บัตร ATM แบบ Chip-and-pin ไม่ได้ปลอดภัยเสมอไป Rapid 7 สาธิตการแฮ็คโชว์

rapid7_logo

ภายในงาน Black Hat USA 2016 ที่เพิ่งจัดไปที่ลาสเวกัส ทีมนักวิจัยจาก Rapid 7 สาธิตวิธีปรับแต่อุปกรณ์แบบง่ายๆ ซึ่งเพียงพอที่จะให้แฮ็คเกอร์สามารถบายพาสระบบป้องกัน Chip-and-Pin ของบัตร ATM เพื่อขโมยเงินจากตู้ ATM หรือทำธุรกรรมโดยไม่ได้รับอนุญาตได้

Credit: ShutterStock.com
Credit: ShutterStock.com

นักวิจัยจาก Rapid 7 ระบุ สามารถก๊อบปี้บัตร ATM แบบ Chip-and-Pin ได้ง่ายไม่ต่างกับบัตร ATM ที่ใช้แถบแม่เหล็ก โดยพวกเขาได้ทำการสาธิตการแฮ็คบัตร Chip-and-Pin และถอนเงินจากตู้ ATM ในสหรัฐฯ ได้มากถึง $50,000 (ประมาณ 1.74 ล้านบาท) โดยใช้เวลาไม่ถึง 15 นาที

การแฮ็คบัตร ATM แบบ Chip-and-Pin ประกอบด้วย 2 ขั้นตอน คือ

ขั้นตอนแรก แฮ็คเกอร์จำเป็นต้องติดตั้งอุปกรณ์ขนาดเล็ก เรียกว่า Shimmer บนเครื่อง POS (Card Reader บัตร ATM) เพื่อที่จะทำการโจมตีแบบ Man-in-the-Middle ระบบ ATM ซึ่ง Shimmer จะถูกติดตั้งระหว่างตัว Chip และ Card Reader และทำการบันทึกข้อมูลที่ส่งผ่านจาก Chip ซึ่งก็คือรหัส PIN จากนั้นส่งข้อมูลต่อให้ทางแฮ็คเกอร์

จากนั้น แฮ็คเกอร์สามารถใช้สมาร์ทโฟนเพื่อดาวน์โหลดข้อมูลที่ขโมยออกมา แล้วทำการสร้างบัตร ATM ของเหยื่อใหม่ เท่านี้ก็สามารถทำธุรกรรมผ่านตู้ ATM หรือกดเงินสดออกมาได้ทันที

chip-and-pin_atm_card_hack

ที่สำคัญคือ Shimmer เป็นเพียงอุปกรณ์ขนาดเล็กที่สร้างขึ้นโดย Raspberry Pi เท่านั้น และสามารถติดตั้งเพื่อขโมยข้อมูล Chip ได้อย่างง่ายดายจากภายนอกตู้ ATM โดยไม่จำเป็นต้องแงะ หรือเปิดตู้เข้าไปด้านในแต่อย่างใด แฮ็คเกอร์สามารถโคลนบัตร ATM ได้ภายในเวลาไม่กี่นาที และหลอกตู้ ATM เพื่อกดเงินสดออกมาได้สูงสุดถึง $50,000

ทีมนักวิจัยของ Rapid 7 แจ้งรายละเอียดเกี่ยวกับวิธีแฮ็คดังกล่าวไปยังธนาคารและผู้ผลิตตู้ ATM เรียบร้อย โดยคาดหวังว่าจะเห็นการเปลี่ยนแปลงของระบบความมั่นคงปลอดภัยของตู้ ATM และบัตร ATM แบบ Chip-and-Pin เร็วๆนี้

อ่านรายละเอียด “Hacking Next-Gen ATMs: From Capture to Washout” [PDF]

ที่มา: http://thehackernews.com/2016/08/hacking-chip-pin-card.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

อัพเดตฟีเจอร์ใหม่บน Google Maps จากงาน Google I/O 2022

ในงาน Google I/O 2022 ได้มีการพูดถึงฟีเจอร์ใหม่ๆ ในกลุ่มผลิตภัณฑ์ของ Google มากมายทั้ง Android, Application, Cloud และอื่นๆ นับร้อยรายการ รวมถึง Google …

ผู้เชี่ยวชาญเผยแอคเค้าน์คุณถูกขโมยได้แม้ยังไม่สมัคร

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกมาเปิดเผยช่องทางที่แอคเค้าน์ของเราอาจถูกชิงไปแล้วแม้จะยังไม่ทันสมัครใช้บริการ