在「Guessing Credit Card Security Details」這邊看到的攻擊手法,基本上無解,除非信用卡的網路交易也全面改成使用晶片...
手法其實很簡單,就是先算出一個合法的卡號,然後分兩階段攻擊取得資訊:
- 先去找數家只需要「卡號 + 日期」的網站,用暴力法踹出日期 (假設五年就是 60 次)。
- 再去找數十家需要「卡號 + 日期 + CVV2」的網站,用暴力法踹出 CVV2 (1000 次)。
所以 1060 次就擺平了... 就算所有網站都需要 CVV2,也是 60000 次的嘗試而已 (找數千個網站來踹),算是完全可行的方案。而目前只能靠 workaround 來防止,像是需要多輸入姓名與地址之類的資訊來擋...
10次失敗就鎖卡啦
那個系統能讓你測1000次
這樣我也能說iphone數字密碼測10000次能破解
http://www.ithome.com.tw/news/110022
似乎是同一件事?
「Ali強調,目前只在Visa網路上發現此一漏洞,MasterCard的中央網路因可限制單一信用卡於多個網站上的輸入錯誤次數而能倖免於難。」
所以麻煩的就是 Visa 遇到這樣的攻擊並沒有鎖卡
1. 卡號不一定是用產生的.
2. 其他家信用卡業者沒事,可以知道是 Visa 中控,沒有關聯這樣的詐欺/異常.
美國發的信用卡通常會再確認帳單地址,打錯時也不會過