นักวิจัยชาวอังกฤษได้ระบุช่องโหว่ในโปรโตคอลความปลอดภัยของบัตรธนาคาร ซึ่งช่วยให้บัญชีถูกดูดออกไปในวงกว้าง โดยไม่มีใครมองเห็นหรือเป็นที่รู้จัก
ลองนึกภาพโจรสลัดที่กำลังเดินไปรอบๆ รถไฟใต้ดินโดยมีสมาร์ทโฟน Android อยู่ในมือ แต่ละครั้งที่อุปกรณ์อยู่ห่างจากบัตรธนาคาร NFC ไม่เกิน 1 เซนติเมตร ซึ่งค่อนข้างง่ายในช่วงเวลาเร่งด่วน จะตรวจสอบการชำระเงินทางธนาคารสูงถึง... 999,999.99 ยูโร! เป็นไปไม่ได้ ? น่าเสียดาย ไม่ใช่ เนื่องจากนักวิจัยด้านความปลอดภัย 5 คนจาก British University of Newcastle เพิ่งได้รับการพิสูจน์แล้ว
ด้วยการวิเคราะห์โปรโตคอล EMV ซึ่งเป็นมาตรฐานความปลอดภัยสากลสำหรับบัตรชำระเงิน ผู้เชี่ยวชาญเหล่านี้พบข้อบกพร่องที่สำคัญที่ทำให้สามารถข้ามเพดานที่กำหนดไว้สำหรับธุรกรรมแบบไร้สัมผัสได้ นี่คือ 20 ปอนด์อังกฤษในสหราชอาณาจักรและ 20 ยูโรในฝรั่งเศส หากต้องการเกินขีดจำกัดนี้ เพียงทำธุรกรรมในสกุลเงินอื่นที่ไม่ใช่สกุลเงินของบัตรที่ต้องการ ในสหราชอาณาจักร นักวิจัยสามารถตรวจสอบการโจมตีบัตรเครดิต Visa ได้ จำนวนเงินสูงสุดที่พวกเขาสามารถตรวจสอบได้คือ 999,999.99 ยูโรหรือ 999,999.99 ดอลลาร์
ในทางเทคนิคแล้ว การโจมตีไม่ได้ซับซ้อนขนาดนั้น นักวิจัยได้พัฒนาแอปที่จำลองเครื่องชำระเงินและติดตั้งลงใน Google Nexus 5 เมื่อสมาร์ทโฟนเข้าใกล้การ์ด NFC จะสร้างธุรกรรมโดยอัตโนมัติโดยที่ผู้ถือไม่รู้ตัว สิ่งนี้เป็นไปได้เนื่องจากการทำธุรกรรมแบบไร้สัมผัสไม่จำเป็นต้องใช้ PIN ในการตรวจสอบ ธุรกรรมนี้ถูกสร้างขึ้นอย่างแน่นอน แต่ยังไม่ได้ส่งไปยังธนาคาร มันถูกเก็บไว้ในเทอร์มินัลเป็นครั้งแรก เป็นไปได้อีกครั้งเพราะมาตรฐาน EMV อนุญาตการทำธุรกรรมเข้ามาออฟไลน์- ข้อดีก็คือแฮ็กเกอร์สามารถรวบรวมธุรกรรมจากเหยื่อของเขาอย่างเงียบๆ และมุ่งเน้นไปที่การกู้เงินในขั้นตอนที่สอง
อันที่จริง นักวิจัยแสดงให้เห็นว่าธุรกรรมเหล่านี้สามารถถ่ายโอนไปยังระบบการชำระเงินใดๆ ของผู้ค้าที่สมรู้ร่วมคิดในเครือเครือข่าย EMV เพื่อส่งไปยังธนาคารของเหยื่อ ในการดำเนินการนี้ เพียงเพิ่มข้อมูลที่เกี่ยวข้องกับผู้ค้ารายนี้ลงในธุรกรรมที่เก็บไว้ สิ่งนี้เป็นไปได้เนื่องจากในมาตรฐาน EMV ข้อมูลผู้ค้าไม่ได้เป็นส่วนหนึ่งของตราประทับการตรวจสอบการเข้ารหัสที่สร้างโดยบัตรธนาคาร แฮกเกอร์จึงสามารถสร้างธุรกรรมได้ จากนั้น ประการที่สอง เลือกผู้ค้าที่เขาต้องการเก็บแจ็คพอต ข้อได้เปรียบของกระบวนการนี้ก็คือ ทำให้เกิดการฉ้อโกงในวงกว้างได้ ไม่มีอะไรขัดขวางกลุ่มอาชญากรไซเบอร์จากการแฮ็กการ์ดในหลายสถานที่ในช่วงเวลาที่ยาวนานไม่มากก็น้อย
เป็นเรื่องน่าสนใจที่จะทราบว่าการโจมตีนี้ใช้ได้กับบัตร Visa ในประเทศอื่นๆ เช่น ฝรั่งเศส เป็นต้น น่าเสียดายที่นักวิจัยจำกัดตัวเองอยู่แค่บัตรธนาคารของอังกฤษ ควรสังเกตด้วยว่าบัตร Mastercard ไม่เสี่ยงต่อการโจมตีนี้ เนื่องจากไม่อนุญาตให้ใช้โหมดออฟไลน์สำหรับการทำธุรกรรมในสกุลเงินต่างประเทศ พิสูจน์ว่ามีวิธีแก้ปัญหาทางเทคนิคสำหรับข้อบกพร่องนี้
ด้านล่างนี้เป็นบทวิเคราะห์โดยนักวิจัยของนิวคาสเซิล:
อ่านเพิ่มเติม:
การแฮ็กการ์ด NFC: แผนวิกฤตลับของธนาคารฝรั่งเศส, วันที่ 16/06/2557
เรื่องอื้อฉาวบัตรธนาคารใหม่, เมื่อวันที่ 04/09/2555
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
