Banking

วันนี้ทางธนาคารแห่งประเทศไทยได้ออกมาชี้แจงเหตุการณ์ผู้ใช้จำนวนมากถูกตัดเงินออกจากบัญชีหรือถูกสั่งจ่ายบัตรเครดิตเป็นการ "สุ่มข้อมูลบัตร" โดยไม่ได้ให้ข้อมูลเพิ่มเติมว่าเป็นการสุ่มข้อมูลใดบ้าง (เฉพาะ CVV, ข้อมูลอื่นๆ, หรือเลขบัตร 16 หลักด้วย) อย่างไรก็ดีการโจมตีแบบสุ่มเลขบัตรนี้มีนานแล้ว และทาง Visa ก็ได้ออกรายงานแจ้งเตือนผู้เกี่ยวข้องเมื่อเดือนสิงหาคมที่ผ่านมา

รายงานของ Visa ระบุถึงการโจมตีที่มาเป็นคู่กัน คือ enumeration attacks หรือการสุ่มเลข และ account testing ที่คนร้ายจะทดสอบตัดเงินยอดเล็กๆ เพื่อไม่ให้เป็นที่สงสัยก่อน หากเลขบัตรใดตัดเงินผ่านก็จะเก็บเอาไว้เพื่อนำข้อมูลไปขายหรือโจมตีรุนแรงภายหลัง

No Description

ภาพโดย flyerwerk

กระบวนการสุ่มเลขนี้คนร้ายจะอาศัยการกรอกเลขเข้าไปยังร้านค้าอีคอมเมิร์ชยอดนิยม เนื่องจากร้านค้าเหล่านี้มีการส่งข้อความขอจ่ายเงินจำนวนสูงมาก จากนั้นคนร้ายจะยิงหมายเลขประจำธนาคาร (BIN), หมายเลขบัตร (PAN), วันหมดอายุ, หมายเลขยืนยัน (CVV), รวมถึงรหัสไปรษณีย์ของผู้ใช้ แล้วปล่อยให้ธนาคารผู้ออกบัตรปฎิเสธการจ่ายเงินไปเรื่อยๆ จนกว่าจะมีข้อมูลสักชุดที่จ่ายเงินสำเร็จ

การโจมตีที่ต้องอาศัยการยิงข้อความขอจ่ายเงินจำนวนมากเช่นนี้ต้องอาศัยระบบระบบฝั่งผู้ค้าที่หละหลวม Visa พบว่า payment gateway หรือ shopping cart provider บางรายเข้าข่ายถูกโจมตีมากเป็นพิเศษ และผู้ให้บริการเหล่านี้มักได้รับความนิยมกับผู้ค้าบางกลุ่ม เช่นช่วงต้นปีที่ผ่านมา Visa พบอัตราการยิงทดสอบเลขบัตรเช่นนี้จากกลุ่มร้านขายยา, มหาวิทยาลัย, ร้านค้าปลีก, และสนามกอล์ฟ โดยทาง Visa จะแจ้งเตือนผู้เกี่ยวข้องเป็นระยะถึงแนวโน้มที่ถูกโจมตี

เอกสารของ Visa แนะนำผู้เกี่ยวข้องกับการรับจ่ายเงินผ่านบัตรทั้งหมดให้เสริมความปลอดภัย เพื่อลดการโจมตีแบบเดาเลขบัตรเช่นนี้ ร้านอีคอมเมิร์ชทั้งหลายควรป้องกันตัวเองด้วยการเปิด CAPTCHA ป้องกันบอตยิงเลข, ตรวจสอบการยิงเลขบัตรซ้ำๆ จากธนาคารเดียว, การยิงเลขวิ่ง (sequential PAN), การจ่ายเงินข้ามประเทศ, และการจ่ายเงินจำนวนเท่าๆ กันซ้ำๆ สำหรับธนาคารผู้ออกบัตรนั้น Visa แนะนำให้ธนาคารผู้ออกบัตรไม่ให้ออกบัตรที่หมายเลขบัตรเรียงกัน (sequential PAN) หรือออกบัตรที่วันหมดอายุตรงกันเป็นชุดๆ รวมถึงตรวจสอบเหตุการณ์ที่การตรวจสอบหมายเลข CVV ผิดพลาดสูงผิดปกติ

ที่มา - Visa Guidance to Guard Against Enumeration Attacks and Account Testing Schemes

