國外媒體 TheNextWeb 報導,英國新堡大學最新研究指出,駭客這種新的攻擊方法為「分散式猜測攻擊」(Distributed Guessing Attack),因為 Visa 支付系統無法計算駭客無效輸入的次數,因此駭客可以無限制地猜測信用卡的資料,直到猜到為止。研究人員發現,當一張卡片背後的安全碼同時間在多個網站被輸入,卡片的安全機制就不會啟動,也不會發送刷卡資訊給持卡人。
(圖/FREESTOCK)
通常每個電商網站都會限制使用者只能輸入幾次錯誤的信用卡相關訊息,但是在不同的網站上同時輸入信用卡號碼,就可以繞過此一問題。研究指出,信用卡有效期限通常為 5 年,因此只要嘗試 60 次就可以;卡片背後的 3 位數字安全碼較難,需要猜上 1000 次才能破解。
報導中也指出,目前此一漏洞只在 Visa 金融卡上出現,其他的卡種如 MasterCard 會追蹤駭客在哪些網站上試圖輸入錯誤的卡號與安全碼,因此較容易被發現。Visa 支付系統則沒有此一設定,才會讓駭客有漏洞可乘。
研究人員在 389 個電商網站上進行測試,發現當中僅 47 個網站有採用 3D 安全驗證系統,且會額外發送驗證碼給用戶,輸入驗證碼後才能完成交易;而也只有這樣的網站才能閃過駭客的「分散式猜測攻擊」。
至目前為止,Visa 並未對此報導提出說明。