บัตรเครดิตแบบชิปที่บ้านเราใช้งานโดยทั่วไปยังคงไม่มีรายงานการปลอมแปลงในโลกความเป็นจริง ช่วยลดปริมาณการใช้บัตรโดยอาชญากรได้อย่างมาก ในยุโรปหลายประเทศบังคับให้ต้องยืนยันตัวตนด้วยสองปัจจัย เช่น ตัวบัตรชิป และรหัสผ่าน (PIN) ทำให้แม้บัตรจะสูญหายแต่อาชญากรก็นำไปใช้งานไม่ได้ แต่รายงานล่าสุดพบว่าอาชญากรสามารถข้ามระบบตรวจสอบรหัสผ่านได้สำเร็จ ทำให้สามารถใช้บัตรที่ขโมยมาไปจ่ายเงินได้แล้ว
คดีนี้เกิดขึ้นมาตั้งแต่ปี 2011 เมื่อบัตรที่ถูกขโมยไปจากฝรั่งเศสกลับถูกใช้งานได้สำเร็จในเบลเยียม ตำรวจตามรอยจากประวัติการใช้งาน และเทียบข้อมูลกับหมายเลขโทรศัพท์มือถือที่ใช้งานในย่านเดียวกัน จนกระทั่งจับตัวหญิงสาวอายุ 25 ปีพร้อมสินค้าจำนวนมากกำลังนำไปขายในตลาดมืด จากนั้นจึงขยายผลจับกุมชายอีกสี่คน พร้อมบัตรเครดิตที่ถูกขโมยมา 25 ใบ
เมื่อตรวจสอบบัตรพบว่าบัตรเครดิตเป็นบัตรที่ถูกดัดแปลง เป็นชิปซ้อนชิปอยู่อีกชั้น บัตรชิปที่ซ้อนอยู่เป็น บัตร FUNcard ที่ใช้ชิป AVR และสามารถเขียนโปรแกรมลงไปเองได้
เมื่อทดสอบตัวบัตรพบว่าบัตรถูกโปรแกรมให้ข้ามขั้นตอนยืนยันตัวตนผู้ใช้ (VerifyPIN) โดยบัตร FUNcard จะตอบว่ารหัสผ่านถูกต้องเสมอ ไม่ว่าบัตรจริงที่ซ้อนอยู่ข้างใต้จะตอบว่าอะไรก็ตาม เมื่อตรวจสอบพบว่าคำสั่ง VerifyPIN จะถูกดักไว้ที่ FUNcard โดยไม่ถูกส่งไปยังชิปจริง
แนวทางนี้ทางทีมวิจัยระบุว่ามีความเป็นไปได้ ที่จะใช้แนวทางนี้โจมตีรูปแบบอื่นๆ เช่น การดักฟังโทรศัพท์มือถือ ที่ใช้ชิปซ้อนเข้าไปกับซิมการ์ดเพื่อขโมยกุญแจการเชื่อมต่อ (session key), การบันทึกข้อมูลการโต้ตอบระหว่างบัตรจริงและสมาร์ตการ์ด
กระบวนการนี้ข้ามได้เฉพาะการยืนยันรหัสผ่าน โดยทั่วไปแล้วบัตรยังไม่สามารถทำสำเนาได้สำหรับเมืองไทยเองที่ใช้บัตรควบคู่กับลายเซ็นคงไม่ต่างไปนัก โดยควรตรวจสอบว่าบัตรยังอยู่กับตัวหรือไม่เสมอๆ และรีบโทรระงับบัตรเมื่อบัตรสูญหาย
ที่มา - ArsTechnica , When Organized Crime Applies Academic Results (PDF)
Comments
สรุป
1.บัตรไม่หาย ไม่ต้องกลัว ไม่โดน copy ไม่ว่าจะไปเสียบกับอะไร
2.แต่ถ้าบัตรหายให้รีบกลัว เพราะ bypass pin code ได้ ทำให้บัตรที่ถูกขโมยยอมทำงานต่อแม้ไม่มี pin?
สรุปในไทยไม่ต้องกลัวอะไร เพราะว่าเอาไปรูดได้เลยโดยไม่ต้องกด Pin แค่เซ็นชื่อให้เหมือนหลังบัตรก็พอ (ซึ่งบางทีก็ไม่ดูหรอก)
จริง ถ้าเป็นเมืองไทยบัตรหาย ก็เอาไปรูดต่อได้เลยถ้าไม่ทันโดนยกเลิก ลายเซ็นก็ดูแค่ผ่านๆ ไม่ต้องเหมือนอะไรนักหนา PIN ก็ไม่ต้องกด
ลายเซ็นเหรอครับ ผมไม่เห็น พกง คนไหนตรวจเลย เอาบัตรเมียไปรูด เราเซ็น ยังสบาย
ความปลอดภัยต่ำมากครับ ถ้าเป็นแบบนี้ มีแต่ต้องดูแลตัวเอง ตรวจสอบทรัพย์สินตลอดเวลาด้วย รอบคอบสุดๆ เลยครับ ช่วงนี้
Get ready to work from now on.
