ช่วงที่ผ่านมาเราเห็นความพยายามในการส่งเสริมให้ใช้บัตร ATM เป็นบัตรแบบชิปและรหัส PIN แทนการใช้บัตรแถบแม่เหล็กแบบเดิม อันเนื่องมาจากเหตุผลด้านความปลอดภัย
หากแต่ประเด็นเรื่องความปลอดภัยนี้อาจจะต้องถูกตั้งคำถามอีกครั้ง เมื่อทีมวิจัย Rapid7 ได้สาธิตวิธีการขโมยข้อมูลบัตรแบบชิปนี้ในงาน Black Hat 2016 ซึ่งเป็นงานสัมนาเกี่ยวกับแฮ็กเกอร์ที่จัดขึ้นที่ลาสเวกัส
ซึ่งวิธีการที่กลุ่มนักวิจัยเลือกใช้นั้นคือการใช้เครื่อง Shimmer ในการอ่านและคัดลอกข้อมูลบนชิปรวมถึงรหัสพินที่ผู้ใช้กด จากนั้นก็ใช้โทรศัพท์มือถือเชื่อมต่อเข้ามาดาวน์โหลดข้อมูลบัตรออกไปเพื่อใช้สร้างบัตรใหม่
อย่างไรก็ดี โดยปกติแล้วเมื่อมีการกระทำธุรกรรมใดๆ ด้วยบัตรแบบชิป บัตรจะมีการสร้าง Unique ID ขึ้นเพื่อใช้ในการทำธุรกรรมนั้นๆ และ Unique ID นี้จะหมดอายุลงเมื่อผ่านไปชั่วเวลาหนึ่ง (ต่างกับบัตรแถบแม่เหล็ก ที่ไม่มีการสร้าง Unique ID ทำให้สามารถคัดลอกข้อมูลบนแถบแม่เหล็กไปใช้ได้ตลอดจนบัตรหมดอายุ) ทำให้บัตรที่สร้างขึ้นใหม่นี้จะสามารถใช้ได้ในช่วงเวลาสั้นๆ เท่านั้น
ซึ่งทีมวิจัยก็แก้เกมด้วยการโปรแกรมให้บัตรสั่งจ่ายเงินออกมาทันทีเมื่อเสียบเข้าไปในตู้ ATM ครับ ซึ่งทีมวิจัยสามารถสั่งให้ตู้จ่ายเงินออกมาได้กว่า $50,000 หรือกว่า 1.7 ล้านบาทเลยทีเดียว โดยขั้นตอนทั้งหมดนี้ใช้เวลาราว 15 นาทีเท่านั้น
ความเห็นของเรา
ตอนนี้เรากำลังรณรงค์ให้ใช้บัตรชิปแทนแถบแม่เหล็ก ด้วยเหตุผลด้านความปลอดภัย แต่สุดท้ายแล้วก็ยังไม่รอดมือแฮ็กเกอร์อยู่ดีครับ
อย่างไรก็ดีการแฮ็กแบบนี้ก็ไม่ใช่จะสามารถทำได้ 100% ครับ เพราะตู้ ATM หรือเครื่องรูดบัตร จะต้องเก่าระดับหนึ่ง และเหมือนจะต้องเป็นเฉพาะยี่ห้อด้วยครับ (ทีมวิจัยไม่ได้เปิดเผยข้อมูลส่วนนี้ออกมา เพื่อป้องกันการเอาข้อมูลนี้ไปเป็นเป้าหมายการขโมยข้อมูลครับ) ซึ่งในอนาคตคาดว่าผู้ผลิตตู้ ATM และเครื่องรูดบัตร น่าจะออกแพทช์มาแก้ไขข้อผิดพลาดนี้อย่างแน่นอน
ที่มา – The Hacker News, The Next Web
