Tags:
Node Thumbnail

บริการ Apple Pay เป็นความภาคภูมิใจอย่างหนึ่งของแอปเปิลที่ปรับระบบการจ่ายเงินให้อยู่ในโทรศัพท์มือถืออย่างสมบูรณ์ และยังปรับระบบจ่ายเงินให้สั่งจ่ายด้วยหมายเลขแบบใช้ครั้งเดียวทิ้งแทนที่จะเป็นหมายเลขบัตรโดยตรง แต่รายงานล่าสุดจาก Wall Street Journal อ้างแหล่งข่าวไม่เปิดเผยตัวตนระบุว่าอัตราการฉ้อโกงด้วย Apple Pay นั้นสูงมาก อาจจะสูงถึง 6% ของจำนวนการจ่ายทั้งหมดเมื่อเทียบกับอัตราการฉ้อโกงด้วยบัตรธรรมดาที่ 0.1% เท่านั้น

ปัญหาสำคัญคือกระบวนการเพิ่มบัตรเข้าสู่ Apple Pay นั้นทำได้ง่ายมาก แอปเปิลจะส่งข้อมูลบางอย่างให้ธนาคารเพื่อยืนยัน เช่น หมายเลขโทรศัพท์สี่หลักสุดท้าย, ชนิดโทรศัพท์, และตำแหน่งของผู้ใช้ หากธนาคารไม่แน่ใจก็สามารถโทรถามลูกค้าเพื่อให้ยืนยันว่ากำลังเพิ่มบัตรเข้า Apple Pay จริงหรือไม่ แต่พนักงานของธนาคารไม่ได้รับการฝึกมาดีพอและชุดคำถามก็ง่ายเกินไปจนทำให้อาชญากรตอบคำถามได้โดยง่าย

แก๊งอาชญากรอาศัยช่องทางนี้ใช้ข้อมูลส่วนตัวที่ซื้อขายกันในตลาดมืดมาเพิ่มบัตรเข้าสู่ระบบ Apple Pay แล้วสั่งจ่ายเงิน

แอปเปิลระบุว่าระบบ Apple Pay ปกป้องข้อมูลลูกค้าเป็นอย่างดี แต่กระบวนการยืนยันบัตรเข้าสู่ระบบเป็นกระบวนการของแต่ละธนาคาร และธนาคารเองก็ปรับปรุงระบบอยู่ตลอดเวลา

ที่มา - Wall Street Journal, Drop Labs

Get latest news from Blognone

Comments

By: leeyiankun
Windows PhoneAndroidWindows
on 5 March 2015 - 09:32 #796570

-6%เอง

-ไม่ใช่ความผิดของระบบแอปเปิ้ล

-ผู้ร้ายอาศัยช่องโหว่ระบบธนาคาร

ค้นใจความที่จะช่วยแก้ต่างให้เรียบร้อยแล้วครับ

By: tumsd923
iPhoneWindows PhoneAndroidWindows
on 5 March 2015 - 10:22 #796591 Reply to:796570
tumsd923's picture

ถ้าเทียบกับ 0.1% มันก็ไม่ 'เอง' นะครับ ต่างกันตั้ง 6000%

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 5 March 2015 - 10:32 #796592 Reply to:796591
PaPaSEK's picture

เค้าประชดมั้งครับ

By: readonly
iPhone
on 5 March 2015 - 11:42 #796619 Reply to:796570
readonly's picture

เห็นด้วยตรงที่ ผู้ร้ายอาศัยช่องโหว่ของธนาคาร

ถ้าถึงขั้นรู้ชื่อ หมายเลข บัตร CCV ไม่ต้อง Apple Pay ก็เอาเงินไปใช้ได้ครับ

อ่านหัวข้อข่าวทีแรกผมนึกว่า Apple Pay ทำข้อมูลบัตรเครดิตลูกค้าหลุดซะอีก ถ้าแบบนี้มันก็เป็นเรื่องที่แต่ละธนาคารต้องจัดการกันไป

By: lew
FounderJusci's WriterMEconomicsAndroid
on 5 March 2015 - 13:22 #796651 Reply to:796619
lew's picture

