วันนี้ทางธนาคารแห่งประเทศไทยได้ออกมาชี้แจงเหตุการณ์ผู้ใช้จำนวนมากถูกตัดเงินออกจากบัญชีหรือถูกสั่งจ่ายบัตรเครดิตเป็นการ "สุ่มข้อมูลบัตร" โดยไม่ได้ให้ข้อมูลเพิ่มเติมว่าเป็นการสุ่มข้อมูลใดบ้าง (เฉพาะ CVV, ข้อมูลอื่นๆ, หรือเลขบัตร 16 หลักด้วย) อย่างไรก็ดีการโจมตีแบบสุ่มเลขบัตรนี้มีนานแล้ว และทาง Visa ก็ได้ออกรายงานแจ้งเตือนผู้เกี่ยวข้องเมื่อเดือนสิงหาคมที่ผ่านมา
รายงานของ Visa ระบุถึงการโจมตีที่มาเป็นคู่กัน คือ enumeration attacks หรือการสุ่มเลข และ account testing ที่คนร้ายจะทดสอบตัดเงินยอดเล็กๆ เพื่อไม่ให้เป็นที่สงสัยก่อน หากเลขบัตรใดตัดเงินผ่านก็จะเก็บเอาไว้เพื่อนำข้อมูลไปขายหรือโจมตีรุนแรงภายหลัง

ภาพโดย flyerwerk
กระบวนการสุ่มเลขนี้คนร้ายจะอาศัยการกรอกเลขเข้าไปยังร้านค้าอีคอมเมิร์ชยอดนิยม เนื่องจากร้านค้าเหล่านี้มีการส่งข้อความขอจ่ายเงินจำนวนสูงมาก จากนั้นคนร้ายจะยิงหมายเลขประจำธนาคาร (BIN), หมายเลขบัตร (PAN), วันหมดอายุ, หมายเลขยืนยัน (CVV), รวมถึงรหัสไปรษณีย์ของผู้ใช้ แล้วปล่อยให้ธนาคารผู้ออกบัตรปฎิเสธการจ่ายเงินไปเรื่อยๆ จนกว่าจะมีข้อมูลสักชุดที่จ่ายเงินสำเร็จ
การโจมตีที่ต้องอาศัยการยิงข้อความขอจ่ายเงินจำนวนมากเช่นนี้ต้องอาศัยระบบระบบฝั่งผู้ค้าที่หละหลวม Visa พบว่า payment gateway หรือ shopping cart provider บางรายเข้าข่ายถูกโจมตีมากเป็นพิเศษ และผู้ให้บริการเหล่านี้มักได้รับความนิยมกับผู้ค้าบางกลุ่ม เช่นช่วงต้นปีที่ผ่านมา Visa พบอัตราการยิงทดสอบเลขบัตรเช่นนี้จากกลุ่มร้านขายยา, มหาวิทยาลัย, ร้านค้าปลีก, และสนามกอล์ฟ โดยทาง Visa จะแจ้งเตือนผู้เกี่ยวข้องเป็นระยะถึงแนวโน้มที่ถูกโจมตี
เอกสารของ Visa แนะนำผู้เกี่ยวข้องกับการรับจ่ายเงินผ่านบัตรทั้งหมดให้เสริมความปลอดภัย เพื่อลดการโจมตีแบบเดาเลขบัตรเช่นนี้ ร้านอีคอมเมิร์ชทั้งหลายควรป้องกันตัวเองด้วยการเปิด CAPTCHA ป้องกันบอตยิงเลข, ตรวจสอบการยิงเลขบัตรซ้ำๆ จากธนาคารเดียว, การยิงเลขวิ่ง (sequential PAN), การจ่ายเงินข้ามประเทศ, และการจ่ายเงินจำนวนเท่าๆ กันซ้ำๆ สำหรับธนาคารผู้ออกบัตรนั้น Visa แนะนำให้ธนาคารผู้ออกบัตรไม่ให้ออกบัตรที่หมายเลขบัตรเรียงกัน (sequential PAN) หรือออกบัตรที่วันหมดอายุตรงกันเป็นชุดๆ รวมถึงตรวจสอบเหตุการณ์ที่การตรวจสอบหมายเลข CVV ผิดพลาดสูงผิดปกติ
ที่มา - Visa Guidance to Guard Against Enumeration Attacks and Account Testing Schemes
on
สรุปคือไม่ได้หลุดที่ฝั่งเราจร
KuLiKo Tue, 19/10/2021 - 18:04
สรุปคือไม่ได้หลุดที่ฝั่งเราจริงๆ สินะครับ
อันนี้ต้องย้ำว่าของเรานี่
lew Tue, 19/10/2021 - 19:23
In reply to สรุปคือไม่ได้หลุดที่ฝั่งเราจร by KuLiKo
อันนี้ต้องย้ำว่าของเรานี่ "ไม่รู้" ครับ แบงค์ชาติบอกข้อมูลน้อยมาก ถ้าคนร้ายสุ่มแค่ CVV ก็แปลว่ามีข้อมูลอื่นรั่ว แต่ถ้าที่ Visa เตือนนี่คือไม่ต้องมีอะไรรั่วเลย
ดูข่าวทีวีเห็นชื่อ
akira Tue, 19/10/2021 - 19:22
ดูข่าวทีวีเห็นชื่อ บริการรับชำระเงินของร้านค้าอีคอมเมิร์ชยอดนิยม ในสลิปในข่าวเล่นเอาหลอนเลย ซื้อของออนไลน์เจ้านี้บ่อยด้วย ดีนะยังไม่เปิดใช้บริการรับชำระเงินของค่ายนั้น ตื้อมาหลายเดือนล่ะ
