พบบัตรเครดิตหลายธนาคารสามารถสำเนาได้แม้เป็นบัตรชิป, Visa พบแฮกเกอร์เริ่มมุ่งเป้าแคช์เชียร์รับบัตรชิป

By lew Founder on Tag: Security, Banking, Credit Card
Security

บริษัทวิจัยความปลอดภัย Cyber R&D Labs รายงานถึงช่องโหว่จากการตรวจสอบบัตรเครดิตของสถาบันการเงินหลายแห่ง เปิดทางให้แฮกเกอร์สามารถสร้างสำเนาบัตรได้แม้จะเป็นบัตรชิปก็ตาม

บัตรแม่เหล็กนั้นมีข้อมูลทั้งหมดของตัวบัตรอยู่ในแถบแม่เหล็กรวมถึงตัวเลขยืนยันบัตร CVV ที่ไม่ได้พิมพ์อยู่บนตัวบัตร ขณะที่บัตรชิปนั้นจะเป็นตัวเลข iCVV ที่ควรจะเป็นคนละเลขกับในบัตรแม่เหล็ก แต่ Cyber R&D Labs สาธิตให้เห็นว่าหลายธนาคารไม่ได้ตรวจสอบตัวเลขนี้จริง โดยทีมงานสามารถนำเลข iCVV กลับไปสร้างบัตรแม่เหล็ก แล้วรูดจ่ายเงินสำเร็จได้

เมื่อเดือนเมษายนที่ผ่านมา Visa ออกรายงานระบุว่ามัลแวร์แวร์ที่มุ่งโจมตีจุดรับชำระ (แคชเชียร์, Point-of-Sale/POS) เริ่มถูกโจมตีด้วยมัลแวร์ตระกูลใหม่ๆ ที่มุ่งเป้าไปยัง POS ที่รับชำระด้วยบัตรชิป แสดงความเป็นไปได้ว่าแฮกเกอร์เริ่มใช้ช่องโหว่นี้ในการโจมตีธนาคารบ้างแล้ว โดยประกาศของ Visa ไม่ได้ยอมรับโดยตรงแต่ระบุว่า หากธนาคารตรวจสอบเลข iCVV อย่างถูกต้องความเสี่ยงก็จะต่ำมาก

ที่มา - ZDNet, Krebs on Security

ภาพโดย AhmadArdity

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

Wang_Peter Mon, 03/08/2020 - 08:56

ไม่น่าจะเป็นไปได้ เพราะบัตรที่เป็น Chip นั้น
1 จะมีการแลกเปลี่ยน key ทุกครั้งที่ทำรายการ
2 และถ้าเอาบัตร Chip ไปทำเป็นบัตรแถบแม่เหล็ก แล้วมาทำรายการรูดบนเครื่อง
เครื่องจะ detect ได้ว่า บัตรนี้เป็นบัตร Chip และ จะบอกให้เสียบ Chip แทนการรูด
*เว้นซะว่าเอาบัตรไปใช้ในประเทศที่ยังไม่ได้อัพเดทเป็น EMV

Bigkung Mon, 03/08/2020 - 09:00

*เว้นซะว่าเอาบัตรไปใช้ในประเทศที่ยังไม่ได้อัพเดทเป็น EMV <<< ปกติก็แบบนี้แหล่ะครับ ไม่ใช่เงินเขาเขายอมเสียแพงขึ้นกับการใช้ในประเทศที่ไม่มี EMV ก็ได้

lew Mon, 03/08/2020 - 10:46

"เครื่องจะ detect" นี่น่าจะหมายถึง issuer bank เป็นคนตรวจเจอใช่ไหมครับ เพราะในรายงานก็บอกไว้ ว่าธนาคารส่วนใหญ่ (7 จาก 11) ตรวจแล้ว reject ถูกต้อง แต่มีธนาคารส่วนหนึ่งไม่ตรวจ

อันนี้ต้องตั้งคำถามกับ Visa ว่าก่อนให้ธนาคาร issuer ออกบัตร มีการ validate กระบวนการพวกนี้หนาแน่นขนาดไหน ธนาคารตรวจไม่ครบแบบนี้ออกบัตรได้จริงหรือเปล่า

Wang_Peter Mon, 03/08/2020 - 11:44

ปกติบัตรชิพ จะมี profile .นแถบแม่เหล็กระบุว่าเป็นชิพครับ
เมื่อเอาบัตรไป Swipe เครื่องจะอ่านเจอ แล้วมีข้อความบนหน้าจอ ให้ไปเสียบบัตรครับ

hisoft Mon, 03/08/2020 - 13:20

มี profile บนแถบแม่เหล็กระบุว่าเป็นชิปนี่คือสามารถแก้ไขเองได้ใช่ไหมครับ?
และข่าวนี้เองก็ไม่ได้สำเนาแถบแม่เหล็กไปข้อมูลที่ว่าก็ไม่น่าจะถูกสำเนาไปด้วยนะครับ

