วันนี้ทางธนาคารแห่งประเทศไทยได้ออกมาชี้แจงเหตุการณ์ผู้ใช้จำนวนมากถูกตัดเงินออกจากบัญชีหรือถูกสั่งจ่ายบัตรเครดิตเป็นการ "สุ่มข้อมูลบัตร" โดยไม่ได้ให้ข้อมูลเพิ่มเติมว่าเป็นการสุ่มข้อมูลใดบ้าง (เฉพาะ CVV, ข้อมูลอื่นๆ, หรือเลขบัตร 16 หลักด้วย) อย่างไรก็ดีการโจมตีแบบสุ่มเลขบัตรนี้มีนานแล้ว และทาง Visa ก็ได้ออกรายงานแจ้งเตือนผู้เกี่ยวข้องเมื่อเดือนสิงหาคมที่ผ่านมา
รายงานของ Visa ระบุถึงการโจมตีที่มาเป็นคู่กัน คือ enumeration attacks หรือการสุ่มเลข และ account testing ที่คนร้ายจะทดสอบตัดเงินยอดเล็กๆ เพื่อไม่ให้เป็นที่สงสัยก่อน หากเลขบัตรใดตัดเงินผ่านก็จะเก็บเอาไว้เพื่อนำข้อมูลไปขายหรือโจมตีรุนแรงภายหลัง
ภาพโดย flyerwerk
กระบวนการสุ่มเลขนี้คนร้ายจะอาศัยการกรอกเลขเข้าไปยังร้านค้าอีคอมเมิร์ชยอดนิยม เนื่องจากร้านค้าเหล่านี้มีการส่งข้อความขอจ่ายเงินจำนวนสูงมาก จากนั้นคนร้ายจะยิงหมายเลขประจำธนาคาร (BIN), หมายเลขบัตร (PAN), วันหมดอายุ, หมายเลขยืนยัน (CVV), รวมถึงรหัสไปรษณีย์ของผู้ใช้ แล้วปล่อยให้ธนาคารผู้ออกบัตรปฎิเสธการจ่ายเงินไปเรื่อยๆ จนกว่าจะมีข้อมูลสักชุดที่จ่ายเงินสำเร็จ
การโจมตีที่ต้องอาศัยการยิงข้อความขอจ่ายเงินจำนวนมากเช่นนี้ต้องอาศัยระบบระบบฝั่งผู้ค้าที่หละหลวม Visa พบว่า payment gateway หรือ shopping cart provider บางรายเข้าข่ายถูกโจมตีมากเป็นพิเศษ และผู้ให้บริการเหล่านี้มักได้รับความนิยมกับผู้ค้าบางกลุ่ม เช่นช่วงต้นปีที่ผ่านมา Visa พบอัตราการยิงทดสอบเลขบัตรเช่นนี้จากกลุ่มร้านขายยา, มหาวิทยาลัย, ร้านค้าปลีก, และสนามกอล์ฟ โดยทาง Visa จะแจ้งเตือนผู้เกี่ยวข้องเป็นระยะถึงแนวโน้มที่ถูกโจมตี
เอกสารของ Visa แนะนำผู้เกี่ยวข้องกับการรับจ่ายเงินผ่านบัตรทั้งหมดให้เสริมความปลอดภัย เพื่อลดการโจมตีแบบเดาเลขบัตรเช่นนี้ ร้านอีคอมเมิร์ชทั้งหลายควรป้องกันตัวเองด้วยการเปิด CAPTCHA ป้องกันบอตยิงเลข, ตรวจสอบการยิงเลขบัตรซ้ำๆ จากธนาคารเดียว, การยิงเลขวิ่ง (sequential PAN), การจ่ายเงินข้ามประเทศ, และการจ่ายเงินจำนวนเท่าๆ กันซ้ำๆ สำหรับธนาคารผู้ออกบัตรนั้น Visa แนะนำให้ธนาคารผู้ออกบัตรไม่ให้ออกบัตรที่หมายเลขบัตรเรียงกัน (sequential PAN) หรือออกบัตรที่วันหมดอายุตรงกันเป็นชุดๆ รวมถึงตรวจสอบเหตุการณ์ที่การตรวจสอบหมายเลข CVV ผิดพลาดสูงผิดปกติ
ที่มา - Visa Guidance to Guard Against Enumeration Attacks and Account Testing Schemes