极验验证,geetest,验证码,滑动验证,拖动验证,验证安全,人机识别,防注册机,防灌水,防拖库 撞库,防短信轰炸,反爬虫,账号安全,交易安全

逆天,6秒破解信用卡,你怕了吗?

2017-01-09 by 极小验


未标题-1.png-820.4kB
每个女孩都有一个梦想,就是有一天,能够遇到一个白马王子,他可以毫无保留的拿出信用卡,豪情万丈的对你说:“刷,可劲儿刷,想买什么买什么”。
2015111119513761054.jpg-13.4kB

可是你以为这样的人就一定是白马王子吗?NO,他有可能是一个盗刷别人信用卡的黑客。最近极小验看到一个新闻,说英国纽卡斯尔大学的一组安全研究人员发现了一种称为分布式猜测攻击的新方法,只需 6 秒即可破解 VISA 信用卡。

所谓的VISA信用卡是由Visa国际组织的会员银行发行,属于国际卡,是可以在发行国以外使用的一种信用卡。该卡进行网络支付的时候,是不需要密码的,而是在网上直接输入16位卡号,姓名,有效期和CVV2(信用卡安全码,有三位数)就可以完成网上支付的交易。

下载.png-79.5kB
那么很显然,要盗刷VISA信用卡,就需要获得卡号,姓名,有效期和CVV2。首先获得真实的姓名和信用卡号是相对比较容易的,获取途径包括像银行工作人员疏忽或者是售卖用户信息,黑客攻击银行获得的信息,网络地下黑市的社工库等,都能够获得大量的信用卡姓名和卡号这些看上去无关紧要的信息。

分布式猜测攻击主要是利用支付系统两个小小的漏洞,一是目前的在线支付系统无法检测出,来自不同网站的多个无效付款请求。由于网站的无效支付次数限制,黑客不能在一个网站进行高频率的暴力尝试,从而猜测有效日期和CVV2。但是一个网站能猜测10次,那么100个网站就能够尝试1000次,利用这种分布式猜测,就能够绕过网站设置的安全限制。

其次,不同的网站验证的信用卡的数据字段是不同的,无效支付请求反馈的信息也就不一样。 通过多网站的尝试,黑客可以获得不同数据字段的反馈信息,像拼图游戏一样,得到完整的信用卡信息。

具体步骤:
首先,黑客以有效卡号自动发送到各个网站去验证有限性。
接着获得到期日期,VISA信用卡的有效期为 60 月,所以猜测有效日期最多只需要 60 次。
CVV(信用卡安全代码)是最后的屏障,,可是猜测三位数最多只需要尝试 1000 次而已。

感觉好简单啊,极小验都惊呆了,果然做坏事比做好事容易得多啊。不过呢,天网恢恢疏而不漏,魔高一尺,道高一丈。牛逼哄哄的安全人员也不是好惹的哦,钱这么好挣,那不是人人都去当黑客咯。
3501040-578586ff982560d7.jpg-44.4kB

将极验验证的行为式验证码部署在支付模块,通过极验的安全模型,能够准确的识别恶意程序,将这种暴力尝试扼杀在摇篮中,管你是不是分布式,只要是恶意程序,就不能够进行无效支付尝试。而且极验有着良好的用户体验,只需要拖动滑块完成拼图即可,完全不用担心影响用户体验。

极验验证专注于验证安全领域,有着大量数据的积累和深度学习,机器学习等技术的成熟应用,为众多的企业和网站解决验证安全问题。