Научные сотрудники университета Ньюкасл провели ряд исследований, которые показали любопытные результаты. Согласно опубликованному докладу, методом "грубой силы" (англ. brute force) можно провести подбор паролей для платежной системы VISA буквально за 6 секунд. Это касается любых данных, включая CVV-код и дату истечения срока действия.
Взяв для исследований топ-400 онлайн-магазинов по версии статистического сайта Alexa Internet ("дочка" компании Amazon), исследователи исключили из них платформы с надежной защитой, оставив для опыта 342 сервиса. Затем был взят номер действующей банковской карточки и подобрана для нее дата прекращения срока активации. На выбранных ресурсах "хакеры" предприняли попытку провести транзакцию.
Срок действия большинства карточек максимум 5 лет. В течение нескольких секунд ученые разослали выбранным 342 сайтам запросы с разными комбинациями и подобрали нужную дату. Подобным образом был произведен подбор и CVV-кода, а поскольку в нем лишь 3 цифры, специалистам потребовалось меньше тысячи вариантов.
По результатам исследований ясно, что адрес, к которому привязана карта, ряд сайтов не запрашивает. Игнорируется ими и правильность ввода имени владельца карты. Подобный метод позволяет подобрать и сам номер карточки. При этом атакованные 78% сайтов вообще не отреагировали на указание об уязвимости. Некоторые сервисы постарались обновить защиту. В ряде случаев это ослабило безопасность еще больше.
Уязвимость перед brute force продемонстрировала лишь VISA. Mastercard реагирует блокировкой на запросы с одного номера карты из разных интернет-магазинов. Защищенными являются и карты, оснащенные 3D Secure и Chip&PIN ридером.