如果在電商網站輸錯多次某信用卡的有效期和CVV安全碼,該網站将禁止使用該信用卡,以防止網絡罪犯猜解信用卡。但是電商網站有很多,如果把這些網站同時利用起來猜解信用卡的憑證信息呢?結果是隻需6秒鐘,就可達到目的。
英國紐卡斯爾大學的研究人員在其論文中介紹,猜解信用卡的有效期并不難,一般Visa信用卡的有效期最多5年,猜解次數就是5*12等于60次,而3位的CVV碼是1000次。通過把不同的猜解以“分布式”的方法發送到各個有信用卡支付功能的網站上,可以很快的得到正确的有效期和CVV碼。
研究人員研究了世界排名前400個網站中的389個網站,隻有47個網站使用3D安全授權機制,對此種攻擊免疫。有238家網站允許輸錯6次或6次以上,而更差勁的網站,甚至隻需要卡号和有效期,而無需輸入CVV碼。即便是信用卡擁有者的地址(25個網站需要輸入這個地址)也可以被猜出,因為有些銀行的分支機構代碼就隐含在卡号中。
為了測試網站對此事的關心程度,研究人員按照他們獲取信息的不同,把這些網站分成了三類,然後選擇了三類用戶最多的網站,把他們的研究結果發給這些網站。其中,有28個網站在四個星期内給予了回複,有8家網站打上了補丁(如限制每個IP或卡号輸錯的次數,添加圖片驗證,以及需要輸入額外的信息)。
解決這種分布式猜解攻擊的唯一辦就是中心化或标準化,比如萬事達卡的支付系統就是中心化的,不管你在哪個支付平台輸錯了驗證信息,都會統一累加到中心系統中,從而有效的避免了分布式猜解攻擊。
http://eprint.ncl.ac.uk/file_store/production/230123/19180242-D02E-47AC-BDB3-73C22D6E1FDB.pdf
---
在訂閱号裡,長按公衆号,即可“置頂”
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
