Anúncios
Os usuários que utilizam seus cartões Visa para fazer pagamentos na Internet estão correndo um risco que desconhecem. Suas senhas e códigos não são tão seguros quanto parecem, e podem ser adivinhados em apenas seis segundos. É isso que afirma um estudo realizado por pesquisadores da Universidade de Newcastle, na Inglaterra, e publicado na revista de segurança da informação IEEE Security & Privacy.
De acordo com o artigo, os criminosos podem utilizar um programa simples, que realiza incontáveis tentativas de acesso em várias páginas que solicitem dados do cartão para tentar adivinhar as informações de que precisam.
Anúncios
Cada vez que fazemos um pagamento em uma loja online precisamos incluir uma série de dados, como o número do cartão, o nome completo que aparece nele, a data de vencimento e o código CVV. Se não formos capazes de introduzir estes dados de maneira correta, a compra não será realizada. No entanto, se um criminoso tem somente o número do cartão de crédito, ele pode descobrir as outras informações necessárias.
Os cientistas da Universidade de Newcastle desenvolveram um programa de realiza uma série de comprovações em diferentes páginas para adivinhar informações como a data de vencimento ou o código CVV. O software envia de maneira automática 60 pedidos a lojas online para realizar pagamentos e, em troca, recebe informações sobre a combinação que obteve sucesso. O número 60 não é aleatório: nenhum banco emite cartões de crédito com data de vencimento superior a 60 meses. Para o CVV, o programa envia 999 pedidos e descobre qual deles funcionou. O CVV é um código formado por três números, por isso nunca haverá mais de 999 possibilidades. Por não ser uma informação especialmente complexa, toda esta operação pode ser realizada em apenas seis segundos.
Anúncios
Os pesquisadores britânicos publicaram um vídeo que mostra como funciona o programa, muito similar aos utilizados por hackers que adivinham os números de série e os códigos de ativação de diferentes produtos de pagamento online.
https://youtu.be/uwvjZGKwKvY
Além disso, o mesmo programa consegue adivinhar o CEP e o endereço do dono do cartão, caso esta informação seja necessária para autorizar o pagamento. Aparentemente, com o número do cartão de crédito é possível dizer a qual país pertence a conta corrente associada, e a partir deste dado o software testa todos os códigos postais possíveis até encontrar o correto.
Os investigadores acreditam que este foi o sistema usado por criminosos para roubar 2,5 milhões de libras esterlinas de 9 mil clientes do Tesco Bank, do Reino Unido, em um ataque ocorrido no início do mês de novembro.
Os únicos cartões que podem sofrer este tipo de problema são os com bandeira VISA. Aparentemente ela é a única que permite que sejam realizadas incontáveis tentativas sem que surja nenhum tipo de alarme ou que o cartão seja bloqueado, embora não se saiba exatamente o porquê. No caso de outras bandeiras, como a MasterCard, o cartão é bloqueado após 10 tentativas frustradas de pagamento.
Conforme informam os autores do trabalho, agora cabe à VISA estabelecer algum tipo de limite de tentativas de pagamento para evitar ações como esta. Enquanto isso, recomenda-se que todos que possuem cartões VISA ativem o sistema Verified by Visa, que envia ao celular do dono do cartão um código de 6 números que deve ser introduzido para finalizar o pagamento online. Para ter acesso a este serviço é preciso solicitar sua ativação no banco em que o cartão foi contratado.
Fonte: Yahoo!
