Especialistas em segurança da Universidade de Newscastle na Inglaterra descobriram uma forma incrivelmente simples de descobrir o número, data de validade e código de segurança de cartões de crédito da bandeira Visa.
O método é relativamente simples, e qualquer pessoa com a ferramenta certa pode a utilizar sem qualquer dificuldade.
Vamos supor que o cibercriminoso tenha o número do cartão de crédito mas não seu código de segurança. Utilizando uma ferramenta simples, se testa centenas de variações do código em centenas de websites, até que se encontre o código certo. O processo todo leva cerca de 6 segundos.
Já que as tentativas são espalhadas por diferentes websites, a Visa não bloqueia o cartão, o que é uma falha de segurança. O ataque não funciona com cartões da bandeira MasterCard, por exemplo, já que o cartão é bloqueado após menos de 10 tentativas erradas, mesmo que as tentativas sejam distribuídas entre diferentes sites.
O ataque, apesar de simples, é bastante inteligente. Com ele, é possível identificar outras coisas como a validade do cartão. Alguns websites pedem apenas o número e a validade, então bastam algumas dezenas de tentativas para conseguir a data.
Descobrir o código de segurança é tão simples quanto a data de validade. Já que ele é composto de 3 números, basta no máximo 999 tentativas para descobrir o correto.
Também é possível conseguir o CEP do titular, mas é um pouco mais complicado. Como os primeiros seis dígitos do cartão identifica a agência emissora. Logo, a ferramenta é capaz de testar diferentes CEPs próximos à agência ou próximo de onde o cartão foi roubado/encontrado.
- Veja também: O que significam os números do cartão de crédito?
Solução
Este ataque utiliza duas falhas que sozinhas não significam grande perigoso, mas quando exploradas em conjunto, sim.
A primeira e mais gritante falha é o fato da Visa não detectar o ataque quando as tentativas invalidas vêm de múltiplas origens, mesmo quando são centenas ou milhares delas em segundos.
A segunda é o fato de diferentes websites pedirem diferentes tipos e quantidades de informações, o que permite que um ataque desse tipo consiga os dados passo a passo.
Se todos os websites pedissem a mesma quantidade de dados e todos necessários para validar o cartão, então esse ataque seria muito mais complexo de ser realizado, talvez impossível.
O fato da MasterCard conseguir detectar o ataque ao cartão em menos de 10 tentativas, mas a Visa não, também sugere que existe uma solução simples de segurança que a bandeira pode aplicar.
Antes de divulgar o estudo em um período especializado em segurança digital, os pesquisadores alertaram a Visa sobre a vulnerabilidade, mas parece que nada foi feito.
Em resposta à mídia, a Visa afirmou:
“A pesquisa não leva em consideração as múltiplas camadas de prevenção de fraude que existem no sistema de pagamentos, sendo que cada uma delas precisa ser validada para tornar uma transação possível no mundo real”.
A bandeira também lembrou que o mais importante para os clientes é lembrar que se seus cartões forem usados de forma fraudulenta, eles são protegidos de qualquer responsabilidade.
- Veja também: Este é o cartão de crédito mais seguro do mundo
E no Brasil?
A falha de segurança dos cartões Visa foi identificada na Inglaterra, então não sabemos se ela se aplica para cartões brasileiros. Mas considerando o aspecto global do sistema, especialmente para cartões internacionais, é provável que também se aplique.
Porém, com a pesquisa agora pública, cibercriminosos brasileiros também podem criar sua própria versão utilizando websites nacionais.
No Brasil, a técnica mais utilizada para roubo de dados de cartão de crédito e conta bancária continua sendo através de malwares. Esse tipo de ataque geralmente tira proveito da falta de conhecimento ou inocência dos usuários.
Via: Independent / BoingBoing