อันนี้ปัญหาคือมูลค่าความเสียหายขึ้นสูงกว่าปกติ

ผมมองความเป็นไปได้ของปัญหาคือดันตรวจสอบใกล้เคียงซื้อสินค้าออนไลน์ (ที่ธนาคารจะระมัดระวังตัวกว่า เวลามี transaction) แต่ทำตัวเป็นบัตรปกติ ไปรูดตามร้านทั่วไปได้ มูลค่าความเสียหายเลยสูง


lewcpe.com, @wasonliw

By: oRicHalZiNe
iPhone
on 5 March 2015 - 09:44 #796572

ก็แค่อยากได้ NFC มาแปะแทนบัตรกระต่ายบ้างอะไรบ้าง T,T

By: GeBaN on 5 March 2015 - 09:53 #796579

6% สูงมากเลยนะนั่น กลายเป็นช่องให้ขโมยบัตรง่ายขึ้นไปซะงั้น
ทางแก้ที่คิดออก ถ้าเรื่องตอบคำถามเอามากรองไม่ได้ สู้ให้ลำบากหน่อย
โดยการไปแอดบัตรที่สาขา อาจจะทำให้ปลอดภัยมากกว่าแม้จะยุ่งขึ้นนิดหน่อยก็เถอะ 55

By: Aize
ContributorWindows PhoneAndroidWindows
on 5 March 2015 - 10:21 #796589
Aize's picture

ชั้นทำช่องทางเข้าถึงเงินให้มันง่ายๆ แต่เรื่อวความปลอดภัยไปคุยกับคนเฝ้าเงินเองนะ ~ชาลาล่า


The Dream hacker..

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 5 March 2015 - 10:32 #796593
PaPaSEK's picture

social engineer คือพระเอกของแฮกเกอร์เสมอมา

By: Bluetus
iPhone
on 5 March 2015 - 10:42 #796594
Bluetus's picture

ผมลองใช้ Apple Pay ที่อเมริกาแล้วครับ ของ Bank of America นะ

ตอนยืนยันการเพิ่มบัตรต้องโทรไปที่ Call Center แล้วตอบคำถามทั้งหมด

  • ชื่อ

  • ที่อยู่แบบเต็ม

  • เลขบัตร 16 ตัว

  • เลขหลังบัตร

และเลข Virtual Card ที่คนมีเครื่องเท่านั้นจะรู้เพราะเป็นรหัสที่สร้างขึ้นมาเฉพาะแต่ละบัตรแต่ละเครื่อง

ซึ่งข้อมูลพวกนี้ต้องตรงกับที่ให้ไว้กับธนาคาร

ถ้าถามว่าจะโกงจริงๆ มันก็โกงได้นะ แต่ก็ไม่ต่างกับบัตรเครดิททั่วไป

ยากกว่าด้วยซ้ำ เพราะบัตรเครดิททั่วไป มีแค่ตัวบัตร + เลขหลังบัตรก็เอาไปรูดซื้อของออนไลน์สบายแล้ว แต่ว่าแต่ละกระบวนการ ของแต่ละธนาคารคงต่างกัน ธนาคารอื่นอาจจะถามน้อยกว่านี้

By: jinxplay
ContributoriPhoneAndroidWindows
on 5 March 2015 - 11:22 #796614 Reply to:796594
jinxplay's picture

ผมใช้บัตร​เครดิต​ที่ไทย ส่วนใหญ่​จะต้อง​มี OTP มาก่อน ถึงจะ add หรือ​ใช้​ได้​นะ​ครับ​​ (น่าจะใกล้เคียง​กับ​ Virtual​card​ number)

ซึ่งถ้าธนาคาร​ไหนไม่มีของพวกนี้ ผมว่าก็เป็นความรับผิดชอบ​ของ​ธนาคาร​เองส่วนนึง

By: waroonh
Windows
on 5 March 2015 - 10:53 #796603

ดาต้าที่ขายกัน ให้ไปทำบัตรก๊อบ
มันมีข้อมูลให้ครบหน่ะซิครับ

ชื่อ ที่อยู่ เบอร์หน้าบัตร วันหมดอายุ เลขcvv วงเงิน

ซื้อมือถือด้วยบัตร copy
สมัคร account ผูกกับบัตร copy
Add บัตร copy เข้าเครื่อง

ทุกอย่างตรงกันเป๊ะ
จะได้ บัตร apple ของจริงมาใช้

By: Bluetus
iPhone
on 5 March 2015 - 10:58 #796607 Reply to:796603
Bluetus's picture

แต่ผมก็สงสัยอยู่นะครับว่ามันต่างจากเอาข้อมูลตรงนี้ไปซื้อของออนไลน์หรือเปล่า

เพราะมันก็ทำได้เหมือนกันแถมง่ายกว่าด้วย

เพิ่มบัตรเครดิทใน Amazon นี่จบภายใน 3 คลิกเลยมั้ง ...

