รู้จักการโจมตีบัตรเครดิตแบบ Enumeration Attacks เมื่อคนร้ายเดาเลขบัตรเครดิตโดยไม่ต้องรอข้อมูลรั่ว

ภาพโดย flyerwerk   วันนี้ทางธนาคารแห่งประเทศไทยได้ออกมาชี้แจงเหตุการณ์ผู้ใช้จำนวนมากถูกตัดเงินออกจากบัญชีหรือถูกสั่งจ่ายบัตรเครดิตเป็นการ “สุ่มข้อมูลบัตร” โดยไม่ได้ให้ข้อมูลเพิ่มเติมว่าเป็นการสุ่มข้อมูลใดบ้าง (เฉพาะ CVV, ข้อมูลอื่นๆ, หรือเลขบัตร 16 หลักด้วย) อย่างไรก็ดีการโจมตีแบบสุ่มเลขบัตรนี้มีนานแล้ว และทาง Visa ก็ได้ออกรายงานแจ้งเตือนผู้เกี่ยวข้องเมื่อเดือนสิงหาคมที่ผ่านมา รายงานของ Visa ระบุถึงการโจมตีที่มาเป็นคู่กัน คือ enumeration attacks หรือการสุ่มเลข และ account testing ที่คนร้ายจะทดสอบตัดเงินยอดเล็กๆ เพื่อไม่ให้เป็นที่สงสัยก่อน หากเลขบัตรใดตัดเงินผ่านก็จะเก็บเอาไว้เพื่อนำข้อมูลไปขายหรือโจมตีรุนแรงภายหลัง กระบวนการสุ่มเลขนี้คนร้ายจะอาศัยการกรอกเลขเข้าไปยังร้านค้าอีคอมเมิร์ชยอดนิยม เนื่องจากร้านค้าเหล่านี้มีการส่งข้อความขอจ่ายเงินจำนวนสูงมาก จากนั้นคนร้ายจะยิงหมายเลขประจำธนาคาร (BIN), หมายเลขบัตร (PAN), วันหมดอายุ, หมายเลขยืนยัน (CVV), รวมถึงรหัสไปรษณีย์ของผู้ใช้ แล้วปล่อยให้ธนาคารผู้ออกบัตรปฎิเสธการจ่ายเงินไปเรื่อยๆ จนกว่าจะมีข้อมูลสักชุดที่จ่ายเงินสำเร็จ การโจมตีที่ต้องอาศัยการยิงข้อความขอจ่ายเงินจำนวนมากเช่นนี้ต้องอาศัยระบบระบบฝั่งผู้ค้าที่หละหลวม Visa พบว่า payment gateway หรือ shopping cart provider บางรายเข้าข่ายถูกโจมตีมากเป็นพิเศษ และผู้ให้บริการเหล่านี้มักได้รับความนิยมกับผู้ค้าบางกลุ่ม เช่นช่วงต้นปีที่ผ่านมา Visa พบอัตราการยิงทดสอบเลขบัตรเช่นนี้จากกลุ่มร้านขายยา, มหาวิทยาลัย,…

รู้เท่าทันแฮกเกอร์ กับเทคนิคเจาะข้อมูลแบบ “วิศวกรรมสังคม”

