[ไม่ยืนยัน] อัตราการฉ้อโกงด้วย Apple Pay พุ่งสูง อาจจะถึง 6%

By lew Founder on Tag: Apple, Mobile Payment, Apple Pay
Apple

บริการ Apple Pay เป็นความภาคภูมิใจอย่างหนึ่งของแอปเปิลที่ปรับระบบการจ่ายเงินให้อยู่ในโทรศัพท์มือถืออย่างสมบูรณ์ และยังปรับระบบจ่ายเงินให้สั่งจ่ายด้วยหมายเลขแบบใช้ครั้งเดียวทิ้งแทนที่จะเป็นหมายเลขบัตรโดยตรง แต่รายงานล่าสุดจาก Wall Street Journal อ้างแหล่งข่าวไม่เปิดเผยตัวตนระบุว่าอัตราการฉ้อโกงด้วย Apple Pay นั้นสูงมาก อาจจะสูงถึง 6% ของจำนวนการจ่ายทั้งหมดเมื่อเทียบกับอัตราการฉ้อโกงด้วยบัตรธรรมดาที่ 0.1% เท่านั้น

ปัญหาสำคัญคือกระบวนการเพิ่มบัตรเข้าสู่ Apple Pay นั้นทำได้ง่ายมาก แอปเปิลจะส่งข้อมูลบางอย่างให้ธนาคารเพื่อยืนยัน เช่น หมายเลขโทรศัพท์สี่หลักสุดท้าย, ชนิดโทรศัพท์, และตำแหน่งของผู้ใช้ หากธนาคารไม่แน่ใจก็สามารถโทรถามลูกค้าเพื่อให้ยืนยันว่ากำลังเพิ่มบัตรเข้า Apple Pay จริงหรือไม่ แต่พนักงานของธนาคารไม่ได้รับการฝึกมาดีพอและชุดคำถามก็ง่ายเกินไปจนทำให้อาชญากรตอบคำถามได้โดยง่าย

แก๊งอาชญากรอาศัยช่องทางนี้ใช้ข้อมูลส่วนตัวที่ซื้อขายกันในตลาดมืดมาเพิ่มบัตรเข้าสู่ระบบ Apple Pay แล้วสั่งจ่ายเงิน

แอปเปิลระบุว่าระบบ Apple Pay ปกป้องข้อมูลลูกค้าเป็นอย่างดี แต่กระบวนการยืนยันบัตรเข้าสู่ระบบเป็นกระบวนการของแต่ละธนาคาร และธนาคารเองก็ปรับปรุงระบบอยู่ตลอดเวลา

ที่มา - Wall Street Journal, Drop Labs

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

readonly Thu, 05/03/2015 - 11:42

เห็นด้วยตรงที่ ผู้ร้ายอาศัยช่องโหว่ของธนาคาร

ถ้าถึงขั้นรู้ชื่อ หมายเลข บัตร CCV ไม่ต้อง Apple Pay ก็เอาเงินไปใช้ได้ครับ

อ่านหัวข้อข่าวทีแรกผมนึกว่า Apple Pay ทำข้อมูลบัตรเครดิตลูกค้าหลุดซะอีก ถ้าแบบนี้มันก็เป็นเรื่องที่แต่ละธนาคารต้องจัดการกันไป

lew Thu, 05/03/2015 - 13:22

อันนี้ปัญหาคือมูลค่าความเสียหายขึ้นสูงกว่าปกติ

ผมมองความเป็นไปได้ของปัญหาคือดันตรวจสอบใกล้เคียงซื้อสินค้าออนไลน์ (ที่ธนาคารจะระมัดระวังตัวกว่า เวลามี transaction) แต่ทำตัวเป็นบัตรปกติ ไปรูดตามร้านทั่วไปได้ มูลค่าความเสียหายเลยสูง

GeBaN Thu, 05/03/2015 - 09:53

6% สูงมากเลยนะนั่น กลายเป็นช่องให้ขโมยบัตรง่ายขึ้นไปซะงั้น
ทางแก้ที่คิดออก ถ้าเรื่องตอบคำถามเอามากรองไม่ได้ สู้ให้ลำบากหน่อย
โดยการไปแอดบัตรที่สาขา อาจจะทำให้ปลอดภัยมากกว่าแม้จะยุ่งขึ้นนิดหน่อยก็เถอะ 55

PaPaSEK Thu, 05/03/2015 - 10:32

social engineer คือพระเอกของแฮกเกอร์เสมอมา

Bluetus Thu, 05/03/2015 - 10:42

ผมลองใช้ Apple Pay ที่อเมริกาแล้วครับ ของ Bank of America นะ

ตอนยืนยันการเพิ่มบัตรต้องโทรไปที่ Call Center แล้วตอบคำถามทั้งหมด

  • ชื่อ

  • ที่อยู่แบบเต็ม

  • เลขบัตร 16 ตัว

  • เลขหลังบัตร

และเลข Virtual Card ที่คนมีเครื่องเท่านั้นจะรู้เพราะเป็นรหัสที่สร้างขึ้นมาเฉพาะแต่ละบัตรแต่ละเครื่อง

