クレジットカードのセキュリティコードを数秒で割り出せるシステム 7
ストーリー by hylom
今後クレジットカード関連の犯罪は増えそう 部門より
今後クレジットカード関連の犯罪は増えそう 部門より
taraiok曰く、
Newcastle大学の研究者らが、数秒でVISAカードのセキュリティコードを推測できるという研究結果を公表している(Independent、Slashdot、ExtremeTech)。
論文では現行のオンライン支払いシステムにおける問題点として、まず異なるWebサイトにわたってのエラー検出ができないことを指摘している。多くのWebサイトでは決済に10~20回失敗するとそれ以降の決済ができなくなるが、複数のWebサイトを使って不正な決済を試みることで、事実上無制限に決済を試みることができるという。
また、、サイトによって決済の際に検証する情報が異なる点をについても問題としている。多くのサイトではカード番号と有効期限とセキュリティコードを求められることが多いが、決済の際にこれらの情報のうち一部だけしか使わないサイトもあるという。
研究者らはこれらの問題点を使い、数千のサイトを使ってクレジットカード番号を推測するシステムを開発したそうだ。その結果、クレジットカード番号と有効期限が分かっているケースでは数秒でセキュリティコードを割り出すことができたという。
研究者は、この手法が最近発生した英Tesco銀行のハッキング事件に使用されたと見ているそうだ。
最近は (スコア:2)
Re: (スコア:0)
だったら多い少ないじゃなくて、そうでないサイトを使うだけじゃないですか?
Re: (スコア:0)
全然多くない。
そもそも何かあったとき、責任をユーザーに押し付けるだけのものだし。
クレカ決済 (スコア:0)
クレジットカード番号を推測して
有効期限は総当り?
セキュリティコード割り出して
それが揃えば決済できるんだっけ?
契約者名は既にわかっているのか、そこまで判明したリストと名前候補のリストあわせて
数多在るWebサイトにトライ&エラーを仕掛け続けてヒットしたらザックザクってことすかね。
Re: (スコア:0)
> 契約者名は既にわかっているのか、そこまで判明したリストと名前候補のリストあわせて
契約者名のチェックをやっていない場合も多いことも問題の1つです。
CVV/CVC2は (スコア:0)
CID 使ってる AMEXでも 4桁の数字。
カード番号と有効期限までわかってるケースなら、残りの3桁か4桁の数字なんて、素人でも総当たりで調査出来るレベルの規模だとわかる話
いまどきのオンライン決済だと、その上にカードに紐づけたユーザーIDやパスワード認証なんかもないと決済できんわけだし。
セキュリティコードの桁数 (スコア:0)
クレジットカード番号と有効期限が分かっているケースでは数秒でセキュリティコードを割り出すことができたという。
整数3桁なら1000個なわけで
クレジットカード番号と有効期限分かってれば
数秒もかからんしょ
複数サイトで試すからかな?