By: waroonh
Windows
on 5 March 2015 - 11:09 #796610 Reply to:796603

ผมเคยดู รายการนึง นานมาแล้วช่อง discovery มั้ง
เป็นรายการเกี่ยวกับการโจรกรรม

ขโมยรถ ค้ายา ทำบัตรเครดิตปลอม

พิธีกร กับตากล้อง ต้องไปอยู่ในแก๊งจริงๆ
ก่ออาชญากรรมกับทางแก๊ง จริง
รอเทป หมดอายุความ ถึงเอามาฉายได้

บัตร ต่อให้เป็น chip and pin
ถ้าเจอเครื่องสกีม ไม่รอดครับ
รู้ข้อมูลเท่าธนาคารยัน ทรานเซคชั่นล่าสุดเลยครับ
เหอะๆๆ

By: time3957
iPhoneWindows PhoneAndroidWindows
on 5 March 2015 - 12:23 #796634

เอาจากที่เคยทำงานมาครับ จริงๆ บัตรเครดิตตัดเงินง่ายมาก ขึ้นอยู่กับระบบบริษัทที่ตัดเงิน ซึ่งผมเคยตัดเงินลูกค้าโดยไม่ต้องมีเลข CCV ด้วยซ้ำ ให้แค่มีเลขบัตรครบหลัก เดือนปีหมดอายุ แค่นั้นเอง อนึ่งเนื่องจากผมออกจากที่ทำงานเดิมมาประมาณ 1 ปีกว่าแล้วอาจจะมีการเปลี่ยน แต่ยืนยันว่าผมมีแค่ข้อมูลแค่นั้นก็ตัดเงินลูกค้าได้เพราะทำทุกวัน เป็นบริษัทเกี่ยวกับเดิมพันครับ

By: pongkantaphon
ContributoriPhoneUbuntu
on 5 March 2015 - 13:01 #796644 Reply to:796634
pongkantaphon's picture

Issuer ไม่ว่าเจ้าไหนก็อยากได้ CVV2 มาตรวจสอบรายการทั้งนั้นแหละครับ

แต่จะมี MCC บางตัวที่เวลาทำรายการไม่จำเป็นต้องใช้ CVV2 สำหรับรายการ card-not-present ซึ่งถ้าผมจำไม่ผิด gambling นี้ก็เข้าข่ายนี้เช่นกัน ถ้าผมจำไม่ผิดนะ รอคนในแวดวงมายืนยันอีกที


COBOL !!

By: pd2002 on 5 March 2015 - 13:31 #796654 Reply to:796634

ตัดบัตรทุกวันนี้ Name on card ไม่มีผลด้วยครับ

By: pongkantaphon
ContributoriPhoneUbuntu
on 5 March 2015 - 12:48 #796637
pongkantaphon's picture

Apple Pay น่าจะเทียบได้กับบัตรที่สามารถทำธุรกรรมแบบ Contactless หรือเปล่าครับเช่น VISA payWave, MasterCard PayPass

น่าจะเอาอัตรา fraud ของบัตรจำพวก contactless มาเทียบกับ Apple Pay น่าจะยุติธรรมมากกว่า (ถ้าอ้างอิงจาก คห. บนๆ ว่าเครื่อง skimmer สามารถ copy chip emv ได้)

หรือเพราะว่ากระบวนการการใช้ Apple Pay ไม่มี OTP มาช่วยป้องกันอีกที มองในแง่ของการซื้อของออนไลน์ ตอนแรกผมก็นึกว่า Apple Pay ซื้อได้เฉพาะกับ POS terminal ที่เป็นคล้ายๆ contactless นะเนี้ย


COBOL !!

By: lew
FounderJusci's WriterMEconomicsAndroid
on 5 March 2015 - 13:00 #796643 Reply to:796637
lew's picture

Skimmer copy EMV ได้นี่ผมไม่เห็นใครพูดนะครับ มีคุณนี่ล่ะคนแรก

ผมตามข่าวมาก็ไม่เคยเห็นรายงาน


lewcpe.com, @wasonliw

By: pongkantaphon
ContributoriPhoneUbuntu
on 5 March 2015 - 13:04 #796645 Reply to:796643
pongkantaphon's picture

เห็นของคุณ waroonh เค้าพูดไว้ด้านบนน่ะครับ

หรือเค้าหมายถึง copy ทั้ง chip, magnetic แล้วเอาไปทำ fallback อันนี้ ผมอาจจะตีความหมายผิดไป


COBOL !!

