Distributed Guessing Attack: แฮ็คบัตรเครดิตภายใน 6 วินาทีโดยอาศัยการเดาเท่านั้น

นักวิจัยด้านความมั่นคงปลอดภัย ประสบความสำเร็จในการแฮ็คข้อมูลบัตรเดรดิต ไม่ว่าจะเป็นหมายเลขบัตร วันหมดอายุ และรหัส CVV โดยใช้เวลาเพียงแค่ 6 วินาที ที่น่าตกใจคือ วิธีการแฮ็คไม่มีอะไรเลยนอกจากใช้การเดาสุ่มจากเว็บไซต์ออนไลน์หลายๆ เว็บเท่านั้น

Credit: Zurijeta/ShutterStock
Credit: Zurijeta/ShutterStock

เทคนิคการแฮ็คดังกล่าวเรียกว่า Distributed Guessing Attack มีเป้าหมายที่ระบบชำระเงินของ VISA โดยแฮ็คเกอร์จะใช้วิธีคาดเดาและพยายามสุ่มวันหมดอายุและรหัส CVV จากหลายร้อยเว็บไซต์ที่ให้บริการการชำระเงินออนไลน์ด้วยบัตรเครดิต หลายฝ่ายเชื่อว่าวิธีการดังกล่าวคล้ายกับวิธีที่แฮ็คเกอร์ใช้แฮ็คข้อมูลลูกค้าของ Tesco หลายพันรายในสหราชอาณาจักรเมื่อเดือนพฤศจิกายนที่ผ่านมา

นักวิจัยพบว่า การยืนยันการทำธุรกรรมออนไลน์ของระบบ VISA มีจุดอ่อนอยู่ 2 ประการ คือ

  1. ระบบชำระเงินออนไลน์ไม่มีการตรวจจับความผิดปกติที่เกิดจากการร้องขอชำระเงินผิดพลาดหลายๆ ครั้ง เมื่อการชำระเงินเหล่านั้นมาจากหลายๆ เว็บไซต์ ซึ่งปกติแล้วแต่ละเว็บไซต์จะยินยอมให้ส่งคำร้องขอมาได้สูงสุดเพียง 20 ครั้งต่อบัตร 1 ใบเท่านั้น
  2. เว็บไซต์ไม่มีการตรวจสอบว่าข้อมูลบัตรเครดิตที่จะร้องขอไปมีการเปลี่ยนแปลงไปมาอย่างหลากหลาย

จากช่องโหว่ 2 ประการนี้ ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Brute Force เพื่อคาดเดาข้อมูลของบัตรเครดิตโดยใช้หลายๆ เว็บไซต์ได้ กล่าวคือ ในกรณีที่ Brute Force ผ่านทางเว็บไซต์เดียว ระบบตรวจจับการแฮ็คบัตรเครดิตจะทำงาน เนื่องจากพบว่ามีการคาดเดาข้อมูลบัตรเครดิตมากเกินไป และจะทำการล็อกบัตรเครดิตหมายเลขนั้นๆ แต่ถ้าใช้หลายๆ เว็บไซต์ช่วยกันเดาไม่ให้เกินลิมิตของระบบตรวจจับ ในที่สุดก็จะเจอวันหมดอายุและรหัส CVV ที่ถูกต้องได้

distributed_guessing_attack_1

สิ่งแรกที่แฮ็คเกอร์ต้องเตรียมคือหมายเลขบัตรเครดิต 16 หลัก ซึ่งสามารถหาได้ง่ายๆ จากตลาดมืดออนไลน์ในราคาไม่ถึง $1 (36 บาท) จากนั้นใช้ Web Bot ในการ Brute Force รหัส CVV และวันหมดอายุผ่านหลายๆ เว็บไซต์ ซึ่งการแคร็กรหัส CVV ใช้เวลาในการเดาไม่เกิน 1,000 ครั้ง (000 – 999) ในขณะที่วันหมดอายุใช้เวลาเดาเพียง 60 ครั้ง ซึ่งจากการทดสอบจริงพบว่าใช้เวลาในการเดาทั้งหมดเพียงแค่ 6 วินาทีเท่านั้น

วิดีโอด้านล่างแสดงวิธีการ Brute Force ข้อมูลบัตรเครดิตโดยใช้เทคนิค Distributed Guessing Attack

การโจมตีรูปแบบนี้ใช้ได้ผลเฉพาะระบบของ VISA เนื่องจากไม่มีการตรวจสอบความพยายามในการใช้บัตรเครดิตผ่านหลายๆ เว็บไซต์ ในขณะที่ระบบของ MasterCard จะสามารถตรวจจับการโจมตีแบบ Brute Force ได้หลังพยายามเกิน 10 ครั้ง ต่อให้มีความพยายามในการใช้บัตรนั้นมาจากหลายๆ เว็บไซต์ก็ตาม

ทีมนักวิจัยได้ตรวจสอบเว็บไซต์ซื้อขายของออนไลน์ของ Alexa Top 400 พบว่าแพลทฟอร์มในการชำระเงินสนับสนุนการโจมตีแบบ Distributed Guessing Attack ซึ่งทางนักวิจัยก็ได้แจ้งไปยังเว็บไซต์ชั้นนำ 36 เว็บไซต์เกี่ยวกับช่องโหว่ที่ค้นพบ แต่มีเพียง 8 เว็บไซต์เท่านั้นที่ปรับระบบรักษาความมั่นคงปลอดภัยให้สามารถรับมือกับการโจมตีนี้ได้ อย่างไรก็ตาม คาดว่า VISA คงออกมาตรการควบุคมเช่นเดียวกับ MasterCard เพื่อป้องกันปัญหาดังกล่าวเร็วๆ นี้

เทคนิค Distributed Guessing Attack เป็นส่วนหนึ่งของงานวิจัยเรื่อง “Does The Online Card Payment Landscape Unwittingly Facilitate Fraud?” ที่เพิ่งถูกตีพิมพ์ลงบนนิตยสารวิชาการ IEEE Security & Privacy โดยนักวิจัยจากมหาวิทยาลัยนิวคาสเซิล ซึ่งอธิบายเกี่ยวกับจุดอ่อนของระบบชำระเงินออนไลน์ที่ส่งผลกระทบต่อความมั่นคงปลอดภัยของบัตรเครดิต ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลบัตรได้โดยง่าย อ่านงานวิจัยฉบับเต็ม [PDF]

ที่มา: http://thehackernews.com/2016/12/credit-card-hacking-software_5.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Ericsson ประสบความสำเร็จ ทดสอบ 5G ที่ความเร็ว 23.4Gbps

Ericsson ได้ออกมาประกาศถึงความสำเร็จในการทดสอบความเร็วของเทคโนโลยี 5G ร่วมกับ Telecom Italia (TIM) ได้ความเร็วในการ Download ที่สูงถึง 23.4Gbps

Andrew Ng ชี้ สมรภูมิถัดไปของ AI คือธุรกิจโรงงานและการผลิต

Andrew Ng ผู้เชี่ยวชาญด้านเทคโนโลยี AI ที่เคยเป็นผู้สร้างโครงการ Google Brain และเคยดำรงตำแหน่งผู้นำเทคโนโลยี AI แห่ง Baidu ได้ออกมาเผยถึงวิสัยทัศน์ว่าสมรภูมิถัดไปของการพัฒนา AI ในความคิดของเขานั้นอยู่ที่ภาคธุรกิจโรงงานและการผลิตเป็นหลัก