Mohammed explains: "Most hackers will have got hold of valid card numbers as a starting point but even without that it's relatively easy to generate variations of card numbers and automatically send them out across numerous websites to validate them.
"The next step is the expiry date. Banks typically issue cards that are valid for 60 months so guessing the date takes at most 60 attempts.
"The CVV is your last barrier and theoretically only the card holder has that piece of information — it isn't stored anywhere else.
"But guessing this three-digit number takes fewer than 1,000 attempts. Spread this out over 1,000 websites and one will come back verified within a couple of seconds. And there you have it — all the data you need to hack the account."
Никогда бы не подумал, что кредитные карты взламывают методом перебора, причем за считанные секунды.
Здравствуйте, Lazytech, Вы писали:
L>Никогда бы не подумал, что кредитные карты взламывают методом перебора, причем за считанные секунды.
По идее, в системе должна быть обеспечена классическая задержка между повторными попытками авторизации хотя бы на 15-30 секунд. В этом случае что один сайт, что тысяча, погоды не сделают. Если этого нет — действительно дыра.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>По идее, в системе должна быть обеспечена классическая задержка между повторными попытками авторизации хотя бы на 15-30 секунд. В этом случае что один сайт, что тысяча, погоды не сделают. Если этого нет — действительно дыра.
Ну, раз успешно ломают, значит, классической задержки нету. Кстати, в статье пишут, что карточку MasterCard подобным способом взломать не получится.
"MasterCard's centralised network was able to detect the guessing attack after less than 10 attempts — even when those payments were distributed across multiple networks," says Mohammed.
Mohammed explains: "Most hackers will have got hold of valid card numbers as a starting point but even without that it's relatively easy to generate variations of card numbers and automatically send them out across numerous websites to validate them.
L>"The next step is the expiry date. Banks typically issue cards that are valid for 60 months so guessing the date takes at most 60 attempts.
L>"The CVV is your last barrier and theoretically only the card holder has that piece of information — it isn't stored anywhere else.
L>"But guessing this three-digit number takes fewer than 1,000 attempts. Spread this out over 1,000 websites and one will come back verified within a couple of seconds. And there you have it — all the data you need to hack the account."
L>Никогда бы не подумал, что кредитные карты взламывают методом перебора, причем за считанные секунды.
Что значит "взламывают"? Получил ты эту информацию и что дальше с ней будешь делать?
Здравствуйте, Lazytech, Вы писали:
vsb>>Что значит "взламывают"? Получил ты эту информацию и что дальше с ней будешь делать?
L>define:кардер
Без 3DS-пароля или PIN-кода ты эти деньги не выведешь никуда надёжно. Человек увидит SMS-ку с переводом, который не делал, позвонит в банк, заблокирует карту и отменит платёж (а банк, куда ты делал перевод, в любом случае будет держать эти деньги в блоке и не даст тебе их снять, пока не пройдут все сроки опротестовывания платежа). Максимум что ты сможешь сделать это создать небольшую головную боль владельцу карты.
Здравствуйте, vsb, Вы писали:
vsb>Без 3DS-пароля или PIN-кода ты эти деньги не выведешь никуда надёжно. Человек увидит SMS-ку с переводом, который не делал, позвонит в банк, заблокирует карту и отменит платёж (а банк, куда ты делал перевод, в любом случае будет держать эти деньги в блоке и не даст тебе их снять, пока не пройдут все сроки опротестовывания платежа). Максимум что ты сможешь сделать это создать небольшую головную боль владельцу карты.
Понятно. Если что, я в этом вопросе не только не практик, но даже не теоретик. Просто любопытно стало, что, оказывается, до сих пор есть автоматизированные способы массового взлома платежных карт.
Klaster 18 ноября 2014 в 02:18
Западные магазины и дополнительную авторизацию не просят, оплачиваю одной и той же картой в нашем магазине, нужна смс от сбера, для подтверждения, пайпал, абонентка у музсервиса, диджиталокеан, wow таких вещей не просят, они просто списывают деньги и все, замечал да. Наши в этом случае как я понял перестраховываются.
