A MasterCard fizetési rendszere védett az új támadás ellen, de a többiek elvéreznek. Nagy lehetőség ez a fintecheknek.
(fotó: Tesco Bank)
Az elosztott feldolgozás a számítástechnika egyik nagy trükkje. Ahelyett, hogy minden számítást egy nagy, erős gépen végeznénk el, szétszórjuk a feladatokat több számítógép között. Ha például a cél a szorzótábla kiszámolása lenne, akkor az első gép az egyszer egyet számolná, a második az egyszer kettőt és így tovább. Így töredék idő alatt lehet eredményre jutni.
A University of Newcastle kutatói szerint (PDF) a módszert az internetes bűnözők is felfedezték maguknak. Több boltot és internetes fizetési felületet felhasználva úgy tudják kitalálni egy bankkártya azonosítószámait, hogy a csalásfigyelő rendszer nem tartja gyanúsnak a próbálkozásokat. A kutatók szerint a Tesco Bank elleni támadást így hajthatták végre múlt hónapban.
Ügyesebb rablás, mint bármelyik korábbi
A támadás ellen nem mindegyik kártyatársaság és fizetési szolgáltató egyformán védett. A MasterCard központi rendszere tíz hibás próbálkozás után akkor is felismeri a támadást, ha különböző boltokban történtek a próbák. A Visa fizetési rendszerét viszont át lehet verni. Az új típusú adatgyűjtés a szokott módon kezdődik a bankautomatánál, egy feltört fizetési terminálnál vagy egy vírussal megszerzik a bankkártyaszámot. Vagy, mert ennek is van piaca, vesznek egy nagyobb adag mások által ellopott banki adatot. A folytatás azonban teljesen újszerűen történik.
Az elosztott megközelítés mellett a módszer arra épít, hogy a szolgáltatók mindenhol kicsit más adatokat kérnek. Van ahol szükséges pontosan megadni a lakcímünket, máshol ezt nem igénylik. A próbálkozásokkal és az eltérő fizetési oldalakkal lassan az összes ilyen információt össze lehet gyűjteni. A kártya lejáratának idejéhez hatvan tipp elég, nincs olyan bankkártya, ami hatvan hónapnál hosszabb ideig lenne érvényes. A hátlapi három számból álló CVV szám csak 999 darab értéket vehet fel. A bankkártyaszám maga pedig segít azonosítani a kibocsátó bankot és az országot. Ezekből kell kitalálni egy olyan címet, amit már elfogad a fizetési rendszer.
Nincs minden veszve, de kényelmetlenebb lesz az élet
A tanulmány szerzői szerint az online kártyás fizetést csak úgy lehet biztonságosabbá tenni, ha több azonosító adatot kérnek az internetes kereskedők, és ezeket az adatokat ellenőrzik is. Ezek mellett növelni kell a sikertelen fizetések közti újrapróbálkozások közötti időt, csökkenteni az elkövethető hibák számát, és figyelni és szűrni azt, milyen IP-címről érkezik egy-egy vásárló. Illetve mindezek előtt, a Visának is meg kellene tanulnia kivédeni az új típusú támadást.
Az pedig már a javaslatokból is látszik, hogy ettől csak kényelmetlenebb lesz az online kártyás fizetés. Jól azok a fintech fizetési cégek járnak, amelyek kényelmesebb és biztonságosabb megoldást adnak az ügyfeleiknek.
Szólj hozzá