Tags:
Node Thumbnail

บริษัทวิจัยความปลอดภัย Cyber R&D Labs รายงานถึงช่องโหว่จากการตรวจสอบบัตรเครดิตของสถาบันการเงินหลายแห่ง เปิดทางให้แฮกเกอร์สามารถสร้างสำเนาบัตรได้แม้จะเป็นบัตรชิปก็ตาม

บัตรแม่เหล็กนั้นมีข้อมูลทั้งหมดของตัวบัตรอยู่ในแถบแม่เหล็กรวมถึงตัวเลขยืนยันบัตร CVV ที่ไม่ได้พิมพ์อยู่บนตัวบัตร ขณะที่บัตรชิปนั้นจะเป็นตัวเลข iCVV ที่ควรจะเป็นคนละเลขกับในบัตรแม่เหล็ก แต่ Cyber R&D Labs สาธิตให้เห็นว่าหลายธนาคารไม่ได้ตรวจสอบตัวเลขนี้จริง โดยทีมงานสามารถนำเลข iCVV กลับไปสร้างบัตรแม่เหล็ก แล้วรูดจ่ายเงินสำเร็จได้

เมื่อเดือนเมษายนที่ผ่านมา Visa ออกรายงานระบุว่ามัลแวร์แวร์ที่มุ่งโจมตีจุดรับชำระ (แคชเชียร์, Point-of-Sale/POS) เริ่มถูกโจมตีด้วยมัลแวร์ตระกูลใหม่ๆ ที่มุ่งเป้าไปยัง POS ที่รับชำระด้วยบัตรชิป แสดงความเป็นไปได้ว่าแฮกเกอร์เริ่มใช้ช่องโหว่นี้ในการโจมตีธนาคารบ้างแล้ว โดยประกาศของ Visa ไม่ได้ยอมรับโดยตรงแต่ระบุว่า หากธนาคารตรวจสอบเลข iCVV อย่างถูกต้องความเสี่ยงก็จะต่ำมาก

ที่มา - ZDNet, Krebs on Security

No Description

ภาพโดย AhmadArdity

Get latest news from Blognone

Comments

By: A4
iPhoneAndroidRed HatSUSE
on 3 August 2020 - 02:20 #1169717
A4's picture

ชุ่ยจริงๆ

By: Wang_Peter
iPhoneAndroid
on 3 August 2020 - 08:56 #1169737
Wang_Peter's picture

ไม่น่าจะเป็นไปได้ เพราะบัตรที่เป็น Chip นั้น
1 จะมีการแลกเปลี่ยน key ทุกครั้งที่ทำรายการ
2 และถ้าเอาบัตร Chip ไปทำเป็นบัตรแถบแม่เหล็ก แล้วมาทำรายการรูดบนเครื่อง
เครื่องจะ detect ได้ว่า บัตรนี้เป็นบัตร Chip และ จะบอกให้เสียบ Chip แทนการรูด
*เว้นซะว่าเอาบัตรไปใช้ในประเทศที่ยังไม่ได้อัพเดทเป็น EMV

By: Bigkung
iPhoneWindows Phone
on 3 August 2020 - 09:00 #1169738 Reply to:1169737
Bigkung's picture

*เว้นซะว่าเอาบัตรไปใช้ในประเทศที่ยังไม่ได้อัพเดทเป็น EMV <<< ปกติก็แบบนี้แหล่ะครับ ไม่ใช่เงินเขาเขายอมเสียแพงขึ้นกับการใช้ในประเทศที่ไม่มี EMV ก็ได้

By: lew
FounderJusci&#039;s WriterMEconomicsAndroid
on 3 August 2020 - 10:46 #1169758 Reply to:1169737
lew's picture

"เครื่องจะ detect" นี่น่าจะหมายถึง issuer bank เป็นคนตรวจเจอใช่ไหมครับ เพราะในรายงานก็บอกไว้ ว่าธนาคารส่วนใหญ่ (7 จาก 11) ตรวจแล้ว reject ถูกต้อง แต่มีธนาคารส่วนหนึ่งไม่ตรวจ