ซึ่งข้อมูลพวกนี้ต้องตรงกับที่ให้ไว้กับธนาคาร

ถ้าถามว่าจะโกงจริงๆ มันก็โกงได้นะ แต่ก็ไม่ต่างกับบัตรเครดิททั่วไป

ยากกว่าด้วยซ้ำ เพราะบัตรเครดิททั่วไป มีแค่ตัวบัตร + เลขหลังบัตรก็เอาไปรูดซื้อของออนไลน์สบายแล้ว แต่ว่าแต่ละกระบวนการ ของแต่ละธนาคารคงต่างกัน ธนาคารอื่นอาจจะถามน้อยกว่านี้

jinxplay Thu, 05/03/2015 - 11:22

ผมใช้บัตร​เครดิต​ที่ไทย ส่วนใหญ่​จะต้อง​มี OTP มาก่อน ถึงจะ add หรือ​ใช้​ได้​นะ​ครับ​​ (น่าจะใกล้เคียง​กับ​ Virtual​card​ number)

ซึ่งถ้าธนาคาร​ไหนไม่มีของพวกนี้ ผมว่าก็เป็นความรับผิดชอบ​ของ​ธนาคาร​เองส่วนนึง

waroonh Thu, 05/03/2015 - 10:53

ดาต้าที่ขายกัน ให้ไปทำบัตรก๊อบ
มันมีข้อมูลให้ครบหน่ะซิครับ

ชื่อ ที่อยู่ เบอร์หน้าบัตร วันหมดอายุ เลขcvv วงเงิน

ซื้อมือถือด้วยบัตร copy
สมัคร account ผูกกับบัตร copy
Add บัตร copy เข้าเครื่อง

ทุกอย่างตรงกันเป๊ะ
จะได้ บัตร apple ของจริงมาใช้

Bluetus Thu, 05/03/2015 - 10:58

แต่ผมก็สงสัยอยู่นะครับว่ามันต่างจากเอาข้อมูลตรงนี้ไปซื้อของออนไลน์หรือเปล่า

เพราะมันก็ทำได้เหมือนกันแถมง่ายกว่าด้วย

เพิ่มบัตรเครดิทใน Amazon นี่จบภายใน 3 คลิกเลยมั้ง ...

waroonh Thu, 05/03/2015 - 11:09

ผมเคยดู รายการนึง นานมาแล้วช่อง discovery มั้ง
เป็นรายการเกี่ยวกับการโจรกรรม

ขโมยรถ ค้ายา ทำบัตรเครดิตปลอม

พิธีกร กับตากล้อง ต้องไปอยู่ในแก๊งจริงๆ
ก่ออาชญากรรมกับทางแก๊ง จริง
รอเทป หมดอายุความ ถึงเอามาฉายได้

บัตร ต่อให้เป็น chip and pin
ถ้าเจอเครื่องสกีม ไม่รอดครับ
รู้ข้อมูลเท่าธนาคารยัน ทรานเซคชั่นล่าสุดเลยครับ
เหอะๆๆ

time3957 Thu, 05/03/2015 - 12:23

เอาจากที่เคยทำงานมาครับ จริงๆ บัตรเครดิตตัดเงินง่ายมาก ขึ้นอยู่กับระบบบริษัทที่ตัดเงิน ซึ่งผมเคยตัดเงินลูกค้าโดยไม่ต้องมีเลข CCV ด้วยซ้ำ ให้แค่มีเลขบัตรครบหลัก เดือนปีหมดอายุ แค่นั้นเอง อนึ่งเนื่องจากผมออกจากที่ทำงานเดิมมาประมาณ 1 ปีกว่าแล้วอาจจะมีการเปลี่ยน แต่ยืนยันว่าผมมีแค่ข้อมูลแค่นั้นก็ตัดเงินลูกค้าได้เพราะทำทุกวัน เป็นบริษัทเกี่ยวกับเดิมพันครับ

pongkantaphon Thu, 05/03/2015 - 13:01

Issuer ไม่ว่าเจ้าไหนก็อยากได้ CVV2 มาตรวจสอบรายการทั้งนั้นแหละครับ

แต่จะมี MCC บางตัวที่เวลาทำรายการไม่จำเป็นต้องใช้ CVV2 สำหรับรายการ card-not-present ซึ่งถ้าผมจำไม่ผิด gambling นี้ก็เข้าข่ายนี้เช่นกัน ถ้าผมจำไม่ผิดนะ รอคนในแวดวงมายืนยันอีกที

pongkantaphon Thu, 05/03/2015 - 12:48

Apple Pay น่าจะเทียบได้กับบัตรที่สามารถทำธุรกรรมแบบ Contactless หรือเปล่าครับเช่น VISA payWave, MasterCard PayPass

น่าจะเอาอัตรา fraud ของบัตรจำพวก contactless มาเทียบกับ Apple Pay น่าจะยุติธรรมมากกว่า (ถ้าอ้างอิงจาก คห. บนๆ ว่าเครื่อง skimmer สามารถ copy chip emv ได้)

