ثغرة في بطاقات فيزا تُسهل اختراقها في أقل من 6 ثوان

اكتشف باحثان أمنيان من جامعة نيوكاسل البريطانية اثنين من نقاط الضعف في طريقة التحقق من المعاملات المالية عبر الإنترنت باستخدام نظام فيزا Visa للدفع الإلكتروني، ووفقاً للبحث الصادر حديثاً فإن هناك ثغرة في حماية بطاقة الائتمان، الأمر الذي يجعل من السهولة بمكان على القراصنة استرداد المعلومات الحساسة.

ويوضح التقرير أن إحدى نقاط الضعف لوحدها لا تشكل فائدة كبيرة، بينما يمكن للقراصنة استرداد المعلومات الأمنية لبطاقة الائتمان في أقل من ست ثواني عند استخدام نقطتي الضعف معاً.
ولا تكتشف أنظمة الدفع عبر الإنترنت طلبات الدفع المتعددة غير الصالحة إذا تم تنفيذها عبر مواقع متعددة، كما أن تلك الأنظمة تسمح بما يصل إلى 20 محاولة للبطاقة الواحدة في كل موقع، والمواقع الإلكترونية غير متناسقة في عمليات التدقيق التي يقومون بها مع اختلاف معلومات البطاقة المطلوبة.

ويمكن للبرامج المصصمة خصيصاً للكشف عن الرمز الأمني للبطاقة، بالإعتماد على البيانات التي تم جمعها من التخمينات في مواقع مختلفة، تجميع تلك المعلومات بشكل سريع مثل تاريخ إنتهاء صلاحية البطاقة والرمز الرقمي لقيمة التحقق من البطاقة والرمز البريدي المرتبط بالبطاقة والذي يقدم تفاصيل جزئية.

وتعمل أدوات CCS2015 على الوصول بشكل تلقائي إلى عدد من أنظمة الدفع الإلكتروني للمواقع وإزالة العناصر المجهولة بشكل ممنهج من خلال هجوم بروت فورس والاستمرار في المحاولة حتى النجاح في كشف كل تفاصيل البطاقة.

ولا يستغرق تخمين تاريخ إنتهاء الصلاحية أكثر من 60 محاولة، في حين يحتاج معرفة رمز قيمة التحقق من البطاقة أقل من 1000 محاولة، حيث يعود السبب الرئيسي إلى انكشاف المعلومات المخفية للبطاقة بسبب انتشار تفاصيل معينة للبطاقة على مئات أو آلاف أنظمة الدفع الإلكترونية في المواقع.

ويعتبر الجانب الأكثر إثارة للقلق بأن نظام الدفع والبنوك المرتبطة به لا تستطيع اكتشاف حدوث هذا الهجوم، حيث يمكن للمهاجم خلق بطاقة مسروقة صالحة للعمل في بضع ثواني، مما يعني إمكانية سرقتها واستخدامها والتخلص منها بسرعة كبيرة حتى قبل أن يدرك ذلك مالك البطاقة.

وقد اكد فريق البحث أن بطاقة فيزا Visa هي الوحيدة المعرضة لمثل هذا الهجوم، بينما تمكنت ماستركارد من تتبع محاولات التخمين عبر مواقع مختلفة والكشف عن المحاولات غير الصالحة بعد 10 مرات فشل، مما يحد من إمكانيات القراصنة، وعمد الباحثون إلى إبلاغ شركة فيزا بنتائج بحثهم إلا أن الشركة يبدو أنها لم تأخذ تلك النتائج على محمل الجد.