哪些電商網站的支付系統容易受到分散式猜測攻擊？

易受分散式猜測攻擊的電商網站特性

根據 IEEE Security & Privacy 期刊上英國研究人員的報告，部分電商網站因其支付系統的弱點，特別容易受到分散式猜測攻擊。這類攻擊透過多個網站並行猜測信用卡資訊，繞過單一網站的輸入次數限制。

分散式猜測攻擊的運作方式

分散式猜測攻擊的核心在於將信用卡所需的輸入資訊分散到不同的電商網站進行猜測。每個網站的猜測次數都控制在安全範圍內，從而避免觸發鎖定機制。研究人員針對 389 個常用線上電商網站進行測試，發現 VISA 支付系統存在漏洞，無法偵測到同一張信用卡在不同網站上的多次錯誤輸入。即使電商網站提供的輸入資料欄位各不相同，此類攻擊依然有效。

漏洞網站的特徵

研究顯示，在 389 個受測網站中，只有 47 個成功阻擋了分散式攻擊。多數網站僅驗證到期日和檢查碼，其中 238 個網站允許使用者輸入錯誤六次以上，更有 26 個網站僅驗證到期日，不驗證檢查碼。現代電腦的運算能力強大，這使得攻擊者能在短時間內破解信用卡資訊。萬事達卡 (MASTERCARD) 由於會檢查多重輸入問題，因此較不易受到此類攻擊。

VISA 的回應

針對此研究結果，VISA 指出該學術研究並未將現存電子支付系統中的多重防護詐騙機制納入考量。VISA 強調，電商可以使用 3D Secure 技術（如 Visa 或 MasterCard 的安全碼）來防止這類攻擊。