Une nouvelle attaque sur les paiements en ligne de VISA ?

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Une nouvelle attaque sur les paiements en ligne de VISA ?

Message par ѠOOT » 02 déc. 2016 19:13

Aujourd'hui, l'université de Newcastle a fait une publication qui est loin d'être passée inaperçue.

Working out the card number, expiry date and security code of any Visa credit or debit card can take as little as 6 seconds and uses nothing more than guesswork. New research reveals the ease with which criminals can hack an account without any of the card details.

Research published in the academic journal IEEE Security & Privacy, shows how the so-called Distributed Guessing Attack is able to circumvent all the security features put in place to protect online payments from fraud.

To obtain card details, the attack uses online payment websites to guess the data and the reply to the transaction will confirm whether or not the guess was right.

Different websites ask for different variations in the card data fields and these can be divided into three categories: Card Number + Expiry date (the absolute minimum); Card Number + Expiry date + CVV (Card security code); Card Number + Expiry date + CVV.

Because the current online system does not detect multiple invalid payment requests on the same card from different websites, unlimited guesses can be made by distributing the guesses over many websites.

Image

However, the team found it was only the VISA network that was vulnerable...


Lire la suite de l'article : http://www.ncl.ac.uk/press/news/2016/12/cyberattack/
http://eprint.ncl.ac.uk/file_store/prod ... 6E1FDB.pdf
https://www.theguardian.com/technology/ ... udy-claims


‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Malekal_morte
Site Admin
Site Admin
Messages : 97725
Inscription : 10 sept. 2005 13:57
Contact :

Re: Une nouvelle attaque sur les paiements en ligne de VISA

Message par Malekal_morte » 03 déc. 2016 13:07

Avec une carte volée, si on a le numéro et la date.
vu que le CVV c'est 4 chiffres, ça doit pas être bien long à attaquer en bruteforce.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 2735
Inscription : 02 juin 2012 20:48

Re: Une nouvelle attaque sur les paiements en ligne de VISA

Message par Parisien_entraide » 03 déc. 2016 15:31

Malekal_morte a écrit :Avec une carte volée, si on a le numéro et la date.
vu que le CVV c'est 4 chiffres, ça doit pas être bien long à attaquer en bruteforce.
Le pire c'est que les générateurs de CB existent depuis des dizaines d'années (ca trainait déjà sur les réseaux BBS dans les années 90 et servait pour les achats sur les premiers sites marchands sur le net)
La puissance informatique aidant il a suffit juste d'une petite modification, vu que le réseau des cartes bancaires met en balance le coût du remboursement (minime pour eux) et celui de la recherche et surtout remplacement des cartes et terminaux qui se chiffre à des sommes astronomiques

Il ne fait pas bon de mettre en avant les failles avec la solution pour les combler (qui se rappelle de cette affaire ?) :
https://fr.wikipedia.org/wiki/Serge_Humpich

Au delà de cela se rappeler il y a quelques années, les moults articles (presse et sur le net) avec graphiques à l'appui, qui sonnait l'alarme sur la fraude bancaire sur internet qui explosait (alors que les services de police et gendarmerie dans leurs chiffres indiquaient que ce n'était qu'une infime partie de la fraude bancaire), articles émanant en fait du groupement bancaire, pour imposer chez les particuliers un boitier de paiement avec... insertion du code secret
L'arnaque pour les particuliers : Si vous donnez votre code bancaire lors d'un paiement, VOUS êtes responsable, donc pas de remboursement en cas de fraude/vol constaté

Pour rappel et toujours d'actualité : http://image.quechoisir.org/var/ezflow_ ... 5ebb0d.pdf

En cas de fraude : http://droit-finances.commentcamarche.n ... esponsable

Ce qui n'est pas dit dans ce lien et que je conseille : Lors du signalement au reseau carte bancaire, pour faire annuler sa carte en cas de vol, faire TRES attention à ce que dit votre interlocuteur, qui va profiter de votre faiblesse du moment pour glisser dans la conversation des phrases de type : "Quand est ce que vous avez "perdu" votre carte" ? ou "Donc vous signalez à la date du ... la "perte" de votre carte bancaire et vous voulez faire opposition ?" etc

Le truc c'est que si vous dîtes "oui", et c'est enregistré vocalement, sur la déclaration finale sera indiqué "perte" et non "vol", ce qui change tout pour les remboursements
Only Amiga... was possible !
"Tous les patients mentent" Dr House


Répondre

Revenir vers « Actualité & News Informatique »