  รู้เท่าทันแฮกเกอร์ กับเทคนิคเจาะข้อมูลแบบ “วิศวกรรมสังคม” 5 รูปแบบ ผ่านพฤติกรรมของเรา   วิศวกรรมสังคม (Social Engineering) เป็นวิชาทางจิตวิทยาแขนงหนึ่ง เกี่ยวข้องกับ การรับรู้ข้อมูลของมนุษย์และการแสดงท่าทีต่อข้อมูลนั้น ซึ่งมิจฉาชีพมักจะนำสิ่งเหล่านี้มาใช้ในการลวง และเจาะข้อมูลบุคคลเพื่อนำไปใช้ในทางที่ไม่ดี เช่น ข้อมูลบัตรเครดิต, หลอกให้โอนงาน, นำข้อมูลส่วนตัว ไปใช้ในทางผิดกฎหมาย และอื่น ๆ ที่ส่งผลกระทบกับผู้ที่ถูกกระทำหากเคยได้ยินข่าวกันบ้างอย่างเช่น โทรศัพท์เข้ามาอ้างตัวเป็นคอลเซ็นเตอร์ธนาคาร เพื่อสอบถามข้อมูลส่วนตัวนำไปทำธุรกรรมยักยอกเงินจากบัญชีของเจ้าของเบอร์ เป็นต้น สิ่งเหล่านี้รุนแรง และมีรูปแบบที่หลากหลายมากยิ่งขึ้นพร้อมกับการมาถึงของยุคดิจิทัล ซึ่งเทคนิคดังกล่าว ไม่ได้อาศัยช่องโหว่ของระบบ หรือเทคโนโลยีใด ๆ หากใช้แต่เพียงช่องโหว่จากพฤติกรรมของเหยื่อ ที่มีต่อข้อมูลนั้น ๆ ในการเข้าถึงข้อมูล     การเจาะข้อมูลแบบ “วิศวกรรมสังคม” ผ่านอุปกรณ์อิเล็กทรอนิกส์มี 5 รูปแบบหลัก ๆ ด้วยกันคือ   1. Baiting “ใช้เหยื่อล่อ” เป็นรูปแบบที่มีการใช้รางวัล หรือสิ่งตอบแทนเป็นเหยื่อล่อ ให้บุคคลที่ติดเหยื่อ นั้นถูกล้วงข้อมูล หรือเข้าถึงอุปกรณ์อิเล็กทรอนิกส์ที่มีข้อมูลส่วนบุคคลอยู่…

ไมโครซอฟท์รายงานภัยไซเบอร์ปี 2021 การโจมตีส่วนมากมาจากรัสเซีย, Ransomware โจมตีกลุ่มค้าปลีกหนักสุด

  ไมโครซอฟท์ออกรายงานการป้องกันภัยไซเบอร์ประจำปี 2021 ซึ่งครอบคลุมเหตุการณ์ช่วงกลางปี 2020 จนถึงกลางปี 2021 ที่ผ่านมา แสดงถึงระดับภัยที่สูงขึ้นในปีที่ผ่านมา ระบบเศรษฐกิจของกลุ่มคนร้ายในโลกไซเบอร์มีระบบเศรษฐกิจหมุนเวียนในตัวเอง   การโจมตีรูปแบบต่างๆ มีค่าใช้จ่ายเฉลี่ย เช่น ค่าเจาะระบบ 250 ดอลลาร์ (8,000 บาท), ค่าใช้มัลแวร์เรียกค่าไถ่ 66 ดอลลาร์ (2,000 บาท), ค่ารหัสผ่านที่ถูกเจาะ 0.97 ดอลลาร์ (30 บาท) ต่อ 1,000 รายการ, ค่าส่งเมลหลอกลวงแบบเจาะจง (spearphishing) ครั้งละ 100 – 1,000 ดอลลาร์ (3,400 – 34,000 บาท) รายงานพบว่ากลุ่มแฮกเกอร์ระดับรัฐ (nation state actor) มาจากฝั่งรัสเซียสูงสุด โดยนับจากปริมาณการโจมตี รองลงมาได้แก่ เกาหลีเหนือ, อิหร่าน, จีน, เกาหลีใต้, ตุรกี…

รายงานล่าสุดแคสเปอร์สกี้เผย ผู้ใช้โซเชียลมีเดียอาเซียน 76% ตระหนักภัยไซเบอร์ ไม่เก็บข้อมูลการเงินไว้ในออนไลน์

