O.P.这篇文章已编辑
我只在 Optus 上使用的借记卡,一个月前被刷掉了 1100 美元。 CBA 很容易就退回了钱。
据推测,有一些复杂的方法可以使用我的 Optus 违规信息(出生/司机)来获取卡号。但黑客是否只是通过随机网站暴力破解卡号,然后利用不要求提供 cvv 的商店?我的首先在昆士兰州的一家街角商店使用,然后在香港的一家航空旅行网站上使用了 4 次。
我应该害怕黑客知道我的驾驶执照吗?我也应该更改我的生日吗?
评论
很可能与 Optus 网络攻击无关。
有很多人的卡遭到泄露尽管没有被使用。
这是另一个最近的 Whirlpool 线程。 /thread/32462qzv
评论
O.P.
谢谢你。
我读到有些商店使用地址而不是 cvv 作为安全验证。 Optus 数据泄露事件中地址被泄露,但信用卡详细信息却没有泄露。这纯属巧合。
评论
Whirlpool 爱好者写道...
一张我只在 Optus 上使用的借记卡,一个月前被刷掉了 1100 美元。
有趣的是,每次我使用借记卡或信用卡超过 100 美元时,它都会要求我提供 PIN 码。
没有我的 PIN 码,交易将无法进行。哈哈。
我在 Dan 买了价值 500 美元的酒,却忘记了我的密码。不得不把它留在那里。没有出路。
评论
惠而浦爱好者写道...
但是黑客只是暴力破解试验卡号
p>
一定是,我在一张从未在任何地方使用过的卡上进行过交易。
评论
惠而浦爱好者写道。 ..
但是黑客只是通过随机网站暴力破解卡号,然后利用不要求提供 cvv 的商店吗?
即使有 cvv,他们也会这样做。以下是商业银行的描述:
随机卡号生成(BIN 攻击)
欺诈者获取您卡号的前 6 位数字,并使用软件生成剩余的数字序列。对卡号、有效期和 CVC 的组合进行测试,看看它们是否正确且有效。找到成功的组合后,卡详细信息可用于进行未经授权的交易。
评论
惠而浦爱好者写道...
但是黑客只是暴力破解试用卡号吗
^^^ 这个。如今对他们来说很容易。
一些发卡机构要求在线购买时输入 6 位数代码以授权交易,而其他发卡机构如果上次使用该卡的时间较长,则会立即冻结该卡。
评论
YetAnotherAcc 写道...
卡号、有效期和 CVC 的组合经过测试以查看如果他们正确且有效
他们会得到一个卡号,然后你就有一个有效期,即一个月年组合,跨越 3 或 4 年。因此,有 36 到 48 种可能的组合,他们可能首先从较早的日期开始。然后他们可能有 999 个 CVV 数字来检查每个到期组合。
如果他们在交易期间强制执行卡上的姓名,那么很容易解决。
或者设置他们的系统以防止有人尝试通过特定商家使用同一卡号进行数百次交易。
评论
BoringName 写道...
漂亮如果他们在交易过程中强制使用卡上的姓名,那么很容易解决。
看来您假设他们已经拥有卡号,如果是这样的话,那么会有很多情况他们还会有卡名,所以这不是一个实际的解决方案,而只是降低风险。
或者设置他们的系统以防止有人尝试通过特定商家使用相同的卡号进行数百次交易。
p>
银行应该已经在检查这一点,因为这是一种明显明显的攻击,也应该很容易检测到。
更难检测的是他们尝试各种组合的缓慢燃烧。几天/几周/几个月的时间里,多个商户。
如果银行真的想积极主动,他们可以做的就是不仅在交易完成时提醒客户,而且在交易失败且卡号丢失时提醒客户。有效,但日期和/或 CVC 无效(我不知道目前有哪家银行实际这样做)。
评论
YetAnotherAcc 写道...
您似乎假设他们已经有卡号,如果是这样的话,那么在很多情况下他们也会有卡名,所以这不是一个实际的解决方案,而只是降低风险。
如果他们有卡号和卡名,他们可能入侵了一家公司并获得了所有详细信息,所以这并不是真正的问题。与我的评论相关。
我提到的链接是他们建议他们使用软件生成卡号,然后通过反复试验来确定到期日和 CVV。在交易中强制使用卡名可以阻止这种攻击方法。无论如何,他们都会让你输入它,所以如果他们甚至不使用它来授权交易,那还有什么意义呢?
我仍然很难理解他们如何坐在那里尝试交易直到组合起作用。这凸显了系统中的一个巨大缺陷。
评论
惠而浦爱好者写道...
CBA 很容易就退回了钱.
这是 CBA 的一个持续存在的问题,关于它的漩涡中存在一个很长的线索。自从上次更换卡以来,我没有遇到过任何问题,但是,是的,我在一段时间内获得了新卡,并且连续大约 4 张卡被黑客入侵。从来没有在商店里任何地方使用过它们。 CBA 告诉我它们可能是随机生成的,但我怀疑它们在 CBA 系统中的某个地方有缺陷
我建议在应用程序中阻止你的卡,直到你需要实际使用它
评论
YetAnotherAcc 会写入...
