如果在電商網(wǎng)站輸錯(cuò)多次某信用卡的有效期和CVV安全碼，該網(wǎng)站將禁止使用該信用卡，以防止網(wǎng)絡(luò)罪犯猜解信用卡。但是電商網(wǎng)站有很多，如果把這些網(wǎng)站同時(shí)利用起來(lái)猜解信用卡的憑證信息呢?結(jié)果是只需6秒鐘，就可達(dá)到目的。

[[178317]]

英國(guó)紐卡斯?fàn)柎髮W(xué)的研究人員在其論文中介紹，猜解信用卡的有效期并不難，一般Visa信用卡的有效期最多5年，猜解次數(shù)就是5*12等于60次，而3位的CVV碼是1000次。通過(guò)把不同的猜解以“分布式”的方法發(fā)送到各個(gè)有信用卡支付功能的網(wǎng)站上，可以很快的得到正確的有效期和CVV碼。

研究人員研究了世界排名前400個(gè)網(wǎng)站中的389個(gè)網(wǎng)站，只有47個(gè)網(wǎng)站使用3D安全授權(quán)機(jī)制，對(duì)此種攻擊免疫。有238家網(wǎng)站允許輸錯(cuò)6次或6次以上，而更差勁的網(wǎng)站，甚至只需要卡號(hào)和有效期，而無(wú)需輸入CVV碼。即便是信用卡擁有者的地址(25個(gè)網(wǎng)站需要輸入這個(gè)地址)也可以被猜出，因?yàn)橛行┿y行的分支機(jī)構(gòu)代碼就隱含在卡號(hào)中。

為了測(cè)試網(wǎng)站對(duì)此事的關(guān)心程度，研究人員按照他們獲取信息的不同，把這些網(wǎng)站分成了三類，然后選擇了三類用戶最多的網(wǎng)站，把他們的研究結(jié)果發(fā)給這些網(wǎng)站。其中，有28個(gè)網(wǎng)站在四個(gè)星期內(nèi)給予了回復(fù)，有8家網(wǎng)站打上了補(bǔ)丁(如限制每個(gè)IP或卡號(hào)輸錯(cuò)的次數(shù)，添加圖片驗(yàn)證，以及需要輸入額外的信息)。

解決這種分布式猜解攻擊的唯一辦就是中心化或標(biāo)準(zhǔn)化，比如萬(wàn)事達(dá)卡的支付系統(tǒng)就是中心化的，不管你在哪個(gè)支付平臺(tái)輸錯(cuò)了驗(yàn)證信息，都會(huì)統(tǒng)一累加到中心系統(tǒng)中，從而有效的避免了分布式猜解攻擊。

研究論文下載地址：

http://eprint.ncl.ac.uk/file_store/production/230123/19180242-D02E-47AC-BDB3-73C22D6E1FDB.pdf