หากคุณหวั่นใจทุกครั้งที่ต้องกรอกข้อมูลเครดิตการ์ด หรือข้อมูลการเงินลงในเว็บไซต์ช้อปปิ้งหรือในแอปชำระเงิน คุณไม่ใช่คนเดียวแน่นอน อย่างน้อยตามข้อมูลการสำรวจเรื่อง “Making Sense of Our Place in the Digital Reputation Economy” โดยแคสเปอร์สกี้ บริษัทด้านความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวทางดิจิทัลระดับโลก พบว่าข้อมูลส่วนบุคคลบางประเภทนั้น ถือเป็นของศักดิ์สิทธิ์อย่างยิ่งสำหรับผู้ใช้โซเชียลมีเดียในเอเชียตะวันออกเฉียงใต้ และโดยมากมักเลือกไม่แชร์หรือเก็บทางออนไลน์     ผู้เข้าร่วมการสำรวจส่วนมาก (76%) จากทั้งหมด 861 คนในภูมิภาคนี้ยืนยันความตั้งใจที่จะเก็บข้อมูลที่เกี่ยวกับเรื่องเงินๆ ทองๆ เช่น รายละเอียดบัตรเดบิต บัตรเครดิต ให้ห่างจากอินเทอร์เน็ตเป็นอันดับหนึ่ง อัตราส่วนของกลุ่มคนที่เลือกที่จะไม่เก็บข้อมูลการเงินทางออนไลน์ มีอัตราสูงที่สุดในกลุ่ม Baby Boomers (85%) ตามด้วย Gen X (81%) และมิลเลนเนียล (75%) ในขณะที่เจเนเรชั่นที่เด็กที่สุด Gen Z นั้นเพียง 68% ไม่ใช่เรื่องแปลก จากงานวิจัยหลายชิ้นต่างระบุถึงประชากรรุ่นใหม่ของภูมิภาคเอเชียตะวันออกเฉียงใต้ ว่าเป็นตัวหลักสำคัญในการขับเคลื่อนไปสู่ระบบการชำระเงินทางอิเล็กทรอนิกส์ รวมไปถึงประชากรจำนวนมากในภูมิภาคที่ยังเข้าไม่ถึงบริการการเงิน หรือยังไม่ได้โอกาสใช้บริการการเงิน และอัตราการใช้งานอุปกรณ์โมบายที่เป็นที่นิยม รวมทั้งการผลักดันจากภาครัฐให้ใช้ระบบการชำระเงินแบบดิจิทัล  …

ช่องโหว่ Zoom ทำให้คุณตกอยู่ในความเสี่ยง แฮกเกอร์แฝงตัว ร่วมประชุมออนไลน์

  ความปลอดภัยเป็นปัญหาใหญ่ของแพลตฟอร์มประชุมออนไลน์ตัวดัง อย่าง Zoom ที่อาจเป็นต้นเหตุทำให้อุปกรณ์ของคุณ เสี่ยงต่อการถูกแฮกเกอร์โจมตี ในการประชุมด้านความปลอดภัยของ Pwn2Own ได้เปิดเผยช่องโหว่ Zero-day ของ Zoom ในเวอร์ชั่นเดสก์ท็อป ซึ่งช่องโหว่ที่เกิดขึ้นนั้นสามารถเปิดโอกาสให้แฮกเกอร์รันโค้ดแบบสุ่มบนอุปกรณ์ของผู้ใช้ผ่านการโทร และร้ายแรงถึงขนาดท่ีเข้ายึดระบบทั้งหมดได้ สิ่งที่น่ากลัวกว่านั้นก็คือแฮกเกอร์สามารถควบคุมคอมพิวเตอร์จากระยะไกลได้ ขณะที่กำลังใช้งาน Zoom โดยที่ผู้ใช้ไม่จำเป็นต้องคลิกลิงก์หรือเปิดไฟล์แนบใด ๆ การควบคุมที่ว่าทำได้ถึงขั้นเปิดเว็บแคม ไมโครโฟน อ่านอีเมลของผู้ใช้ รวมถึงดาวน์โหลดประวัติการท่องเว็บของเหยื่อ ซึ่งเป็นข้อมูลส่วนตัวที่ไม่ต้องการเปิดเผยให้ใครรู้ ในขณะที่ Zoom ยืนยันว่าได้ให้ความสำคัญกับความปลอดภัยเป็นอย่างมาก และกำลังเดินหน้าเพื่อแก้ปัญหานี้ โดยการโจมตีที่พบมาจากผู้แอบแฝงเข้าร่วมประชุม ซึ่งป้องกันได้จากฝั่งผู้ใช้งาน โดย Zoom Chat , Zoom Meetings และ Zoom Video จะไม่ได้รับผลกระทบจากปัญหาที่เกิดขึ้น หรือหากพบความผิดปกติ สามารถส่งรายงานไปยังศูนย์ความเชื่อถือของ Zoom ได้ อย่างไรก็ตาม Zoom ไม่ใช่ผู้ให้บริการประชุมออนไลน์ที่มีช่องโหว่เพียงรายเดียว เนื่องจากที่ผ่านมามีแฮกเกอร์รายอื่นอ้างสิทธิ์ 200,000 ดอลลาร์ จากการเปิดเผยช่องโหว่ใน Microsoft Teams เช่นกัน…