Здравствуйте, Lazytech, Вы писали:
L>Один из комментариев: L>
Klaster 18 ноября 2014 в 02:18
L>Западные магазины и дополнительную авторизацию не просят, оплачиваю одной и той же картой в нашем магазине, нужна смс от сбера, для подтверждения, пайпал, абонентка у музсервиса, диджиталокеан, wow таких вещей не просят, они просто списывают деньги и все, замечал да. Наши в этом случае как я понял перестраховываются.
Ну если ты в WoW или DigitalOcean оплатишь и завтра откатишь платёж, очевидно, что они твой аккаунт точно так же заморозят до выяснения обстоятельств, так что ничего ты от этого не получишь. Можно найти какой-нибудь магазинчик на ебэе, заказать какую-нибудь ерунду и если они успеют её отправить прежде чем платёж откатят, то да, ты получишь эту ерунду, магазинчик получит небольшой убыток. Чтобы выводить серьёзные суммы в нал, тут нужны уже схемы. Наверняка какие-то есть, но про них на хабре не пишут Ну можно на каком-нибудь облаке арендовать кучу виртуальных машин, запустить на них майнинг биткоинов и пока их не заблокируют, сколько-то биткоинов ты выжмешь. Или продавать эти карточки за копейки спамерам, например они создают аккаунт в WoW, проплачивают его и идут спамить рекламу в игре, пока не заблокировали. Но точно не так, что взял и все деньги снял себе в карман.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>В этом случае что один сайт, что тысяча, погоды не сделают. Если этого нет — действительно дыра.
Всмысле ? Пока транзакцию проводит один сайт — остальные должны ждать ?
Если речь до детекте перебора данных для конкретного номера карты — так это тоже не панацея.
Можно отмасштабироваться вширь:
Пусть проверка на сайте занимает 1-2 секунды. Взять 60/2(expiry) * 1000/2(cvv) номеров, проходящих CRC проверку и являющихся потенциальным номерами кредитных карт. Итого 15,000. Как раз за 15-30 секунд можно делать ещё одну проверку для каждого номера. Значит через 4-8 часов будет обработано 15,000 номеров с подбором CVV и ExpiryDate. Это не так уж и мало, учитывая что, согласно википедии, 6 первых цифр это ID банка а последняя CRC. Ещё и тип платёжной системы (Visa/Mastercard/etc.) наверное где-то хранится (лень искать). Т.е. пул номеров карт у каждого банка всего 1млрд. штук. Не удивлюсь, кстати, если пул этот дополнительно делится на сегменты, и карты в каждый период времени выпускаются только с номерами одного (или всего нескольких) сегмента(-ов).
Здравствуйте, IID, Вы писали:
IID>Пока транзакцию проводит один сайт — остальные должны ждать ?
По карте с одним и тем же номером — безусловно.
IID>Если речь до детекте перебора данных для конкретного номера карты — так это тоже не панацея.
Панацеи не бывает. Бывают адекватные меры противодействия.
IID>Можно отмасштабироваться вширь:
У платежных систем должна быть статистика по обращениям и распределению успехов/отказов, оно должно быть близко к нормальному. Подобные атаки дадут резкое изменение распределение, система должна на это реагировать. Атаки, укладывающиеся в нормальное распределение, по определению не будут эффективными.
Здравствуйте, Lazytech, Вы писали:
L>Просто любопытно стало, что, оказывается, до сих пор есть автоматизированные способы массового взлома платежных карт.
А ещё есть магнитные полосы (старая дыра в безопасности) и бесконтактный платёж (новая дыра в безопасности). Плюс не у всех есть услуга мобильного банка, а даже если и есть, не факт, что человек увидит смс. И, конечно, быстрый платёж с помощью смс, а ведь приложения на смартфоне с нужным разрешением их полностью контролирует, может даже не показывать владельцу устройства передавая злоумышленнику. Или старые добрые социальные технологии, звонишь и спрашиваешь человека код для перевода на операцию которую же сам и инициировал.
