خلاصه: محققان دانشگاه نیوکاسل انگلیس در مقالهای که به تازگی منتشر کردهاند از روشی خبر دادهاند که تنها با صرف 6 ثانیه، میتوان همه اطلاعات یک کارت بانکی، از قبیل رمز CVV و تاریخ انقضا و رمز دوم را به دست آورد. این روش روی کارتهای اعتباری ویزا کارت امتحان شده است و تمام تلاشها برای رسیدن به اطلاعات کارت بانکی موفقیت آمیز بوده است.
تیتر این خبر بسیار جذاب و در عین حال رعب آور است. شاید اطلاعات حساب بانکی افراد را بتوان جزئی از حساسترین اطلاعات آنها به حساب آورد که امنیت آن برای افراد اهمیت زیادی دارد. طی تحقیقی که در دانشگاه نیوکاسل انگلیس انجام شده، با یک روش خلاقانه همه اطلاعات یک کارت اعتباری ویزا در عرض تنها 6 ثانیه قابل دسترس خواهد بود. نتایج این تحقیق تحت یک مقاله در مجله IEEE Security & Privacy به چاپ رسیده است.
در این تحقیق، از حدس کلمات به صورت توزیعشده استفاده شده است. این روش به این صورت است که در درگاههای الکترونیکی مختلفی که از ویزا کارت پشتیبانی میکنند کلمههای عبور مختلف آزمایش شده تا به کلمه عبور مورد نظر دست یابیم. این روش در تنها 6 ثانیه همه اطلاعات یک کارت بانکی همچون رمز دوم و CVV و تاریخ انقضای کارت افشا خواهد شد.
محققان معتقدند دو ضعف امنیتی که در سیستم ویزا کارت وجود دارد باعث شده تا بتوان با این روش به اطلاعات حساب کاربران دست یافت. سیستم ویزاکارت درخواستهای اشتباه از درگاههای متفاوت را کنترل نمیکند و همینطور برای هر درگاه اجازه بیست درخواست اشتباه را میدهد. همینطور وبسایتها کنترلهای لازم برای بررسی درخواستهای متعدد را انجام نمیدهند.
هیچ کدام از این آسیبپذیریها و ضعفهای امنیتی به تنهایی خیلی خطرناک جلوه نمیکنند. ولی وقتی از آنها با هم و به صورت توزیعشده استفاده میشود میتوان اطلاعات کارتهای بانکی کاربران را به سادگی استخراج نمود.
همانطور که در شکل مشخص است، مهاجم با مشخص کردن شماره کارت هدف، ابتدا با حدس شماره سه رقمی CVV روی درگاههای مختلف، این عدد را به دست آورده و سپس به حدس تاریخ انقضای کارت میپردازد. برای CVV حداکثر با 1000 حدس و برای تاریخ انقضا با کمتر از 60 حدس میتوان به مقادیر صحیح دست یافت. همچنین میتوان باتهایی را فعال کرد که با این روش اطلاعات حساب میلیونها مشتری را استخراج کنند، بدون اینکه حتی یک اخطار امنیتی ارسال شود.
این تیم تحقیقاتی که به این مشکل امنیتی پی برده است با مطلع کردن وبسایتهای مختلف از این روش سعی بر این دارد که بتواند با همکاری با این وبسایتها این مشکل امنیتی را در آنها برطرف کند؛ اما همچنان تعداد وبسایتهای زیادی هنوز این آسیب امنیتی را دارند.