CDIC 2023

บัตร ATM แบบ Chip-and-pin ไม่ได้ปลอดภัยเสมอไป Rapid 7 สาธิตการแฮ็คโชว์

rapid7_logo

ภายในงาน Black Hat USA 2016 ที่เพิ่งจัดไปที่ลาสเวกัส ทีมนักวิจัยจาก Rapid 7 สาธิตวิธีปรับแต่อุปกรณ์แบบง่ายๆ ซึ่งเพียงพอที่จะให้แฮ็คเกอร์สามารถบายพาสระบบป้องกัน Chip-and-Pin ของบัตร ATM เพื่อขโมยเงินจากตู้ ATM หรือทำธุรกรรมโดยไม่ได้รับอนุญาตได้

Credit: ShutterStock.com
Credit: ShutterStock.com

นักวิจัยจาก Rapid 7 ระบุ สามารถก๊อบปี้บัตร ATM แบบ Chip-and-Pin ได้ง่ายไม่ต่างกับบัตร ATM ที่ใช้แถบแม่เหล็ก โดยพวกเขาได้ทำการสาธิตการแฮ็คบัตร Chip-and-Pin และถอนเงินจากตู้ ATM ในสหรัฐฯ ได้มากถึง $50,000 (ประมาณ 1.74 ล้านบาท) โดยใช้เวลาไม่ถึง 15 นาที

การแฮ็คบัตร ATM แบบ Chip-and-Pin ประกอบด้วย 2 ขั้นตอน คือ

ขั้นตอนแรก แฮ็คเกอร์จำเป็นต้องติดตั้งอุปกรณ์ขนาดเล็ก เรียกว่า Shimmer บนเครื่อง POS (Card Reader บัตร ATM) เพื่อที่จะทำการโจมตีแบบ Man-in-the-Middle ระบบ ATM ซึ่ง Shimmer จะถูกติดตั้งระหว่างตัว Chip และ Card Reader และทำการบันทึกข้อมูลที่ส่งผ่านจาก Chip ซึ่งก็คือรหัส PIN จากนั้นส่งข้อมูลต่อให้ทางแฮ็คเกอร์

จากนั้น แฮ็คเกอร์สามารถใช้สมาร์ทโฟนเพื่อดาวน์โหลดข้อมูลที่ขโมยออกมา แล้วทำการสร้างบัตร ATM ของเหยื่อใหม่ เท่านี้ก็สามารถทำธุรกรรมผ่านตู้ ATM หรือกดเงินสดออกมาได้ทันที

chip-and-pin_atm_card_hack

ที่สำคัญคือ Shimmer เป็นเพียงอุปกรณ์ขนาดเล็กที่สร้างขึ้นโดย Raspberry Pi เท่านั้น และสามารถติดตั้งเพื่อขโมยข้อมูล Chip ได้อย่างง่ายดายจากภายนอกตู้ ATM โดยไม่จำเป็นต้องแงะ หรือเปิดตู้เข้าไปด้านในแต่อย่างใด แฮ็คเกอร์สามารถโคลนบัตร ATM ได้ภายในเวลาไม่กี่นาที และหลอกตู้ ATM เพื่อกดเงินสดออกมาได้สูงสุดถึง $50,000

ทีมนักวิจัยของ Rapid 7 แจ้งรายละเอียดเกี่ยวกับวิธีแฮ็คดังกล่าวไปยังธนาคารและผู้ผลิตตู้ ATM เรียบร้อย โดยคาดหวังว่าจะเห็นการเปลี่ยนแปลงของระบบความมั่นคงปลอดภัยของตู้ ATM และบัตร ATM แบบ Chip-and-Pin เร็วๆนี้

อ่านรายละเอียด “Hacking Next-Gen ATMs: From Capture to Washout” [PDF]

ที่มา: http://thehackernews.com/2016/08/hacking-chip-pin-card.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

การ์ทเนอร์ชี้ 6 กลยุทธ์ที่ผู้นำทีม Software Engineering ต้องทราบในปี 2023

การมีกลยุทธ์ถือเป็นเรื่องที่ดีเพราะแนวปฏิบัติเหล่านี้จะช่วยให้องค์กรมีกรอบที่จะเป็นไป ให้อยู่เหนือการเปลี่ยนแปลงของกระแสเทคโนโลยี ในมุมของ Software Engineering การ์ทเนอร์ได้แนะนำ 6 กลยุทธ์ไว้ดังนี้

True IDC ได้รับ AWS Migration Competency ตอกย้ำความเชี่ยวชาญใน Cloud Migration เป็นรายแรกในประเทศไทย

True IDC ผู้ให้บริการดาต้าเซ็นเตอร์และบริการคลาวด์ชั้นนำ ได้ประกาศความสำเร็จล่าสุดของการให้บริการ AWS ด้วย AWS Migration Competency โดยการรับรองนี้แสดงให้เห็นถึงความมุ่งมั่นของบริษัทในการนำเสนอโซลูชันและความเชี่ยวชาญด้านการโอนย้ายระบบคลาวด์ที่โดดเด่นแก่ลูกค้าองค์กร