Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

บัตร ATM แบบ Chip-and-pin ไม่ได้ปลอดภัยเสมอไป Rapid 7 สาธิตการแฮ็คโชว์

rapid7_logo

ภายในงาน Black Hat USA 2016 ที่เพิ่งจัดไปที่ลาสเวกัส ทีมนักวิจัยจาก Rapid 7 สาธิตวิธีปรับแต่อุปกรณ์แบบง่ายๆ ซึ่งเพียงพอที่จะให้แฮ็คเกอร์สามารถบายพาสระบบป้องกัน Chip-and-Pin ของบัตร ATM เพื่อขโมยเงินจากตู้ ATM หรือทำธุรกรรมโดยไม่ได้รับอนุญาตได้

Credit: ShutterStock.com
Credit: ShutterStock.com

นักวิจัยจาก Rapid 7 ระบุ สามารถก๊อบปี้บัตร ATM แบบ Chip-and-Pin ได้ง่ายไม่ต่างกับบัตร ATM ที่ใช้แถบแม่เหล็ก โดยพวกเขาได้ทำการสาธิตการแฮ็คบัตร Chip-and-Pin และถอนเงินจากตู้ ATM ในสหรัฐฯ ได้มากถึง $50,000 (ประมาณ 1.74 ล้านบาท) โดยใช้เวลาไม่ถึง 15 นาที

การแฮ็คบัตร ATM แบบ Chip-and-Pin ประกอบด้วย 2 ขั้นตอน คือ

ขั้นตอนแรก แฮ็คเกอร์จำเป็นต้องติดตั้งอุปกรณ์ขนาดเล็ก เรียกว่า Shimmer บนเครื่อง POS (Card Reader บัตร ATM) เพื่อที่จะทำการโจมตีแบบ Man-in-the-Middle ระบบ ATM ซึ่ง Shimmer จะถูกติดตั้งระหว่างตัว Chip และ Card Reader และทำการบันทึกข้อมูลที่ส่งผ่านจาก Chip ซึ่งก็คือรหัส PIN จากนั้นส่งข้อมูลต่อให้ทางแฮ็คเกอร์

จากนั้น แฮ็คเกอร์สามารถใช้สมาร์ทโฟนเพื่อดาวน์โหลดข้อมูลที่ขโมยออกมา แล้วทำการสร้างบัตร ATM ของเหยื่อใหม่ เท่านี้ก็สามารถทำธุรกรรมผ่านตู้ ATM หรือกดเงินสดออกมาได้ทันที

chip-and-pin_atm_card_hack

ที่สำคัญคือ Shimmer เป็นเพียงอุปกรณ์ขนาดเล็กที่สร้างขึ้นโดย Raspberry Pi เท่านั้น และสามารถติดตั้งเพื่อขโมยข้อมูล Chip ได้อย่างง่ายดายจากภายนอกตู้ ATM โดยไม่จำเป็นต้องแงะ หรือเปิดตู้เข้าไปด้านในแต่อย่างใด แฮ็คเกอร์สามารถโคลนบัตร ATM ได้ภายในเวลาไม่กี่นาที และหลอกตู้ ATM เพื่อกดเงินสดออกมาได้สูงสุดถึง $50,000

ทีมนักวิจัยของ Rapid 7 แจ้งรายละเอียดเกี่ยวกับวิธีแฮ็คดังกล่าวไปยังธนาคารและผู้ผลิตตู้ ATM เรียบร้อย โดยคาดหวังว่าจะเห็นการเปลี่ยนแปลงของระบบความมั่นคงปลอดภัยของตู้ ATM และบัตร ATM แบบ Chip-and-Pin เร็วๆนี้

อ่านรายละเอียด “Hacking Next-Gen ATMs: From Capture to Washout” [PDF]

ที่มา: http://thehackernews.com/2016/08/hacking-chip-pin-card.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

4 ขั้นตอนเตรียมพร้อมสู่สายงาน Cybersecurity

งานด้าน Cybersecurity ถือเป็นความต้องการลำดับต้นๆ ขององค์กรในปัจจุบัน ซึ่งวันนี้มีคำแนะนำดีๆจาก SecurityIntelligence ถึง 4 ขั้นตอนในการเตรียมความพร้อมเพื่อเข้าสู่อาชีพนี้

Check Point Webinar: Erratic Times, Solid Security. Navigating Cloud Native Security in 2020

Check Point ขอเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT Security เข้าฟังบรรยาย Check Point Webinar เรื่อง “Erratic Times, Solid Security. Navigating Cloud Native Security in 2020” พร้อมอัปเดตแนวโน้มภัยคุกคามล่าสุดบนระบบ Cloud รวมไปถึงการวางกลยุทธ์ด้านความมั่นคงปลอดภัยภายใต้สภาพแวดล้อม Multi-cloud อย่างชาญฉลาด ในวันอังคารที่ 29 กันยายน 2020 เวลา 14:00 ผ่าน Live Webinar