当失败并且卡号有效但日期和/或 CVC 无效时(我'我不知道目前有任何银行实际这样做)。
Revolut 就是这样做的。当我输入错误的有效期或 CVC 时,我会在手机上收到推送通知。
评论
BoringName 写入...
我提到的链接是他们建议他们使用软件生成卡号,然后通过反复试验来确定到期日和 CVV。
卡号也是反复试验,因为即使如果他们可以在通过支付网关测试之前生成一个结构有效的卡号,他们就无法知道它是否链接到有效且活跃的帐户,因此他们仍然在猜测卡号的 7-9 位数字。
在交易中强制使用卡名可以阻止这种攻击方法。无论如何,他们都会让你输入它,那么如果他们甚至不使用它来授权交易,那还有什么意义呢?
是的,我想知道银行/支付网关有什么借口不使用它进行验证.
我仍然很难理解他们如何坐在那里尝试交易,直到组合发挥作用。这凸显了系统中的一个巨大缺陷。
毫无疑问,他们会检测并阻止一些批量攻击,但我猜测他们过于关注寻找更广泛的交易模式,而不是针对个人的模式卡。
sp00ker 写入...
当我输入错误的有效期或 CVC 时,我会在手机上收到推送通知。
您在通知中获得什么类型的信息?即商户详细信息、交易金额、到期日错误、CVC 错误、到期日和/或 CVC 错误等。
评论
会使 CVV 更长帮助? 3 个字符似乎短得离谱。
评论
YetAnotherAcc 写道...
我不知道有哪家银行实际上现在就这样做
而且您会认为它会相对容易实现,因为它是一个通知服务。像 Revolut 和 Wise 这样的第三方服务以及我认为 Apple Card(在美国)都有他的服务版本。
sp00ker 写道...
Revolut 就是这样做的
比我先一步。
它非常好,因为它传达了不正确的精确信息,而不是通用的失败通知。如果它被欺诈性地使用,而不是您只是错误地输入它,这很有用
评论
Weeble Wobble 写入...
< p>延长 CVV 会有帮助吗? 3 个字符似乎短得离谱。长度越长,此类攻击的速度就越慢,但并不能真正解决根本问题。
Activeight 写道...
而且您会期望它相对容易实现,因为它是一项通知服务。
是的,您会这么认为,不是吗。
>
评论
BoringName 写入...
如果他们在交易期间强制执行卡上的姓名,那么很容易解决。
Nz
由于各种历史原因,澳大利亚或新西兰的情况并非如此。
无法验证国内发行的卡上的持卡人姓名。
Whirlpool Enthusiast 写道。 ..
据推测,有一些复杂的方法可以使用我的 Optus 违规信息(出生/驾驶员)来获取卡号。
我不知道。卡号由您的银行颁发,用于识别帐户 - 这是使用下一个未分配的卡号到您的 CC 或借记帐户的情况。
Whirlpool Enthusiast 写道...
我了解到有些商店使用地址作为安全验证,而不是 cvv
我不相信澳大利亚银行已实现该功能进行交易处理,尽管它在我了解的一些美国交易场景中使用
Weeble Wobble 写道...
延长 CVV 会有帮助吗? 3 个字符似乎短得离谱。
是的,但是电子交易消息中的可用空间限制了可用空间。延长 CVV 基本上意味着更换全球每个零售、电子商务和银行系统中的软件。从 1990 年代末到 2010 年代中期左右,ATM 交易中做出这样的改变花了大约 20 年的时间。
这样做所需的数十亿美元远比欺诈造成的损失要多得多。
大多数卡片处理消息结构是在 20 世纪 60 年代和 1970 年代定义的,现在我们生活在当时制定的设计决策中。
评论
clyal 写道...
国内发行的卡无法验证持卡人姓名。
我相信他们可以用四大公司每年赚取的 400 亿利润来解决这个问题.
评论
BoringName 写道...
我相信他们可以用 400 亿美元的利润来解决这个问题4大公司一年赚了。
他们只赚了395亿利润,1-12人将失去“购买第三艘游艇”的奖金
剩下的20人左右规模较小银行和信用合作社在此类变化中每张发卡的成本最高。
澳洲中文论坛热点
- 新西兰总理:出世在新西兰的新纳粹Thomas Sewell是“挺蹩脚的人”,但那是澳洲的问题
- 新西兰总理拉克森称新纳粹Thomas Sewell是坏人,但是没对要求把他从澳大利亚遣返到诞生国去的呼吁置评。
- 撞穿学校栅栏害死十一岁男孩的司机不必坐牢
- 一位女司机撞穿学校栅栏、害死了11岁男孩,被罚2000元罚金、撤消驾照,不必坐牢。Jack Davey 的父母去了