Método permite “adivinhar” dados de cartão de crédito explorando vários sites simultaneamente

credit-card-851502_640

Pesquisadores da Universidade de Newcastle (Reino Unido) apresentaram, no dia 01/12/2016, um artigo no qual detalham um novo método que torna possível “adivinhar” os dados de um cartão de crédito a partir de múltiplas consultas simultâneas a sites diferentes em questão de segundos.

O método se aproveita de duas brechas em sistemas de pagamentos. Tendo em mente que, diferentes sites pedem diferentes informações de autenticação para processar transações: alguns pedem o CVV, outros pedem a data de vencimento do cartão, entre outros. Além disso, não há um mecanismo centralizado para identificar várias tentativas simultâneas inválidas de pagamento em sites diferentes.

Usando um bot e partindo dos 6 primeiros dígitos de um cartão (que definem a bandeira, o banco e a finalidade do cartão, informações facilmente conseguidas na internet), um atacante poderia – em tese – efetuar múltiplas tentativas de pagamento até conseguir as informações completas do cartão sem despertar suspeitas.

O método foi testado contra cartões das bandeiras Visa e MasterCard e provou ser efetivo apenas contra a primeira. Isso porque a MasterCard conta com um rede centralizada, que bloqueia transações após 10 tentativas inválidas, mesmo que as solicitações partam de diferentes websites.

Para maiores informações sobre o estudo, clique aqui. E para ver um vídeo com parte do processo, clique aqui.