วันนี้ทางธนาคารแห่งประเทศไทยได้ออกมาชี้แจงเหตุการณ์ผู้ใช้จำนวนมากถูกตัดเงินออกจากบัญชีหรือถูกสั่งจ่ายบัตรเครดิตเป็นการ "สุ่มข้อมูลบัตร" โดยไม่ได้ให้ข้อมูลเพิ่มเติมว่าเป็นการสุ่มข้อมูลใดบ้าง (เฉพาะ CVV, ข้อมูลอื่นๆ, หรือเลขบัตร 16 หลักด้วย) อย่างไรก็ดีการโจมตีแบบสุ่มเลขบัตรนี้มีนานแล้ว และทาง Visa ก็ได้ออกรายงานแจ้งเตือนผู้เกี่ยวข้องเมื่อเดือนสิงหาคมที่ผ่านมา
รายงานของ Visa ระบุถึงการโจมตีที่มาเป็นคู่กัน คือ enumeration attacks หรือการสุ่มเลข และ account testing ที่คนร้ายจะทดสอบตัดเงินยอดเล็กๆ เพื่อไม่ให้เป็นที่สงสัยก่อน หากเลขบัตรใดตัดเงินผ่านก็จะเก็บเอาไว้เพื่อนำข้อมูลไปขายหรือโจมตีรุนแรงภายหลัง
ภาพโดย flyerwerk
กระบวนการสุ่มเลขนี้คนร้ายจะอาศัยการกรอกเลขเข้าไปยังร้านค้าอีคอมเมิร์ชยอดนิยม เนื่องจากร้านค้าเหล่านี้มีการส่งข้อความขอจ่ายเงินจำนวนสูงมาก จากนั้นคนร้ายจะยิงหมายเลขประจำธนาคาร (BIN), หมายเลขบัตร (PAN), วันหมดอายุ, หมายเลขยืนยัน (CVV), รวมถึงรหัสไปรษณีย์ของผู้ใช้ แล้วปล่อยให้ธนาคารผู้ออกบัตรปฎิเสธการจ่ายเงินไปเรื่อยๆ จนกว่าจะมีข้อมูลสักชุดที่จ่ายเงินสำเร็จ
การโจมตีที่ต้องอาศัยการยิงข้อความขอจ่ายเงินจำนวนมากเช่นนี้ต้องอาศัยระบบระบบฝั่งผู้ค้าที่หละหลวม Visa พบว่า payment gateway หรือ shopping cart provider บางรายเข้าข่ายถูกโจมตีมากเป็นพิเศษ และผู้ให้บริการเหล่านี้มักได้รับความนิยมกับผู้ค้าบางกลุ่ม เช่นช่วงต้นปีที่ผ่านมา Visa พบอัตราการยิงทดสอบเลขบัตรเช่นนี้จากกลุ่มร้านขายยา, มหาวิทยาลัย, ร้านค้าปลีก, และสนามกอล์ฟ โดยทาง Visa จะแจ้งเตือนผู้เกี่ยวข้องเป็นระยะถึงแนวโน้มที่ถูกโจมตี
เอกสารของ Visa แนะนำผู้เกี่ยวข้องกับการรับจ่ายเงินผ่านบัตรทั้งหมดให้เสริมความปลอดภัย เพื่อลดการโจมตีแบบเดาเลขบัตรเช่นนี้ ร้านอีคอมเมิร์ชทั้งหลายควรป้องกันตัวเองด้วยการเปิด CAPTCHA ป้องกันบอตยิงเลข, ตรวจสอบการยิงเลขบัตรซ้ำๆ จากธนาคารเดียว, การยิงเลขวิ่ง (sequential PAN), การจ่ายเงินข้ามประเทศ, และการจ่ายเงินจำนวนเท่าๆ กันซ้ำๆ สำหรับธนาคารผู้ออกบัตรนั้น Visa แนะนำให้ธนาคารผู้ออกบัตรไม่ให้ออกบัตรที่หมายเลขบัตรเรียงกัน (sequential PAN) หรือออกบัตรที่วันหมดอายุตรงกันเป็นชุดๆ รวมถึงตรวจสอบเหตุการณ์ที่การตรวจสอบหมายเลข CVV ผิดพลาดสูงผิดปกติ
