Os sistemas de pagamentos usados na Internet assentam na sua maioria em cartões de crédito, por serem aceites de forma global. A segurança destes é elevada e têm elementos que a garantem, conseguindo assim não ser comprometidos de forma simples.
Mas uma investigação feita por uma equipa da universidade de Newcastle vem deitar por terra esta segurança e garante que os dados de qualquer cartão Visa podem ser obtidos em apenas 6 segundos.
A investigação levada a cabo por esta equipa de segurança mostrou que, usando apenas os primeiros 6 dígitos de qualquer cartão de crédito da rede Visa, onde estão representados o código do banco e o tipo de cartão, é possível calcular os restantes dígitos, a validade e o CVV (Código de segurança do cartão).
Dos testes realizados foram apenas necessários 6 segundos para conseguir obter os dados de qualquer cartão e assim ficar capacitado de o usar sem qualquer limite. Basta que sejam dirigidos pedidos de pagamentos a vários sites de compras online até que estes devolvam uma resposta de pagamento efectuado
A falha usada para conseguir obter estes códigos está na rede de pagamentos da Visa e existe há já alguns anos. Esta rede não consegue detectar as várias tentativas feitas para adivinhar estes códigos e assim permite que o ataque continue. Para complicar ainda mais este cenário, não existe um padrão da informação pedida, com vários sites a pedirem informação diferente referente aos cartões.
Com um simples computador, um software criado para o efeito e uma ligação à Internet qualquer um pode conseguir obter os dados de qualquer cartão de crédito, usando apenas um ataque de Distributed Guessing Attack. A maioria dos sites protege-se contra estes ataques limitando as tentativas de pagamentos erradas a 10 ou 20, mas com a quantidade de sites de compras ou que aceitem pagamentos deste tipo, bastam 6 segundos para conseguir quebrar um cartão de crédito.
Os testes realizados pela equipa da universidade de Newcastle detectaram apenas esta vulnerabilidade na rede Visa, tendo a rede da MasterCard detectado prematuramente estas tentativas de descoberta e aplicado medidas para a bloquear.
Por agora não há uma forma de prevenir estes ataques e qualquer cartão da rede Visa estará exposto. A equipa que detectou a falha acredita que esta vulnerabilidade estará já a ser explorada e que terá sido já usada em ataques recentes, que resultaram na perda de vários milhões.
fonte: Newcastle University