lew Mon, 03/08/2020 - 13:32

ผมว่ามีอสองประเด็น 1) แฮกเกอร์แก้ profile นั้นได้เอง เพราะข้อมูลมันก็ไม่ได้เข้ารหัสอะไร ยังไงก็เขียนได้ ถ้า terminal/issuer ไม่ตรวจก็เสร็จอยู่ดี 2) ผมเข้าใจว่าในตัวอย่างของ Cyber R&D (หน้า 19) เป็นบัตรที่มีแถบแม่เหล็กเอาไว้ fall back อยู่แล้วนะครับ เขาลองอ่านตัวอย่างจากแถบแม่เหล็กออกมาด้วย ดังนั้น profile น่าจะเปิดให้ใช้แม่เหล็กได้อยู่แล้ว (แต่ถ้าบอกว่าบัตรมีชิป terminal ก็ไม่ควรรับอยู่ดี?) แต่สร้างแถบแม่เหล็กจากชิปได้

Wang_Peter Mon, 03/08/2020 - 11:51

ข้อมูลบัตรในแถบแม่เหล็ก มีหลายอย่างซึ่งสัมพันธ์กัน และถ้าจะ copy ก็ต้องเอาไปทั้งหมด
1 ในข้อมูลนั้นคือ card profile mีระบุว่า บัตร BIN นี้ เป็นบัตร chip
ดังนั้นถ้าเอาไป swipe บนเครื่องธนาคารที่เป็นบัตร Chip มันจะอ่านเจอ
บางประเทศ VISA, Mastercard mandate EMV chip 100% บัตรพวกนี้ไปก็ยิ่งใช้ไม่ได้
และข้อ 2 คือกรณีที่ไปเจอเครื่องที่ยัง allow ให้บัตรแถบแม่เหล็กใช้ได้
แต่เมื่อมี fraud เกิดขึ้นก็ต้องมา investigate ระหว่าง Issuer , Acquirer ว่า ทำไมเครื่องถึงยอมให้ทำ ทั้งๆที่เป็นบัตรดั้งเดิมเป็นชิพ แต่เครื่องดันยอมรับบัตรแถบแม่เหล็กที่ copy บัตรชิพมา

psks Mon, 03/08/2020 - 09:58

วันก่อนใช้บัตรเครดิตจ่ายบิลโทรศัพท์ผ่านแอปค่ายเขียว ครั้งแรกใส่ cvv ผิดแต่เข้าหน้า otp ได้ ทีนี้ลองใส่มั่วๆ เข้าหน้า otp ได้เฉย ลองจ่ายเงินก็ได้อีก -*- สรุปเค้าตรวจไหมนั่น

21Aki Mon, 03/08/2020 - 11:40

ไม่น่าเป็นไปได้นะครับ ถ้าเป็นบัตรเครดิต ผมใส่รหัสผิด ลองตัดบัตรดู CCV ไม่ตรง แต่ OTP ถูก ระบบจะขึ้นเองครับว่า ตัดบัตรไม่ผ่าน

psks Mon, 03/08/2020 - 13:47

แต่เป็นไปแล้วครับ ว่าจะโทรหา cc อยู่
ตอนแรกคิดว่าใช้บัตรเดบิต ของธนาคาร T* จ่าย เป็นบัตรเดบิต ทีนี้ลองเอาบัตรเครดิตธนาคาร KT* จ่าย
ปรากฏว่าได้เหมือนกัน สรุปเป็นที่ A** ไม่ตรวจสอบรึเปล่า

deaknaew Mon, 03/08/2020 - 15:18

น่าจะขึ้นอยู่ว่า เช็คอะไรบ้าง
เคยเจอ หักเว็บนอก ชื่อ(ชื่อต้น) ไม่ตรงก็ reject
บางเว็บโดน reject ดื้อๆ หลังใส่ถูกหมดด้วย
ไม่รู้ทำไม น่าจะ bug
แต่ mastercard ใช้ได้ปกติ

แล้วการเช็คน่าจะมีเกณฑ์การรับผิดชอบ อยู่ด้วยมั้ง
เช็คไม่ครบ ร้านรับผิดชอบปัญหา
อย่างเดี๋ยวนี้ บางปั๊มน้ำมันก็ไม่ต้องกด รหัสผ่านด้วย

geravet Mon, 03/08/2020 - 12:13

บางเว็บเคยจ่ายแล้วนี้ไม่ถามอะไรสักอย่างเลยครับ กดจ่ายเงินเสร็จตอนไหนยังงงอยู่เลย ไอเราก็หยิบมือถือขึ้นมารอรับ otp แล้วก็งงเอะนี้ทำไมจ่ายเร็วจัง

Bigkung Mon, 03/08/2020 - 16:12

พวกเว็บที่ไม่ถามเขายอมเสี่ยง เพื่อความสะดวกรวดเร็วของผู้ใช้ครับ เวลามีปัญหาร้านจะผิด 100%