NETTBETALING

Visa-kortopplysninger kan «gjettes» på få sekunder

Nettbutikkene med de svakeste kravene ødelegger for de andre.

Forskere har oppdaget at Visa-kortopplysningene relativt enkelt kan avsløres ved å utnyttte svakheter i mange nettbutikker.
Forskere har oppdaget at Visa-kortopplysningene relativt enkelt kan avsløres ved å utnyttte svakheter i mange nettbutikker. Bilde: Colourbox
Harald BrombachHarald BrombachNyhetsleder
6. des. 2016 - 13:55

Forskere ved det britiske Newcastle University har oppdaget at det er mulig å innhente all den informasjonen som kreves for å bruke et Visa-kort i forbindelse med netthandel. Ikke bare det, men all den nødvendige informasjonen kan skaffes på noen få minutter. 

To små sårbarheter blir til én stor

Forskningen, som blant annet har blitt omtalt av Ars Technica, viser at dette er mulig ved å utnytte to sårbarheter i systemet. Hver for seg er de ikke så alvorlige, men sammen utgjør de en alvorlig risiko for hele betalingssystemet, mener Mohammed Aamir Ali, doktorgradsstudenten som er hovedforfatter av den vitenskapelige artikkelen om prosjektet. 

– For det første registrerer ikke dagens system for betaling på nettet om det gjøres flere ugyldige betalingsforespørsler på tvers av ulike nettsteder. Dette åpner for ubegrenset gjetting av hvert av datafeltene for kortet, ved at man på hvert nettsted kan bruke opp antallet mulig forsøk, typisk 10 eller 20, sier Ali i en pressemelding fra universitetet.

– For det andre bruker ulike nettsteder ofte forskjellige kombinasjoner av felter for kortopplysningene for å validere en netthandel. Dette betyr at det er ganske enkelt å bygge opp informasjonen og å sette den sammen som et puslespill, fortsetter Ali.

Leste du denne? Er skremt av responsen fra hackede, norske nettbutikker

Varierende krav

Minstekravet til enkelte nettbutikker er at man oppgitt kortnummeret og utløpsdatoen. Det er enkleste er selvfølgelig om man har tilgang til kortnummeret, for eksempel ved hjelp av NFC-basert skimming. Siden utløpsdatoen sjelden er mer enn fem år unna, holder det da å teste maksimalt 60 kombinasjoner av måned og år for å finne datoen. 

Men ifølge forskerne det fullt mulig å finne kortnummeret også, dersom man har de seks første sifrene, som ifølge Ali er felles for alle kort utstedt av en gitt bank. Resten av kortnummeret kan valideres ved hjelp av modulus 10-algoritmen, også kalt Luhns algoritme. Men i forsøkene har forskerne kun benyttet sine egne kort.

Har man kortnummeret og finner utløpsdatoen, kan man gå videre til andre nettbutikker som krever at man også oppgir den korte sikkerhetskoden som står på baksiden av kortet. Visa kaller denne for Card Verification Value 2 (CVV2). 

Det kreves maksimalt tusen forsøk for å finne denne tresifrede koden. I videoen nedenfor demonstrerer forskerne at de i løpet av få sekunder kan finne CVV-en når de har kortnummeret og utløpsdatoen tilgjengelig. 

Verre hadde det vært dersom alle nettbutikker krever alle de tre opplysningene. I stedet for maksimalt 60 + 1000 forsøkt, ville da antallet mulige kombinasjoner vokse til 60 000. 

Artikkelen fortsetter under videoen.

Noen ødelegger for de andre

Nettbutikkene som bare krever kortnummer og utløpsdato underminerer derfor den økte sikkerheten som tilbys av nettbutikker som også krever sikkerhetskoden.

Noen nettbutikker krever riktignok at også navnet og adressen til korteieren oppgis. Men forskerne fant ut at ingen av de snaut 400 mest trafikkerte nettbutikkene i verden faktisk sjekker om det oppgitt navnet er korrekt oppgitt. 

