Forskere ved det britiske Newcastle University har oppdaget at det er mulig å innhente all den informasjonen som kreves for å bruke et Visa-kort i forbindelse med netthandel. Ikke bare det, men all den nødvendige informasjonen kan skaffes på noen få minutter.
To små sårbarheter blir til én stor
Forskningen, som blant annet har blitt omtalt av Ars Technica, viser at dette er mulig ved å utnytte to sårbarheter i systemet. Hver for seg er de ikke så alvorlige, men sammen utgjør de en alvorlig risiko for hele betalingssystemet, mener Mohammed Aamir Ali, doktorgradsstudenten som er hovedforfatter av den vitenskapelige artikkelen om prosjektet.
– For det første registrerer ikke dagens system for betaling på nettet om det gjøres flere ugyldige betalingsforespørsler på tvers av ulike nettsteder. Dette åpner for ubegrenset gjetting av hvert av datafeltene for kortet, ved at man på hvert nettsted kan bruke opp antallet mulig forsøk, typisk 10 eller 20, sier Ali i en pressemelding fra universitetet.
– For det andre bruker ulike nettsteder ofte forskjellige kombinasjoner av felter for kortopplysningene for å validere en netthandel. Dette betyr at det er ganske enkelt å bygge opp informasjonen og å sette den sammen som et puslespill, fortsetter Ali.
Leste du denne? Er skremt av responsen fra hackede, norske nettbutikker
Varierende krav
Minstekravet til enkelte nettbutikker er at man oppgitt kortnummeret og utløpsdatoen. Det er enkleste er selvfølgelig om man har tilgang til kortnummeret, for eksempel ved hjelp av NFC-basert skimming. Siden utløpsdatoen sjelden er mer enn fem år unna, holder det da å teste maksimalt 60 kombinasjoner av måned og år for å finne datoen.
Men ifølge forskerne det fullt mulig å finne kortnummeret også, dersom man har de seks første sifrene, som ifølge Ali er felles for alle kort utstedt av en gitt bank. Resten av kortnummeret kan valideres ved hjelp av modulus 10-algoritmen, også kalt Luhns algoritme. Men i forsøkene har forskerne kun benyttet sine egne kort.
Har man kortnummeret og finner utløpsdatoen, kan man gå videre til andre nettbutikker som krever at man også oppgir den korte sikkerhetskoden som står på baksiden av kortet. Visa kaller denne for Card Verification Value 2 (CVV2).
Det kreves maksimalt tusen forsøk for å finne denne tresifrede koden. I videoen nedenfor demonstrerer forskerne at de i løpet av få sekunder kan finne CVV-en når de har kortnummeret og utløpsdatoen tilgjengelig.
Verre hadde det vært dersom alle nettbutikker krever alle de tre opplysningene. I stedet for maksimalt 60 + 1000 forsøkt, ville da antallet mulige kombinasjoner vokse til 60 000.
Artikkelen fortsetter under videoen.
Noen ødelegger for de andre
Nettbutikkene som bare krever kortnummer og utløpsdato underminerer derfor den økte sikkerheten som tilbys av nettbutikker som også krever sikkerhetskoden.
Noen nettbutikker krever riktignok at også navnet og adressen til korteieren oppgis. Men forskerne fant ut at ingen av de snaut 400 mest trafikkerte nettbutikkene i verden faktisk sjekker om det oppgitt navnet er korrekt oppgitt.
Kravet om korrekt oppgitt adresse til kortholderen, noe som er relativt uvanlig, vil i mange tilfeller være stor utfordring å få has på. Men ifølge forskerne er det bare numeriske verdier som kontrolleres, i noen tilfeller bare postnummeret, i andre tilfeller også gatenummeret. Visa-kort fra banker med lokal tilknytning kan være enklere å utnytte, for da man kan teste de lokale postnumrene først.
Etter å ha gjennomført testingen, valgte forskerne å varsle Visa, i tillegg til de 36 største av de 342 aktørene som var berørt av sårbarhetene. 28 av disse svarte, men fire uker senere var det bare åtte som på ulike måter hadde styrket sikkerheten, for eksempel ved å redusere antallet forsøk per kortnummer eller IP-adresse per døgn. Andre innførte en gradvis økning av valideringstiden for hvert mislykkede forsøk.
To av nettbutikkene tok i bruk validering av korteierens adresse, men forskerne mener at dette bare bidrar til å hjelpe kortsvindlere med å avdekke adressen, så lenge de ikke også innfører strenge begrensninger i hvor mange forsøk som tillates.
I artikkelen omtaler forskerne også hvordan de har kunnet bruke kortopplysningene til å overføre penger til en falsk bankkonto og deretter hente ut beløpet som kontanter i India.
Les også: Usikre driftsmiljøer sørger for at nordmenn blir svindlet for enorme beløp
3D Secure
Som tabellen over viser, benytter 47 av de testede nettbutikkene 3D Secure, som er en ytterlige sikkerhetskontroll hvor man i alle fall i Norge kan bruke BankID eller et eget passord til å bekrefte transaksjonen. Dette kan dermed hindre slike angrep som er omtalt i saken, men også bruk av kortopplysningene som svindlere kan få tak i.
Men selv om mange norske nettbutikker har betalingsløsninger som tar i bruk 3D Secure, så viser forskernes tall at 3D Secure bare brukes av 12 prosent av de store nettbutikkene som er med i undersøkelsen.
Ifølge forskerne blir løsninger som 3D Secure ofte sett på som noe man har kommet på i ettertid, og at slike løsninger har vanskeligheter med å oppnå stor utbredelse.
Les også: Norge er det sikreste kortlandet i Europa (TU.no)
Foreslår løsninger
Forskerne mener at det enten må innføres en standardisering eller en sentralisering av betalingssystemene for å hindre denne typen angrep. Dersom alle krever like mange opplysninger, og minimum tre, vil ikke angrepene lenger skalere. Da vil det kreves langt flere forsøk for å avdekke opplysningene.
Med sentralisering mener forskerne at alle mislykkede forsøk blir registrert i sanntid på et sentralt sted, slik at dersom et kortnummer har blitt forsøkt brukt i for eksempel ti mislykkede forsøk, så skal ikke angriperen kunne gjøre nye forsøk i andre nettbutikker.
Forskerne testet ikke bare Visa-kort, men også Mastercard. Men disse lot seg ikke utnytte på samme måte, nettopp fordi Mastercard har et sentralt system som oppdager og blokkerer denne typen angrep etter færre enn ti forsøk, selv på tvers av ulike nettbutikker.
Store penger: Nordmenn bruker 90 milliarder på netthandel