Nu vă gândiți că spargerea înseamnă că vine cineva cu o daltă și dă o gaură în cardul de credit. E mai subtil de atâta și înseamnă că un grup de tipi deștepți în ale securității au găsit o modalitate care le permite să găsească datele asociate unui card de credit (inclusiv numerele, data de expirare și combinația CVV) în mai puțin de 6 secunde.
CUM e posibil?
Prin interogarea simultană a bazelor de date a mai multor site-uri de comerț electornic. Procesul, detaliat aici (în IEEE Security & Privacy) presupune identificarea și testarea mai multor zeci de mii de permutări pentru datele de expirare și numerele CVV pe multiple site-uri de comerț electronic.
Asta înseamnă că de fapt spargerea se întâmplă prin forță brută, atacatorul luând la rând toate combinațiile posibile pe care le încearcă în paralel pe extrem de multe site-uri de comerț electronic. Iar când primește acceptul de la unul dintre ele înseamnă că a găsit combinația corectă.
E la mintea cocoșului, dar uite că puțini s-au gândit la asta și abia acum (când zic acum mă refer la perioada actuală, nu neapărat azi, pentru că materialul de mai jos are deja aproape o lună vechime) a apărut un demo în care operația este arătată publicului larg.
Cardurile MasterCard scapă de acest atac pentru că au un mecanism de protecție care le blochează după 100 de încercări nereușite – așa că dacă vă treziți brusc cu cardul blocat și nu știți de ce, un astfel de atac poate să fie una din explicații. Dar posesorii de carduri Visa nu sunt (încă!) la fel de norocoși.
Demo-ul de mai sus este realizat de Mohammed Aamir Ali, Budi Arief, Martin Emms și Aad van Moorsel, cercetătorii sugerând și că astfel de atacuri se întâmplă deja pe internet.
Soluțiile de protecție? În primul rând o standardizare a interfețelor care interoghează sistemele bancare și în al doilea rând un mecanism de filtrare, suficient de inteligent încât să detecteze că se întâmplă un astfel de atac.
Ideea prezentată este banală și din păcate eficientă. Așa că ar fi bine să știți de ea și să fiți pregătiți să reacționați dacă sunteți cumva victimele unui astfel de atac.