Tabellen viser hvor mange nettbutikker som krever to, tre eller fire Visa-kortopplysninger, samt hvor mange forsøk de tillater. <i>Foto: Mohammed Aamir Ali med flere.</i>
Tabellen viser hvor mange nettbutikker som krever to, tre eller fire Visa-kortopplysninger, samt hvor mange forsøk de tillater. Foto: Mohammed Aamir Ali med flere.

Kravet om korrekt oppgitt adresse til kortholderen, noe som er relativt uvanlig, vil i mange tilfeller være stor utfordring å få has på. Men ifølge forskerne er det bare numeriske verdier som kontrolleres, i noen tilfeller bare postnummeret, i andre tilfeller også gatenummeret. Visa-kort fra banker med lokal tilknytning kan være enklere å utnytte, for da man kan teste de lokale postnumrene først.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Da euroen kom til Trondheim
Da euroen kom til Trondheim

Etter å ha gjennomført testingen, valgte forskerne å varsle Visa, i tillegg til de 36 største av de 342 aktørene som var berørt av sårbarhetene. 28 av disse svarte, men fire uker senere var det bare åtte som på ulike måter hadde styrket sikkerheten, for eksempel ved å redusere antallet forsøk per kortnummer eller IP-adresse per døgn. Andre innførte en gradvis økning av valideringstiden for hvert mislykkede forsøk. 

To av nettbutikkene tok i bruk validering av korteierens adresse, men forskerne mener at dette bare bidrar til å hjelpe kortsvindlere med å avdekke adressen, så lenge de ikke også innfører strenge begrensninger i hvor mange forsøk som tillates. 

I artikkelen omtaler forskerne også hvordan de har kunnet bruke kortopplysningene til å overføre penger til en falsk bankkonto og deretter hente ut beløpet som kontanter i India.

Les også: Usikre driftsmiljøer sørger for at nordmenn blir svindlet for enorme beløp

3D Secure

Som tabellen over viser, benytter 47 av de testede nettbutikkene 3D Secure, som er en ytterlige sikkerhetskontroll hvor man i alle fall i Norge kan bruke BankID eller et eget passord til å bekrefte transaksjonen. Dette kan dermed hindre slike angrep som er omtalt i saken, men også bruk av kortopplysningene som svindlere kan få tak i.

Men selv om mange norske nettbutikker har betalingsløsninger som tar i bruk 3D Secure, så viser forskernes tall at 3D Secure bare brukes av 12 prosent av de store nettbutikkene som er med i undersøkelsen.

Ifølge forskerne blir løsninger som 3D Secure ofte sett på som noe man har kommet på i ettertid, og at slike løsninger har vanskeligheter med å oppnå stor utbredelse.

Les også: Norge er det sikreste kortlandet i Europa (TU.no)

Foreslår løsninger

Forskerne mener at det enten må innføres en standardisering eller en sentralisering av betalingssystemene for å hindre denne typen angrep. Dersom alle krever like mange opplysninger, og minimum tre, vil ikke angrepene lenger skalere. Da vil det kreves langt flere forsøk for å avdekke opplysningene. 

Med sentralisering mener forskerne at alle mislykkede forsøk blir registrert i sanntid på et sentralt sted, slik at dersom et kortnummer har blitt forsøkt brukt i for eksempel ti mislykkede forsøk, så skal ikke angriperen kunne gjøre nye forsøk i andre nettbutikker. 

Forskerne testet ikke bare Visa-kort, men også Mastercard. Men disse lot seg ikke utnytte på samme måte, nettopp fordi Mastercard har et sentralt system som oppdager og blokkerer denne typen angrep etter færre enn ti forsøk, selv på tvers av ulike nettbutikker.

Store penger: Nordmenn bruker 90 milliarder på netthandel

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.