อันนี้ต้องตั้งคำถามกับ Visa ว่าก่อนให้ธนาคาร issuer ออกบัตร มีการ validate กระบวนการพวกนี้หนาแน่นขนาดไหน ธนาคารตรวจไม่ครบแบบนี้ออกบัตรได้จริงหรือเปล่า


lewcpe.com, @public_lewcpe

By: Wang_Peter
iPhoneAndroid
on 3 August 2020 - 11:44 #1169772 Reply to:1169758
Wang_Peter's picture

ปกติบัตรชิพ จะมี profile .นแถบแม่เหล็กระบุว่าเป็นชิพครับ
เมื่อเอาบัตรไป Swipe เครื่องจะอ่านเจอ แล้วมีข้อความบนหน้าจอ ให้ไปเสียบบัตรครับ

By: hisoft
ContributorWindows PhoneWindows
on 3 August 2020 - 13:20 #1169793 Reply to:1169772
hisoft's picture

มี profile บนแถบแม่เหล็กระบุว่าเป็นชิปนี่คือสามารถแก้ไขเองได้ใช่ไหมครับ?
และข่าวนี้เองก็ไม่ได้สำเนาแถบแม่เหล็กไปข้อมูลที่ว่าก็ไม่น่าจะถูกสำเนาไปด้วยนะครับ

By: lew
FounderJusci&#039;s WriterMEconomicsAndroid
on 3 August 2020 - 13:32 #1169794 Reply to:1169772
lew's picture

ผมว่ามีอสองประเด็น 1) แฮกเกอร์แก้ profile นั้นได้เอง เพราะข้อมูลมันก็ไม่ได้เข้ารหัสอะไร ยังไงก็เขียนได้ ถ้า terminal/issuer ไม่ตรวจก็เสร็จอยู่ดี 2) ผมเข้าใจว่าในตัวอย่างของ Cyber R&D (หน้า 19) เป็นบัตรที่มีแถบแม่เหล็กเอาไว้ fall back อยู่แล้วนะครับ เขาลองอ่านตัวอย่างจากแถบแม่เหล็กออกมาด้วย ดังนั้น profile น่าจะเปิดให้ใช้แม่เหล็กได้อยู่แล้ว (แต่ถ้าบอกว่าบัตรมีชิป terminal ก็ไม่ควรรับอยู่ดี?) แต่สร้างแถบแม่เหล็กจากชิปได้


lewcpe.com, @public_lewcpe

By: niruvana
iPhoneWindows PhoneAndroidRed Hat
on 3 August 2020 - 10:52 #1169762 Reply to:1169737

ข้อ2 ถ้าเสียบบัตรด้านที่ไม่มีชิปเข้าไป บางเครื่องก็จะให้ fallback to swipe ได้ครับ

By: nant
ContributorWindows PhoneRed HatUbuntu
on 3 August 2020 - 11:02 #1169763 Reply to:1169737

ข้อ 2 ไม่ valid เพราะถ้าก๊อบออกมาได้ก็มาสร้างบัตรที่เครื่องตรวจเจอไม่ได้ว่าเป็นบัตรชิฟ

By: Wang_Peter
iPhoneAndroid
on 3 August 2020 - 11:51 #1169775 Reply to:1169763
Wang_Peter's picture

ข้อมูลบัตรในแถบแม่เหล็ก มีหลายอย่างซึ่งสัมพันธ์กัน และถ้าจะ copy ก็ต้องเอาไปทั้งหมด
1 ในข้อมูลนั้นคือ card profile mีระบุว่า บัตร BIN นี้ เป็นบัตร chip
ดังนั้นถ้าเอาไป swipe บนเครื่องธนาคารที่เป็นบัตร Chip มันจะอ่านเจอ
บางประเทศ VISA, Mastercard mandate EMV chip 100% บัตรพวกนี้ไปก็ยิ่งใช้ไม่ได้
และข้อ 2 คือกรณีที่ไปเจอเครื่องที่ยัง allow ให้บัตรแถบแม่เหล็กใช้ได้
แต่เมื่อมี fraud เกิดขึ้นก็ต้องมา investigate ระหว่าง Issuer , Acquirer ว่า ทำไมเครื่องถึงยอมให้ทำ ทั้งๆที่เป็นบัตรดั้งเดิมเป็นชิพ แต่เครื่องดันยอมรับบัตรแถบแม่เหล็กที่ copy บัตรชิพมา

