研究者らによると、Visaのネットワークのセキュリティ上の欠陥により、詐欺師は1回の試みにつきわずか6秒でクレジットカード番号を推測できるという。
ブルートフォース攻撃により、犯罪者は複数のサイトから Visa にカード決済リクエストを集中的に送信し、有効なカード番号と有効期限が判明するまで、試行ごとに可能な組み合わせを絞り込むことができます。
研究者らによると、ビザはライバルのマスターカードとは異なり、大量のリクエストを異常なものとして検知していないという。
ニューカッスル大学のモハメッド・アミール・アリ、レオナルド・アリーフ博士、マーティン・エムズ博士、アード・ヴァン・ムーセル教授が執筆した論文「オンラインカード決済環境は知らず知らずのうちに詐欺を助長しているのか?」 [PDF]によると、個人情報の部分的な漏洩記録しかない犯罪者にとっては都合の良いこの攻撃は、Alexaのトップ400オンライン販売サイトに対して有効だという。
「私たちはAlexaのトップ400オンライン商店の支払いサイトを調査し、現在の状況が分散推測攻撃を容易にしていることに気づいた」と著者らは述べている。
「この攻撃は、カードの詳細を検証するという本来の目的である決済機能を破壊し、攻撃者がオンライン取引を行うために必要なすべてのセキュリティデータフィールドを生成するのを支援するものになります。
「…異なるウェブサイトでは、カード所有者を識別するためのフィールドのセットが異なります…[この差異]により、スケーラブルな分散推測攻撃の条件が意図せず作成されます。」
攻撃は、一部のサイトでは有効期限を受け入れる一方で、他のサイトでは住所などの基準を要求するといった認証証明の違いを悪用します。
影響を受けた販売業者の約78%(303サイト)は、チームが攻撃を公表したにもかかわらず、何も行動を起こしませんでした。なぜ何の対策も取られなかったのかは不明です。
攻撃の流れ。
いくつかのサイトは、より安全なメカニズムを使用するためにすぐにサイトを更新しましたが、チェックアウトの安全性がさらに低下する更新を実装したサイトもいくつかありました。
重要なのは、この攻撃はカード非提示型詐欺を利用していることであり、この詐欺では、小売業者は取引を承認するためにカードの裏面にある3桁のCVV番号を必要としない。
この種の詐欺は、高度な詐欺対策技術を備えた国ではますます珍しくなってきており、オーストラリアではチップと暗証番号、高度な支払いシステムが確立されているため、詐欺はより困難な標的の 1 つとなっている。
違法に悪用するためにクレジットカードを探している人は、大規模な侵害のための収益化メカニズムとして機能する、 Rescator.cmなどの定評のある詐欺サイトから、大量の安価なクレジットカードを購入したほうがよいでしょう。
研究者らは、攻撃の規模拡大を防ぐために、すべての小売業者は標準の支払い承認フィールドを使用するべきだと述べています。®
