Une nouvelle attaque sur les paiements en ligne de VISA ?

[ѠOOT]

Aujourd'hui, l'université de Newcastle a fait une publication qui est loin d'être passée inaperçue.

Working out the card number, expiry date and security code of any Visa credit or debit card can take as little as 6 seconds and uses nothing more than guesswork. New research reveals the ease with which criminals can hack an account without any of the card details.

Research published in the academic journal IEEE Security & Privacy, shows how the so-called Distributed Guessing Attack is able to circumvent all the security features put in place to protect online payments from fraud.

To obtain card details, the attack uses online payment websites to guess the data and the reply to the transaction will confirm whether or not the guess was right.

Different websites ask for different variations in the card data fields and these can be divided into three categories: Card Number + Expiry date (the absolute minimum); Card Number + Expiry date + CVV (Card security code); Card Number + Expiry date + CVV.

Because the current online system does not detect multiple invalid payment requests on the same card from different websites, unlimited guesses can be made by distributing the guesses over many websites.



However, the team found it was only the VISA network that was vulnerable...

Lire la suite de l'article : http://www.ncl.ac.uk/press/news/2016/12/cyberattack/
http://eprint.ncl.ac.uk/file_store/prod ... 6E1FDB.pdf
https://www.theguardian.com/technology/ ... udy-claims

[Malekal_morte]

Avec une carte volée, si on a le numéro et la date.
vu que le CVV c'est 4 chiffres, ça doit pas être bien long à attaquer en bruteforce.

[Parisien_entraide]

Avec une carte volée, si on a le numéro et la date.
vu que le CVV c'est 4 chiffres, ça doit pas être bien long à attaquer en bruteforce.

Le pire c'est que les générateurs de CB existent depuis des dizaines d'années (ca trainait déjà sur les réseaux BBS dans les années 90 et servait pour les achats sur les premiers sites marchands sur le net)
La puissance informatique aidant il a suffit juste d'une petite modification, vu que le réseau des cartes bancaires met en balance le coût du remboursement (minime pour eux) et celui de la recherche et surtout remplacement des cartes et terminaux qui se chiffre à des sommes astronomiques

Il ne fait pas bon de mettre en avant les failles avec la solution pour les combler (qui se rappelle de cette affaire ?) :
https://fr.wikipedia.org/wiki/Serge_Humpich

Au delà de cela se rappeler il y a quelques années, les moults articles (presse et sur le net) avec graphiques à l'appui, qui sonnait l'alarme sur la fraude bancaire sur internet qui explosait (alors que les services de police et gendarmerie dans leurs chiffres indiquaient que ce n'était qu'une infime partie de la fraude bancaire), articles émanant en fait du groupement bancaire, pour imposer chez les particuliers un boitier de paiement avec... insertion du code secret
L'arnaque pour les particuliers : Si vous donnez votre code bancaire lors d'un paiement, VOUS êtes responsable, donc pas de remboursement en cas de fraude/vol constaté

Pour rappel et toujours d'actualité : http://image.quechoisir.org/var/ezflow_ ... 5ebb0d.pdf

En cas de fraude : http://droit-finances.commentcamarche.n ... esponsable

Ce qui n'est pas dit dans ce lien et que je conseille : Lors du signalement au reseau carte bancaire, pour faire annuler sa carte en cas de vol, faire TRES attention à ce que dit votre interlocuteur, qui va profiter de votre faiblesse du moment pour glisser dans la conversation des phrases de type : "Quand est ce que vous avez "perdu" votre carte" ? ou "Donc vous signalez à la date du ... la "perte" de votre carte bancaire et vous voulez faire opposition ?" etc

Le truc c'est que si vous dîtes "oui", et c'est enregistré vocalement, sur la déclaration finale sera indiqué "perte" et non "vol", ce qui change tout pour les remboursements