英国的研究人员发现了一种新颖和意想不到的方式,攻击者可以通过使用合法的在线商家来猜测合法的信用卡。攻击依赖于收集不同的认证数据,直到黑客猜测出信用卡的安全细节。较旧的Visa信用卡似乎最容易受到这种“分布式猜测攻击”,主要是因为Visa网络没有标记来自多个网站的付款请求为可疑请求。
攻击者可以利用这个缺陷尝试暴力攻击信用卡,特别是当他们已经可以访问泄露帐户的部分用户数据或网络钓鱼攻击时,此技术特别有用。研究人员发现,通过针对数百个合法的在线零售商发动“分布式猜测攻击”,每个攻击使用略微不同的信息来验证信用卡,攻击者可以慢慢地建立一个完整的信用卡配置文件。
这种类型的攻击依赖于所谓的“卡不存在欺诈”原则,即商家不强迫攻击者提供通常在卡的背面发现的3位CVV代码。而更先进的支付系统在这方面的要求更加严格。
直接购买完全泄漏的信用卡信息是一个更简单和更有效的做法,因此目前的缺陷虽然令人担忧,但不大可能被大规模利用。发现这一缺陷的调查人员呼吁建立一个更统一的在线信用卡认证模式,并要求零售商和支付处理公司提高其安全性。