Obtener datos de tarjetas de crédito en 6 segundos
Investigadores de la Universidad de Newcastle han publicado un nuevo mecanismo de ataque, denominado Distributed Guessing Attack [PDF] mediante el cual dicen que puede robar los datos de una tarjeta de crédito/débito en tan sólo seis segundos.
Las tarjetas se han convertido en un medio de pago en línea de facto. Esto también ha dado lugar a un aumento en el número de fraudes. ¿Qué métodos de seguridad se están adoptando para garantizar una transacción segura sin dinero en efectivo?
El estudio publicado en el IEEE Security & Privacy Journal muestra cómo se puede evitar todas las medidas de seguridad supuestamente implementadas para garantizar la seguridad de las transacciones en línea.
Sorprendentemente, esta intervención podría ayudar a los ciberdelincuentes a buscar números de tarjetas de crédito, códigos de seguridad, fechas de caducidad y otra información en tan sólo 6 segundos.
El ataque utiliza la respuesta (positiva o negativa) de la página de pago del comerciante para "adivinar" los datos y explora dos debilidades. En primer lugar, los sistemas de pago actuales no detectan múltiples solicitudes inválidas de la misma tarjeta desde diferentes sitios web. Esto implica que se pueden realizar conjeturas "ilimitadas"distribuyendo" la carga desde miles de sitios web. En segundo lugar, como los comerciantes proporcionan varios campos para introducir los datos, se puede adivinar de un campo a la vez.
Las debilidades no son demasiado graves por sí mismas, pero combinadas y explotadas de forma conveniente, un ciberatacante puede recoger información de seguridad y hackear las tarjetas en solo unos segundos. En definitiva, el ataque no es más que fuerza bruta usada de forma inteligente contra los sitios de comercio online más populares. En este vídeo explican cómo funciona el ataque:
Estas dos características facilitan las cosas a los atacantes y se
pueden obtener todos los detalles de la tarjeta de crédito en cuestión
de segundos, lanzado el ataque en varias páginas de pago. Con la ayuda
de de ir "descartando" datos, puede verificar el número correcto de la
tarjeta, el código de seguridad y el número de CVV desde diferentes
sitios.
Es decir, en lugar de hacer fuerza bruta solamente contra un vendedor, se hace contra muchos de ellos, obteniendo diferente información en cada uno. En primer lugar, el atacante necesita los números de la tarjeta de crédito, que puede conseguir a través de un mercado negro de la Deep Web. A continuación, usará bots web para realizar ataques de fuerza bruta y obtener los códigos CVV (Card Verification Value) y las fechas de caducidad.
El equipo de investigación a estudiado los 400 sitios de e-commerce más populares (según Alexa), y ya ha contactado con los 36 más grandes para notificarles sus descubrimientos. Algunos de ellos ya han actuado en consecuencia, cambiando sus medidas de seguridad. Otros todavía no han hecho nada.
En el estudio, el ataque se llevó a cabo utilizando Firefox y scripts
automatizados escritos en Java Selenium, un marco de automatización para
navegadores web.
Después del estudio, los investigadores han notificado a Visa y otros sitios afectados y mientras que algunos sitios web han endurecido su configuración de seguridad, muchos optaron por ignorar esta advertencia.
Con el fin de mejorar la seguridad personal, los investigadores han sugerido que los titulares de tarjetas deben utilizar una sola tarjeta para los pagos en línea y reducir al mínimo el límite de gastos.
Fuente: SeguInfo
Las tarjetas se han convertido en un medio de pago en línea de facto. Esto también ha dado lugar a un aumento en el número de fraudes. ¿Qué métodos de seguridad se están adoptando para garantizar una transacción segura sin dinero en efectivo?
El estudio publicado en el IEEE Security & Privacy Journal muestra cómo se puede evitar todas las medidas de seguridad supuestamente implementadas para garantizar la seguridad de las transacciones en línea.
Sorprendentemente, esta intervención podría ayudar a los ciberdelincuentes a buscar números de tarjetas de crédito, códigos de seguridad, fechas de caducidad y otra información en tan sólo 6 segundos.
El ataque utiliza la respuesta (positiva o negativa) de la página de pago del comerciante para "adivinar" los datos y explora dos debilidades. En primer lugar, los sistemas de pago actuales no detectan múltiples solicitudes inválidas de la misma tarjeta desde diferentes sitios web. Esto implica que se pueden realizar conjeturas "ilimitadas"distribuyendo" la carga desde miles de sitios web. En segundo lugar, como los comerciantes proporcionan varios campos para introducir los datos, se puede adivinar de un campo a la vez.
Las debilidades no son demasiado graves por sí mismas, pero combinadas y explotadas de forma conveniente, un ciberatacante puede recoger información de seguridad y hackear las tarjetas en solo unos segundos. En definitiva, el ataque no es más que fuerza bruta usada de forma inteligente contra los sitios de comercio online más populares. En este vídeo explican cómo funciona el ataque:
Es decir, en lugar de hacer fuerza bruta solamente contra un vendedor, se hace contra muchos de ellos, obteniendo diferente información en cada uno. En primer lugar, el atacante necesita los números de la tarjeta de crédito, que puede conseguir a través de un mercado negro de la Deep Web. A continuación, usará bots web para realizar ataques de fuerza bruta y obtener los códigos CVV (Card Verification Value) y las fechas de caducidad.
El equipo de investigación a estudiado los 400 sitios de e-commerce más populares (según Alexa), y ya ha contactado con los 36 más grandes para notificarles sus descubrimientos. Algunos de ellos ya han actuado en consecuencia, cambiando sus medidas de seguridad. Otros todavía no han hecho nada.
Después del estudio, los investigadores han notificado a Visa y otros sitios afectados y mientras que algunos sitios web han endurecido su configuración de seguridad, muchos optaron por ignorar esta advertencia.
Con el fin de mejorar la seguridad personal, los investigadores han sugerido que los titulares de tarjetas deben utilizar una sola tarjeta para los pagos en línea y reducir al mínimo el límite de gastos.
Fuente: SeguInfo
Comentarios
Publicar un comentario