在IEEE安全和隐私报纸的新文章中,来自纽卡斯尔大学的研究人员展示了一种技术,atv,能在6秒内获取Visa信用卡的安全码。 研究人员认为,已经有人在使用这种窃取信用卡的方法,直播,上个月还有黑客对Tesco银行进行了攻击。 万事达的信用卡不容易受到这种攻击,因为“万事达卡的集中式网络会在少于10次尝试后检测是否有被攻击(即使这些尝试分布在不同的多个网站上)”,然而Visa卡的支付生态系统不能阻止攻击。 攻击依赖于:不同的网站需要不同的认证数据来处理事务,有些网站需要请求地址,有些则不用。因此,从一个网站收集的信息可以用于建立足够的数据,在另外网站上积累,逐渐收集到目标信用卡的认证细节。比如,仅仅需要卡号和到期日的网站可以用于搜集到期日期,可以搜集不超过60个猜测可能(因为卡只有最多60个月的有效期),然后用卡号和过期日期就可以猜测三位数的安全码(不超过999个猜测)。 地址很难猜测,但信用卡的卡号是基于区域的(前6位数字表示发卡银行,可用于计算卡的原是国家),许多网站只需要邮政编码,并且可以通过猜测发卡银行的附近位置或卡号被窃取的地方来缩小范围。 有人提出通过标准化要求更多的检出数据,减缓连续的猜测,限制失败的猜测总数,使用IP地址过滤器,并使用次级安全工具,比如Visa验证,并建议支付网站可以实现上述措施中的一些。最终,万事达卡可以检测到这些攻击,而Visa不能表明它在更低水平上能解决这个问题,由于它的过程对公众是很不透明的,研究人员也无法提出具体的建议。 为了防止攻击,可以采取标准化或集中化的处理。标准化意味着所有商店需要提供相同的支付接口,也就是相同数量的字段,让攻击不再扩大。集中化可以通过通过支付网关或信用卡支付网络来实现,这个支付网络拥有与其他网络相关的所有支付尝试和完整视图。无论是标准化还是集中化,都无法完全保证用户的信用卡安全。 建议大家对自己的信用卡时刻关注,有盗刷的行为赶紧和银行联系。 (责任编辑:本港台直播) |