martes, 6 de diciembre de 2016

Obtener datos de tarjetas de crédito en 6 segundos [Paper]



Investigadores de la Universidad de Newcastle han publicado un nuevo mecanismo de ataque, denominado Distributed Guessing Attack [PDF] mediante el cual dicen que puede robar los datos de una tarjeta de crédito/débito en tan sólo seis segundos.

Las tarjetas se han convertido en un medio de pago en línea de facto. Esto también ha dado lugar a un aumento en el número de fraudes. ¿Qué métodos de seguridad se están adoptando para garantizar una transacción segura sin dinero en efectivo?

El estudio publicado en el IEEE Security & Privacy Journal muestra cómo se puede evitar todas las medidas de seguridad supuestamente implementadas para garantizar la seguridad de las transacciones en línea.

Sorprendentemente, esta intervención podría ayudar a los ciberdelincuentes a buscar números de tarjetas de crédito, códigos de seguridad, fechas de caducidad y otra información en tan sólo 6 segundos.

El ataque utiliza la respuesta (positiva o negativa) de la página de pago del comerciante para "adivinar" los datos y explora dos debilidades. En primer lugar, los sistemas de pago actuales no detectan múltiples solicitudes inválidas de la misma tarjeta desde diferentes sitios web. Esto implica que se pueden realizar conjeturas "ilimitadas"distribuyendo" la carga desde miles de sitios web. En segundo lugar, como los comerciantes proporcionan varios campos para introducir los datos, se puede adivinar de un campo a la vez.

Estas dos características facilitan las cosas a los atacantes y se pueden obtener todos los detalles de la tarjeta de crédito en cuestión de segundos, lanzado el ataque en varias páginas de pago. Con la ayuda de de ir "descartando" datos, puede verificar el número correcto de la tarjeta, el código de seguridad y el número de CVV desde diferentes sitios.




En el estudio, el ataque se llevó a cabo utilizando Firefox y scripts automatizados escritos en Java Selenium, un marco de automatización para navegadores web.

Después del estudio, los investigadores han notificado a Visa y otros sitios afectados y mientras que algunos sitios web han endurecido su configuración de seguridad, muchos optaron por ignorar esta advertencia.

Con el fin de mejorar la seguridad personal, los investigadores han sugerido que los titulares de tarjetas deben utilizar una sola tarjeta para los pagos en línea y reducir al mínimo el límite de gastos.

Fuente: FossBytes