黑客可以通過使用合法零售商猜測(cè)信用卡有效信息
責(zé)編:mhshi |2016-12-06 10:06:24英國(guó)的研究人員發(fā)現(xiàn)了一種新穎和意想不到的方式,攻擊者可以通過使用合法的在線商家來猜測(cè)合法的信用卡。攻擊依賴于收集不同的認(rèn)證數(shù)據(jù),直到黑客猜測(cè)出信用卡的安全細(xì)節(jié)。較舊的Visa信用卡似乎最容易受到這種“分布式猜測(cè)攻擊”,主要是因?yàn)閂isa網(wǎng)絡(luò)沒有標(biāo)記來自多個(gè)網(wǎng)站的付款請(qǐng)求為可疑請(qǐng)求。
攻擊者可以利用這個(gè)缺陷嘗試暴力攻擊信用卡,特別是當(dāng)他們已經(jīng)可以訪問泄露帳戶的部分用戶數(shù)據(jù)或網(wǎng)絡(luò)釣魚攻擊時(shí),此技術(shù)特別有用。研究人員發(fā)現(xiàn),通過針對(duì)數(shù)百個(gè)合法的在線零售商發(fā)動(dòng)“分布式猜測(cè)攻擊”,每個(gè)攻擊使用略微不同的信息來驗(yàn)證信用卡,攻擊者可以慢慢地建立一個(gè)完整的信用卡配置文件。
這種類型的攻擊依賴于所謂的“卡不存在欺詐”原則,即商家不強(qiáng)迫攻擊者提供通常在卡的背面發(fā)現(xiàn)的3位CVV代碼。而更先進(jìn)的支付系統(tǒng)在這方面的要求更加嚴(yán)格。
直接購(gòu)買完全泄漏的信用卡信息是一個(gè)更簡(jiǎn)單和更有效的做法,因此目前的缺陷雖然令人擔(dān)憂,但不大可能被大規(guī)模利用。發(fā)現(xiàn)這一缺陷的調(diào)查人員呼吁建立一個(gè)更統(tǒng)一的在線信用卡認(rèn)證模式,并要求零售商和支付處理公司提高其安全性。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!