ทีมนักวิจัยความปลอดภัยจาก Newcastle University เผยแพร่วิธีการแฮ็กบัตรเครดิตออนไลน์ โดยที่รู้ข้อมูลหน้าบัตร และสามารถ "เดา" เลข CVV หลังบัตรได้ โดยอาศัยจุดอ่อนในระบบของบัตร Visa

หลักการเดาเลข CVV นั้นง่ายๆ เพราะใช้วิธี brute force เดาเลขไปเรื่อยๆ จนกว่าจะเดาถูก (เลข 3 หลักคือ 1,000 ครั้ง) ช่องโหว่เกิดจาก Visa มีระบบป้องกันการเดารหัส CVV โดยจำกัดจำนวนครั้งที่ให้ลองป้อนข้อมูล (ประมาณ 10-20 ครั้งต่อเว็บไซต์) แต่กลับไม่มีระบบนับการเดาเลข CVV จากหลายเว็บพร้อมกัน ดังนั้นเราจึงสามารถแบ่งชุดของรหัส CVV ไปลองป้อนกับเว็บไซต์หลายแห่งได้ไม่ยาก (unlimited guesses)

ในกรณีที่ไม่รู้ข้อมูลบนหน้าบัตรด้วย (เช่น หมายเลขบัตร วันหมดอายุ) แฮ็กเกอร์ยังสามารถเดาข้อมูลไปเรื่อยๆ ด้วยเทคนิคเดียวกัน เพียงแต่ต้องใช้จำนวนครั้งในการคาดเดามากขึ้นนั่นเอง

ทีมวิจัยลองสร้างซอฟต์แวร์ที่ช่วยกระจายการคาดเดาไปยังเว็บไซต์ต่างๆ (Distributed Guessing Attack) ในกรณีที่รู้ข้อมูลหน้าบัตรและต้องการเลข CVV ก็ใช้เวลาเพียง 6 วินาทีเท่านั้น (ตามในวิดีโอ)

เทคนิคนี้ใช้ได้กับบัตร Visa เท่านั้น ส่วน Mastercard มีระบบป้องกันการคาดเดาที่ส่วนกลาง (จำกัดจำนวนไม่เกิน 10 ครั้ง) จึงไม่มีปัญหานี้

ที่มา - Newcaster University, Sophos, ภาพจาก Pexels