หรือเพราะว่ากระบวนการการใช้ Apple Pay ไม่มี OTP มาช่วยป้องกันอีกที มองในแง่ของการซื้อของออนไลน์ ตอนแรกผมก็นึกว่า Apple Pay ซื้อได้เฉพาะกับ POS terminal ที่เป็นคล้ายๆ contactless นะเนี้ย

lew Thu, 05/03/2015 - 13:00

Skimmer copy EMV ได้นี่ผมไม่เห็นใครพูดนะครับ มีคุณนี่ล่ะคนแรก

ผมตามข่าวมาก็ไม่เคยเห็นรายงาน

pongkantaphon Thu, 05/03/2015 - 13:04

เห็นของคุณ waroonh เค้าพูดไว้ด้านบนน่ะครับ

หรือเค้าหมายถึง copy ทั้ง chip, magnetic แล้วเอาไปทำ fallback อันนี้ ผมอาจจะตีความหมายผิดไป

lew Thu, 05/03/2015 - 13:17

ผมลองหาดูเจอแค่ magstripe clone แล้วเอาไปซื้อสินค้าออนไลน์ ซึ่งสุดท้ายมันก็เหมือนเอาเลขหน้าบัตรไปใช้กับเว็บที่ไม่มีการตรวจสอบ

ประเด็นนี้ผมว่ามันไม่ใช่ช่องโหว่ของ EMV โดยตรงเท่าไหร่ (ถ้าจะอ่านข้อมูลจากชิป ถ่ายรูปหน้าบัตรเอาก็ได้)

waroonh Thu, 05/03/2015 - 14:04

Ok อันนี้ผมโพสทำให้สับสน
ต้องขอโทษด้วยครับ

ปล. อ่าน data บนบัตรเพื่อให้ได้มา
ซึ่งข้อมูลของเจ้าของบัตรครับ

ระบบ แถบแม่เหล็ก ต้องยื่น card ให้ร้านค้า
ทำการรูดแถบบัตร ตัว chip and pin
เค้าจงใจออกแบยป้องกันตรงจุดนี้ แต่ไม่ได้หมายความว่า
ข้อมูลบนบัตรจะไม่รั่วออกไปครับ

Wang_Peter Thu, 05/03/2015 - 14:20

ประเด็นนี้ไม่น่าจะเกี่ยวกับ บัตร Chip ไม่ Chip หรือ Apple ปล่อยข้อมูลหลุด จากหลายๆ ความเห็น
ประเด็นคือ "โจรขโมยข้อมูลบัตรตามปกตินี่แหละ" แต่เอามาผูกบัญชีกับ Apple Pay เพื่อไปใช้ซื้อของ
ไม่ต่างกับโดนขโมยบัตรแล้ว โจรรีบไปรูดซื้อทอง ซื้อนาฬิกาแพงๆ หรือ เอาไปซื้อของ On-line

แต่กระบวนการการพิสูจน์ตัวตน (Know Your Customer, KYC) ของเจ้าหน้าที่แบงก์ Verify ลูกค้าแบบหละหลวมมาก (ตามข่าว)

วิธีการซื้อของ Online นั้น ปกติ ธนาคารผู้ออกบัตร (Issuer Bank) และ ธนาคารผู้ให้บริการรับบัตร (Acquiring Bank) ที่ให้บริการ Payment Gateway จะต้องมีระบบ 3D Secure รวมถึงร้านค้า e-commerce ที่ได้มาตรฐานจะใช้มาตรฐานนี้ในการรับชำระค่าสินค้าหรือบริการ เพื่อป้องกันการโกง
สำหรับ Apple, Google นั้นจะทำการทดลองตัดเงิน เป็นจำนวนที่ต่ำมาก แล้ว คืนเงิน เข้าบัญชี เช่นเดียวกับ PayPal เพื่อตรวจสอบว่าบัตรใบนั้นสามารถตัดเงินได้จริง
โดยไม่ยืนยันตัวตนลูกค้าแต่อย่างใด แม้กระทั่งส่ง OTP ตามขั้นตอน 3D Secure
เพราะขั้นตอนดังกล่าว ลูกค้าต้องให้เบอร์โทรศัพท์กับธนาคารไว้เพื่อส่ง OTP
Apple, Google ต้องการให้ประสบการณ์การผูกบัตรเพื่อทำการซื้อ ง่าย จึงปล่อยผ่าน ขั้นตอนนี้
เชื่อว่าถ้ายังไม่ปรับเปลี่ยนวิธีการ Verify ลูกค้าที่ดีกว่านี้ รับรองเลยว่าอัตราการโกงจะสูงขึ้นเรื่อยๆ

GeBaN Fri, 06/03/2015 - 11:32

ไปมาๆ ผมว่าที่รั่วเพราะตอนเพิ่มบัตร ใช้ข้อมูลมากกว่าซื้อของ Online เล็กน้อย
แต่พอเพิ่มได้ก็ไม่มีตรวจอะไรเพิ่มเติมเท่าไหร เลยกลายเป็นช่องให้โจรพยายามเพิ่มบัตรผ่านระบบนี้แทน
เพราะเพิ่มได้ก็ใช้ได้เต็มที่โดยธนาคารไม่มาตรวจสอบเพิ่มเติม