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

อันนี้ต้องย้ำว่าของเรานี่ "ไม่รู้" ครับ แบงค์ชาติบอกข้อมูลน้อยมาก ถ้าคนร้ายสุ่มแค่ CVV ก็แปลว่ามีข้อมูลอื่นรั่ว แต่ถ้าที่ Visa เตือนนี่คือไม่ต้องมีอะไรรั่วเลย

ดูข่าวทีวีเห็นชื่อ บริการรับชำระเงินของร้านค้าอีคอมเมิร์ชยอดนิยม ในสลิปในข่าวเล่นเอาหลอนเลย ซื้อของออนไลน์เจ้านี้บ่อยด้วย ดีนะยังไม่เปิดใช้บริการรับชำระเงินของค่ายนั้น ตื้อมาหลายเดือนล่ะ

Ford AntiTrust Tue, 19/10/2021 - 19:35

เอาจริงๆ สุ่มเลขแล้วตัดบัตรได้ ถ้ามันง่ายแบบนั้นจริงๆ ไม่โดนกับฉิบหายกันหมดแล้วเหรอ

เอาจริงๆ น่าจะโดนวงกว้างและทั่วโลก ทำไมเพิ่งเจอ แถมในไทยซะส่วนใหญ่

รายงานของ Visa ออกมาเดือนสิงหา (12 สิงหาที่ผ่านมา) และอ้างอิงถึงกรณีตั้งแต่ต้นปี

น่าจะเกิดขึ้นเรื่อยๆ นะ แต่ใหญ่แค่ไหนบ้านเราหนักเป็นพิเศษไหม นี่เขาไม่เปิดเผย

ส่วนว่าใครโดน รายงานของ Visa เองก็มีมาตรการลดความเสี่ยงอยู่ครับ แนะนำธนาคารเรียบร้อยว่าควร monitor อะไรบ้าง ธนาคารออกบัตรควรตอบกลับธนาคารรับบัตรอย่างไรเพื่อช่วยกันลดความเสี่ยง ไปจนถึงกระบวนการออกเลขบัตร ซึ่งถ้าธนาคารไม่ทำตาม ก็เละแน่ๆ (แต่เราไม่รู้ว่าธนาคารไทยทำตามครบไหม อาจจะครบแล้วเจอแก๊งเทพ หรือแม้จะกระทั่งเจอเคสข้อมูลหลุดบางส่วน ฯลฯ อันนี้ได้แต่เดาถ้ายังไม่มีข้อมูลเพิ่มเติม)

ประเด็นน่าสนใจคือทำไมถึงออกเป็นคำแนะนำ แทนที่จะเป็นบังคับไปเลย หรือว่า risk มันยังต่ำเลยไม่คิดจะบังคับใช้

risk สูงแต่ธุรกิจใหญ่ไม่เอาด้วย บริษัทพวกนี้ก็ทนได้

สมัยบัตรแม่เหล็กโดยก็อปบัตรกันมหาศาล กว่าจะยอมบังคับให้เปลี่ยนก็หลายปี

ขำครับ ในความเป็นจริง ใส่เลขผิดครบ 3 - 5 ครั้ง ระบบก็ล็อคแล้ว

ถ้ามันสุ่มได้จริง แล้วมันเอาไปยืนยันกับ service ตัวไหนจึงรู้ว่าถูกหรือผิด นั่นก็แสดงว่า service มีช่องโหว่แล้ว แต่ดันผลักภาระให้ผู้ใช้บริการ

แล้วก็ต้องสุ่มเดือนปีหมดอายุด้วยน่ะสิครับ โอกาสมันก็ยากขึ้นหรือเปล่า
หรือว่าวันหมดอายุของบัตรเดบิตมันจะเหมือนกันยก lot

ถ้าปลอดภัยสุดก็ KTC ครับ ถ้าพยายามตัดบัตรด้วยเดือนปีหมดอายุ หรือ CVV ที่ผิด จะมีแจ้งเตือนมาในแอพ KTC Mobile เลย
รู้สึกว่าถ้าผิดอย่างใดอย่างหนึ่ง 3 ครั้ง บัตรจะถูกระงับชั่วคราวเลยครับ

กรณีที่แย่ที่สุดคือธนาคารผู้ออกบัตรก็ไม่ได้สุ่มเลขบัตร เลขบัตรเรียงกันเป็นพรืด รู้สักเลขคือรู้เลยว่าเลขใกล้ๆ กันหมดอายุพร้อมกัน ในเอกสารของ Visa นี้ "ขอ" ให้ธนาคารอย่าทำแบบนี้ แต่ไม่บังคับ ไม่มีใครรู้ว่าธนาคารไหนทำยังไงบ้าง

