Un grupo de expertos de la Universidad de Newcastle han descubierto cómo funciona el método que le ha costado al banco Tesco 2,5 millones de libras el mes pasado. Los fallos en el sistema de pagos de tarjetas de Visa permiten descubrir el número de tarjeta de crédito/débito, fecha de caducidad y código de seguridad, y hacerlo además en tiempo récord: seis segundos.
Los criminales que llevaron a cabo este robo aprovecharon un método "terroríficamente sencillo" para desvelar esa información: el llamado Distributed Guessing Attack permitía aprovechar el hecho de que el sistema de Visa no detecta que los cibercriminales hacían múltiples intentos de conseguir los datos de las tarjetas, y al combinar todos los intentos fallidos iban logrando la información deseada.
Visa echa balones fuera
Como explicaba Mohammed Ali, uno de los responsables del estudio, explicaba cómo esos intentos fallidos se sumaban al hecho de que cada sitio web de compras online pregunta por datos distintos para validar esas compras. Toda esa información acaba siendo útil para completar el puzzle y lograr la información de las tarjetas de crédito.
"El número de intentos ilimitados", apuntaba Ali, "combinado con las variaciones en los campos de datos de pagos hacen terroríficamente sencillo para los atacantes lograr generar todos los detalles de la tarjeta campo por campo". Cada campo generado de la tarjeta puede ser usado en sucesión para generar el siguiente campo, y ese ciclo se repite hasta que se logra toda esa información.
En el estudio revelaban que incluso si únicamente tenemos los primeros seis dígitos de la tarjeta (que solo revelan el banco y el tipo de tarjeta) "un hacker puede obtener las tres partes esenciales de información para hacer una compra online en tan solo seis segundos".
Visa no parece haber reconocido la validez del estudio, y sus responsables indicaron que "la investigación no toma en cuenta las múltiples capas de prevención de fraude que existen en los sistemas de pago, cada una de las cuales debe ser validada para poder hacer una transacción en el mundo real", y apuntaban a que los comercios y los emisores de tarjeta pueden tomar distintas medidas para evitar ataques por fuerza bruta como estos.
Vía | The Guardian
Más información | Distributed Guessing Attack
Ver 12 comentarios