研究人员只花6秒就能破解盗刷Visa信用卡

来自英国新堡大学的研究人员近日公布了一研究报告，他们利用“分散式猜测攻击”（Distributed Guessing Attack）来破解Visa信用卡的到期日与安全码，最快可在6秒内找出正确数值并进行盗刷。

根据该报告，此为Visa支付系统的缺失，该系统无法妥善侦测骇客所执行的数次无效的数值输入，造成骇客可正确猜出信用卡的到期日与安全码，并成功进行盗刷。

事实上，每个电子商务网站都会限制使用者输错到期日或安全码的次数，然而，研究人员所采取的方式是在不同的网站上进行猜测，当骇客拥有一组有效的信用卡号码时，由于一般信用卡的有效期限为5年，因此骇客最多只要猜60次就能得到正确的到期日，再撰写程式于不同的网站上猜测3位数的安全码，最快可在6秒内得到信用卡的安全资讯。

研究人员在389个电子商务网站上进行测试，发现当中只有47个网站采用3D安全验证系统（3D Secure authorization system），会额外要求使用者输入在手机上所收到的验证码才能完成交易，也只有这些网站才能闪避分散式猜测攻击。

新堡大学电脑科学博士班学生Mohammed Ali指出，Visa的支付系统无法侦测同一信用卡在不同网站上所输入的无效次数，允许骇客无限次地猜测卡片安全资讯，再加上各网站于信用卡字段上要求不同的资讯，将能允许骇客取得信用卡的所有详细资讯。

Ali强调，目前只在Visa网络上发现此一漏洞，MasterCard的中央网络因可限制单一信用卡于多个网站上的输入错误次数而能幸免于难。

在此一报告公布后，Visa旋即发表声明表示该研究并未提到Visa网络上既有的诈骗预防措施，他们提供了必要的资讯予信用卡发行银行，以警告可能带有风险的交易，而且若使用者遭到诈骗类的盗刷，持卡人亦免负相关责任。