รู้เลขบัตรสักเลข ไปทำบัตรเองสักสองใบเช็คว่าเลขวิ่งไหม จะรู้เลขบัตรอื่นๆ หมด ไม่รู้แค่ CVV ยิงเลข CVV เป็น 555 ไปพันใบ ก็ได้เหยื่อที่ใช้งานได้ใบนึง ยิง CVV สามเลข ต่อหนึ่งเลขบัตร ยิง 300 เลขบัตร ได้เหยื่อหนึ่งใบ

ก็ไม่รู้สินะ...

การสุ่มเลขนี่มันเป็นการโจมตีพื้นฐานมากเลยนะ ขนาดตอนเด็กผมยังสุ่มบัตรเติมเงินเกมเลย (ถึงจะไม่เคยได้เลยก็เถอะ)

จะบอกว่าทุกธนาคารในไทยไม่มีมาตรการป้องกันอะไรพวกนี้หรือไม่แม้แต่มีกระบวนการตรวจสอบเลยเหรอ? และเหมือนว่าเหตุจะไม่ได้เกิดวันที่เป็นข่าวแต่เกิดตั้งแต่ต้นเดือนแล้วด้วยนะ จนถึงวันที่เป็นข่าวไม่มีธนาคารรู้ตัวเลยเหรอว่ามีการโจมตีแบบนี้เกิดขึ้น?

ผมไม่รู้ขั้นตอนการทำงานของธนาคารนะ แต่ในมุมมองของผู้ใช้อย่างผมคือ เรื่องมันเกิดเป็นสัปดาห์จนพอเป็นข่าวใหญ่โตแล้วธนาคารถึงค่อยขยับตัวอะ (แต่ถ้าใครทราบระเบียบภายในและเข้าใจว่าทำไมก็อยากให้แชร์หน่อยครับ)

การที่ผู้ใช้ด้วยกันทราบว่ามีการโจมตีแบบนี้เกิดขึ้นจากกลุ่มผู้ใช้ด้วยกันก่อนทราบจากธนาคาร... ผมว่ามันไม่ใช่นะ

  1. เราไม่รู้ว่าการโจมตีครั้งนี้เป็นรูปแบบนี้จริงหรือไม่ (แถลงแบงค์ชาติข้อมูลน้อยมากๆ บอกแค่สุ่ม สุ่มอะไร?)
  2. ต่อให้ธนาคารมีการป้องกัน ตามเอกสารนี้ซึ่ง Visa ระบุทางป้องกันให้ธนาคารไว้บางส่วน ก็กันไม่ได้ทั้งหมด ทางที่ดีที่สุดคงเป็นการบังคับ 3D Secure ทั้งโลก ซึ่ง Visa ไม่ทำ

ถ้าตามนี้จริงก็เป็นไปได้นะ เพราะเห็นคนที่โดนหลายคนก็บอกว่ามียอดตัดเล็ก ๆ ก่อนหน้าประมาณเดือนนึง ก่อนที่จะโดนหนัก ๆ พร้อมกันหลายคน

กระบวนการสุ่มเลขนี้คนร้ายจะอาศัยการกรอกเลขเข้าไปยังร้านค้าอีคอมเมิร์ชยอดนิยม เนื่องจากร้านค้าเหล่านี้มีการส่งข้อความขอจ่ายเงินจำนวนสูงมาก จากนั้นคนร้ายจะยิงหมายเลขประจำธนาคาร (BIN), หมายเลขบัตร (PAN), วันหมดอายุ, หมายเลขยืนยัน (CVV), รวมถึงรหัสไปรษณีย์ของผู้ใช้ แล้วปล่อยให้ธนาคารผู้ออกบัตรปฎิเสธการจ่ายเงินไปเรื่อยๆ จนกว่าจะมีข้อมูลสักชุดที่จ่ายเงินสำเร็จ

มันชัดเจนตรงนี้...

ซ่อนใบไม้ในป่าครับ พวก e-commerce ใหญ่ๆ มีคนกรอกบัตรเครดิตผิดทุกวินาทีอยู่แล้ว แทรกเข้าไปวินาทีละครั้งไม่มีใครเห็น