เอาบัตรเมียไปรูด คำถามผมคือ ใครจ่ายครับของผม บัตรผม ผมรูด ผมจ่าย บัตรเมีย ผมรูด ผมจ่าย บัตรผม เมียรูด ผมจ่าย บัตรเมีย เมียรูด ผมก็จ่าย โปรโมชั่นนี้แถมมาตอนแต่ง
โปรเดียวกับผมเลย
อันนี้เป็นระบบรักษาความปลอดภัยส่วนตัวครับ ระบบนี้ช่วยให้ชีวิตอยู่รอดได้โดยไม่โดนไม้แขวนเสื้อทำร้ายร่างกายและจิตใจ
หลังๆ นี้ผมไปซื้อของที่ Supermarket ไม่ต้องเซ็นแล้วครับ Visa ถ้ายอดต่ำกว่า 700 Master ถ้ายอดต่ำกว่า 1500 แต่อันนี้เข้าใจว่าผู้ให้บริการคงทำประกันไว้
ส่วนที่ต้องเซ็นนี่.... ก็ตามที่ทุกท่านพูดแหละ
ธนาคารไทย เจ๋งกว่านั้นครับ ถ้ายอดใช้งานเยอะๆ จนเป็นระดับ VIPได้บัตรเครดิตตัว top สุด แบบได้มาจริงๆ ไม่ใช่ Sale จะขอเพื่อทำยอดบัตร
แล้วโดนขโมยเอาไปรูด แบบอยู่ดีๆ มี transaction ซื้อของที่ต่างประเทศ หรือ บน internet
มันจะรูดไม่ผ่านแล้ว มีคนของธนาคาร โทรเข้ามือถือมาเลยนะครับ
แต่สำหรับ เราๆ ท่านๆ ก็ต้องเผชิญชะตากรรม กันต่อไป
ระบบแบบนี้ บัตรระดับล่างก็มีนะครับ.... เขาจะมี Trigger Point เป็นเงื่อนไขหลายๆ แบบที่ตรวจจับว่าการใช้งานบัตรนั้น "ผิดปกติ" ไหม เช่น ยอดสูงผิดปกติ หรือไปใช้ในต่างประเทศที่เป็นกลุ่มเสี่ยง (หรือไม่เสี่ยงก็แล้วแต่) หรือมีพฤติกรรมที่ผิดปกติ etc. แต่ละแบงก์ก็จะมีวิธีจัดการต่างกันไป ตั้งแต่โทรมาถามจนถึง Freeze บัตรชั่วคราวครับ
ของผมที่โดนก็ไปสมัครเป็น Patron ที่เว็บ Patreon พอมันเทสท์บัตร+ตัดเงินปุ๊บ มี sms เข้ามือถือเลยว่ามีการใช้งานน่าสงสัย ธนาคารเลยขอ Freeze บัตรผม ให้โทรติดต่อเบอร์นี้ๆ ผมโทรไปถามว่ารายการอะไร เขาก็บอกชื่อ Vendor ให้ฟัง (Patreon.com) ผมบอกว่าอันนี้ผมจ่ายจริง เขาก็ปลด Freeze ให้เลย ก็ใช้บัตรต่อได้ปกติครับ (บัตรผมวงเงินหลักหมื่น)
ถ้าใช้บัตรไหนแล้วไปรูดอะไรแปลกๆ/รูดต่างประเทศโดยไม่แจ้งล่วงหน้าว่าจะไป แล้วไม่โดนเตือน/โทรถาม/ฟรีซบัตร แนะนำให้แจ้งแบงก์ชาติเลยครับ แปลว่ากำหนด Trigger Point หละหลวม
ระบบนี่บางทีมันก็ไม่ดีนะครับ เมื่อก่อนพี่ผมทำงานอยู่ญี่ปุ่น เอาบัตรไทยไปรูดของอเมซอน เจอ Freeze บัตรไป ใช้งานไม่ได้เลย ไม่รู้ด้วยซ้ำว่าซื้อของไม่ผ่าน สุดท้ายซื้อไม่ทัน ต้องใช้ skype โทรมาปลดบัตรด้วยมั้ง
เวลาจะไปต่างประเทศ โดยเฉพาะถ้าไปนานๆ และคิดว่าจะใช้บัตรไทยที่ตปท. ด้วย ควรโทรไปบอกธนาคารหรือบริษัทที่ออกบัตรก่อนนะครับ ไม่งั้นจะเกิดปัญหาโดน Freeze รูดไม่ผ่านได้ (แต่ถ้า Freeze อย่างน้อยปกติเขาจะ sms ไปบอกนะ) แต่อย่างกรณีของคุณเข้าใจว่าซื้อออนไลน์ ผมก็ไม่แน่ใจเหมือนกันว่าผู้ใช้ควรทำยังไง แต่ที่แน่ๆ แบงก์ควรหาทางแจ้งลูกค้าแหละครับ