By: psks
Windows Phone
on 3 August 2020 - 09:58 #1169748
psks's picture

วันก่อนใช้บัตรเครดิตจ่ายบิลโทรศัพท์ผ่านแอปค่ายเขียว ครั้งแรกใส่ cvv ผิดแต่เข้าหน้า otp ได้ ทีนี้ลองใส่มั่วๆ เข้าหน้า otp ได้เฉย ลองจ่ายเงินก็ได้อีก -*- สรุปเค้าตรวจไหมนั่น

By: Nolim
AndroidWindows
on 3 August 2020 - 10:46 #1169759 Reply to:1169748

CVV นี่บางเวบก็ไม่ตรวจครับ ส่วน OTP จริงๆก็เป็น 2 factor authentication ที่ไม่ได้ดีมาก ถ้าเทียบกับ token อื่นๆ

By: 21Aki
ContributorAndroidWindows
on 3 August 2020 - 11:40 #1169771 Reply to:1169748
21Aki's picture

ไม่น่าเป็นไปได้นะครับ ถ้าเป็นบัตรเครดิต ผมใส่รหัสผิด ลองตัดบัตรดู CCV ไม่ตรง แต่ OTP ถูก ระบบจะขึ้นเองครับว่า ตัดบัตรไม่ผ่าน

By: psks
Windows Phone
on 3 August 2020 - 13:47 #1169795 Reply to:1169771
psks's picture

แต่เป็นไปแล้วครับ ว่าจะโทรหา cc อยู่
ตอนแรกคิดว่าใช้บัตรเดบิต ของธนาคาร T* จ่าย เป็นบัตรเดบิต ทีนี้ลองเอาบัตรเครดิตธนาคาร KT* จ่าย
ปรากฏว่าได้เหมือนกัน สรุปเป็นที่ A** ไม่ตรวจสอบรึเปล่า

By: heem
iPhoneRed HatUbuntu
on 3 August 2020 - 13:45 #1169799 Reply to:1169771
heem's picture

ที่ผมเคยเจอก็เป็นแบบนี้นะครับ ใส่ CVV ไม่ถูก ใส่ OTP ถูก ระบบตัดบัตรไม่ผ่าน

By: deaknaew on 3 August 2020 - 15:18 #1169811 Reply to:1169771

น่าจะขึ้นอยู่ว่า เช็คอะไรบ้าง
เคยเจอ หักเว็บนอก ชื่อ(ชื่อต้น) ไม่ตรงก็ reject
บางเว็บโดน reject ดื้อๆ หลังใส่ถูกหมดด้วย
ไม่รู้ทำไม น่าจะ bug
แต่ mastercard ใช้ได้ปกติ

แล้วการเช็คน่าจะมีเกณฑ์การรับผิดชอบ อยู่ด้วยมั้ง
เช็คไม่ครบ ร้านรับผิดชอบปัญหา
อย่างเดี๋ยวนี้ บางปั๊มน้ำมันก็ไม่ต้องกด รหัสผ่านด้วย

By: geravet
iPhoneAndroidSymbianWindows
on 3 August 2020 - 12:13 #1169780 Reply to:1169748

บางเว็บเคยจ่ายแล้วนี้ไม่ถามอะไรสักอย่างเลยครับ กดจ่ายเงินเสร็จตอนไหนยังงงอยู่เลย ไอเราก็หยิบมือถือขึ้นมารอรับ otp แล้วก็งงเอะนี้ทำไมจ่ายเร็วจัง

By: pongmile
ContributorAndroidSymbianWindows
on 3 August 2020 - 13:44 #1169798 Reply to:1169780
pongmile's picture

amazon เลยครับ เลขหน้าบัตร + วันหมดอายุ ก็ซื้อได้แล้ว


My facebook จิ้มๆ

By: Bigkung
iPhoneWindows Phone
on 3 August 2020 - 16:12 #1169822 Reply to:1169780
Bigkung's picture

พวกเว็บที่ไม่ถามเขายอมเสี่ยง เพื่อความสะดวกรวดเร็วของผู้ใช้ครับ เวลามีปัญหาร้านจะผิด 100%

By: ravipon
iPhoneWindows
on 3 August 2020 - 12:40 #1169786 Reply to:1169748
ravipon's picture

เว็บปลาทองใส่ CVV ผิด CC ธนาคารโทรมาหาเลยครับ