Pesquisadores Podem Adivinhar os Detalhes do Seu Cartão de Crédito em Seis Segundos

Não, eles não fazem isso, eles só querem nos mostrar como é fácil

Você é consciente da segurança, na fronteira com o paranóico. Você só usa seu cartão de crédito ou débito em caixas eletrônicos confiáveis, onde é quase impossível colocar um dispositivo de escumação. Você nunca usou um site de comércio eletrônico e dorme bem à noite, sabendo que ninguém nunca saberá os detalhes do seu cartão. Temos más notícias para você.

Em 2 de dezembro, um grupo de pesquisadores liderado por Mohammed Ali, Ph.D. Um estudante da Universidade de Newcastle, no Reino Unido, publicou um artigo explicando como os atores de ameaças podem simplesmente adivinhar todos os detalhes do seu cartão de crédito VISA e usar as informações para fins nefastos. Aqui está como isso funciona.

Os Compradores On-Line Devem ser os Mais Preocupados

Os especialistas apontaram dois aspectos do atual cenário de compras on-line que permitem que o ataque de adivinhação distribuído funcione. A primeira fraqueza decorre do fato de que diferentes sites comerciais requerem diferentes tipos de informações antes de permitir o pagamento. Embora o site A, por exemplo, possa precisar do número do cartão de 16 dígitos (também conhecido como Número da conta principal ou PAN) e a data de vencimento, o site B também pode querer saber o número CVV de 3 dígitos impresso na parte traseira do cartão. A segunda fraqueza vem do fato de que algumas redes de pagamento com cartão (VISA, estamos olhando para você) não detectam várias tentativas fracassadas de processar transações on-line a partir de um único cartão. Com esses dois aspectos em mente, os pesquisadores conseguiram literalmente aplicar força bruta a todas as informações vitais necessárias para efetuar um pagamento.

O ponto de partida é um número de cartão. Por razões éticas, os pesquisadores usaram seus próprios cartões de crédito no experimento, mas mencionaram que os agentes de ameaças podem obter números válidos de cartões de várias maneiras. Eles podem, por exemplo, comprá-los na dark web (aqueles que não possuem um CVV ou uma data de validade anexada a eles são vendidos por amendoins). Eles podem obtê-los explorando o recurso sem contato nos cartões emitidos recentemente. Eles também podem criar um número válido usando os seis primeiros dígitos (indicando o tipo de cartão e o banco que o emitiu) e algo chamado algoritmo de Luhn.

Depois, os especialistas acessaram os 400 sites de comércio eletrônico mais populares e escolheram os que exigem apenas o PAN e a data de validade. A maioria dos sites permite entre seis e dez tentativas fracassadas de processar um pagamento a partir de um único cartão, mas, usando várias delas, os pesquisadores tiveram muito espaço para adivinhar. Além disso, como a maioria dos cartões é válida por até 60 meses, eles precisavam de menos de 60 tentativas para descobrir a data de validade.

Com isso, eles passaram para o número CVV. Eles escolheram sites que exigem o número do PAN, a data de validade e o CVV, inserem as informações já obtidas e começaram a adivinhar o código de três dígitos no verso do cartão (tentando "001", "002", etc.) Após menos de 1.000 tentativas, eles tinham o Valor de verificação do cartão.

Nem Tudo é Desgraça e Melancolia com os Titulares de Cartão

Em teoria, usando vários sites com diferentes procedimentos de verificação, um agente de ameaças precisaria de menos de 1.060 tentativas para chegar ao CVV e à data de vencimento. Por outro lado, se todos os sites exigissem as mesmas informações (número do cartão, CVV e data de validade), os bandidos precisariam de 60.000 tentativas. Essa é a diferença que um único campo faz.

Certamente, alguns comerciantes on-line também solicitam um endereço de cobrança, o que não é tão fácil de adivinhar. Como apenas a parte numérica do endereço é verificada (na maioria dos casos, o sistema verifica apenas o código postal), no entanto, a força bruta ainda é possível, especialmente quando você tem os seis primeiros dígitos do número do cartão.

Conhecendo as vulnerabilidades, os especialistas montaram uma ferramenta de software que automatizou o processo e adivinhou os detalhes de todos os cartões usados no experimento. No total, a ferramenta precisava de cerca de seis segundos por cartão para fornecer as informações confidenciais.

Como você pode imaginar, as repercussões do ataque de adivinhação distribuído podem ser muito sérias. Para provar a seriedade, os pesquisadores criaram uma conta falsa e transferiram parte de seu próprio dinheiro para a Índia. 27 minutos depois, um contato deles pegou o dinheiro em um escritório da Western Union, a cerca de 5.000 milhas de distância.

36 dos sites usados durante o experimento foram contatados. 8 Oito nunca retornou a ligação, 18 responderam com e-mails gerados por máquina e 10 entraram em contato com os especialistas para solicitar mais detalhes técnicos. Apenas 8 dos sites contatados fizeram alterações em seus sistemas de checkout e nenhum deles decidiu diminuir o número máximo de tentativas de pagamento com falha.

Nem todos os cartões estão em risco, é preciso dizer. Apesar do uso de vários sites diferentes espalhados pelo mundo, a rede da MasterCard captou as tentativas fracassadas de efetuar um pagamento e frustrou o ataque. Com o VISA, no entanto, as suposições funcionaram, sem nenhum problema.

E isso nos leva à questão do que pode ser feito para impedir que os agentes de ameaças descubram os detalhes do seu cartão e roubem seu dinheiro. Os sites que levam o usuário ao sistema do emissor do cartão para autenticação adicional não podem ser usados no ataque de adivinhação distribuído. A tecnologia é chamada 3-D Secure e está prontamente disponível, mas fazer com que todos os comerciantes on-line implementem pode ser bastante dispendiosa e vem com seu próprio conjunto de desafios. Não há dúvida de que a VISA precisa fazer algo sobre sua rede de pagamento com cartão, embora também seja desconhecido o quão fácil isso é. Talvez a maneira mais simples de tornar o ataque impraticável seja forçando os comerciantes on-line a exigir as mesmas informações exatas de cada cliente durante o processo de pagamento. Diminuir o número máximo de tentativas falhas de usar o mesmo cartão também pode não ser uma má ligação.

Isso também pode ser um processo longo e complicado, mas uma coisa é certa - se nada for feito, poderemos ver muitas pessoas mantendo suas economias debaixo do colchão muito em breve.