By: lew
FounderJusci's WriterMEconomicsAndroid
on 5 March 2015 - 13:17 #796648 Reply to:796645
lew's picture

ผมลองหาดูเจอแค่ magstripe clone แล้วเอาไปซื้อสินค้าออนไลน์ ซึ่งสุดท้ายมันก็เหมือนเอาเลขหน้าบัตรไปใช้กับเว็บที่ไม่มีการตรวจสอบ

ประเด็นนี้ผมว่ามันไม่ใช่ช่องโหว่ของ EMV โดยตรงเท่าไหร่ (ถ้าจะอ่านข้อมูลจากชิป ถ่ายรูปหน้าบัตรเอาก็ได้)


lewcpe.com, @wasonliw

By: waroonh
Windows
on 5 March 2015 - 14:04 #796671 Reply to:796645

Ok อันนี้ผมโพสทำให้สับสน
ต้องขอโทษด้วยครับ

ปล. อ่าน data บนบัตรเพื่อให้ได้มา
ซึ่งข้อมูลของเจ้าของบัตรครับ

ระบบ แถบแม่เหล็ก ต้องยื่น card ให้ร้านค้า
ทำการรูดแถบบัตร ตัว chip and pin
เค้าจงใจออกแบยป้องกันตรงจุดนี้ แต่ไม่ได้หมายความว่า
ข้อมูลบนบัตรจะไม่รั่วออกไปครับ

By: Wang_Peter
iPhoneAndroid
on 5 March 2015 - 14:20 #796675
Wang_Peter's picture

ประเด็นนี้ไม่น่าจะเกี่ยวกับ บัตร Chip ไม่ Chip หรือ Apple ปล่อยข้อมูลหลุด จากหลายๆ ความเห็น
ประเด็นคือ "โจรขโมยข้อมูลบัตรตามปกตินี่แหละ" แต่เอามาผูกบัญชีกับ Apple Pay เพื่อไปใช้ซื้อของ
ไม่ต่างกับโดนขโมยบัตรแล้ว โจรรีบไปรูดซื้อทอง ซื้อนาฬิกาแพงๆ หรือ เอาไปซื้อของ On-line

แต่กระบวนการการพิสูจน์ตัวตน (Know Your Customer, KYC) ของเจ้าหน้าที่แบงก์ Verify ลูกค้าแบบหละหลวมมาก (ตามข่าว)

วิธีการซื้อของ Online นั้น ปกติ ธนาคารผู้ออกบัตร (Issuer Bank) และ ธนาคารผู้ให้บริการรับบัตร (Acquiring Bank) ที่ให้บริการ Payment Gateway จะต้องมีระบบ 3D Secure รวมถึงร้านค้า e-commerce ที่ได้มาตรฐานจะใช้มาตรฐานนี้ในการรับชำระค่าสินค้าหรือบริการ เพื่อป้องกันการโกง
สำหรับ Apple, Google นั้นจะทำการทดลองตัดเงิน เป็นจำนวนที่ต่ำมาก แล้ว คืนเงิน เข้าบัญชี เช่นเดียวกับ PayPal เพื่อตรวจสอบว่าบัตรใบนั้นสามารถตัดเงินได้จริง
โดยไม่ยืนยันตัวตนลูกค้าแต่อย่างใด แม้กระทั่งส่ง OTP ตามขั้นตอน 3D Secure
เพราะขั้นตอนดังกล่าว ลูกค้าต้องให้เบอร์โทรศัพท์กับธนาคารไว้เพื่อส่ง OTP
Apple, Google ต้องการให้ประสบการณ์การผูกบัตรเพื่อทำการซื้อ ง่าย จึงปล่อยผ่าน ขั้นตอนนี้
เชื่อว่าถ้ายังไม่ปรับเปลี่ยนวิธีการ Verify ลูกค้าที่ดีกว่านี้ รับรองเลยว่าอัตราการโกงจะสูงขึ้นเรื่อยๆ

By: GeBaN on 6 March 2015 - 11:32 #796832

ไปมาๆ ผมว่าที่รั่วเพราะตอนเพิ่มบัตร ใช้ข้อมูลมากกว่าซื้อของ Online เล็กน้อย
แต่พอเพิ่มได้ก็ไม่มีตรวจอะไรเพิ่มเติมเท่าไหร เลยกลายเป็นช่องให้โจรพยายามเพิ่มบัตรผ่านระบบนี้แทน
เพราะเพิ่มได้ก็ใช้ได้เต็มที่โดยธนาคารไม่มาตรวจสอบเพิ่มเติม