K získaniu CVV čísla stačí použiť špecializovaný nástroj.

Bezpečnostní experti Mohammed Aamir Ali, Budi Arief, Martin Emms a Aad van Moorsel vytvorili nástroj, pomocou ktorého dokážu získať ochranné CVV číslo k hocakej platobnej karte VISA v priebehu 6 sekúnd. Stačí, ak zadajú ostatné údaje z karty, ako je jej číslo a meno a o zvyšok sa postará softvér. Ten dokonca dokáže zistiť aj dátum exspirácie, ak ho útočník nevie.

Softvér funguje na jednoduchom princípe. Údaje z karty vypĺňa automaticky na rôznych stránkach a vždy použije iné CVV číslo, resp. dátum exspirácie. Takýmto spôsobom dokáže zistiť žiadané údaje a aj funkčné CVV číslo. Nakoľko karty VISA neobmedzujú počet nesprávnych pokusov, nástroj dokáže vyskúšať aj všetkých 1000 kombinácií – ak je to nutné.

Pre porovnanie, MasterCard karty sa automaticky deaktivujú po 100 neúspešných pokusoch, ale aj to niekedy môže stačiť na uhádnutie správneho čísla. Riziko je tu však oveľa menšie.

Nedostatočné zabezpečenie internetových obchodov aj platobného systému

Všetky kombinácie samozrejme neprebehnú u jedného obchodníka. Nástroj využíva viacero stránok a ich nedostatky. Niektorí obchodníci povoľujú viacero neúspešných pokusov o platbu alebo nevyžadujú zadanie CVV čísla či mena na karte. Vďaka tomuto dokáže nástroj určiť aj chýbajúci dátum exspirácie a ten následne pomôže pri zisťovaní ochranného čísla.

Tvorcovia programu ho vyvinuli kvôli tomu, aby poukázali na nedostatočné zabezpečenie platobných kariet. Zneužívať ho neplánujú, upozorňujú však na to, že útoky tohto typu sa už môžu reálne vyskytovať. Riešenie problému vidia v štandardizácii (jednotné platobné formuláre) alebo centralizácii (prístup k zoznamu všetkých pokusov o platby v rámci platobného systému a bez ohľadu na obchodníkov). Platobný systém VISA totiž nevie odhaliť a zareagovať na veľké množstvo neplatných pokusov o platbu jednou kartou u viacerých obchodníkov.

Zdroj: TechCrunch

Značky: