×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×

UltimastecnologiasMiembro desde: 31/03/11

Ultimastecnologias

http://www.ru-nuel.com

0
Posición en el Ranking
0
Usuarios seguidores
Sus noticias
RSS
  • Visitas
    1.461.592
  • Publicadas
    1.382
  • Puntos
    0
Veces compartidas
501
¡Consigue las insignias!
Trimestrales
Recientes
Visitas a noticias
Hace 3d

Obtener datos válidos de número de la tarjeta, fecha de caducidad y el código de seguridad de cualquier tarjeta de crédito o débito Visa puede tomar tan poco como seis segundos y no utiliza nada más que intentos, según ha demostrado una nueva investigación.

La investigación publicada en la revista académica IEEE Security & Privacy, muestra cómo el denominado Distributed Guessing Attack es capaz de eludir todas las características de seguridad establecidas para proteger los pagos en línea del fraude.

Explicando los defectos en el sistema de pago VISA, el equipo de la Universidad de Newcastle, Reino Unido, encontró que ni la red ni los bancos eran capaces de detectar atacantes haciendo múltiples intentos inválidos para obtener datos de la tarjeta de pago.

Al Generar automáticamente y sistemáticamente diferentes variaciones de los datos de seguridad de las tarjetas y haciendolo desde varios sitios web, en cuestión de segundos los hackers pueden obtener un "hit" y verificar todos los datos de seguridad necesarios.

A propósito de esta investigación, los investigadores creen que este método de ataque de adivinanzas es probable que haya sido utilizado en el reciente ciberataque de Tesco, que defraudó a los clientes con 2, 5 millones de libras y que el equipo de Newcastle describe como "espantosamente fácil si se tiene un ordenador portátil y una conexión a Internet".

Y dicen que el riesgo es mayor en esta época del año cuando tantos de nosotros estamos comprando regalos de Navidad en línea.

Intentos ilimitados

"Este tipo de ataque explota dos debilidades que por sí solas no son demasiado severas pero cuando se usan juntas, representan un serio riesgo para todo el sistema de pagos", explica Mohammed Ali, estudiante de doctorado en la Escuela de Ciencias de la Computación de la Universidad de Newcastle y autor principal en el papel.

"En primer lugar, el actual sistema de pago en línea no detecta múltiples solicitudes de pago no válidas de diferentes sitios web. Esto permite intentos ilimitadas en cada campo de datos de la tarjeta, utilizando hasta el número permitido de intentos - normalmente 10 o 20 intentos - en cada sitio web.

"En segundo lugar, diferentes sitios web piden diferentes variaciones en los campos de datos de la tarjeta para validar una compra en línea. Esto significa que es muy fácil de construir la información y la pieza juntos como un rompecabezas.

"Las suposiciones ilimitadas, combinadas con las variaciones en los campos de datos de pago, hacen que sea asustadoramente fácil para los atacantes generar todos los detalles de la tarjeta un campo a la vez.

"Cada campo generado de la tarjeta se puede utilizar en la sucesión para generar el campo siguiente y así sucesivamente. Si los éxitos se distribuyen a través de suficientes sitios web, entonces una respuesta positiva a cada pregunta se puede recibir en dos segundos - al igual que cualquier pago en línea.

Más sobre

"Así que incluso comenzando con ningún detalle en todos los demás que los primeros seis dígitos - que le dicen que el banco y el tipo de tarjeta y por lo tanto son los mismos para cada tarjeta de un único proveedor - un hacker puede obtener las tres piezas esenciales de información para hacer una Compra en línea en tan sólo seis segundos ".

Distributed Guessing Attack

Para obtener detalles de la tarjeta, el ataque utiliza sitios web de pago en línea para adivinar los datos y la respuesta a la transacción confirmará si la conjetura era correcta o no.

Diferentes sitios web piden diferentes variaciones en los campos de datos de la tarjeta y estos se pueden dividir en tres categorías: Número de tarjeta + fecha de caducidad (el mínimo absoluto); Número de tarjeta + Fecha de caducidad + CVV (Código de seguridad de la tarjeta); Número de Tarjeta + Fecha de Vencimiento + CVV.

Debido a que el sistema en línea actual no detecta múltiples solicitudes de pago no válidas en la misma tarjeta desde diferentes sitios web, se pueden hacer estimaciones ilimitadas distribuyendo las conjeturas en muchos sitios web.

Sin embargo, el equipo encontró que sólo la red VISA era vulnerable.

"La red centralizada de MasterCard fue capaz de detectar el ataque de adivinanzas después de menos de 10 intentos, incluso cuando esos pagos se distribuían a través de múltiples redes", dice Mohammed.

Al mismo tiempo, debido a que los diferentes comerciantes en línea piden información diferente, permite que el ataque de adivinación para obtener la información de un campo a la vez.

Mohammed explica: "La mayoría de los hackers se han apoderado de números de tarjeta válidos como punto de partida, pero incluso sin que sea relativamente fácil generar variaciones de números de tarjetas y enviarlos automáticamente a través de numerosos sitios web para validarlos.

"El siguiente paso es la fecha de caducidad. Los bancos suelen emitir tarjetas que son válidas durante 60 meses, por lo que adivinar la fecha toma como máximo 60 intentos.

"El CVV es su última barrera y teóricamente sólo el titular de la tarjeta tiene esa información - no se almacena en ningún otro lugar.

"Pero suponer que este número de tres dígitos toma menos de 1.000 intentos. Difundir esto a más de 1.000 sitios web y uno volverá verificado en un par de segundos. Y allí lo tienes - todos los datos que necesitas para hackear la cuenta. "

Protegernos contra el fraude

Un pago en línea - o "tarjeta no presente" transacción - depende de que el cliente proporciona datos que sólo el propietario de la tarjeta podría saber.

Pero a menos que todos los comerciantes piden la misma información entonces, dice el equipo, la identificación del rompecabezas a través de Web site es simple.

Fuente:

Http://www.ncl.ac.uk/

Más recientes de Ultimastecnologias

AirSelfie, un mini drone hecho para selfies innovadores

AirSelfie es un drone revolucionario que incorpora una cámara, el cual cabe en tu bolsillo y se conecta con su smartphone para que puedas tomar fotos en HD, tuyas, con tus amigos y de tu vida diaria desde el cielo Hace 5d

Crean dispositivo que vigila los latidos del corazón.

Investigadores de la Universidad de Colorado en Boulder y de la del Noroeste, ambas en EE 23/11/2016

Videollamadas de WhatsApp; Cómo acceder a esta nueva función

WhatsApp lanzó oficialmente una nueva actualización con soporte para videollamada, y la función ahora está siendo liberada para usuarios de Android, iPhone y Windows, pero para acceder a esta nueva función, obviamente tienes que actualizar esta aplicación para hacer tu primera videollamada 20/11/2016

Tren Hyperloop transportaría a mas de 800 KM/h por el desierto

Dubai ha llegado a un acuerdo con la empresa estadounidense Hyperloop One para evaluar la construcción de un enlace de transporte casi supersónico que podría reducir los tiempos de viaje a la capital Emirati, Abu Dhabi, a minutos 10/11/2016

Apple presenta la aplicación "TV" para Apple TV

Apple anunció una nueva aplicación para su caja de streaming multimedia, la cual es llamada "TV", y ha sido diseñada para facilitar a los usuarios la tarea de encontrar y ver contenido sin necesidad de buscar manualmente diferentes aplicaciones. Es básicamente una guía de televisión 02/11/2016

Mostrando: 1-5 de 1.381