Các nhà nghiên cứu ở Đại học Newcastle phát hiện ra rằng kẻ xấu có thể dùng các con bot tự động trên web để đoán thông tin thẻ Visa của bạn nhờ vào một lỗ hổng trong hệ thống thanh toán. Thách thức lớn nhất là có được 16 số thẻ của bạn, thường hacker lấy con số này bằng cách mua số lượng lớn từ chợ đen hoặc dùng thuật toán tạo ra số hợp lệ. Sau đó, bot sẽ tìm kiếm ngày hết hạn cũng như mã bảo mật CVV (3 chữ số phía sau thể) bằng cách chui vào các trang web mua sắm để săn thông tin. Quy trình này nghe có vẻ lâu lắc, nhưng thực chất một con bot có thể làm chuyện đó trong chỉ 6 giây.
Vấn đề xuất phát từ việc hệ thống chính của Visa (và một số ngân hàng) không có tính năng kiểm tra số lần nhập sai số thẻ và các thông tin khác. Việc triển khai tính năng này bị phụ thuộc vào các cổng thanh toán. Trong khi đó, Mastercard có thể nhận biết 10 lần nhập thông tin sai và chặn số thẻ lại, không quan trọng là thẻ đang được dùng để thanh toán ở đâu, giao dịch là gì. Ngoài ra, việc các website thu thập nhiều thông tin khác nhau trên thẻ cũng giúp bot dễ đoán hơn thông tin chính xác của bạn là gì. Có web thì lấy số thẻ + ngày hết hạn (yêu cầu cơ bản nhất), có nơi lấy cả số thẻ + ngày + CVV, có nơi lấy thêm cả tên.
Các nhà nghiên cứu tin rằng kĩ thuật này đã được sử dụng trong vụ tấn công mới nhất vào nhà bán lẻ Tesco ở Anh, kết quả là có các giao dịch trị giá 3,2 triệu USD được phát hiện là giả mạo. Hiện Visa chưa phản hồi lại vấn đề, nhưng cách tốt nhất để khắc phục đó là hãng làm tính năng giới hạn số lần nhập thông tin giống như Mastercard. Các chủ website và cổng thanh toán cũng cần xây dựng chức năng này cho an toàn hơn.
Vấn đề xuất phát từ việc hệ thống chính của Visa (và một số ngân hàng) không có tính năng kiểm tra số lần nhập sai số thẻ và các thông tin khác. Việc triển khai tính năng này bị phụ thuộc vào các cổng thanh toán. Trong khi đó, Mastercard có thể nhận biết 10 lần nhập thông tin sai và chặn số thẻ lại, không quan trọng là thẻ đang được dùng để thanh toán ở đâu, giao dịch là gì. Ngoài ra, việc các website thu thập nhiều thông tin khác nhau trên thẻ cũng giúp bot dễ đoán hơn thông tin chính xác của bạn là gì. Có web thì lấy số thẻ + ngày hết hạn (yêu cầu cơ bản nhất), có nơi lấy cả số thẻ + ngày + CVV, có nơi lấy thêm cả tên.
Các nhà nghiên cứu tin rằng kĩ thuật này đã được sử dụng trong vụ tấn công mới nhất vào nhà bán lẻ Tesco ở Anh, kết quả là có các giao dịch trị giá 3,2 triệu USD được phát hiện là giả mạo. Hiện Visa chưa phản hồi lại vấn đề, nhưng cách tốt nhất để khắc phục đó là hãng làm tính năng giới hạn số lần nhập thông tin giống như Mastercard. Các chủ website và cổng thanh toán cũng cần xây dựng chức năng này cho an toàn hơn.
Nguồn: Đại học Newcastle