英國 Newcastle 大學最近的研究發現,利用分散式猜測攻擊(Distributed Guessing Attack),可最快在 6 秒內破解 Visa 信用卡的到期日與安全碼,認為 Visa 支付系統及網絡存在漏洞。
網上購物盛行,大多購物網站只要求消費者提供信用卡的到期日及安全碼即可過數購物。不過,此方法存在漏洞,因為根據英國 Newcastle 大學的研究發現,網購平台雖然會限制消費者輸錯到期日或安全碼的次數,但只要利用黑客工具,卻容易猜到信用卡的正確到期日及安全碼。
一般來說,信用卡的有效期限為 5 年,如黑客利用一組有效的信用卡號碼,最多猜 60 次就能得到正確的到期日,再撰寫程式於不同的網站上猜測 3 位數的安全碼,最快可在 6 秒內得到信用卡的安全資料。
上述大學的研究人員在 389 個網站上進行測試,發現只有 47 個網站採用 3D 安全驗證系統(3D Secure authorization system),即額外要求消費者輸入由系統發出到手機短訊的驗證碼才能完成交易。而這些網站全都可避過分散式猜測攻擊。
研究人員表示,Visa 的支付系統無法偵測到同一張信用卡在不同網站上所輸入的無效次數,允許黑客無限次地猜測信用卡安全資訊,加上各網站於信用卡欄位上要求不同的資訊,亦讓黑客取得信用卡的所有詳細資料。這漏洞讓 Visa 信用卡用戶大有機會損失財物。
文章又提到,MasterCard 的中央網絡可限制單一信用卡於多個網站上的輸入錯誤次數,相對較為安全。
Visa 則反駁,該公司另有網上詐騙預防措施,會向信用卡發行銀行提供即時資訊,警告有潛在風險的交易,同時若消費者遭到詐騙或盜用信用卡,持卡人可免負相關責任。
【6秒破解大法】