信用卡欺诈新姿势 “分布式猜测”6秒猜出你的信用卡CVV码【转】

拿到卡号之后，研究人员诱使网站协助他们猜测银行卡的有效日期和CVV值。将信用卡欺诈加入到分布式处理可以加速的事情中吧。

电子商务网站通常会在信用卡有效期或CVV值（卡片验证值）输入错误10或20次之后锁定信用卡，令缺乏完整凭据的欺诈者面临困难。但网上有大量的电商网站。攻击者有可能同时向数百个电商网站提交略微不同的支付请求，从而猜测到缺失的账户凭据细节。

找出这一做法的英国纽卡斯尔大学研究人员称，只需要不到6秒，就可以实施“分布式猜测攻击”。

信用卡欺诈是什么

信用卡欺诈是指故意使用伪造、作废的信用卡，冒用他人的信用卡骗取财物，或用本人信用卡进行恶意透支的行为。

根据刑法第196条规定，信用卡诈骗罪是指以非法占有为目的，违反信用卡管理法规，利用信用卡进行诈骗活动，骗取财物数额较大的行为。利用信用卡，一般是指使用伪造的、作废的信用卡或者冒用他人的信用卡、恶意透支的方法进行诈骗活动。信用卡诈骗罪是诈骗犯罪的一种，该罪和诈骗罪之间是特别法和一般法的关系，信用卡在该罪中是犯罪工具，而不是犯罪对象。行为人以信用卡作为犯罪工具进行诈骗活动的，按照特别法优于一般法的原则，以本罪定罪处罚。[1]  因此，信用卡诈骗罪，简言之就是利用信用卡体现的信用所实施的诈骗犯罪活动。

信用卡CVV码是什么

VISA CVV和MC CVC都是由卡号、有效期和服务约束代码生成的3位或4位数字，一般写在卡片磁条的2磁道用户自定义数据区里面。CVV和CVC的生成方法是一样的，只是叫法不一样而已。CVV2是打印在 Visa/MasterCard 卡签名区的一个数字.它位于信用卡号后的3位数字。我们通常在信用卡背面看到的后三位数字，其实是CVV2，并非CVV代码。

“分布式猜测” 方法简单 漏洞利用没有门槛

猜测一张信用卡的有效期并不那么困难：信用卡有效期一般最多5年，那么，向不同网站发送潜在的60个有效期值（月份/年份），就能获得正确有效期的确认。三位数的CVV值要稍微难一点，需要向多个网站发送约1000个请求。

研究人员Mohammed Aamir Ali、Budi Arief、Martin Emms和Aad van Moorsel写道：“实际上，可以通过大量网站来实现无限次的猜测，即使单个网站对请求次数有限制。”

他们在论文标题中提了这样一个问题：“在线支付方式是否会不知不觉地帮助欺诈活动？” 他们的答案是重重的YES——至少对Visa卡来说是这样的。他们已经能够通过提交足够多的请求来获取缺失的卡片信息。

另一方面，MasterCard的集中支付网络在10次授权请求尝试之内就检测到了他们的攻击。

Ali和同事研究了Alexa.com列出的400个最常访问网站中的389个。这些网站中，只有47个采用了3D安全授权系统，能够对这类攻击免疫。

有26个网站只要求信用卡号码和有效期就能进行支付。这26个网站中的20个允许最少6次猜测尝试，为猜测简单答案提供了充分的尝试机会。

另外239个网站要求通过有效期和CVV值来验证信用卡号，但其中238个网站允许至少6次猜测尝试，导致CVV值很快就能被猜出来。

研究人员解释说，即使是持卡人的地址（有25个网站要求有效期、CVV值和持卡人地址），在某些情况下也能猜出来。他们在论文中说，一些银行将分行信息编到卡号中，令猜测分行附件邮编成为可能。研究人员发现，在被研究的网站中，有两个网站允许无限制地猜测持卡人地址、卡片有效期和CVV值。

研究人员联系了这些网站 可他们只是限制了IP地址or卡号

为了看看这些网站有多关心这个安全问题，研究人员根据卡片验证所要求的信息多寡，将这些网站分成了三类，并联系了每一类中用户数最多的12个网站。

这36个网站中，28个网站在4周内进行了回复，其中8个网站打了补丁，以降低信息泄露的风险。补丁包括：根据IP地址或卡号来限制提交请求的速率，增加图片验证码（Captchas），以及要求额外信息来验证卡号和有效期。

研究人员质疑这些补丁是否有用。他们注意到，检查IP地址而不限制请求数量仅仅是开辟了另一个攻击面。同样，使用图片验证码和限制请求提交数仅仅令攻击变慢，却无法阻止攻击。他们发现，没有一个打上补丁的网站引入对单个卡号的猜测尝试次数的硬性限制。

最终，保护支付系统免受分布式猜测攻击的唯一方法是集中式验证（像Mastercard那样）或者标准式验证，要求所有网站使用同样的信息来验证卡号。研究人员写道，通过这种验证方式，分布式猜测攻击就不能扩大规模。