ที่มา - Visa Guidance to Guard Against Enumeration Attacks and Account Testing Schemes
Comments
สรุปคือไม่ได้หลุดที่ฝั่งเราจริงๆ สินะครับ
อันนี้ต้องย้ำว่าของเรานี่ "ไม่รู้" ครับ แบงค์ชาติบอกข้อมูลน้อยมาก ถ้าคนร้ายสุ่มแค่ CVV ก็แปลว่ามีข้อมูลอื่นรั่ว แต่ถ้าที่ Visa เตือนนี่คือไม่ต้องมีอะไรรั่วเลย
lewcpe.com, @wasonliw
ดูข่าวทีวีเห็นชื่อ บริการรับชำระเงินของร้านค้าอีคอมเมิร์ชยอดนิยม ในสลิปในข่าวเล่นเอาหลอนเลย ซื้อของออนไลน์เจ้านี้บ่อยด้วย ดีนะยังไม่เปิดใช้บริการรับชำระเงินของค่ายนั้น ตื้อมาหลายเดือนล่ะ
เอาจริงๆ สุ่มเลขแล้วตัดบัตรได้ ถ้ามันง่ายแบบนั้นจริงๆ ไม่โดนกับฉิบหายกันหมดแล้วเหรอ
เอาจริงๆ น่าจะโดนวงกว้างและทั่วโลก ทำไมเพิ่งเจอ แถมในไทยซะส่วนใหญ่
รายงานของ Visa ออกมาเดือนสิงหา (12 สิงหาที่ผ่านมา) และอ้างอิงถึงกรณีตั้งแต่ต้นปี
น่าจะเกิดขึ้นเรื่อยๆ นะ แต่ใหญ่แค่ไหนบ้านเราหนักเป็นพิเศษไหม นี่เขาไม่เปิดเผย
ส่วนว่าใครโดน รายงานของ Visa เองก็มีมาตรการลดความเสี่ยงอยู่ครับ แนะนำธนาคารเรียบร้อยว่าควร monitor อะไรบ้าง ธนาคารออกบัตรควรตอบกลับธนาคารรับบัตรอย่างไรเพื่อช่วยกันลดความเสี่ยง ไปจนถึงกระบวนการออกเลขบัตร ซึ่งถ้าธนาคารไม่ทำตาม ก็เละแน่ๆ (แต่เราไม่รู้ว่าธนาคารไทยทำตามครบไหม อาจจะครบแล้วเจอแก๊งเทพ หรือแม้จะกระทั่งเจอเคสข้อมูลหลุดบางส่วน ฯลฯ อันนี้ได้แต่เดาถ้ายังไม่มีข้อมูลเพิ่มเติม)
lewcpe.com, @wasonliw
ประเด็นน่าสนใจคือทำไมถึงออกเป็นคำแนะนำ แทนที่จะเป็นบังคับไปเลย หรือว่า risk มันยังต่ำเลยไม่คิดจะบังคับใช้
risk สูงแต่ธุรกิจใหญ่ไม่เอาด้วย บริษัทพวกนี้ก็ทนได้
สมัยบัตรแม่เหล็กโดยก็อปบัตรกันมหาศาล กว่าจะยอมบังคับให้เปลี่ยนก็หลายปี
lewcpe.com, @wasonliw
ความชิพหายของวงการการเงิน เดี๋ยวจะมีการเรียกร้องเอา บัตร ATM ธรรมดากลับมาแน่ๆ ไม่ก็ต้องเปิดบัญชีแบบไม่มีบัตรได้
ขำครับ ในความเป็นจริง ใส่เลขผิดครบ 3 - 5 ครั้ง ระบบก็ล็อคแล้ว
ถ้ามันสุ่มได้จริง แล้วมันเอาไปยืนยันกับ service ตัวไหนจึงรู้ว่าถูกหรือผิด นั่นก็แสดงว่า service มีช่องโหว่แล้ว แต่ดันผลักภาระให้ผู้ใช้บริการ
แล้วก็ต้องสุ่มเดือนปีหมดอายุด้วยน่ะสิครับ โอกาสมันก็ยากขึ้นหรือเปล่า
