Advertisement

Distributed Guessing Attack: แฮ็คบัตรเครดิตภายใน 6 วินาทีโดยอาศัยการเดาเท่านั้น

นักวิจัยด้านความมั่นคงปลอดภัย ประสบความสำเร็จในการแฮ็คข้อมูลบัตรเดรดิต ไม่ว่าจะเป็นหมายเลขบัตร วันหมดอายุ และรหัส CVV โดยใช้เวลาเพียงแค่ 6 วินาที ที่น่าตกใจคือ วิธีการแฮ็คไม่มีอะไรเลยนอกจากใช้การเดาสุ่มจากเว็บไซต์ออนไลน์หลายๆ เว็บเท่านั้น

Credit: Zurijeta/ShutterStock
Credit: Zurijeta/ShutterStock

เทคนิคการแฮ็คดังกล่าวเรียกว่า Distributed Guessing Attack มีเป้าหมายที่ระบบชำระเงินของ VISA โดยแฮ็คเกอร์จะใช้วิธีคาดเดาและพยายามสุ่มวันหมดอายุและรหัส CVV จากหลายร้อยเว็บไซต์ที่ให้บริการการชำระเงินออนไลน์ด้วยบัตรเครดิต หลายฝ่ายเชื่อว่าวิธีการดังกล่าวคล้ายกับวิธีที่แฮ็คเกอร์ใช้แฮ็คข้อมูลลูกค้าของ Tesco หลายพันรายในสหราชอาณาจักรเมื่อเดือนพฤศจิกายนที่ผ่านมา

นักวิจัยพบว่า การยืนยันการทำธุรกรรมออนไลน์ของระบบ VISA มีจุดอ่อนอยู่ 2 ประการ คือ

  1. ระบบชำระเงินออนไลน์ไม่มีการตรวจจับความผิดปกติที่เกิดจากการร้องขอชำระเงินผิดพลาดหลายๆ ครั้ง เมื่อการชำระเงินเหล่านั้นมาจากหลายๆ เว็บไซต์ ซึ่งปกติแล้วแต่ละเว็บไซต์จะยินยอมให้ส่งคำร้องขอมาได้สูงสุดเพียง 20 ครั้งต่อบัตร 1 ใบเท่านั้น
  2. เว็บไซต์ไม่มีการตรวจสอบว่าข้อมูลบัตรเครดิตที่จะร้องขอไปมีการเปลี่ยนแปลงไปมาอย่างหลากหลาย

จากช่องโหว่ 2 ประการนี้ ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Brute Force เพื่อคาดเดาข้อมูลของบัตรเครดิตโดยใช้หลายๆ เว็บไซต์ได้ กล่าวคือ ในกรณีที่ Brute Force ผ่านทางเว็บไซต์เดียว ระบบตรวจจับการแฮ็คบัตรเครดิตจะทำงาน เนื่องจากพบว่ามีการคาดเดาข้อมูลบัตรเครดิตมากเกินไป และจะทำการล็อกบัตรเครดิตหมายเลขนั้นๆ แต่ถ้าใช้หลายๆ เว็บไซต์ช่วยกันเดาไม่ให้เกินลิมิตของระบบตรวจจับ ในที่สุดก็จะเจอวันหมดอายุและรหัส CVV ที่ถูกต้องได้

distributed_guessing_attack_1

สิ่งแรกที่แฮ็คเกอร์ต้องเตรียมคือหมายเลขบัตรเครดิต 16 หลัก ซึ่งสามารถหาได้ง่ายๆ จากตลาดมืดออนไลน์ในราคาไม่ถึง $1 (36 บาท) จากนั้นใช้ Web Bot ในการ Brute Force รหัส CVV และวันหมดอายุผ่านหลายๆ เว็บไซต์ ซึ่งการแคร็กรหัส CVV ใช้เวลาในการเดาไม่เกิน 1,000 ครั้ง (000 – 999) ในขณะที่วันหมดอายุใช้เวลาเดาเพียง 60 ครั้ง ซึ่งจากการทดสอบจริงพบว่าใช้เวลาในการเดาทั้งหมดเพียงแค่ 6 วินาทีเท่านั้น

วิดีโอด้านล่างแสดงวิธีการ Brute Force ข้อมูลบัตรเครดิตโดยใช้เทคนิค Distributed Guessing Attack

การโจมตีรูปแบบนี้ใช้ได้ผลเฉพาะระบบของ VISA เนื่องจากไม่มีการตรวจสอบความพยายามในการใช้บัตรเครดิตผ่านหลายๆ เว็บไซต์ ในขณะที่ระบบของ MasterCard จะสามารถตรวจจับการโจมตีแบบ Brute Force ได้หลังพยายามเกิน 10 ครั้ง ต่อให้มีความพยายามในการใช้บัตรนั้นมาจากหลายๆ เว็บไซต์ก็ตาม

ทีมนักวิจัยได้ตรวจสอบเว็บไซต์ซื้อขายของออนไลน์ของ Alexa Top 400 พบว่าแพลทฟอร์มในการชำระเงินสนับสนุนการโจมตีแบบ Distributed Guessing Attack ซึ่งทางนักวิจัยก็ได้แจ้งไปยังเว็บไซต์ชั้นนำ 36 เว็บไซต์เกี่ยวกับช่องโหว่ที่ค้นพบ แต่มีเพียง 8 เว็บไซต์เท่านั้นที่ปรับระบบรักษาความมั่นคงปลอดภัยให้สามารถรับมือกับการโจมตีนี้ได้ อย่างไรก็ตาม คาดว่า VISA คงออกมาตรการควบุคมเช่นเดียวกับ MasterCard เพื่อป้องกันปัญหาดังกล่าวเร็วๆ นี้

เทคนิค Distributed Guessing Attack เป็นส่วนหนึ่งของงานวิจัยเรื่อง “Does The Online Card Payment Landscape Unwittingly Facilitate Fraud?” ที่เพิ่งถูกตีพิมพ์ลงบนนิตยสารวิชาการ IEEE Security & Privacy โดยนักวิจัยจากมหาวิทยาลัยนิวคาสเซิล ซึ่งอธิบายเกี่ยวกับจุดอ่อนของระบบชำระเงินออนไลน์ที่ส่งผลกระทบต่อความมั่นคงปลอดภัยของบัตรเครดิต ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลบัตรได้โดยง่าย อ่านงานวิจัยฉบับเต็ม [PDF]

ที่มา: http://thehackernews.com/2016/12/credit-card-hacking-software_5.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Review] ทดสอบการใช้งานจริงกับ IRIS CLOUD บริการ Cloud IaaS จาก CAT

ทางทีมงาน TechTalkThai มีโอกาสได้ทดลองใช้งาน IRIS CLOUD เป็นบริการ Cloud Infrastructure as a Service (IaaS) จาก CAT มาครับ …

ปูนตรานกอินทรี จับมือ Cisco และ Fujitsu สร้างโรงงานอัจฉริยะด้วย IoT สู่ Digital Connected Plant

ในวันที่ 27 เมษายน 2017 ทางปูนซิเมนต์นครหลวงหรือที่เรารู้จักกันในชื่อปูนตรานกอินทรี ได้ออกมาแถลงถึงความสำเร็จในการทำ Digital Transformation ภายใน INSEE Group ด้วยการจับมือกับ Cisco และ Fujitsu …