VISAカードを6秒でハッキングする分散推測攻撃

セキュリティ研究者のグループは、わずか6秒でVISAクレジットカードをハッキングする新しい推測方法を発見しました

ニューカッスル大学のセキュリティ研究者グループは、VISAクレジットカードをたったの6秒でハッキングする方法を考案しました。

この技術は、VISAクレジットカードのデータを検索するためにオンライン決済サイトを使用するDistributed Guessing Attackに依存しています。 攻撃者はデータをオンライン決済ウェブサイトに送信し、取引の返信を分析して、データが正しいかどうかを発見します。

学術雑誌IEEE Security&Privacyに掲載された研究では、いわゆるDistributed Guessing Attackが、オンライン支払いを詐欺から守るためのセキュリティ機能を迂回する方法を示しています。 

カードセキュリティデータのさまざまなバリエーションを自動的かつ体系的に生成し、複数のWebサイトで発射することにより、ハッカーは数秒で「ヒット」を取得し、必要なセキュリティデータをすべて検証することができます。

研究者は、テスコ銀行に対する最近のサイバー攻撃では、この方法が2.5百万ポンドの盗難につながった可能性が高いと推測している。

研究者らは、Distributed Guessing Attackを起動して、Visaクレジットカードまたはデビットカードのカード番号、有効期限、セキュリティコードを推測することが可能であることを実証しました。

この方法は効果的でシンプルで、オンライン決済システムは複数の異なるWebサイトからの無効な支払い要求を複数検出しないことが専門家によって分かっています。

攻撃者は、各カードデータフィールドにいくつかのウェブサイトの試みを分割して無制限の推測を試みることができます。 攻撃者は各ウェブサイトで10〜20回の推測を行うことができます。

ニューカッスル大学のコンピューティングサイエンス学部の博士号を取得し、この論文の著者であるMohammed Ali氏は、次のように述べています。

「この種の攻撃は、それほど深刻なものではない2つの弱点を悪用します。しかし、一緒に使用すると、支払いシステム全体に深刻なリスクを与えます。」

「まず、現在のオンライン支払いシステムは、異なるウェブサイトからの複数の無効な支払い要求を検出しません。 これにより、各ウェブサイトで許容される試行回数(通常10〜20回の推測)を使用して、各カードデータフィールドを無制限に推測することができます。」

「第2に、異なるウェブサイトは、オンライン購入を検証するためにカードデータフィールドの異なるバリエーションを求めます。 これは、情報を構築し、ジグソーパズルのようにまとめることは非常に簡単であることを意味します。」

攻撃者は一回につき一か所のカード情報を収集するため、販売者が不正行為を検出することは不可能であるとAli氏は説明した。

「無制限の推測は、支払いデータフィールドのバリエーションと組み合わせると、攻撃者が一度に1つのフィールドですべてのカードの詳細を生成することは恐ろしいほど簡単です」

攻撃者は、生成された各カードフィールドを連続して使用して次のフィールドを生成することができます。

従って、最初の6桁以外の詳細な情報がまったく無くても、単一の発行者からのカードは同じで銀行名とカードのタイプがわかるため、ハッカーは、3つの重要な情報を入手して わずか6秒以内にオンラインで購入できます。

研究者は、VISAネットワークだけが分散型推測攻撃に対して脆弱であることを強調しました。

MasterCardネットワークは集中管理されており、たとえそれらの支払いが複数のネットワークに分散されていたとしても、10回未満の試行でDistributed Guessing Attackを検出できます。

参照:

Distributed Guessing Attack to hack VISA cards in just six seconds