Uma nova técnica chamada Distributed Guessing Attack está a criar dores de cabeça ao pessoal da VIDA.
Isto porque investigadores de segurança conseguem “crackar” um cartão de crédito (válido, obviamente) em menos de cinco segundos graças a uma falha da VISA. Os cartões MAsterCard, Maestro e outros não estão afectados.
Num trabalho de pesquisa denominado “Does The Online Card Payment Landscape Unwittingly Facilitate Fraud?“, publicado no jornal académico EEE Security & Privacy, os investigadores da Universidade de Newcastle explicam como os pagamentos online estão inseguros e podem ser facilmente “adivinhados” pelos predadores deste tipo de dados.
A técnica funciona graças a três vulnerabilidades:
Desta forma, é possível testar vários milhares de cartões de crédito, datas de expiração e códigos CVV em poucos segundos. Por isso, em vez de “atacarem” um site com 20 tentativas, atacam vários sites multiplicando as tentativas até terem um cartão válido por “tentativa e erro”. Mas isto tudo é tão rápido que… demora apenas 6 segundos!
Relembramos que na Deep Web se podem comprar números de cartões de crédito por 1 dólar, portanto a parte que mais se “tenta” não são os 16 dígitos, mas apenas a data e o CVV.
Confuso? Não há problema. Este vídeo demonstra tudo:
Isto porque investigadores de segurança conseguem “crackar” um cartão de crédito (válido, obviamente) em menos de cinco segundos graças a uma falha da VISA. Os cartões MAsterCard, Maestro e outros não estão afectados.
Num trabalho de pesquisa denominado “Does The Online Card Payment Landscape Unwittingly Facilitate Fraud?“, publicado no jornal académico EEE Security & Privacy, os investigadores da Universidade de Newcastle explicam como os pagamentos online estão inseguros e podem ser facilmente “adivinhados” pelos predadores deste tipo de dados.
A técnica funciona graças a três vulnerabilidades:
- O sistema da VISA não detecta quando fazes várias pesquisas de seguida em vários sites ao mesmo tempo.
- Em cada site podes fazer uma média de 20 tentativas antes de seres bloqueado
- Os websites não verificam regularmente os cartões de crédito inválidos nem bloqueiam quem faz este tipo de ataques
Desta forma, é possível testar vários milhares de cartões de crédito, datas de expiração e códigos CVV em poucos segundos. Por isso, em vez de “atacarem” um site com 20 tentativas, atacam vários sites multiplicando as tentativas até terem um cartão válido por “tentativa e erro”. Mas isto tudo é tão rápido que… demora apenas 6 segundos!
Relembramos que na Deep Web se podem comprar números de cartões de crédito por 1 dólar, portanto a parte que mais se “tenta” não são os 16 dígitos, mas apenas a data e o CVV.
Confuso? Não há problema. Este vídeo demonstra tudo:
O que posso fazer para me proteger?
Neste momento não há nada que possas fazer para estares protegido completamente. Mas há formas de minimizar a situação. São elas:- Pergunta ao teu banco sobre que seguros existem contra compras fraudulentas e como os podes accionar
- Coloca um limite baixo de crédito no teu cartão, desta forma minimizas o uso do cartão a um montante pequeno. Isto pode ser pedido ao teu banco ou numa agência.
- Usa sempre que possível MBNet e não o cartão de crédito em si, porque o cartão aí gerado é temporário e só funciona uma vez (ou pelo menos num só comprador).