เอาจริงๆ
Ford AntiTrust Tue, 19/10/2021 - 19:35
เอาจริงๆ สุ่มเลขแล้วตัดบัตรได้ ถ้ามันง่ายแบบนั้นจริงๆ ไม่โดนกับฉิบหายกันหมดแล้วเหรอ
เอาจริงๆ น่าจะโดนวงกว้างและทั่วโลก ทำไมเพิ่งเจอ แถมในไทยซะส่วนใหญ่
รายงานของ Visa
lew Tue, 19/10/2021 - 19:38
In reply to เอาจริงๆ by Ford AntiTrust
รายงานของ Visa ออกมาเดือนสิงหา (12 สิงหาที่ผ่านมา) และอ้างอิงถึงกรณีตั้งแต่ต้นปี
น่าจะเกิดขึ้นเรื่อยๆ นะ แต่ใหญ่แค่ไหนบ้านเราหนักเป็นพิเศษไหม นี่เขาไม่เปิดเผย
ส่วนว่าใครโดน รายงานของ Visa เองก็มีมาตรการลดความเสี่ยงอยู่ครับ แนะนำธนาคารเรียบร้อยว่าควร monitor อะไรบ้าง ธนาคารออกบัตรควรตอบกลับธนาคารรับบัตรอย่างไรเพื่อช่วยกันลดความเสี่ยง ไปจนถึงกระบวนการออกเลขบัตร ซึ่งถ้าธนาคารไม่ทำตาม ก็เละแน่ๆ (แต่เราไม่รู้ว่าธนาคารไทยทำตามครบไหม อาจจะครบแล้วเจอแก๊งเทพ หรือแม้จะกระทั่งเจอเคสข้อมูลหลุดบางส่วน ฯลฯ อันนี้ได้แต่เดาถ้ายังไม่มีข้อมูลเพิ่มเติม)
ประเด็นน่าสนใจคือทำไมถึงออกเป
Ford AntiTrust Tue, 19/10/2021 - 21:14
In reply to รายงานของ Visa by lew
ประเด็นน่าสนใจคือทำไมถึงออกเป็นคำแนะนำ แทนที่จะเป็นบังคับไปเลย หรือว่า risk มันยังต่ำเลยไม่คิดจะบังคับใช้
risk
lew Tue, 19/10/2021 - 22:14
In reply to ประเด็นน่าสนใจคือทำไมถึงออกเป by Ford AntiTrust
risk สูงแต่ธุรกิจใหญ่ไม่เอาด้วย บริษัทพวกนี้ก็ทนได้
สมัยบัตรแม่เหล็กโดยก็อปบัตรกันมหาศาล กว่าจะยอมบังคับให้เปลี่ยนก็หลายปี
ความชิพหายของวงการการเงิน
Bigkung Tue, 19/10/2021 - 20:30
ความชิพหายของวงการการเงิน เดี๋ยวจะมีการเรียกร้องเอา บัตร ATM ธรรมดากลับมาแน่ๆ ไม่ก็ต้องเปิดบัญชีแบบไม่มีบัตรได้
ขำครับ ในความเป็นจริง
asptuy Tue, 19/10/2021 - 20:30
ขำครับ ในความเป็นจริง ใส่เลขผิดครบ 3 - 5 ครั้ง ระบบก็ล็อคแล้ว
ถ้ามันสุ่มได้จริง แล้วมันเอาไปยืนยันกับ service ตัวไหนจึงรู้ว่าถูกหรือผิด นั่นก็แสดงว่า service มีช่องโหว่แล้ว แต่ดันผลักภาระให้ผู้ใช้บริการ
แล้วก็ต้องสุ่มเดือนปีหมดอายุด
moonoiz Tue, 19/10/2021 - 21:40
แล้วก็ต้องสุ่มเดือนปีหมดอายุด้วยน่ะสิครับ โอกาสมันก็ยากขึ้นหรือเปล่า
หรือว่าวันหมดอายุของบัตรเดบิตมันจะเหมือนกันยก lot
ถ้าปลอดภัยสุดก็ KTC ครับ ถ้าพยายามตัดบัตรด้วยเดือนปีหมดอายุ หรือ CVV ที่ผิด จะมีแจ้งเตือนมาในแอพ KTC Mobile เลย
รู้สึกว่าถ้าผิดอย่างใดอย่างหนึ่ง 3 ครั้ง บัตรจะถูกระงับชั่วคราวเลยครับ
กรณีที่แย่ที่สุดคือธนาคารผู้อ
lew Tue, 19/10/2021 - 22:19
In reply to แล้วก็ต้องสุ่มเดือนปีหมดอายุด by moonoiz
กรณีที่แย่ที่สุดคือธนาคารผู้ออกบัตรก็ไม่ได้สุ่มเลขบัตร เลขบัตรเรียงกันเป็นพรืด รู้สักเลขคือรู้เลยว่าเลขใกล้ๆ กันหมดอายุพร้อมกัน ในเอกสารของ Visa นี้ "ขอ" ให้ธนาคารอย่าทำแบบนี้ แต่ไม่บังคับ ไม่มีใครรู้ว่าธนาคารไหนทำยังไงบ้าง
รู้เลขบัตรสักเลข ไปทำบัตรเองสักสองใบเช็คว่าเลขวิ่งไหม จะรู้เลขบัตรอื่นๆ หมด ไม่รู้แค่ CVV ยิงเลข CVV เป็น 555 ไปพันใบ ก็ได้เหยื่อที่ใช้งานได้ใบนึง ยิง CVV สามเลข ต่อหนึ่งเลขบัตร ยิง 300 เลขบัตร ได้เหยื่อหนึ่งใบ
ก็ไม่รู้สินะ...