На самом деле система безопасности пластиковых карт насквозь дырявая. А кто скажет иначе, будет советовать звонить в свой банк и всё такое. И на это мы видим кучу комментариев в интернете от клиентов как банк их послал со своими претензиями. В мобильном банке хоть используется двухфакторная аутентификация, то есть если заходить туда с одного устройства, а смс получать по другому, то ещё куда ни шло.
Но пластик он на то и пластик, снизить риски можно, а полностью их исключить нельзя. Можно отключить быстрые платежи по смс, пользоваться мобильным банком для оповещения об операциях, не отдавать данные карты сомнительным магазинам, не использовать карту для хранения денег, а использовать для этого отдельные счета и вклады. А то знаете, дёрнется рука у продавщицы и наберёт лишний нолик или два в конце.
Хотя всё это не столь важно, ведь самый большой вор в стране сидит наверху. Люди пытаются сохранить свои жалкие сбережения, что всего лишь пыль под его ногами.
Здравствуйте, velkin, Вы писали:
V>В мобильном банке хоть используется двухфакторная аутентификация, то есть если заходить туда с одного устройства, а смс получать по другому, то ещё куда ни шло.
Не, уже ничего никуда не идёт Причём и случае с одним устройством для входа и получения одноразового (OTP) пароля, и в случае с несколькими. В этом году было продемонстрировано столько подходов ко взлому 2FA на базе SMS-сообщений даже во втором случае, что NIST разродился статьёй, в которой призывал отказаться от использования SMS в качестве каналов для OTP-паролей, а также внёс соответствующие изменения в свой стандарт Digtial Authentication Guideline.
Здравствуйте, Sharov, Вы писали:
S>Так уже всюду смс-авторизация, хоть обперебирайся. W>>ну, в России или Европе, может быть. W>>В штатах это редкая редкость. S>Так все плохо?
Судя по статьям в США всё ещё прокатывают карты по магнитной полосе. А в целом некоторые рекомендуют её уничтожить, так как в таких странах как Россия достаточно чипа.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Не, уже ничего никуда не идёт Причём и случае с одним устройством для входа и получения одноразового (OTP) пароля, и в случае с несколькими.
Сначала нужно взломать компьютер на котором вводится логин и пароль, потом устройство принимающее смс, которое даёт временный код для авторизации пользователя на сайте банка. Далее клиент проводит желаемые операции и снова ему приходит смс на каждую.
В принципе не такая уж и плохая схема, тем более, что смс здесь не главное, а дополнительное условие, на случай взлома компьютера. А на практике мы видим кучу всяких "удобств". Платежи чисто по смс, то есть один канал, да ещё малозащищённый. Или всё делают с одного устройства, например, со смартфона.
Ладно там магнитная полоса, которую копируют злоумышленники, здесь хоть надо напрягаться со скиммером. Но взять хотя бы бесконтактный платёж, просто берут и снимают с карты деньги. И какое решение выдумали умельцы — чехол из фольги.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Не, уже ничего никуда не идёт Причём и случае с одним устройством для входа и получения одноразового (OTP) пароля, и в случае с несколькими. В этом году было продемонстрировано столько подходов ко взлому 2FA на базе SMS-сообщений даже во втором случае, что NIST разродился статьёй, в которой призывал отказаться от использования SMS в качестве каналов для OTP-паролей, а также внёс соответствующие изменения в свой стандарт Digtial Authentication Guideline.
Вообще, идея проводить операцию на устройстве, и с его же помощью получать подтверждение, даже на мой ламерский взгляд кажется в корне ущербной, одноразовый пароль тут добавляет не защиту, а только геморрой.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, velkin, Вы писали:
V>Судя по статьям в США всё ещё прокатывают карты по магнитной полосе. А в целом некоторые рекомендуют её уничтожить, так как в таких странах как Россия достаточно чипа.
А в "Леруа" уже можно с чипом? Когда последний раз что-то покупал, как всегда, проводили магнитной полосой и просили подпись.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Кстати, в статье пишут, что карточку MasterCard подобным способом взломать не получится.
