พบบัตรเครดิตหลายธนาคารสามารถสำเนาได้แม้เป็นบัตรชิป, Visa พบแฮกเกอร์เริ่มมุ่งเป้าแคช์เชียร์รับบัตรชิป
บริษัทวิจัยความปลอดภัย Cyber R&D Labs รายงานถึงช่องโหว่จากการตรวจสอบบัตรเครดิตของสถาบันการเงินหลายแห่ง เปิดทางให้แฮกเกอร์สามารถสร้างสำเนาบัตรได้แม้จะเป็นบัตรชิปก็ตาม
บัตรแม่เหล็กนั้นมีข้อมูลทั้งหมดของตัวบัตรอยู่ในแถบแม่เหล็กรวมถึงตัวเลขยืนยันบัตร CVV ที่ไม่ได้พิมพ์อยู่บนตัวบัตร ขณะที่บัตรชิปนั้นจะเป็นตัวเลข iCVV ที่ควรจะเป็นคนละเลขกับในบัตรแม่เหล็ก แต่ Cyber R&D Labs สาธิตให้เห็นว่าหลายธนาคารไม่ได้ตรวจสอบตัวเลขนี้จริง โดยทีมงานสามารถนำเลข iCVV กลับไปสร้างบัตรแม่เหล็ก แล้วรูดจ่ายเงินสำเร็จได้
เมื่อเดือนเมษายนที่ผ่านมา Visa ออกรายงาน ระบุว่ามัลแวร์แวร์ที่มุ่งโจมตีจุดรับชำระ (แคชเชียร์, Point-of-Sale/POS) เริ่มถูกโจมตีด้วยมัลแวร์ตระกูลใหม่ๆ ที่มุ่งเป้าไปยัง POS ที่รับชำระด้วยบัตรชิป แสดงความเป็นไปได้ว่าแฮกเกอร์เริ่มใช้ช่องโหว่นี้ในการโจมตีธนาคารบ้างแล้ว โดยประกาศของ Visa ไม่ได้ยอมรับโดยตรงแต่ระบุว่า หากธนาคารตรวจสอบเลข iCVV อย่างถูกต้องความเสี่ยงก็จะต่ำมาก
ที่มา - ZDNet , Krebs on Security
ภาพโดย AhmadArdity
Comments
ชุ่ยจริงๆ
ไม่น่าจะเป็นไปได้ เพราะบัตรที่เป็น Chip นั้น
1 จะมีการแลกเปลี่ยน key ทุกครั้งที่ทำรายการ
2 และถ้าเอาบัตร Chip ไปทำเป็นบัตรแถบแม่เหล็ก แล้วมาทำรายการรูดบนเครื่อง
เครื่องจะ detect ได้ว่า บัตรนี้เป็นบัตร Chip และ จะบอกให้เสียบ Chip แทนการรูด
*เว้นซะว่าเอาบัตรไปใช้ในประเทศที่ยังไม่ได้อัพเดทเป็น EMV
*เว้นซะว่าเอาบัตรไปใช้ในประเทศที่ยังไม่ได้อัพเดทเป็น EMV <<< ปกติก็แบบนี้แหล่ะครับ ไม่ใช่เงินเขาเขายอมเสียแพงขึ้นกับการใช้ในประเทศที่ไม่มี EMV ก็ได้
"เครื่องจะ detect" นี่น่าจะหมายถึง issuer bank เป็นคนตรวจเจอใช่ไหมครับ เพราะในรายงานก็บอกไว้ ว่าธนาคารส่วนใหญ่ (7 จาก 11) ตรวจแล้ว reject ถูกต้อง แต่มีธนาคารส่วนหนึ่งไม่ตรวจ
อันนี้ต้องตั้งคำถามกับ Visa ว่าก่อนให้ธนาคาร issuer ออกบัตร มีการ validate กระบวนการพวกนี้หนาแน่นขนาดไหน ธนาคารตรวจไม่ครบแบบนี้ออกบัตรได้จริงหรือเปล่า
lewcpe.com , @wasonliw
ปกติบัตรชิพ จะมี profile .นแถบแม่เหล็กระบุว่าเป็นชิพครับเมื่อเอาบัตรไป Swipe เครื่องจะอ่านเจอ แล้วมีข้อความบนหน้าจอ ให้ไปเสียบบัตรครับ
มี profile บนแถบแม่เหล็กระบุว่าเป็นชิปนี่คือสามารถแก้ไขเองได้ใช่ไหมครับ?และข่าวนี้เองก็ไม่ได้สำเนาแถบแม่เหล็กไปข้อมูลที่ว่าก็ไม่น่าจะถูกสำเนาไปด้วยนะครับ
