Aggiornamenti recenti Aprile 17th, 2024 6:38 PM
Dic 05, 2016 Marco Schiaffino News, RSS, Vulnerabilità 0
È possibile “indovinare” i dati di una carta di credito andando a tentativi? Secondo i ricercatori della Newcastle University la risposta è sì. E le loro argomentazioni, a ben guardare, sono estremamente convincenti.
La ricerca punta i riflettori sui sistemi di verifica utilizzati dai siti di e-commerce e, in particolare, mette il dito nella piaga di un ecosistema che permette ai pirati di aggirare i sistemi di controllo ed eseguire un attacco di brute forcing, provando tutte le possibili combinazioni fino a quando non si individuano quelle corrette.
In teoria, l’uso di questo metodo dovrebbe essere impedito dal fatto che i siti limitano il numero di tentativi di inserimento dei dati della carta di credito. Il problema, però, è che nessuno ha considerato il fatto che un cyber-criminale può “spalmare” i tentativi su più siti di e-commerce.
Come spiegano i ricercatori nel rapporto, un attacco di questo tipo si dimostra efficace soprattutto a causa della mancanza di uno standard comune per la verifica.
I siti di e-commerce, infatti, usano sistemi diversi. In teoria, per la verifica della carta di credito, sarebbe possibile usare 5 fattori di verifica: il numero della carta di credito (PAN), la data di scadenza, il codice CVV2 (quello riportato sul retro), il nome del titolare e il suo indirizzo.
Nella pratica, però, pochissimi richiedono l’indirizzo e la maggior parte non chiede nemmeno il nome del titolare della carta. E se la maggior parte impongono l’inserimento del codice CVV2, esistono numerosi siti online che si accontentano dello standard minimo: PAN e data di scadenza.
Ed è da qui che può partire l’attacco. I ricercatori partono dal presupposto che i pirati utilizzino un qualsiasi numero di carta di credito (acquistato nel dark Web o generato utilizzando la formula di Luhn) e vogliano scoprire gli altri dati.
Le policy per l’inserimento online dei dati delle carte di credito variano da un sito all’altro. In alcuni casi il limite è di 4 tentativi, ma ci sono siti che permettono 5, 10, 25, 50 o addirittura un numero infinito di tentativi.
In condizioni simili, un attacco di brute forcing distribuito risulta terribilmente efficace, già a partire dalla data di scadenza. Gli istituti di credito, infatti, emettono carte di credito con una validità massima di 5 anni.
La data di scadenza è indicata solo con mese e anno, quindi le combinazioni possibili sono solo 60. Partendo dal presupposto che il sito blocchi l’inserimento dei dati dopo 10 tentativi, basta distribuire i tentativi su sei siti di e-commerce che richiedono solo questi dati per provare tutte le possibili combinazioni.
Una volta individuata la data di scadenza, i cyber criminali possono passare al codice CVV2. Questo è composto da 3 caratteri numerici. Bastano quindi 1.000 tentativi (100 siti) prima di coprire lo spettro delle combinazioni possibili.
Una prova sul campo ha permesso ai ricercatori di confermare l’efficacia dell’attacco. Il test, limitato ai due circuiti più diffusi (VISA e MasterCard), ha funzionato solo con le carte VISA. Il circuito MasterCard, infatti, è in grado di rilevare l’attacco distribuito e bloccare il pagamento.
VISA, invece, è vulnerabile e l’unica protezione per i clienti che utilizzano il circuito è il sistema “Verified by VISA”, che richiede l’inserimento di un’ulteriore password al momento dell’inserimento dei dati della carta di credito.
Le soluzioni possibili, esposte dagli stessi ricercatori, sono numerose. Dall’introduzione di uno standard che obblighi all’uso di più parametri in tutti i siti di e-commerce, all’introduzione di sistemi di verifica (il classico CAPTCHA) che impediscano l’uso di bot per l’attacco.
Feb 03, 2023 0
Mag 10, 2022 0
Feb 15, 2022 0
Ott 01, 2021 0
Apr 17, 2024 0
Apr 17, 2024 0
Apr 16, 2024 0
Apr 16, 2024 0
Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Apr 10, 2024 0
Il Patch Tuesday di aprile di Microsoft ha risolto ben 150...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 16, 2024 0
I ricercatori di Volexity hanno scoperto una serie di...Apr 15, 2024 0
Nella settimana che è andata dal 6 al 12 aprile...