En realidad, era posible , al menos para tarjetas Visa. No hubo un bloqueo por tarjeta en toda la red, por lo que al utilizar diferentes procesadores de pago (para evitar que alcancen el límite de fuerza bruta que puedan tener), podría forzar un CVV2. No estoy seguro de si esto todavía es posible, esperaría (y espero) que Visa implementara protecciones en toda la red contra esto.
Si no estoy equivocado, el código cvv casi siempre sigue un patrón determinado
No, estás equivocado, podría ser completamente aleatorio, 3, 4 o n caracteres.
Después de alguna actividad fallida con la tarjeta (podría ser 3, 5, etc ...), se desactivará. Además, debe proporcionar captcha para cada solicitud.
Parece que te gusta mucho hackear la seguridad. Un hacker al principio es un gran friki de la seguridad.
Lea otras preguntas en las etiquetas brute-force password-cracking