UPDATE 13.00: În replică, reprezentanţii Visa spun că pot pune la dispoziţia băncilor emitente de carduri informaţiile necesare pentru a decide asupra riscului unei tranzacţii. De asemenea, există măsuri ce pot fi luate atât de comercianţi, cât şi de bănci, pentru a contracara astfel de tentative de fraudă.
„Cercetarea nu ia în considerare nivelurile multiple de securitate pentru prevenirea fraudei, care sunt implementate în sistemul de plăţi şi trebuie îndeplinite pe rând pentru a face posibilă o tranzacţie în lumea reală. Visa pune la dispoziţia băncilor emitente de carduri informaţiile necesare pentru a decide asupra riscului unei tranzacţii. De asemenea, există măsuri ce pot fi luate atât de comercianţi, cât şi de bănci, pentru a contracara astfel de tentative de fraudă. Visa oferă un nivel suplimentar de securitate la efectuarea plăţilor online prin serviciul Verified by Visa, care se bazează pe standardul 3D Secure. Comercianţii care aleg să nu folosească Verified by Visa în cazul tranzacţiilor online îşi asumă riscurile în caz de fraudă. Este important pentru consumatori să ştie că sunt protejaţi dacă datele cardului le-au fost utilizate pentru plăţi în mod fraudulos. În astfel de cazuri, deţinătorii de carduri sunt absolviţi de orice răspundere.”
Un studiu recent efectuat de cercetătorii de la Universitatea din Newcastle relevă că unele date prin care pot fi realizate plăţi online cu ajutorul cardurilor Visa pot fi aflate doar în şase secunde, citează News.ro. Vulnerabilitatea în sistemul de securitate folosit de Visa permite hackerilor să afle datele cardurilor într-un timp record.
Aflarea datelor se poate face prin metodă de forţă brută care ghiceşte datele prin încercări multiple până sunt nimerite informaţiile corecte. Se pare că sistemul celor de la Visa depistează tentativele frauduloase doar dacă încercările multiple se fac prin intermediul aceluiaşi site de plăţi. În cazul în care hackeri declanşează atacul folosind mai multe site-uri care introduc simultan diferite combinaţii de numere, sistemul Visa nu le ia în calcul.
Folosirea unui număr mare de site-uri pentru atac reuşeşte să adune informaţii parţiale de identificare a unui card, care, mai apoi, pot fi puse cap la cap pentru a completa puzzle-ul. Cercetătorii de la Universitatea din Newcastle au creat chiar un program care face acest lucru automat şi, cum se poate vedea şi în clipul alăturat, în doar 6 secunde au aflat codul CVC – una din informaţiile necesare plăţilor online, precizează sursa citată.
Oficialii Visa au fost anunţaţi cu privire la aceste vulnerabilităţi, însă, nu au luat măsuri suplimentare de precauţie, considerând că informaţiile parţiale de identificare ale cardurilor nu sunt suficiente pentru realizarea unor tranzacţii frauduloase. Pe de altă parte, sistemul de securitate al celor de la MasterCard nu este vulnerabil la acest tip de atacuri, vizate fiind doar cardurile Visa.
