentativi)"


eh bè, con 3 numeri... non serviano certo i ricercatori per dircelo
lucusta06 Dicembre 2016, 12:11 #3
proprio una forzatura brutta brutta allo stato brado...
non capisco pero' l'indrizzo di fatturazione come fanno... mhà..
Simonex8406 Dicembre 2016, 12:15 #4
Originariamente inviato da: kuru
Perché la Postepay (ad esempio) ha la "sicurezza web" (PIN via sms monouso per ogni acquisto) attivato su pochissimi siti?
E perché il CVV è di solo tre cifre numeriche?


Ma soprattutto perchè il CVV è stampato sulla carta stessa come se scriverlo dietro lo rendesse inviolabile
paolodekki06 Dicembre 2016, 12:19 #5
1000 tentativi???? Sono pazziiiiiiiiiiii!!!! Perché non bloccare il tutto al TERZO?!? Quanto è difficile scrivere 3 numeretti??
X-ray guru06 Dicembre 2016, 12:22 #6
Caspita, questa notizia fa davvero accapponare la pelle dello scroto e far girare il suo contenuto.

VISA...SVEGLIA!
X-ray guru06 Dicembre 2016, 12:24 #7
Originariamente inviato da: paolodekki
1000 tentativi???? Sono pazziiiiiiiiiiii!!!! Perché non bloccare il tutto al TERZO?!? Quanto è difficile scrivere 3 numeretti??


Esatto.
La menano a noi utenti di stare attenti con la sicurezza sul web e poi i siti accettano infiniti o altissimi numeri di tentativi nel digitare il numero della carta.

VERGOGNA!
paolodekki06 Dicembre 2016, 12:29 #8
Originariamente inviato da: X-ray guru
Esatto.
La menano a noi utenti di stare attenti con la sicurezza sul web e poi i siti accettano infiniti o altissimi numeri di tentativi nel digitare il numero della carta.

VERGOGNA!


Si comunque questa cosa è assurda. E' una falla nel sistema di pagamento online. Basterebbe limitare sui siti di acquisto il numero di tentativi:
5 per il numero di carta di credito
3 Intestazione carta
3 CCV
3 scadenza carta

Quanto diventerebbero più sicuri i pagamenti?
andbad06 Dicembre 2016, 13:08 #9
Originariamente inviato da: paolodekki
Si comunque questa cosa è assurda. E' una falla nel sistema di pagamento online. Basterebbe limitare sui siti di acquisto il numero di tentativi:
5 per il numero di carta di credito
3 Intestazione carta
3 CCV
3 scadenza carta

Quanto diventerebbero più sicuri i pagamenti?


Non hai capito. Il problema non è sul singolo sito, che magari ha limiti come quelli da te citati. Il problema è che questo tipo di attacco fa queste prove su 1000 siti, bypassando eventuali limiti del singolo ecommerce.
Il problema è che è il circuito a verificare se vengono fatti decine, centinaia o migliaia di tentativi sullo stesso numero di carta.

By(t)e
paolodekki06 Dicembre 2016, 13:14 #10
Originariamente inviato da: andbad
Non hai capito. Il problema non è sul singolo sito, che magari ha limiti come quelli da te citati. Il problema è che questo tipo di attacco fa queste prove su 1000 siti, bypassando eventuali limiti del singolo ecommerce.
Il problema è che è il circuito a verificare se vengono fatti decine, centinaia o migliaia di tentativi sullo stesso numero di carta.

By(t)e


Avevo capito male. Allora è ancora peggio, perché la Visa ci rimette moltissimo d'immagine. Ho appena controllato e per fortuna ho tutto su circuito MasterCard quindi, per ora, non mi tange molto

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^