บริษัท ‘ไอที’ ก็แพ้ให้ ‘แรนซัมแวร์’

  ผ่านมามีบริษัททางด้านไอทีที่น่าจะมีความรู้ และเครื่องมือระดับสูงในการป้องกันภัยคุกคาม พลาดท่าถูกมัลแวร์เรียกค่าไถ่ หรือแรนซัมแวร์โจมตี เหตุการณ์นี้ได้แสดงให้เห็นว่าทุกบริษัทล้วนมีความเสี่ยงที่จะตกเป็นเหยื่อของภัยคุกคามได้เสมอ [บทความนี้ตีพิมพ์เมื่อวันที่ 5 เมษายน 2564 เขียนโดยนักรบ เนียมนามธรรม คอลัมน์ Think Secure หนังสือพิมพ์กรุงเทพธุรกิจ]   คงไม่มีใครคาดคิดว่าบริษัททางด้านไอทีที่น่าจะมีความรู้ และเครื่องมือระดับสูงในการป้องกันภัยคุกคามจะพลาดท่าถูกมัลแวร์เรียกค่าไถ่ หรือแรนซัมแวร์โจมตี แต่เมื่อไม่กี่วันที่ผ่านมาแทบทั้งโลกก็ต้องตะลึง หลังบริษัทผู้ผลิตคอมพิวเตอร์ชื่อดังจากไต้หวันออกมายอมรับว่า ถูกแรนซัมแวร์โจมตีสำเร็จซึ่งบริษัทนี้คนไทยส่วนใหญ่รู้จักและใช้คอมพิวเตอร์ที่เขาผลิตเสียด้วยครับ เรื่องเริ่มจากกลุ่ม REvil นักเรียกค่าไถ่ไซเบอร์ได้ออกมาอ้างว่า ทางกลุ่มต้องการค่าไถ่ไม่น้อยกว่า 50 ล้านดอลลาร์จากบริษัทผู้ผลิตคอมพิวเตอร์ชื่อดังจากไต้หวันที่ตกเป็นเหยื่อ โดยราคานี้เป็นราคาที่กลุ่ม REvil รับได้ถ้าเหยื่อยอมจ่ายตามที่เรียกอย่างรวดเร็ว แต่ก็ถือเป็นค่าไถ่ที่แพงมากกว่าปกติอยู่ดีเพราะค่าไถ่สูงสุดที่กลุ่มนี้เรียกจากเหยื่อรายอื่นเมื่อเดือนที่ผ่านมายังอยู่ที่ 30 ล้านดอลลาร์ บทสนทนาระหว่างตัวแทนของบริษัทและกลุ่ม REvil ถูกเปิดเผยว่า มีการต่อรองให้ลดราคาค่าไถ่ลงมาประมาณ 20% ถ้าบริษัทยอมจ่ายเงินภายในวันที่กำหนด และถ้าไม่มีความคืบหน้าต่อจากนี้ภายใน 8 วัน จะต้องจ่ายค่าไถ่สูงขึ้นเป็นเงินถึง 100 ล้านดอลลาร์เลยทีเดียว   นี่คือวิธีการที่กลุ่ม REvil ใช้กระตุ้นให้บริษัทที่ตกเป็นเหยื่อร้อนรน หลังจากที่เจาะเข้าระบบของบริษัทที่ตกเป็นเหยื่อได้พวกเขาก็จะเริ่มสูบข้อมูลลับหรือข้อมูลสำคัญ จากนั้นก็เปิดประมูลเพื่อขายข้อมูลของเหยื่อที่ขโมยมาในเว็บใต้ดินของกลุ่มต่อ โดยจะมีการนำไฟล์ข้อมูลบางส่วนมาแสดงให้เห็นว่าข้อมูลที่ขโมยมามีฐานข้อมูลลูกค้าของบริษัท รวมถึงหมายเลขบัญชี…