наверное это уязвимость какого то отдельного банка, а то выходит больно мощная уязвимость которую не могли не заметить раньше,

всегда думал что количество попыток там сильно ограничено, хотя возникает вопрос, что делать если злоумышленники, например конкуренты, знают номер карты и постоянно делают попытки оплаты, тем самым блокируя возможность сделать оплату настоящему владельцу

странно что его можно отдельно брутфорсить, а не все данные разом отсылать, а банк в ответ говорит верны ли все данные вместе срок действия + cvv

Прикольно)) берем в работу) Осталось найти программу)

Как я понял, предполагается, что дату ты знаешь.

Ох чую кто-то пошопится на таких новостях...

дату они сбрутфорсили

видимо так уязвимость ещё в том, что позволяет один параметр отдельно брутфорсить, если бы данные все одновременно проверялись, то комбинаций было бы намного больше

Сначала дату, затем CVV (на основе того, что дату ты уже сбрутил.

Уже давно думал об этом, но до эксперимента руки не доходили из-за отсутствия мотивации.

Кроме того, некоторые шопы требуют ввода не только срока действия, но и правильного имени+фамилии.

Если для покупки нужны только номер карты, cvv и срок действия то:

Число комбинаций cvv-кода = 999

Число комбинаций дат (если срок действия карты до 3 лет) 12*3 = 36

Итого нам надо попыток покупки: 999*36 = 35964

Если мы сделали брут для 1000 шопов то на каждый шоп получится 36 попыток покупки.

Сделать поддержку хотябы 100 шопов - это дохерища работы, у одного человека как минимум на месяц. Если это реализуют то народ будут грабить в промышленных масштабах. По мелочи не получится. Хотя, если сделать под один популярный движок шопа то уже работы меньше. Вообще меня всегда удивлял идиотизм карточных систем. Сделать cvv-код длиной в 3 цифры - это верх идиотизма.

Ага, ищи.

Давно уже видел ребята на тематических бордах обсуждали и практиковали данный способ. Не знаю правда успешно или нет))

там прикол в том, что каждый параметр по отдельности брутят, хотя я кажется догадался как, вспомнил что некоторым магазинам достаточно только номера карты и срока действия, на них подбирают срок действия, а cvv подбирают на других магазинах,

однако остаётся не ясно как они брутят номер карты, там же 16 знаков, даже если на каждого жителя планеты приходится по одной карте, то это 9 знаков, остаётся ещё 7 знаков, то есть 10 млн вариантов на одну карту, может номера картам по порядку выдают, и ещё не понятно где проверить номер на валидность

http://www.planetcalc.ru/2465/

https://ru.wikipedia.org/wiki/Алгоритм_Луна

Номер карточки никто не брутит. Их в нэте полно. Основной затык у кардеров не номер карточки а её параметры.

я в курсе, просто в статье написано, что номер карточки они тоже могут брутить

Если банк выдаёт карточки в диапазоне примерно миллион то можно брутить не cvv+дата у одной карточки а подбирать номер карточки под пару cvv+дата. Таким образом если рассматривать безопасность одной карточки то её не брутят. Вот только этот диапазон ещё узнать надо, да и есть-ли он вообще - это вопрос.

По моему проще взять список реальных номеров и прогонять по ним.

а смысл этих движений, только как спортивный интерес поймать рыбку и здесь же ее отпустить!? Ведь шопнутся то при тотальнойдвухфакторной аутентификации, которая каждый пук проверяет на валидность, как бы не камильфо будет! Ставить мобильную малварь на непонятно какой телефон, или привлекать дропперов нереально.

зависит от маганзина в котором покупаешь, если банк ему доверяет, то не будет двухфакторной,

попробуй что нибудь купить на амазоне или алиэкспрессе, не знаю как сейчас, но раньше на амазоне спрашивало только номер карты и срок действия

отправка смс происходит вообще независимо от магазина, любая трансакция сразу смсится. И прежде чем шопер получит посылку/доставку, платеж уже десять раз будет анулирован с соответствующими последствиями.

Что за бред? Идет набитие постов? trolex правильно написал. С некоторыми оговорками, если в случае Visa в магазине 3d Secure вырублен/или он есть но неактивны шаги авторизации, то вся ответственность ложится на магазин.

бред это ты пишешь, не прочитав видимо или не поняв что я написал в предыдущем посте.

Уязвимость чисто теоретическая, будет работать только в случае, когда банку конкретно пофигу на всё. Если 3+ раза за короткое время введен неверный cvv, да еще в разных ТТ - у СБ банка должен быть алерт на анртифроде - на мой взгляд, это очевидное правило безопасности. Дальше либо карту заблокируют, либо позвонят клиенту и спросят, что же это он делает такое.

Да уязвимость карт это вообще притча во языцах. Достаточно показать карту у любой камеры и привет.

Теперь даже крутить обратной стороной не обязательно. Придумали как подобрать CSV код не напрягаясь.

Мораль сей басни такова: Не держите сколь либо значительные средства на пластике.

Лучше держать их на счете в банке, а по необходимости через банк клиент перекидывать небольшие суммы на текущие траты.