TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ภายในงาน Black Hat USA 2016 ที่เพิ่งจัดไปที่ลาสเวกัส ทีมนักวิจัยจาก Rapid 7 สาธิตวิธีปรับแต่อุปกรณ์แบบง่ายๆ ซึ่งเพียงพอที่จะให้แฮ็คเกอร์สามารถบายพาสระบบป้องกัน Chip-and-Pin ของบัตร ATM เพื่อขโมยเงินจากตู้ ATM หรือทำธุรกรรมโดยไม่ได้รับอนุญาตได้
นักวิจัยจาก Rapid 7 ระบุ สามารถก๊อบปี้บัตร ATM แบบ Chip-and-Pin ได้ง่ายไม่ต่างกับบัตร ATM ที่ใช้แถบแม่เหล็ก โดยพวกเขาได้ทำการสาธิตการแฮ็คบัตร Chip-and-Pin และถอนเงินจากตู้ ATM ในสหรัฐฯ ได้มากถึง $50,000 (ประมาณ 1.74 ล้านบาท) โดยใช้เวลาไม่ถึง 15 นาที
การแฮ็คบัตร ATM แบบ Chip-and-Pin ประกอบด้วย 2 ขั้นตอน คือ
ขั้นตอนแรก แฮ็คเกอร์จำเป็นต้องติดตั้งอุปกรณ์ขนาดเล็ก เรียกว่า Shimmer บนเครื่อง POS (Card Reader บัตร ATM) เพื่อที่จะทำการโจมตีแบบ Man-in-the-Middle ระบบ ATM ซึ่ง Shimmer จะถูกติดตั้งระหว่างตัว Chip และ Card Reader และทำการบันทึกข้อมูลที่ส่งผ่านจาก Chip ซึ่งก็คือรหัส PIN จากนั้นส่งข้อมูลต่อให้ทางแฮ็คเกอร์
จากนั้น แฮ็คเกอร์สามารถใช้สมาร์ทโฟนเพื่อดาวน์โหลดข้อมูลที่ขโมยออกมา แล้วทำการสร้างบัตร ATM ของเหยื่อใหม่ เท่านี้ก็สามารถทำธุรกรรมผ่านตู้ ATM หรือกดเงินสดออกมาได้ทันที
ที่สำคัญคือ Shimmer เป็นเพียงอุปกรณ์ขนาดเล็กที่สร้างขึ้นโดย Raspberry Pi เท่านั้น และสามารถติดตั้งเพื่อขโมยข้อมูล Chip ได้อย่างง่ายดายจากภายนอกตู้ ATM โดยไม่จำเป็นต้องแงะ หรือเปิดตู้เข้าไปด้านในแต่อย่างใด แฮ็คเกอร์สามารถโคลนบัตร ATM ได้ภายในเวลาไม่กี่นาที และหลอกตู้ ATM เพื่อกดเงินสดออกมาได้สูงสุดถึง $50,000
ทีมนักวิจัยของ Rapid 7 แจ้งรายละเอียดเกี่ยวกับวิธีแฮ็คดังกล่าวไปยังธนาคารและผู้ผลิตตู้ ATM เรียบร้อย โดยคาดหวังว่าจะเห็นการเปลี่ยนแปลงของระบบความมั่นคงปลอดภัยของตู้ ATM และบัตร ATM แบบ Chip-and-Pin เร็วๆนี้
อ่านรายละเอียด “Hacking Next-Gen ATMs: From Capture to Washout” [PDF]
ที่มา: http://thehackernews.com/2016/08/hacking-chip-pin-card.html
