Raziskovalna ekipa z univerze Newcastle je razkrila, kako enostavno lahko pridobimo tuje podatke o bančni kartici. V raziskavi so raziskovali različne načine spletnega nakupovanja. Pokazali so, da je mogoče s poskusi plačevanja na različnih straneh pridobiti podatke o bančnih karticah.

Ponavadi nakupovalne spletne strani blokirajo številko kreditne kartice po nekaj napačnih vnosih trimestne varnostne številke CVV ali datuma veljavnosti, kar otežuje spletno goljufijo. Raziskovalci pa so odkrili, da se lahko s tako imenovanim napadom porazdeljenih ugibanj izogneš nekaterim varnostnim funkcijam, ki so vzpostavljene za zaščito spletnih plačil pred goljufijami, in tako pridobiš manjkajoče podatke.

Napad porazdeljenih ugibanj izkoristi spletne strani, ki omogočajo spletno nakupovanje, tako, da naključno ugiba manjkajoče podatke in z uspešno transakcijo potrdi, če je bilo ugibanje pravilno. Uganeš jih tako, da preizkušaš različne kombinacije CVV-ja in datuma veljavnosti na različnih spletnih straneh, dokler ne prideš do pravilne številke. Ta napad lahko deluje zaradi dveh neodvisnih šibkih točk, ki skupaj predstavljata resno tveganje za spletno nakupovanje.

Prva šibka točka je, da spletni sistem ne zazna večkratnega nepravilnega vnosa podatkov z iste kartice na več različnih spletnih mestih. Tako je mogoče neomejeno število ugibanj porazdeliti po različnih spletnih straneh. Druga šibka točka se pojavi, ker različne spletne strani zahtevajo od kupca različne podatke, kar omogoča posamezno pridobitev podatkov.

Raziskovalna ekipa je sicer odkrila, da je za tak način napada ranljivo omrežje Visa. Poleg Vise so preverili še Mastercard, ki napad hitro zazna in se ga primerno obrani. Prav tako so pokazali, da ta napad ne bi bil učinkovit, če bi vse spletne strani uporabljale enake varnostne preglede.

Na čim manj goljufij upa vajenec Jon.