อ่าว เพิ่งรู้ว่ามีระบบนี้อยู่ด้วย
ปกติกดจาก ebay, amazon, paypal, airbnb แล้วก็ไปรูดที่ JP อยู่บ่อยๆ แต่ยังไม่เคยโดนตัด
เคยแต่วงเงินไม่พอใช้ 555
ไม่ต้อง VIP ครับ บริการนี้มีทุกบัตร ผมบัตรธรรมดา รูดซื้อของจาก google play สามร้อยกว่าบาท โดน lock เลย ซื้อของแล้วไปนอน เค้าโทรมาแต่ไม่ได้รับ เช้ามามี sms มาแจ้งระงับการใช้งาน ให้ติดต่อธนาคาร ก่อนหน้านั้นก็มีซื้อใน google play 30 กว่าบาท (พวกราคา 1$ ทั้งหลาย) เป็นระยะๆ แต่รวมทั้งปียังไม่ถึงพันเลยมั้ง โทรไปปลดไม่มีคนรับอีก เสียเวลามากกว่าจะ activate กลับ จริงๆ แบบผมมันไม่น่าเข้าข่ายใช้งานผิดปกติด้วย ยอดจิ๊ดเดียว
อคติทำให้คนรับเหตุผลด้านเดียว
อ้าวมี package นี้ ลงไปถึงบัตรธรรมดา แล้วเหลอครับ
ปล. ผมรู้ if case นี้เมื่อประมาณ 5 ปีที่แล้ว ...
ผมใช้บัตรธรรมดาก็เคยมีคนโทรมาถามนะครับ
lewcpe.com , @wasonliw
มีมานานแล้วครับ น่าจะเกิน 5 ปีนะ ตอนนั้นก็ใช้แต่บัตร tier ธรรมดา รูดอะไรแปลกๆ ก็โทรมา ผ่านอินเทอร์เน็ต หรือรูดยอดต่างประเทศ บางบัตรมีเสนอเปลี่ยนบัตรใหม่ด้วย ถ้าเขาคิดว่าอาจจะไม่ปลอดภัย tier ล่างสุดเกณฑ์ 15,000 นี่แหละ แต่ส่วนใหญ่ผมชอบใช้บัตรที่ส่ง SMS มาบอกหลังรูด ตรวจง่ายดี
จริงๆ ลายเซ็นจะตรงเข้มก็ได้นะครับ
ผมเอาบัตรไทยไปใช้ที่ Swedenที่นั่นเค้าจะให้กรอก ID ลงใบในบัตร (ID บัตร ปชช / ID Passports) โดย พนงจะเป็นคนขอดูและกรอกเองครัช เพื่อเป็นการยืนยันตัวตนเจ้าของบัตร
ส่วนใหญ่เรื่องลายเซ็นท์นี้ร้านค้าทั่วไปมักไม่ค่อยตรวจ
แต่ที่เจอบ่อยๆคือพวกร้านค้า brand hi-end อันนี้ส่วนใหญ่ผมว่าเค้าดูลายเซ็นต์นะ
ไม่รู้ว่ากลัว fraud หรือหน้าตาเหมือนโจรขโมยบัตรก็ไม่รู้ 55555555
COBOL !!
บายพาสพิน โอ้ววว
งานนี้ไม่ต้องกลัวโดน สกิมบัตร แต่ ถ้าบัตรหาย ให้รีบระงับบัตร จะดีที่สุด....
อาชญากร เค้าไปถึงไหนกันแล้ว
อ่านข่าว "กองกำลังไซเบอร์" ของชายชุดเขียวบ้านเราแล้วยังวนอยู่ในเปลือกเมล็ดมะพร้าวอยู่เลย
งบเป็นร้อยล้านเอาไปทำอัลไลก้านนน ดูแล้วเหมือนเอาพวก "....บริการ" มาทำงานส่ง(มีโหลดบิทหนังด้วย)
รัฐอยากให้ประชาชนใช้จ่ายผ่านบัตรเครดิตเพื่อจะได้เก็บภาษีได้เต็มเม็ดเต็มหน่วย แต่ตัวบัตรกลับไม่มีความปลอดภัย
ไม่เคยมีบัตรเครดิต มีแต่สมัครที่ไว้สำหรับจ่ายออนไลน์ เคยใช้บัตรเดบิต แต่พอมีข่าวว่า ตู้เอทีเอ็มกสิกรโดนสกิมมิ่งบ่อยๆ ก็เลิกใช้
ใช้เงินสดอย่างเดียว