รู้จักการโจมตีบัตรเครดิตแบบ Enumeration Attacks เมื่อคนร้ายเดาเลขบัตรเครดิตโดยไม่ต้องรอข้อมูลรั่ว

บทความน่าสนใจ

Loading

ภาพโดย flyerwerk   วันนี้ทางธนาคารแห่งประเทศไทยได้ออกมาชี้แจงเหตุการณ์ผู้ใช้จำนวนมากถูกตัดเงินออกจากบัญชีหรือถูกสั่งจ่ายบัตรเครดิตเป็นการ “สุ่มข้อมูลบัตร” โดยไม่ได้ให้ข้อมูลเพิ่มเติมว่าเป็นการสุ่มข้อมูลใดบ้าง (เฉพาะ CVV, ข้อมูลอื่นๆ, หรือเลขบัตร 16 หลักด้วย) อย่างไรก็ดีการโจมตีแบบสุ่มเลขบัตรนี้มีนานแล้ว และทาง Visa ก็ได้ออกรายงานแจ้งเตือนผู้เกี่ยวข้องเมื่อเดือนสิงหาคมที่ผ่านมา รายงานของ Visa ระบุถึงการโจมตีที่มาเป็นคู่กัน คือ enumeration attacks หรือการสุ่มเลข และ account testing ที่คนร้ายจะทดสอบตัดเงินยอดเล็กๆ เพื่อไม่ให้เป็นที่สงสัยก่อน หากเลขบัตรใดตัดเงินผ่านก็จะเก็บเอาไว้เพื่อนำข้อมูลไปขายหรือโจมตีรุนแรงภายหลัง กระบวนการสุ่มเลขนี้คนร้ายจะอาศัยการกรอกเลขเข้าไปยังร้านค้าอีคอมเมิร์ชยอดนิยม เนื่องจากร้านค้าเหล่านี้มีการส่งข้อความขอจ่ายเงินจำนวนสูงมาก จากนั้นคนร้ายจะยิงหมายเลขประจำธนาคาร (BIN), หมายเลขบัตร (PAN), วันหมดอายุ, หมายเลขยืนยัน (CVV), รวมถึงรหัสไปรษณีย์ของผู้ใช้ แล้วปล่อยให้ธนาคารผู้ออกบัตรปฎิเสธการจ่ายเงินไปเรื่อยๆ จนกว่าจะมีข้อมูลสักชุดที่จ่ายเงินสำเร็จ การโจมตีที่ต้องอาศัยการยิงข้อความขอจ่ายเงินจำนวนมากเช่นนี้ต้องอาศัยระบบระบบฝั่งผู้ค้าที่หละหลวม Visa พบว่า payment gateway หรือ shopping cart provider บางรายเข้าข่ายถูกโจมตีมากเป็นพิเศษ และผู้ให้บริการเหล่านี้มักได้รับความนิยมกับผู้ค้าบางกลุ่ม เช่นช่วงต้นปีที่ผ่านมา Visa พบอัตราการยิงทดสอบเลขบัตรเช่นนี้จากกลุ่มร้านขายยา, มหาวิทยาลัย,…

Visa เผยแฮ็กเกอร์ใช้ Web Shell ลอบขโมยข้อมูลบัตรเครดิตมีแนวโน้มเพิ่มขึ้นเรื่อยๆ

บทความน่าสนใจ

Loading

  Visa ได้เปิดเผยถึงสถิติว่าพบแฮ็กเกอร์ใช้ Web Shell เพื่อลอบขโมยข้อมูลบัตรเครดิตในร้านค้าออนไลน์เพิ่มขึ้นเรื่อยๆ Web Shell เป็นสคริปต์หรือโปรแกรมที่คนร้ายมีมักใช้เพื่อรักษาช่องทางการติดต่อไปยังเครื่องหรือลอบรันโค้ดและคำสั่งต่างๆ อย่างไรก็ดีสถิติที่ VISA เผยถึงคือการที่หลังจากที่แฮ็กเกอร์สามารถเข้าถึงเซิร์ฟเวอร์ของร้านค้าออนไลน์ได้แล้วไม่ว่าจากช่องโหว่ใน Infrastructure, Plugin, แอปพลิเคชัน หรือแม้แต่ตัวแพลตฟอร์มเอง แฮ็กเกอร์จะเข้าไป Deploy Web Shell เพื่อลอบขโมยข้อมูลบัตรเครดิตของลูกค้าที่เข้ามาใช้งานร้านค้าออนไลน์นั้น ซึ่งแนวโน้มนี้มีปริมาณเพิ่มขึ้นเกือบสองเท่าเมื่อเทียบกับปีที่ผ่านมา รวมถึงยังสอดคล้องกับรายงานจาก Microsoft Defender ATP ด้วยเช่นกัน ที่มา : https://www.bleepingcomputer.com/news/security/visa-hackers-increasingly-using-web-shells-to-steal-credit-cards/   ———————————————————————————————————————————————- ที่มา : TechTalkThai     / วันที่เผยแพร่  8 เม.ย.2564 Link : https://www.techtalkthai.com/visa-warns-increasing-of-web-shell-deployment-to-skim-online-payment

