Så hackas ditt Visakort på sex sekunder

2016-12-07 11:46  
Foto: IBL

Brister i säkerhetssystemen gör att hackare kan använda botar för att lista ut dina känsliga kortuppgifter, på bara några sekunder.

En färsk undersökning från Newcastle University visar på svagheter i systemen som korttillverkaren Visa och flera webbaserade butiker använder för att skydda känslig information om våra betalkort.

När du handlar med kort på nätet behöver du först mata i den 16-siffriga nummerkombinationen som finns på ditt korts framsida. Som ett extra skyddslager måste du sedan även ange giltighetsdatum för kortet, samt din tresiffriga CVV-kod.

Stulna kortnummer, det vill säga den 16-siffriga kombinationen, går att köpa på internet, och genom att ta hjälp av så kallade webbotar – ett slags program konstruerats för att automatiskt genomföra operationer – kan hackarna sedan lista ut ditt giltighetsdatum och CVV-koden genom att skicka en stor mängd gissningar till hundratals olika webbutiker. När en betalning går igenom vet hackarna att de har hittat den korrekta kombinationen, och således har kommit över nycklarna till ditt betalkort.

För att skydda sig mot den här typen av attacker har korttillverkarna Mastercard lagt till en funktion i sitt system som begränsar antalet försök att ange rätt sifferkombinationer. Om användaren inte lyckas mata in rätt uppgifter på tio försök så låses kontot.

Men enligt rapporten från Newcastle University saknar storkonkurrenten Visa en motsvarighet till denna skyddsåtgärd, vilket i praktiken innebär att hackarnas botar har oändligt många försök på att gissa sig till dina kortuppgifter, rapporterar sajten Engadget.

För en människa skulle det ta lång tid att hitta den rätta kombinationen, men genom att automatisera processen – och skicka ut enormt många gissningar på en och samma gång – behöver ett datorprogram inte mer än sex sekunder för att lösa uppgiften.

I rapporten har Newcastle University också tittat närmare på säkerheten hos flera webbutiker, och kommit fram till att vissa aktörer begränsar antalet gissningar till 50 försök, men att många butiker tillåter obegränsat många försök. Orsaken till att handlar inte sätter någon gräns för antalet gissningar som kan genomföras innan systemet slår larm, är att man vill göra det som "smidigt som möjligt" för konsumenterna att handla på nätet, rapporterar Arstechnica.

Enligt Engadget finns det tecken som tyder på att metoden som beskrivs ovan användes nyligen i en stor attack mot den engelska butikskedjan Tesco, där hackare lurade systemet på motsvarande drygt 29 miljoner kronor.

Engadget har sökt Visa, som inte har gett någon kommentar om uppgifterna.

Kalle Wiklund

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt