08.12.2016

Jak získat přístupové údaje k libovolné platební kartě

Teoretický útok na online platební systém, který je natolik závažný a přitom tak jednoduše proveditelný, že je až s podivem, že jej nikdo nezneužil již dříve.

Cover 9

Mohammed Ali, PhD student oboru Informační technologie na univerzitě v Newcastle, Anglii, spolu se svým týmem odhalil zásadní bezpečnostní mezeru v online platebních systémech. Svůj výzkum publikovali ve vědeckém časopise IEEE Security & Privacy. Popsaný útok se nazývá Distribuovaný Tipovací Útok (Distributed Guessing Attack), jedná se o sofistikovanější formu útoku hrubou silou, která umožňuje útočníkovi získat kompletní údaje k téměř libovolné platební kartě.

Už vzhledem k tomu, že se jedná o jistou formu útoku hrubou silou, je zřejmé, že mechanismus útoku nebude nijak zvláště komplikovaný. Mechanismus zneužívá dva základní bezpečnostní nedostatky:

  1. Některé platební systémy (např. Visa) nemají centrální kontrolní mechanismus pro opakované chybné zadávání údajů o kartě, pokud se jedná o přístup z různých serverů.
  2. Servery, umožňující online platby, se liší v tom, jaké údaje o kartě před provedením transakce požadují.

Předpokládejme tedy, že útočník začne pouze s číslem karty. Běžnou praxí je dále uvést Datum expirace karty a kód CVV. Vzhledem k tomu, že banky své platební karty obměňují většinou ne po více než pěti letech, dává nám první údaj 60 různých kombinací. Kód CVV je tříčíselný, což je dalších 1000 kombinací, tedy celkově je nutné prozkoušet až 60 000 kombinací kódu, aby bylo možné všechna data s jistotou určit.

Na jedné webové stránce takový typ útoku samozřejmě není možné realizovat, protože už po několika nesprávných pokusech o zadání údajů systém zabrání dalším pokusům, případně zablokuje platební kartu. Pokud ovšem k útoku hrubou silou využijete velké množství serverů (e-shopů a jiných online služeb), z nichž na každém provedete pouze několik chybných pokusů, systém kvůli bezpečnostnímu nedostatku č. 1 žádný obranný mechanismus nespustí a takový útok hladce projde.

Tak postupoval i Mohammed se svým týmem - na serveru Alexa získal veliké množství webových stránek umožňujících online platby a vytvořil program, který je schopný získat výše uvedeným postupem údaje ke kartě během několika sekund. Využili však také bod č.2, kdy některé webové stránky vyžadují jen CVV kód nebo jen Datum expirace karty, čímž se počet nutných kombinací zásadně sníží a zároveň lze získané údaje dále použít k dalšímu útoku. Na dvou takových typech serverů tedy stačí 60 + 1000 = 1060 pokusů.

Jak poznamenal sám Mohammed, jediný opravdu bezpečný způsob, jak ochránit své finance, je schovat si je doma do matrace...

Více na www.ncl.ac.uk

Kam dál?