Newcastle大学的研究人员发现，攻击者可利用少量的现有信息实施分布式猜测攻击，通过自动方式猜测并收集支付卡数据。那么这种攻击是如何运作的？

Michael Cobb：钓鱼邮件的攻击者使用社交网络收集有关目标的信息，以形成其生活立体面：朋友、家人、家庭和工作生活。这样一来，攻击者创建一个恶意的电子邮件，受害者更有可能认为它是真实的，因而打开附件或点击内嵌的链接。Newcastle大学的研究人员使用类似的方法来强制进行在线卡交易所需的安全数据字段。

非现有在线支付卡的有效性往往有赖于客户提供只有卡主才能够知道的数据，然而事实上，网站并没有通用的方法对在支付过程中提交的卡片细节进行安全检查。这种不一致让攻击者可以通过使用不同的站点来猜测其所需的必要数据来执行分布式猜测攻击。

一旦付款系统在不同的网站上检测不到同一张卡上的多个无效付款请求时，则攻击成功。Newcastle大学的研究人员检查了Alexa前400名在线商家网站，发现不到10分钟，万事达卡的集中式网络将检测到分布式猜测攻击，与此同时Visa的支付系统并不会检测或阻止攻击。

一些商家进行在线支付所需的最少量的信息是将卡片连接到客户银行帐户的16位数字卡号，以及卡片到期日期。研究人员发现，没有网站会检查输入的持卡人姓名是否是正确的。许多网站还要求用户输入卡片验证值（CVV2），但要求持卡人输入地址的网站进行的验证检查只包括邮政编码中的数字，在某些情况下，门牌号，而忽略字母字符。

为了摆脱攻击，网络犯罪分子在只检查“卡号”和“到期日”的网站上使用有效的卡号。需要60次猜测才能了解“到期日”。有了这些信息，攻击者可以访问也需要CVV2值的网站，并重复此过程。猜测3位数的CVV2需要少于1,000次尝试。如果还有需要，可以重复该过程以获取地址。通过跨许多网站上的分布式猜测，攻击者几乎可无限次尝试暴力数据破解。Newcastle研究人员成功实施了攻击。

如果所有商家都要求卡号、到期日和CVV2，则将所需的最大猜测数量从1600增加到多达6万个，这将使分布式猜测攻击变得不大可能，这也是PCI安全标准委员会应该立即引进的。

同时，网站管理员可以通过添加基于IP的速度过滤器和延迟付款授权处理时间来帮助减缓这种攻击，首次尝试即时处理，但后续尝试的付款确认所需的时间会增加。商家还可以使用支付卡行业推荐的技术，如American Express SafeKey、Visa和MasterCard SecureCode验证。但是，这些措施用户体验一般，许多潜在客户在面对这些额外费用时就直接放弃购买了。

研究人员与Visa分享了他们的发现以及受影响的网站，虽然一些网站已经改变了验证卡的方式，但许多网站仍然没有做出改进。这种攻击还是颇实用的，且不得不说，由于多方涉及到技术和业务问题，所以这类分布式猜测攻击可能已经存在一段时间了。