TECH
ช่องโหว่กับการ “จ่ายเงินออนไลน์ด้วยบัตรเครดิต” จากการเดาเลข CVV หลังบัตร
By: myfifthday December 8, 2016 48743
ช่องโหว่กับการ “จ่ายเงินออนไลน์ด้วยบัตรเครดิต” จากการเดาเลข CVV หลังบัตร
By: myfifthday December 8, 2016
ตอนนี้แทบจะทุกคนที่สามารถเข้าถึงอินเตอร์เน็ทได้ต้องรู้จักหรือเคยทำธุรกรรมเกี่ยวกับการเงินผ่านทางออนไลน์กัน ไม่ว่าจะเป็นการเลือกชื้อสินค้า จ่ายค่าน้ำค่าไฟผ่านบนเว็บ หรือตัวแอพพลิเคชั่นต่างๆ และตัดเงินผ่านพวกบัตรเครดิต
แน่นอนว่าเหตุผลหลักที่คนส่วนใหญ่เลือกใช้ก็เพราะความสะดวกสบายในการจับจ่ายสินค้าและชำระเงินที่ง่ายดายแบบปอกกล้วย แทบจะไม่ต้องเดินทางออกไปถึงสถานที่รับชำระเงินเหมือนแต่ก่อน ทำให้จำนวนการใช้เงินในตลาดออนไลน์พุ่งทะยานขึ้นสูงอย่างต่อเนื่อง โดยที่เราไม่ทันสังเกตด้วยซ้ำว่า ความสะดวกพวกนี้มากับความเสี่ยงที่พร้อมจะคุกคามความปลอดภัยของเราโดยไม่รู้ตัว
เนื่องด้วยล่าสุดทีมนักวิจัยด้านความปลอดภัยระดับโลกจาก Newcastle University ได้เปิดเผยวิธีการ hack บัตรเครดิตออนไลน์ โดยสิ่งที่ hanker ต้องการคือข้อมูลหน้าบัตรเพียงอย่างเดียว ก็สามารถ “สุ่มเดา” เลข CVV 3 ตัวหลังบัตรได้แล้ว โดยอาศัยจุดอ่อนในระบบของบัตรเครดิต
โดยหลักการเดาเลข CVV นั้นง่ายมากจนเราไม่คาดคิด ด้วยการใช้วิธี Brute Force คือเดาเลขไปเรื่อยๆ จนกว่าจะเดาถูก (เลข 3 หลักคือ 1,000 ครั้ง) ช่องโหว่เกิดจากการที่บัตรเครดิตมีระบบป้องกันการเดารหัส CVV โดยจำกัดจำนวนครั้งในการใส่ข้อมูลอยู่ที่ประมาณ 10-20 ครั้งต่อเว็บไซต์ แต่กลับไม่มีระบบตรวจนับการเดาเลข CVV จากหลายเว็บพร้อมๆ กัน ดังนั้นเราจึงสามารถแบ่งชุดของรหัส CVV ไปลองป้อนใส่กับเว็บไซต์หลายแห่งได้ไม่ยากและไม่จำกัดอีกด้วย
และสำหรับใครที่คิดว่าถ้าไม่รู้ข้อมูลหน้าบัตร เช่น หมายเลขบัตร วันหมดอายุ ก็คงไม่เป็นอะไร แต่จริงๆ แล้วในกรณีนี้เหล่าแฮ็กเกอร์สามารถเดาข้อมูลได้ไปเรื่อยๆ ด้วยการใช้เทคนิคเดียวกัน แค่เพียงต้องใช้จำนวนครั้งและเวลาในการคาดเดามากขึ้นนั่นเอง โดยเหล่าทีมวิจัยได้ลองสร้างซอฟต์แวร์ที่ช่วยกระจายการคาดเดาไปยังเว็บไซต์ต่างๆ (Distributed Guessing Attack) ในกรณีที่รู้ข้อมูลหน้าบัตรและต้องการเลข CVV ถ้าดูจากในวิดีโอด้านล่างจะเห็นได้เลยว่าตัวซอฟต์แวร์ใช้เวลาในการหาเลข CVV แค่เพียง 6 วินาทีเท่านั้น
แค่นี้ก็เรียกว่าเสียวสันหลังจนไม่กล้าใช้กันเลยก็ว่าได้ ไม่รู้จะมีอะไรไม่ปลอดภัยอีกไหม ทาง UNLOCKMEN ก็ขอแนะนำว่าให้คุณรู้จักสังเกต ป้องกันข้อมูลและความเป็นส่วนตัวให้มากที่สุดเท่าที่จะทำได้ เพราะไม่ว่าใครก็คงไม่อยากให้เกิดกับตัวเองทั้งนั้น และถ้าจำเป็นต้องใช้บัตรจ่ายเงินออนไลน์ ก็แนะนำให้ใช้การส่งระบบ OTP และซ้ำอีกครั้งด้วย 2-Step Verification เข้า E-mail หรือ SMS เข้ามือถือ ทุกการจับจ่ายออนไลน์ผ่านบัตร และที่สำคัญคือดูตัวเว็บไซต์ก่อนกรอกข้อมูลว่าน่าเชื่อถือไหม แนะนำให้ google หาข้อมูลว่าเว็บที่เราเข้าอยู่นั้นปลอดภัยหรือไม่ มีประวัติหลอกคนอื่นมาหรือเปล่า หรือมีความเสี่ยงที่จะเป็นเว็บหลอก (Web phishing) เพื่อหลีกเลี่ยงทุกความเสี่ยงที่อาจก่อให้เกิดปัญหาภายหลังได้
