chase ihg和bilt都没遇到ds 纯属运气好吗?怎么避免
这也太专业了 哈哈哈
Rust普及刻不容缓
1 个赞
吓得我赶紧打开了我手机上的银行app看有没有被盗刷
TLDR: 利用发卡行后端0day进行DoS,打挂后利用卡组织兜底机制的不靠谱风控进行大规模盗刷
5 个赞
其实这种就相当于dos攻击,是cybersecurity里面蛮常见的攻击手段
1 个赞
浦发这明显也没做数据validation,
Rust也救不回来vector index越界呀… (本文提到的打崩浦发的实际操作)
let my_vec = vec!\[1, 2, 3\]
let e = my_vec\[3\]
这个说法有几个问题呀?首先pos机是境内实名商户申请的吧,这个不是一下就查到谁在做dos攻击吗?然后浦发处理pos机和线上交易的是同一个后端吗,这么容易就出现system down吗?
每次都刷都是在facebook上,一直搞不懂facebook上刷完卡是可以直接取现吗?不然诈骗集团怎么把钱转出来呢?
因为西大的大家都不当回事。。。
没人会用盗来的卡给自己买东西
都是把卡卖给别人
然后bilt和IHG也是万事达的,看样子是万事达的问题啊
目前这种大规模的,似乎都是万事达这个通道
所以我把大部分每年收益$1000不到的卡全关了,耗费精力赚点小钱不值得,有精力不如开点新卡
1 个赞
那为什么被打的不是一个银行的所有卡而是某一张卡呢?
显然并不是任何国家都像中国这么实名。盗刷交易来自巴西,鬼知道那个攻击交易来自哪国的POS机
好文
另外其他清算机构比如银联会不会有类似的问题?
你那些小额facebook扣款可能只是测活,检查三要素是否正确有效
我的猜测是对行内的不同产品有不同的卡号生成规则,然后其中的某一个规则被搞出来了
stip攻击的主要问题在于 关卡也不一定有用 
要是按存在即合理去推論,說不定現在真有不少銀行95% response time可能要幾秒甚至十幾秒。
不過給STIP機制上個限額控制risk exposure總是可以的吧?小額交易可以放過去,幾千美元的我感覺對終端用戶來講大多也不是什麼具有時效性要求的交易。
1 个赞