Forscher erraten Kreditkartendaten in sechs Sekunden

In einem Ende vergangener Woche präsentierten Papier beschreiben die Forscher ihre Methode, die sie „Distributed Guessing Attack“ nennen. Dabei machten sich die Forscher zunutze, dass das Visa-Bezahlsystem ungültige Zahlungsanfragen, die gleichzeitig an mehrere Websites verschickt werden, nicht erkennt. Auch, dass auf unterschiedlichen Websites unterschiedliche Karteninformationen zur Beglaubigung von Transaktionen abgefragt werden, spielte den Sicherheitsexperten laut der Studie in die Hände.

Simultane Zahlungsanfragen

Sie versandten also an hunderte Websites simultan Zahlungsanfragen. Pro Website sind üblicherweise zehn bis 20 Versuche erlaubt. Auf diese Art gelang es ihnen sukzessive Kartennummer, Ablaufdatum und die dreistellige CVV-Nummer zu erraten. Selbst wenn man über keine anderen Informationen als über die ersten sechs Stellen der Kreditkartennummer verfüge, die über die Bank und die Art der Karte Auskunft geben, sei es innerhalb von sechs Sekunden möglich, Online-Käufe durchzuführen, sagte ein Forscher der Gruppe dem britischen „Independent“.

Visa verwies in einer Stellungnahme gegenüber der Zeitung auf zusätzliche Sicherheitsvorkehrungen bei Online-Händlern, die üblicherweise vor solchen Angriffen schützen sollten und auf das „Verified by Visa“-System, das die Sicherheit bei Online-Transaktionen erhöhe.

„Erschreckend einfach“

Laut den Sicherheitsexperten kamen aber lediglich bei 47 von 400 untersuchten Websites großer Online-Händler zusätzliche Sicherheitsmaßnahmen zum Einsatz. Es sei „erschreckend einfach“ gewesen Zahlungen durchzuführen, hieß es gegenüber dem „Independent“. Die Forscher vermuten, dass die von ihnen beschriebene Methode auch bei dem Anfang November bekannt gewordenen Angriff auf die britische Tesco-Bank zum Einsatz kam, der einen Schaden von rund 2,5 Millionen Pfund verursachte.