image

Visa-betaalkaarten kwetsbaar voor brute force-aanval

maandag 5 december 2016, 14:38 door Redactie, 5 reacties

Onderzoekers van de Universiteit van Newcastle hebben aangetoond dat Visa-betaalkaarten kwetsbaar zijn voor brute force-aanvallen waarbij het mogelijk is om het kaartnummer, vervaldatum en cvv-code van een willekeurige betaalkaart binnen zes seconden te raden, zonder dat dit wordt opgemerkt.

Het komt erop neer dat de onderzoekers bij honderden websites tientallen pogingen doen om de getallen te raden. Een gemiddelde website laat gebruikers 10 tot 20 keer een kaartnummer raden. Daarnaast vragen websites verschillende variaties in de datavelden van de betaalkaart om een online aankoop te valideren. "Dit houdt in dat het vrij eenvoudig is om een de informatie op te bouwen en samen te voegen als een puzzel", zegt onderzoeker Mohammed Ali.

"Het ongelimiteerd raden gecombineerd met de variaties in de datavelden maakt het schrikbarend eenvoudig voor aanvallers om alle kaartgegevens één veld per keer te genereren." Elk onderdeel van de kaart dat gegenereerd is kan vervolgens worden gebruikt om het volgende dataveld te genereren, zoals bank en kaarttype. "Dus zonder enige verdere details dan de eerste zes cijfers, die je de bank en het kaarttype vertellen en voor elke kaart van een provider hetzelfde zijn, kan een hacker drie essentiële stukken informatie om een online aanschaf te doen binnen zes seconden achterhalen", merkt Ali op.

Om de kaartgegevens te achterhalen gebruikt de aanval online betaalwebsites om de data te raden en het antwoord op de transactie bevestigt of de raadpoging juist was of niet. Verschillende websites vragen om verschillende zaken bij een online aankoop, zoals kaartnummer en vervaldatum, kaartnummer, vervaldatum en cvv-beveiligingscode of kaartnummer, vervaldatum en cvv-beveiligingscode en adresgegevens.

Omdat het betaalsysteem niet meerdere ongeldige betaalverzoeken van verschillende websites detecteert, kan de aanval via verschillende websites worden uitgevoerd. Alleen het Visa-systeem bleek echter kwetsbaar voor de aanval te zijn. Onderzoekers vermoeden dat een dergelijke aanval onlangs is gebruikt bij een aanval op de Britse supermarktgigant Tesco, waarbij klanten voor omgerekend 3 miljoen euro werden bestolen.

"De meeste hackers zullen om te beginnen over geldige kaartnummers beschikken, maar zelfs zonder is het relatief eenvoudig om variaties van kaartgetallen te genereren en die automatisch naar verschillende websites te sturen om ze te valideren", stelt Ali. De volgende stap is de vervaldatum. Banken geven meestal kaarten uit die 60 maanden geldig zijn. Het raden van de datum neemt dan ook maximaal 60 pogingen in beslag. De CVV-code is de laatste hindernis en in theorie heeft alleen de kaarthouder die informatie. Maar het raden van een getal dat uit drie cijfers bestaat neemt maximaal 1000 pogingen in beslag. Door dit over meerdere websites te verspreiden zal er uiteindelijk een hit komen. "En zo heb je alle gegevens om het account te hacken", gaat Ali Verder.

Volgens medeonderzoeker Martin Emms is er geen magische oplossing voor het probleem. Wel kunnen gebruikers klein stappen nemen om de impact te beperken. Bijvoorbeeld door maar één kaart voor online aankopen te gebruiken en de bestedingslimiet van de kaart zo laag mogelijk te houden. Verder krijgen gebruikers het advies om hun afschriften te monitoren en op vreemde transacties alert te zijn.

Image

Reacties (5)
05-12-2016, 14:55 door Anoniem
'Vroeger' een jaar of 20 geleden kon je gewoon met een creditcard generator online aankopen doen..
heb zo tal domeinnamen gekocht.
Dit toont maar aan dat het probleem zich NOGSTEEDS voordoet
05-12-2016, 15:45 door SecOff - Bijgewerkt: 05-12-2016, 15:46
Waarom wordt er niet alleen op de combinatie van CC nummer, vervaldatum en cvv gecontroleerd en teruggekoppeld?
Dan zouden er namelijk veel meer pogingen nodig zijn. CC nummer pogingen * vervaldatum pogingen (60) * cvv code pogingen (1000).
05-12-2016, 18:00 door Anoniem
ALLES is via brute-force te hacken.
05-12-2016, 19:57 door Anoniem
Gelukkig stappen we langzaam over naar MasterCard Secure Code en Verified by Visa oftewel 3DSecure. Daarnaast worden er behoorlijk wat fraude detecties gedaan bij webshops. In de praktijk is deze aanval moeilijk uit te voeren.
05-12-2016, 23:52 door Anoniem
Door SecOff: Waarom wordt er niet alleen op de combinatie van CC nummer, vervaldatum en cvv gecontroleerd en teruggekoppeld?
Dan zouden er namelijk veel meer pogingen nodig zijn. CC nummer pogingen * vervaldatum pogingen (60) * cvv code pogingen (1000).

Niet als je ieder veld afzonderlijk kunt controleren. Dan is het geen vermenigvuldigen meer, maar domweg optellen. En dat lijkt hier het geval...
Ik heb (gelukkig) geen ervaring met dergelijke kaarten, maar kan me voorstellen dat betaal-sites zo klant"vriendelijk" zijn dat ze aangeven welke velden onjuist zijn ingevoerd. Door die info slim te gebruiken, kom je al snel bij dit verhaal.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.