6 dic. 2016

Obtener datos de tarjetas de crédito en 6 segundos [Paper]

Investigadores de la Universidad de Newcastle han publicado un nuevo mecanismo de ataque, denominado Distributed Guessing Attack [PDF] mediante el cual dicen que puede robar los datos de una tarjeta de crédito/débito en tan sólo seis segundos.

Las tarjetas se han convertido en un medio de pago en línea de facto. Esto también ha dado lugar a un aumento en el número de fraudes. ¿Qué métodos de seguridad se están adoptando para garantizar una transacción segura sin dinero en efectivo?

El estudio publicado en el IEEE Security & Privacy Journal muestra cómo se puede evitar todas las medidas de seguridad supuestamente implementadas para garantizar la seguridad de las transacciones en línea.

Sorprendentemente, esta intervención podría ayudar a los ciberdelincuentes a buscar números de tarjetas de crédito, códigos de seguridad, fechas de caducidad y otra información en tan sólo 6 segundos.

El ataque utiliza la respuesta (positiva o negativa) de la página de pago del comerciante para "adivinar" los datos y explora dos debilidades. En primer lugar, los sistemas de pago actuales no detectan múltiples solicitudes inválidas de la misma tarjeta desde diferentes sitios web. Esto implica que se pueden realizar conjeturas "ilimitadas"distribuyendo" la carga desde miles de sitios web. En segundo lugar, como los comerciantes proporcionan varios campos para introducir los datos, se puede adivinar de un campo a la vez.

Las debilidades no son demasiado graves por sí mismas, pero combinadas y explotadas de forma conveniente, un ciberatacante puede recoger información de seguridad y hackear las tarjetas en solo unos segundos. En definitiva, el ataque no es más que fuerza bruta usada de forma inteligente contra los sitios de comercio online más populares. En este vídeo explican cómo funciona el ataque:
Estas dos características facilitan las cosas a los atacantes y se pueden obtener todos los detalles de la tarjeta de crédito en cuestión de segundos, lanzado el ataque en varias páginas de pago. Con la ayuda de de ir "descartando" datos, puede verificar el número correcto de la tarjeta, el código de seguridad y el número de CVV desde diferentes sitios.

Es decir, en lugar de hacer fuerza bruta solamente contra un vendedor, se hace contra muchos de ellos, obteniendo diferente información en cada uno. En primer lugar, el atacante necesita los números de la tarjeta de crédito, que puede conseguir a través de un mercado negro de la Deep Web. A continuación, usará bots web para realizar ataques de fuerza bruta y obtener los códigos CVV (Card Verification Value) y las fechas de caducidad.

El equipo de investigación a estudiado los 400 sitios de e-commerce más populares (según Alexa), y ya ha contactado con los 36 más grandes para notificarles sus descubrimientos. Algunos de ellos ya han actuado en consecuencia, cambiando sus medidas de seguridad. Otros todavía no han hecho nada.
En el estudio, el ataque se llevó a cabo utilizando Firefox y scripts automatizados escritos en Java Selenium, un marco de automatización para navegadores web.

Después del estudio, los investigadores han notificado a Visa y otros sitios afectados y mientras que algunos sitios web han endurecido su configuración de seguridad, muchos optaron por ignorar esta advertencia.

Con el fin de mejorar la seguridad personal, los investigadores han sugerido que los titulares de tarjetas deben utilizar una sola tarjeta para los pagos en línea y reducir al mínimo el límite de gastos.

Fuente: FossBytes

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!