ธนาคารแห่งประเทศไทยโพสชี้แจงเพิ่มเติมถึงเหตุผู้ใช้ถูกเรียกเก็บเงินโดยไม่ได้ใช้งาน ว่าคนร้ายนั้นสุ่มข้อมูล ทั้งหมายเลขบัตร และวันที่หมดอายุ โดยคนร้ายทำสำเร็จเพราะร้านค้าออนไลน์บางประเทศไม่มีการยืนยันข้อมูลด้วย OTP รวมถึงไม่ยืนยันแม้แต่รหัสหลังบัตร CVV นับเป็นการยืนยันว่าการโจมตีช่วงสัปดาห์ที่ผ่านมาคือการโจมตีแบบ Enumeration Attack ตามที่ Visa เคยแจ้งเตือน
โพสนี้ยังระบุว่าเหตุการสุ่มหมายเลขบัตรนี้ไม่ได้เกิดกับทุกธนาคาร โดยไม่ได้แจกแจงเพิ่มเติมว่าธนาคารใดถูกโจมตีหรือไม่ถูกโจมตีบ้าง แต่ระบุว่า "ธนาคารที่ตั้งเกณฑ์การตรวจจับไว้ไม่เข้มอาจจะมีธุรกรรมเหล่านี้หลุดมาได้"
Visa แนะนำให้ร้านค้าอีคอมเมิร์ชเพิ่มมาตรการความปลอดภัยเพื่อป้องกัน Enumeration Attack มาตั้งแต่เดือนกันยายนปีที่แล้ว โดยแนะนำให้เปิด CAPTCHA ป้องกันการสั่งจ่ายอัตโนมัติ, ตรวจสอบอัตราการจ่ายเงินล้มเหลว, ตรวจจับไอพีที่สั่งจ่ายล้มเหลวบ่อยๆ, เปิดบริการ 3D Secure เพื่อใช้ OTP ยืนยันการจ่าย
หลังจากนั้น Visa ออกรายงานแนะนำธนาคารอีกครั้งเมื่อเดือนสิงหาคมที่ผ่านมา แนะนำไม่ให้ออกบัตรโดยหมายเลขบัตรเรียงกันและมีวันหมดอายุตรงกันเป็นชุดๆ, ตรวจสอบการจ่ายเงินล่มเหลวว่ามาจากผู้ค้ารายใดมากเป็นพิเศษ
ที่มา - Bank of Thailand