ผมว่ามีอสองประเด็น 1) แฮกเกอร์แก้ profile นั้นได้เอง เพราะข้อมูลมันก็ไม่ได้เข้ารหัสอะไร ยังไงก็เขียนได้ ถ้า terminal/issuer ไม่ตรวจก็เสร็จอยู่ดี 2) ผมเข้าใจว่าในตัวอย่างของ Cyber R&D (หน้า 19) เป็นบัตรที่มีแถบแม่เหล็กเอาไว้ fall back อยู่แล้วนะครับ เขาลองอ่านตัวอย่างจากแถบแม่เหล็กออกมาด้วย ดังนั้น profile น่าจะเปิดให้ใช้แม่เหล็กได้อยู่แล้ว (แต่ถ้าบอกว่าบัตรมีชิป terminal ก็ไม่ควรรับอยู่ดี?) แต่สร้างแถบแม่เหล็กจากชิปได้
lewcpe.com , @wasonliw
ข้อ2 ถ้าเสียบบัตรด้านที่ไม่มีชิปเข้าไป บางเครื่องก็จะให้ fallback to swipe ได้ครับ
ข้อ 2 ไม่ valid เพราะถ้าก๊อบออกมาได้ก็มาสร้างบัตรที่เครื่องตรวจเจอไม่ได้ว่าเป็นบัตรชิฟ
ข้อมูลบัตรในแถบแม่เหล็ก มีหลายอย่างซึ่งสัมพันธ์กัน และถ้าจะ copy ก็ต้องเอาไปทั้งหมด
1 ในข้อมูลนั้นคือ card profile mีระบุว่า บัตร BIN นี้ เป็นบัตร chip
ดังนั้นถ้าเอาไป swipe บนเครื่องธนาคารที่เป็นบัตร Chip มันจะอ่านเจอ
บางประเทศ VISA, Mastercard mandate EMV chip 100% บัตรพวกนี้ไปก็ยิ่งใช้ไม่ได้
และข้อ 2 คือกรณีที่ไปเจอเครื่องที่ยัง allow ให้บัตรแถบแม่เหล็กใช้ได้
แต่เมื่อมี fraud เกิดขึ้นก็ต้องมา investigate ระหว่าง Issuer , Acquirer ว่า ทำไมเครื่องถึงยอมให้ทำ ทั้งๆที่เป็นบัตรดั้งเดิมเป็นชิพ แต่เครื่องดันยอมรับบัตรแถบแม่เหล็กที่ copy บัตรชิพมา
วันก่อนใช้บัตรเครดิตจ่ายบิลโทรศัพท์ผ่านแอปค่ายเขียว ครั้งแรกใส่ cvv ผิดแต่เข้าหน้า otp ได้ ทีนี้ลองใส่มั่วๆ เข้าหน้า otp ได้เฉย ลองจ่ายเงินก็ได้อีก -*- สรุปเค้าตรวจไหมนั่น
CVV นี่บางเวบก็ไม่ตรวจครับ ส่วน OTP จริงๆก็เป็น 2 factor authentication ที่ไม่ได้ดีมาก ถ้าเทียบกับ token อื่นๆ
ไม่น่าเป็นไปได้นะครับ ถ้าเป็นบัตรเครดิต ผมใส่รหัสผิด ลองตัดบัตรดู CCV ไม่ตรง แต่ OTP ถูก ระบบจะขึ้นเองครับว่า ตัดบัตรไม่ผ่าน
แต่เป็นไปแล้วครับ ว่าจะโทรหา cc อยู่
ตอนแรกคิดว่าใช้บัตรเดบิต ของธนาคาร T* จ่าย เป็นบัตรเดบิต ทีนี้ลองเอาบัตรเครดิตธนาคาร KT* จ่าย
ปรากฏว่าได้เหมือนกัน สรุปเป็นที่ A** ไม่ตรวจสอบรึเปล่า
ที่ผมเคยเจอก็เป็นแบบนี้นะครับ ใส่ CVV ไม่ถูก ใส่ OTP ถูก ระบบตัดบัตรไม่ผ่าน
น่าจะขึ้นอยู่ว่า เช็คอะไรบ้าง
เคยเจอ หักเว็บนอก ชื่อ(ชื่อต้น) ไม่ตรงก็ reject
บางเว็บโดน reject ดื้อๆ หลังใส่ถูกหมดด้วย
ไม่รู้ทำไม น่าจะ bug
แต่ mastercard ใช้ได้ปกติ
แล้วการเช็คน่าจะมีเกณฑ์การรับผิดชอบ อยู่ด้วยมั้ง
เช็คไม่ครบ ร้านรับผิดชอบปัญหา
อย่างเดี๋ยวนี้ บางปั๊มน้ำมันก็ไม่ต้องกด รหัสผ่านด้วย
บางเว็บเคยจ่ายแล้วนี้ไม่ถามอะไรสักอย่างเลยครับ กดจ่ายเงินเสร็จตอนไหนยังงงอยู่เลย ไอเราก็หยิบมือถือขึ้นมารอรับ otp แล้วก็งงเอะนี้ทำไมจ่ายเร็วจัง
amazon เลยครับ เลขหน้าบัตร + วันหมดอายุ ก็ซื้อได้แล้ว
พวกเว็บที่ไม่ถามเขายอมเสี่ยง เพื่อความสะดวกรวดเร็วของผู้ใช้ครับ เวลามีปัญหาร้านจะผิด 100%
เว็บปลาทองใส่ CVV ผิด CC ธนาคารโทรมาหาเลยครับ