http://www.heise-online.pl/news/item/2016

Kody zabezpieczające karty kredytowe słabo nas chronią



Trzycyfrowy kod zabezpieczający znany również jako CVN (Credit Card
Validation Number) figurujący na rewersie kart płatniczych nie
zabezpiecza przed nadużyciami - słowa takie padły w programie
biznesowym WISO wyemitowanym w poniedziałek w niemieckiej telewizji
ZDF. Kod zabezpieczający, zwany też kodem weryfikacyjnym, stworzono,
by upewnić się, że karta używana jest wyłącznie przez jej właściciela.
Jednak w telewizyjnym doniesieniu zauważono, że wystarczy zdobyć numer
karty i jej datę ważności, by dokonywać transakcji w Sieci. W testach
eksperci z firmy Syss zajmujący się bezpieczeństwem odkryli, że w
przypadku 80% sklepów online istnieje możliwość sprawdzenia, jaki kod
jest właściwy, używając metody brute force, czyli odgadywania
kolejnych cyfr.

Ani sklepy, ani organizacje zajmujące się obsługą kart, takie jak
VISA czy Mastercard, nie zapobiegają atakom przez odgadywanie, na
przykład blokując kartę po kilku czy kilkunastu nieudanych próbach,
podobnie jak robią to bankomaty, gdy kilka razy z rzędu klient poda
nieprawidłowy numer PIN. Dyrektor wykonawczy z firmy Syss, Sebastian
Schreiber, potwierdził w rozmowie z heise Security, że taki problem
istnieje. W jego przekonaniu odpowiedzialność za zmianę tego stanu
rzeczy leży po stronie wymienionych organizacji. Powinny one
wprowadzić mechanizm, który po kilku próbach wprowadzenia wadliwego
kodu weryfikującego nakłada blokadę na kartę. Zauważa on, że przemysł
związany z rynkiem kart kredytowych w reklamach chwali się
wielowarstwowymi zabezpieczeniami antywłamaniowymi, co w
rzeczywistości jest zwykłym mydleniem oczu - systemy te nie zadziałały
w przypadku testów z odgadywaniem kodów zabezpieczających.

Jego zdaniem, by skutecznie zapobiegać celowemu blokowaniu kart przez
sieciowych szkodników, wystarczy użyć numeru karty i daty jej
ważności. Jeśli dane te są zgodne i poprawne, to można poczynić
założenie, że system ma do czynienia z właścicielem karty lub
złodziejem, a nie przypadkowym "dzieckiem Neostrady"

do góry

Użytkownik "krzysztofsf" <k...@w...pl> napisał w wiadomości
news:d3fda9f1-a4a8-42b2-96ab-a62460e8c392@f3g2000hsg
.googlegroups.com...

> karty i jej datę ważności, by dokonywać transakcji w Sieci. W testach
> eksperci z firmy Syss zajmujący się bezpieczeństwem odkryli, że w
> przypadku 80% sklepów online istnieje możliwość sprawdzenia, jaki kod
> jest właściwy, używając metody brute force, czyli odgadywania
> kolejnych cyfr.

wg mnie o wiele gorszym niebezpieczeństwem jes to, że wbrew logice banki
bardzo strzegą PIN, przesyłając go w osobnych zabezpieczonych kopertach,
natomiast CCV drukują bezmyślnie na karcie, przez co staje się on dostępny
dla każdego, począwszy od pani w banku, która wydaje kartę, a skończywszy,
na sprzedawcy w sklepie, który na slipie ma nr karty, datę ważności, a 3
cyfry CCV umieszczono chyba celowo na pasku z podpisem, żeby sprzedawcy same
wpadły w oko, tym bardziej, że
3 cyfry prosto jest zapamiętać. Niech organizacje finansowe zajmą się tym
problemem, a dopiero później jakimiś wydumanymi atakami "brute-force". Tym
bardziej, że aby skorzystać z PIN-u i wypłacić pieniądze w bankomacie, to
trzeba przynajmniej kartę sklonować. Posiadając całkowicie niezabezpieczony
CCV, wystarczą nam dane ze slipa i sama karta jest nam całkowicie zbędna.

do góry

Użytkownik "Marcin Wasilewski" <
> natomiast CCV drukują bezmyślnie na karcie, przez co staje się on
> dostępny dla każdego, począwszy od pani w banku, która wydaje kartę,
> a skończywszy, na sprzedawcy w sklepie, który na slipie ma nr karty,
> datę ważności, a 3 cyfry CCV umieszczono chyba celowo na pasku z
> podpisem, żeby sprzedawcy same wpadły w oko, tym bardziej, że

Ja te 3 cyferki zapisuje w pliku z haslami i wydrapuje z karty

gorzej, ze niedawno czytalem ze wlasnie na atak brute-force na cvv
sklepy internetowe nie sa przygotowane
*** blad ***

do góry

On 26 Lis, 08:17, "blad" <blad201@_W_Y_T_N_I_J_sezam.pl> wrote:
> Użytkownik "Marcin Wasilewski" <
>
> > natomiast CCV drukują bezmyślnie na karcie, przez co staje się on
> > dostępny dla każdego, począwszy od pani w banku, która wydaje kartę,
> > a skończywszy, na sprzedawcy w sklepie, który na slipie ma nr karty,
> > datę ważności, a 3 cyfry CCV umieszczono chyba celowo na pasku z
> > podpisem, żeby sprzedawcy same wpadły w oko, tym bardziej, że
>
> Ja te 3 cyferki zapisuje w pliku z haslami i wydrapuje z karty
>

ktos skomentowal umieszczanie tego kodu na karcie :"A ja myslalem, ze
to sugerowany PIN". Jest w tym gorzkie podsumowanie tej taktyki bankow
z jawnym umieszczaniem niezmienialnego kodu na dostepnej dla wielu
osob karcie.

do góry