Onderzoekers van de Newcastle University in het Verenigd Koninkrijk hebben ontdekt (pdf) dat kwaadwillenden browserbots inzetten om creditcardgegevens van slachtoffers te raden. Het achterhalen van het creditcardnummer wordt gedaan door de eerste zes nummers te combineren. Deze kunnen worden samengesteld op basis van de bank en het merk van de kaart. De rest van de getallen kan via het Luhn Algoritme worden achterhaald. Dit kan in ongeveer twee seconden worden gedaan.

Vervolgens moeten gegevens als de cvs/cvc (het beveiligingsnummer op de achterkant van de creditcard) worden geraden. Dat kan worden gedaan in ongeveer vier seconden. Als websites ook extra gegevens als woonplaats vereisen, komt daar nog twee seconden bij.

Geen limiet

De criminelen krijgen dit voor elkaar door web bots deze gegevens te laten raden op ongeveer 400 verschillende webshops die creditcardbetalingen accepteren. Sommige webshops geven gebruikers tot wel 50 kansen en in sommige gevallen wel oneindig veel mogelijkheden om creditcardgegevens in te vullen. Hierdoor kunnen de malafide bots net zo lang blijven raden tot zij uiteindelijk de juiste gegevens te pakken hebben. Dit proces wordt nog eens extra versneld door de raadpogingen te verspreiden over verschillende sites. Dit wordt ook wel "distributed guessing" genoemd. Dit blijkt voornamelijk een probleem te zijn die Visa-creditcards gebruiken. MasterCard lijkt het aantal gok-pogingen te detecteren en te blokkeren.

De onderzoekers hebben verschillende webshops benaderd met deze informatie en een klein deel heeft de verificatieprocedure inmiddels aangescherpt.