TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
นักวิจัยด้านความมั่นคงปลอดภัย ประสบความสำเร็จในการแฮ็คข้อมูลบัตรเดรดิต ไม่ว่าจะเป็นหมายเลขบัตร วันหมดอายุ และรหัส CVV โดยใช้เวลาเพียงแค่ 6 วินาที ที่น่าตกใจคือ วิธีการแฮ็คไม่มีอะไรเลยนอกจากใช้การเดาสุ่มจากเว็บไซต์ออนไลน์หลายๆ เว็บเท่านั้น
เทคนิคการแฮ็คดังกล่าวเรียกว่า Distributed Guessing Attack มีเป้าหมายที่ระบบชำระเงินของ VISA โดยแฮ็คเกอร์จะใช้วิธีคาดเดาและพยายามสุ่มวันหมดอายุและรหัส CVV จากหลายร้อยเว็บไซต์ที่ให้บริการการชำระเงินออนไลน์ด้วยบัตรเครดิต หลายฝ่ายเชื่อว่าวิธีการดังกล่าวคล้ายกับวิธีที่แฮ็คเกอร์ใช้แฮ็คข้อมูลลูกค้าของ Tesco หลายพันรายในสหราชอาณาจักรเมื่อเดือนพฤศจิกายนที่ผ่านมา
นักวิจัยพบว่า การยืนยันการทำธุรกรรมออนไลน์ของระบบ VISA มีจุดอ่อนอยู่ 2 ประการ คือ
- ระบบชำระเงินออนไลน์ไม่มีการตรวจจับความผิดปกติที่เกิดจากการร้องขอชำระเงินผิดพลาดหลายๆ ครั้ง เมื่อการชำระเงินเหล่านั้นมาจากหลายๆ เว็บไซต์ ซึ่งปกติแล้วแต่ละเว็บไซต์จะยินยอมให้ส่งคำร้องขอมาได้สูงสุดเพียง 20 ครั้งต่อบัตร 1 ใบเท่านั้น
- เว็บไซต์ไม่มีการตรวจสอบว่าข้อมูลบัตรเครดิตที่จะร้องขอไปมีการเปลี่ยนแปลงไปมาอย่างหลากหลาย
จากช่องโหว่ 2 ประการนี้ ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Brute Force เพื่อคาดเดาข้อมูลของบัตรเครดิตโดยใช้หลายๆ เว็บไซต์ได้ กล่าวคือ ในกรณีที่ Brute Force ผ่านทางเว็บไซต์เดียว ระบบตรวจจับการแฮ็คบัตรเครดิตจะทำงาน เนื่องจากพบว่ามีการคาดเดาข้อมูลบัตรเครดิตมากเกินไป และจะทำการล็อกบัตรเครดิตหมายเลขนั้นๆ แต่ถ้าใช้หลายๆ เว็บไซต์ช่วยกันเดาไม่ให้เกินลิมิตของระบบตรวจจับ ในที่สุดก็จะเจอวันหมดอายุและรหัส CVV ที่ถูกต้องได้
สิ่งแรกที่แฮ็คเกอร์ต้องเตรียมคือหมายเลขบัตรเครดิต 16 หลัก ซึ่งสามารถหาได้ง่ายๆ จากตลาดมืดออนไลน์ในราคาไม่ถึง $1 (36 บาท) จากนั้นใช้ Web Bot ในการ Brute Force รหัส CVV และวันหมดอายุผ่านหลายๆ เว็บไซต์ ซึ่งการแคร็กรหัส CVV ใช้เวลาในการเดาไม่เกิน 1,000 ครั้ง (000 – 999) ในขณะที่วันหมดอายุใช้เวลาเดาเพียง 60 ครั้ง ซึ่งจากการทดสอบจริงพบว่าใช้เวลาในการเดาทั้งหมดเพียงแค่ 6 วินาทีเท่านั้น
วิดีโอด้านล่างแสดงวิธีการ Brute Force ข้อมูลบัตรเครดิตโดยใช้เทคนิค Distributed Guessing Attack
การโจมตีรูปแบบนี้ใช้ได้ผลเฉพาะระบบของ VISA เนื่องจากไม่มีการตรวจสอบความพยายามในการใช้บัตรเครดิตผ่านหลายๆ เว็บไซต์ ในขณะที่ระบบของ MasterCard จะสามารถตรวจจับการโจมตีแบบ Brute Force ได้หลังพยายามเกิน 10 ครั้ง ต่อให้มีความพยายามในการใช้บัตรนั้นมาจากหลายๆ เว็บไซต์ก็ตาม
ทีมนักวิจัยได้ตรวจสอบเว็บไซต์ซื้อขายของออนไลน์ของ Alexa Top 400 พบว่าแพลทฟอร์มในการชำระเงินสนับสนุนการโจมตีแบบ Distributed Guessing Attack ซึ่งทางนักวิจัยก็ได้แจ้งไปยังเว็บไซต์ชั้นนำ 36 เว็บไซต์เกี่ยวกับช่องโหว่ที่ค้นพบ แต่มีเพียง 8 เว็บไซต์เท่านั้นที่ปรับระบบรักษาความมั่นคงปลอดภัยให้สามารถรับมือกับการโจมตีนี้ได้ อย่างไรก็ตาม คาดว่า VISA คงออกมาตรการควบุคมเช่นเดียวกับ MasterCard เพื่อป้องกันปัญหาดังกล่าวเร็วๆ นี้
เทคนิค Distributed Guessing Attack เป็นส่วนหนึ่งของงานวิจัยเรื่อง “Does The Online Card Payment Landscape Unwittingly Facilitate Fraud?” ที่เพิ่งถูกตีพิมพ์ลงบนนิตยสารวิชาการ IEEE Security & Privacy โดยนักวิจัยจากมหาวิทยาลัยนิวคาสเซิล ซึ่งอธิบายเกี่ยวกับจุดอ่อนของระบบชำระเงินออนไลน์ที่ส่งผลกระทบต่อความมั่นคงปลอดภัยของบัตรเครดิต ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลบัตรได้โดยง่าย อ่านงานวิจัยฉบับเต็ม [PDF]
ที่มา: http://thehackernews.com/2016/12/credit-card-hacking-software_5.html
