Onderzoekers van de Universiteit van Newcastle hebben aangetoond dat Visa-betaalkaarten kwetsbaar zijn voor brute force-aanvallen waarbij het mogelijk is om het kaartnummer, vervaldatum en cvv-code van een willekeurige betaalkaart binnen zes seconden te raden, zonder dat dit wordt opgemerkt.

Het komt erop neer dat de onderzoekers bij honderden websites tientallen pogingen doen om de getallen te raden. Een gemiddelde website laat gebruikers 10 tot 20 keer een kaartnummer raden. Daarnaast vragen websites verschillende variaties in de datavelden van de betaalkaart om een online aankoop te valideren. "Dit houdt in dat het vrij eenvoudig is om een de informatie op te bouwen en samen te voegen als een puzzel", zegt onderzoeker Mohammed Ali.

"Het ongelimiteerd raden gecombineerd met de variaties in de datavelden maakt het schrikbarend eenvoudig voor aanvallers om alle kaartgegevens één veld per keer te genereren." Elk onderdeel van de kaart dat gegenereerd is kan vervolgens worden gebruikt om het volgende dataveld te genereren, zoals bank en kaarttype. "Dus zonder enige verdere details dan de eerste zes cijfers, die je de bank en het kaarttype vertellen en voor elke kaart van een provider hetzelfde zijn, kan een hacker drie essentiële stukken informatie om een online aanschaf te doen binnen zes seconden achterhalen", merkt Ali op.

Om de kaartgegevens te achterhalen gebruikt de aanval online betaalwebsites om de data te raden en het antwoord op de transactie bevestigt of de raadpoging juist was of niet. Verschillende websites vragen om verschillende zaken bij een online aankoop, zoals kaartnummer en vervaldatum, kaartnummer, vervaldatum en cvv-beveiligingscode of kaartnummer, vervaldatum en cvv-beveiligingscode en adresgegevens.

Omdat het betaalsysteem niet meerdere ongeldige betaalverzoeken van verschillende websites detecteert, kan de aanval via verschillende websites worden uitgevoerd. Alleen het Visa-systeem bleek echter kwetsbaar voor de aanval te zijn. Onderzoekers vermoeden dat een dergelijke aanval onlangs is gebruikt bij een aanval op de Britse supermarktgigant Tesco, waarbij klanten voor omgerekend 3 miljoen euro werden bestolen.

"De meeste hackers zullen om te beginnen over geldige kaartnummers beschikken, maar zelfs zonder is het relatief eenvoudig om variaties van kaartgetallen te genereren en die automatisch naar verschillende websites te sturen om ze te valideren", stelt Ali. De volgende stap is de vervaldatum. Banken geven meestal kaarten uit die 60 maanden geldig zijn. Het raden van de datum neemt dan ook maximaal 60 pogingen in beslag. De CVV-code is de laatste hindernis en in theorie heeft alleen de kaarthouder die informatie. Maar het raden van een getal dat uit drie cijfers bestaat neemt maximaal 1000 pogingen in beslag. Door dit over meerdere websites te verspreiden zal er uiteindelijk een hit komen. "En zo heb je alle gegevens om het account te hacken", gaat Ali Verder.

Volgens medeonderzoeker Martin Emms is er geen magische oplossing voor het probleem. Wel kunnen gebruikers klein stappen nemen om de impact te beperken. Bijvoorbeeld door maar één kaart voor online aankopen te gebruiken en de bestedingslimiet van de kaart zo laag mogelijk te houden. Verder krijgen gebruikers het advies om hun afschriften te monitoren en op vreemde transacties alert te zijn.