Total Security - www.totalsecurity.com.br
Sistema antifraude da Visa tem falha grave de segurança
A companhia de segurança Trend Micro descobriu que a tecnologia por trás do “Verified by Visa” – que, supostamente, garantiria a legitimidade de uma transação – possui falhas graves. Criminosos que nem sequer possuem conhecimentos técnicos avançados poderiam explorá-las.
Implementado em 2001, o método da Visa, conhecido como 3 Domain Secure (3DS), tem por objetivo evitar fraudes em compras feitas com o cartão de crédito. Seu funcionamento, aliás, é simples: antes de completar a aquisição, o usuário deve preencher um formulário com dados pessoais e uma senha. Como o cibercriminoso, em geral, não conhece sua vítima, ele não teria como acertar tais informações.
O problema, porém, está na opção para recuperar o código. Para apagar o antigo e criar um novo, o internauta também deve fornecer alguns dados, mas estes podem ser encontrados no próprio cartão, como nome completo e data de expiração. Também é preciso informar a data de nascimento do usuário, mas hackers obtêm facilmente – sem contar que, às vezes, basta dar uma olhada no perfil do Facebook.
Para corrigir a vulnerabilidade, pesquisadores sugerem uma solução providencial: uma pergunta secreta deve ser adicionada ao formulário, uma senha – que só poderá ser utilizada uma vez – em seguida, seria enviada ao e-mail cadastrado e, ao fim, uma notificação de que o processo foi completado também chegaria à caixa de entrada.
É preciso destacar, também, que o sistema da MasterCard, chamado de Secure Code, e da American Express, SafeKey, possivelmente sofrem do mesmo problema.
Implementado em 2001, o método da Visa, conhecido como 3 Domain Secure (3DS), tem por objetivo evitar fraudes em compras feitas com o cartão de crédito. Seu funcionamento, aliás, é simples: antes de completar a aquisição, o usuário deve preencher um formulário com dados pessoais e uma senha. Como o cibercriminoso, em geral, não conhece sua vítima, ele não teria como acertar tais informações.
O problema, porém, está na opção para recuperar o código. Para apagar o antigo e criar um novo, o internauta também deve fornecer alguns dados, mas estes podem ser encontrados no próprio cartão, como nome completo e data de expiração. Também é preciso informar a data de nascimento do usuário, mas hackers obtêm facilmente – sem contar que, às vezes, basta dar uma olhada no perfil do Facebook.
Para corrigir a vulnerabilidade, pesquisadores sugerem uma solução providencial: uma pergunta secreta deve ser adicionada ao formulário, uma senha – que só poderá ser utilizada uma vez – em seguida, seria enviada ao e-mail cadastrado e, ao fim, uma notificação de que o processo foi completado também chegaria à caixa de entrada.
É preciso destacar, também, que o sistema da MasterCard, chamado de Secure Code, e da American Express, SafeKey, possivelmente sofrem do mesmo problema.
Fonte:
IDGNOW
URL Fonte: http://www.totalsecurity.com.br/noticia/2620/visualizar/
Comentários