หรือว่าวันหมดอายุของบัตรเดบิตมันจะเหมือนกันยก lot
ถ้าปลอดภัยสุดก็ KTC ครับ ถ้าพยายามตัดบัตรด้วยเดือนปีหมดอายุ หรือ CVV ที่ผิด จะมีแจ้งเตือนมาในแอพ KTC Mobile เลย
รู้สึกว่าถ้าผิดอย่างใดอย่างหนึ่ง 3 ครั้ง บัตรจะถูกระงับชั่วคราวเลยครับ
กรณีที่แย่ที่สุดคือธนาคารผู้ออกบัตรก็ไม่ได้สุ่มเลขบัตร เลขบัตรเรียงกันเป็นพรืด รู้สักเลขคือรู้เลยว่าเลขใกล้ๆ กันหมดอายุพร้อมกัน ในเอกสารของ Visa นี้ "ขอ" ให้ธนาคารอย่าทำแบบนี้ แต่ไม่บังคับ ไม่มีใครรู้ว่าธนาคารไหนทำยังไงบ้าง
รู้เลขบัตรสักเลข ไปทำบัตรเองสักสองใบเช็คว่าเลขวิ่งไหม จะรู้เลขบัตรอื่นๆ หมด ไม่รู้แค่ CVV ยิงเลข CVV เป็น 555 ไปพันใบ ก็ได้เหยื่อที่ใช้งานได้ใบนึง ยิง CVV สามเลข ต่อหนึ่งเลขบัตร ยิง 300 เลขบัตร ได้เหยื่อหนึ่งใบ
lewcpe.com, @wasonliw
ก็ไม่รู้สินะ...
การสุ่มเลขนี่มันเป็นการโจมตีพื้นฐานมากเลยนะ ขนาดตอนเด็กผมยังสุ่มบัตรเติมเงินเกมเลย (ถึงจะไม่เคยได้เลยก็เถอะ)
จะบอกว่าทุกธนาคารในไทยไม่มีมาตรการป้องกันอะไรพวกนี้หรือไม่แม้แต่มีกระบวนการตรวจสอบเลยเหรอ? และเหมือนว่าเหตุจะไม่ได้เกิดวันที่เป็นข่าวแต่เกิดตั้งแต่ต้นเดือนแล้วด้วยนะ จนถึงวันที่เป็นข่าวไม่มีธนาคารรู้ตัวเลยเหรอว่ามีการโจมตีแบบนี้เกิดขึ้น?
ผมไม่รู้ขั้นตอนการทำงานของธนาคารนะ แต่ในมุมมองของผู้ใช้อย่างผมคือ เรื่องมันเกิดเป็นสัปดาห์จนพอเป็นข่าวใหญ่โตแล้วธนาคารถึงค่อยขยับตัวอะ (แต่ถ้าใครทราบระเบียบภายในและเข้าใจว่าทำไมก็อยากให้แชร์หน่อยครับ)
การที่ผู้ใช้ด้วยกันทราบว่ามีการโจมตีแบบนี้เกิดขึ้นจากกลุ่มผู้ใช้ด้วยกันก่อนทราบจากธนาคาร... ผมว่ามันไม่ใช่นะ
lewcpe.com, @wasonliw
ฝั่งผู้ใช้งานคงได้แต่ Monitor แล้วรีบแจ้งธนาคาร
ถ้าตามนี้จริงก็เป็นไปได้นะ เพราะเห็นคนที่โดนหลายคนก็บอกว่ามียอดตัดเล็ก ๆ ก่อนหน้าประมาณเดือนนึง ก่อนที่จะโดนหนัก ๆ พร้อมกันหลายคน
ข้อมูลที่ใช้จริงมีแต่ตัวเลข เลยสุ่มได้ไม่ยาก ถ้าเอาชื่อบนบัตรไปเช็คด้วยน่าจะปลอดภัยขึ้นมากๆ
มันชัดเจนตรงนี้...
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
ซ่อนใบไม้ในป่าครับ พวก e-commerce ใหญ่ๆ มีคนกรอกบัตรเครดิตผิดทุกวินาทีอยู่แล้ว แทรกเข้าไปวินาทีละครั้งไม่มีใครเห็น
lewcpe.com, @wasonliw