Специалисты из Ньюкаслского университета представили отчет, в котором утверждается, что хакеры могут достаточно просто получить доступ к средствам на картах Visa. CVV-код и дата истечения срока карты подбираются простым перебором числовых комбинаций, сообщает статья на сайте университета.

Как «взломать» карту Visa

Специалисты изучили топ сайтов по версии аналитической компании Alexa и выбрали 400 наиболее популярных из них. Затем они исключили из списка ресурсы с надежной системой защиты, оставив 342 сайта для экспериментов.

На выбранных ресурсах ученые пытались провести оплату с помощью одной и той же банковской карты. Обычно срок действия Visa не превышает пяти лет, так что на формирование запросов с различными комбинациями дат и трехзначных CVV-кодов ушло около 6 секунд.

Результаты эксперимента

Ученые установили, что адресом, привязанным к карте, интересовались далеко не все ресурсы. Ни один из сайтов не проверял подлинности фамилии и имени держателя Visa.

Эксперты уверяют, что хакерам не нужно даже покупать базы данных с номерами карт. Подбор номера осуществляется аналогичным брутфорсом с учетом правил составления номера карты.

Дыра в безопасности только у карт Visa

Специалисты подчеркивают, что Mastercard не имеют такой уязвимости – система блокирует множественные запросы для одной карты из разных магазинов, а также передает информацию о них. В безопасности и карты с поддержкой технологии 3D Secure, а также карты chip-and-PIN.

303 из 342 сайтов (78% ресурсов) не отреагировали на сообщение об уязвимости и не предприняли мер для защиты от атак. Некоторые ресурсы уже получили обновления, но часто оказывалось, что новая система безопасности работала еще хуже, чем старая.