iqsk131 Tue, 19/10/2021 - 22:18
ก็ไม่รู้สินะ...
การสุ่มเลขนี่มันเป็นการโจมตีพื้นฐานมากเลยนะ ขนาดตอนเด็กผมยังสุ่มบัตรเติมเงินเกมเลย (ถึงจะไม่เคยได้เลยก็เถอะ)
จะบอกว่าทุกธนาคารในไทยไม่มีมาตรการป้องกันอะไรพวกนี้หรือไม่แม้แต่มีกระบวนการตรวจสอบเลยเหรอ? และเหมือนว่าเหตุจะไม่ได้เกิดวันที่เป็นข่าวแต่เกิดตั้งแต่ต้นเดือนแล้วด้วยนะ จนถึงวันที่เป็นข่าวไม่มีธนาคารรู้ตัวเลยเหรอว่ามีการโจมตีแบบนี้เกิดขึ้น?
ผมไม่รู้ขั้นตอนการทำงานของธนาคารนะ แต่ในมุมมองของผู้ใช้อย่างผมคือ เรื่องมันเกิดเป็นสัปดาห์จนพอเป็นข่าวใหญ่โตแล้วธนาคารถึงค่อยขยับตัวอะ (แต่ถ้าใครทราบระเบียบภายในและเข้าใจว่าทำไมก็อยากให้แชร์หน่อยครับ)
การที่ผู้ใช้ด้วยกันทราบว่ามีการโจมตีแบบนี้เกิดขึ้นจากกลุ่มผู้ใช้ด้วยกันก่อนทราบจากธนาคาร... ผมว่ามันไม่ใช่นะ
เราไม่รู้ว่าการโจมตีครั้งนี้เ
lew Tue, 19/10/2021 - 22:22
In reply to ก็ไม่รู้สินะ... by iqsk131
ฝั่งผู้ใช้งานคงได้แต่ Monitor
TeamKiller Tue, 19/10/2021 - 23:16
ฝั่งผู้ใช้งานคงได้แต่ Monitor แล้วรีบแจ้งธนาคาร
ถ้าตามนี้จริงก็เป็นไปได้นะ
nessuchan Wed, 20/10/2021 - 10:35
ถ้าตามนี้จริงก็เป็นไปได้นะ เพราะเห็นคนที่โดนหลายคนก็บอกว่ามียอดตัดเล็ก ๆ ก่อนหน้าประมาณเดือนนึง ก่อนที่จะโดนหนัก ๆ พร้อมกันหลายคน
ข้อมูลที่ใช้จริงมีแต่ตัวเลข
poa Wed, 20/10/2021 - 11:43
ข้อมูลที่ใช้จริงมีแต่ตัวเลข เลยสุ่มได้ไม่ยาก ถ้าเอาชื่อบนบัตรไปเช็คด้วยน่าจะปลอดภัยขึ้นมากๆ
กระบวนการสุ่มเลขนี้คนร้ายจะอา
-Rookies- Wed, 20/10/2021 - 11:56
มันชัดเจนตรงนี้...
ซ่อนใบไม้ในป่าครับ พวก e
lew Wed, 20/10/2021 - 13:03
In reply to กระบวนการสุ่มเลขนี้คนร้ายจะอา by -Rookies-
ซ่อนใบไม้ในป่าครับ พวก e-commerce ใหญ่ๆ มีคนกรอกบัตรเครดิตผิดทุกวินาทีอยู่แล้ว แทรกเข้าไปวินาทีละครั้งไม่มีใครเห็น