วีซ่าเริ่มใช้ข้อมูลชีวมาตรกับบริการบัตรเครดิต

ข่าวประจำวัน

Loading

  บริษัทวีซ่าจะใช้ลายพิมพ์นิ้วมือแทนรหัสล็อกและลายเซ็นเต่หลายคนกังวลเรื่องความมั่นคงปลอดภัย   ปัจจุบัน เราใช้ลายพิมพ์นิ้วมือเปิดล็อคประตู โทรศัพท์มือถือ เเละอุปกรณ์อื่นๆ ได้แล้ว แต่ผู้บริโภคพร้อมหรือยังที่จะใช้ลายพิมพ์นิ้วมือในการจ่ายเงิน บริษัทวีซ่า (VISA) ยักษ์ใหญ่ด้านการบริการทางการเงิน มองว่า ลูกค้าพร้อมเเล้วที่จะใช้ประโยชน์จากข้อมูลทางชีวมาตร หรือ biometrics ซึ่งเป็นลักษณะเฉพาะทางกายภาพเพื่อแสดงตน เเต่ยังมีข้อสงสัยกันว่า เทคโนโลยีนี้ มีความปลอดภัยเเค่ไหน บริษัทวีซ่าที่ให้บริการบัตรเครดิต บัตรเดบิท เเละบัตรจ่ายเงินล่วงหน้า ได้เริ่มต้นทดสอบการใช้งานบัตรต่างๆ ที่มีตัวอ่านลายพิมพ์นิ้วมือฝังไว้ภายใน ผู้ใช้เพียงกดนิ้วมือลงบนเครื่องเซ็นเซอร์ และอาจจะเสียบบัตรเข้าไปที่ช่องอ่านชิพ หรือถือบัตรไว้เหนือจุดจ่ายเงิน การใช้ลายพิมพ์นิ้วมือช่วยให้ลูกค้าข้ามขั้นตอนที่ต้องระบุ รหัสล็อก หรือ PIN หรือไม่ต้องเขียนลายเซ็นลงไปที่ใบสั่งจ่ายเงินค่าสินค้าหรือบริการ ลายพิมพ์นิ้วมือของผู้ใช้บัตรเครดิตจะถูกเปรียบเทียมกับลายพิมพ์นิ้วมือที่เข้าระบบเอาไว้ ซึ่งจะเป็นข้อมูลที่เก็บไว้ในชิrของบัตรเครดิต เพื่อสร้างรหัสแบบสุ่มที่เรียกว่า คริพโตแกรม (cryptogram) และสีเเดงหรือสีเขียวบนตัวบัตรจะช่วยระบุว่าลายนิ้วมือของผู้ใช้ตรงกับลายนิ้วมือในบัตรหรือไม่ Matt Smith ประธานฝ่าย platform strategy ที่ VISA กล่าวว่า บัตรเครดิตนั้นๆ จะถูกตั้งให้ใช้ข้อมูลชีวมาตรที่เป็นลายพิมพ์นิ้วโป้ง เพราะลายพิมพ์นิ้วมือของเเต่ละคนไม่เหมือนกัน เเละจะออกคำสั่งให้ตอบรับเมื่อลายพิมพ์นิ้วมือตรงกับที่บันทึกเอาไว้ในบัตรเเละปฏิเสธเมื่อไม่ตรงกัน สำหรับลูกค้าที่ใช้บัตรเครดิตร่วมกับคนอื่นๆ การสั่งจ่ายเงินจะกลับไปใช้ระบบระบุรหัสล็อก หรือเขียนลายเซ็นแทน บริษัทวีซ่าไม่ได้เป็นบริษัทที่ใช้ระบบจ่ายเงินดิจิตัลบริษัทเเรกที่ต้องการใช้ประโยชน์จากข้อมูลทาง…