¿Quieres recibir una notificación por email cada vez que Ultimastecnologias escriba una noticia?
Obtener datos válidos de número de la tarjeta, fecha de caducidad y el código de seguridad de cualquier tarjeta de crédito o débito Visa puede tomar tan poco como seis segundos y no utiliza nada más que intentos, según ha demostrado una nueva investigación.
La investigación publicada en la revista académica IEEE Security & Privacy, muestra cómo el denominado Distributed Guessing Attack es capaz de eludir todas las características de seguridad establecidas para proteger los pagos en línea del fraude.
Explicando los defectos en el sistema de pago VISA, el equipo de la Universidad de Newcastle, Reino Unido, encontró que ni la red ni los bancos eran capaces de detectar atacantes haciendo múltiples intentos inválidos para obtener datos de la tarjeta de pago.
Al Generar automáticamente y sistemáticamente diferentes variaciones de los datos de seguridad de las tarjetas y haciendolo desde varios sitios web, en cuestión de segundos los hackers pueden obtener un "hit" y verificar todos los datos de seguridad necesarios.
A propósito de esta investigación, los investigadores creen que este método de ataque de adivinanzas es probable que haya sido utilizado en el reciente ciberataque de Tesco, que defraudó a los clientes con 2, 5 millones de libras y que el equipo de Newcastle describe como "espantosamente fácil si se tiene un ordenador portátil y una conexión a Internet".
Y dicen que el riesgo es mayor en esta época del año cuando tantos de nosotros estamos comprando regalos de Navidad en línea.
Intentos ilimitados
"Este tipo de ataque explota dos debilidades que por sí solas no son demasiado severas pero cuando se usan juntas, representan un serio riesgo para todo el sistema de pagos", explica Mohammed Ali, estudiante de doctorado en la Escuela de Ciencias de la Computación de la Universidad de Newcastle y autor principal en el papel.
"En primer lugar, el actual sistema de pago en línea no detecta múltiples solicitudes de pago no válidas de diferentes sitios web. Esto permite intentos ilimitadas en cada campo de datos de la tarjeta, utilizando hasta el número permitido de intentos - normalmente 10 o 20 intentos - en cada sitio web.
"En segundo lugar, diferentes sitios web piden diferentes variaciones en los campos de datos de la tarjeta para validar una compra en línea. Esto significa que es muy fácil de construir la información y la pieza juntos como un rompecabezas.
"Las suposiciones ilimitadas, combinadas con las variaciones en los campos de datos de pago, hacen que sea asustadoramente fácil para los atacantes generar todos los detalles de la tarjeta un campo a la vez.
"Cada campo generado de la tarjeta se puede utilizar en la sucesión para generar el campo siguiente y así sucesivamente. Si los éxitos se distribuyen a través de suficientes sitios web, entonces una respuesta positiva a cada pregunta se puede recibir en dos segundos - al igual que cualquier pago en línea.
"Así que incluso comenzando con ningún detalle en todos los demás que los primeros seis dígitos - que le dicen que el banco y el tipo de tarjeta y por lo tanto son los mismos para cada tarjeta de un único proveedor - un hacker puede obtener las tres piezas esenciales de información para hacer una Compra en línea en tan sólo seis segundos ".
Distributed Guessing Attack
Para obtener detalles de la tarjeta, el ataque utiliza sitios web de pago en línea para adivinar los datos y la respuesta a la transacción confirmará si la conjetura era correcta o no.
Diferentes sitios web piden diferentes variaciones en los campos de datos de la tarjeta y estos se pueden dividir en tres categorías: Número de tarjeta + fecha de caducidad (el mínimo absoluto); Número de tarjeta + Fecha de caducidad + CVV (Código de seguridad de la tarjeta); Número de Tarjeta + Fecha de Vencimiento + CVV.
Debido a que el sistema en línea actual no detecta múltiples solicitudes de pago no válidas en la misma tarjeta desde diferentes sitios web, se pueden hacer estimaciones ilimitadas distribuyendo las conjeturas en muchos sitios web.
Sin embargo, el equipo encontró que sólo la red VISA era vulnerable.
"La red centralizada de MasterCard fue capaz de detectar el ataque de adivinanzas después de menos de 10 intentos, incluso cuando esos pagos se distribuían a través de múltiples redes", dice Mohammed.
Al mismo tiempo, debido a que los diferentes comerciantes en línea piden información diferente, permite que el ataque de adivinación para obtener la información de un campo a la vez.
Mohammed explica: "La mayoría de los hackers se han apoderado de números de tarjeta válidos como punto de partida, pero incluso sin que sea relativamente fácil generar variaciones de números de tarjetas y enviarlos automáticamente a través de numerosos sitios web para validarlos.
"El siguiente paso es la fecha de caducidad. Los bancos suelen emitir tarjetas que son válidas durante 60 meses, por lo que adivinar la fecha toma como máximo 60 intentos.
"El CVV es su última barrera y teóricamente sólo el titular de la tarjeta tiene esa información - no se almacena en ningún otro lugar.
"Pero suponer que este número de tres dígitos toma menos de 1.000 intentos. Difundir esto a más de 1.000 sitios web y uno volverá verificado en un par de segundos. Y allí lo tienes - todos los datos que necesitas para hackear la cuenta. "
Protegernos contra el fraude
Un pago en línea - o "tarjeta no presente" transacción - depende de que el cliente proporciona datos que sólo el propietario de la tarjeta podría saber.
Pero a menos que todos los comerciantes piden la misma información entonces, dice el equipo, la identificación del rompecabezas a través de Web site es simple.
Fuente:
