บัตรเครดิตแบบชิปที่บ้านเราใช้งานโดยทั่วไปยังคงไม่มีรายงานการปลอมแปลงในโลกความเป็นจริง ช่วยลดปริมาณการใช้บัตรโดยอาชญากรได้อย่างมาก ในยุโรปหลายประเทศบังคับให้ต้องยืนยันตัวตนด้วยสองปัจจัย เช่น ตัวบัตรชิป และรหัสผ่าน (PIN) ทำให้แม้บัตรจะสูญหายแต่อาชญากรก็นำไปใช้งานไม่ได้ แต่รายงานล่าสุดพบว่าอาชญากรสามารถข้ามระบบตรวจสอบรหัสผ่านได้สำเร็จ ทำให้สามารถใช้บัตรที่ขโมยมาไปจ่ายเงินได้แล้ว
คดีนี้เกิดขึ้นมาตั้งแต่ปี 2011 เมื่อบัตรที่ถูกขโมยไปจากฝรั่งเศสกลับถูกใช้งานได้สำเร็จในเบลเยียม ตำรวจตามรอยจากประวัติการใช้งาน และเทียบข้อมูลกับหมายเลขโทรศัพท์มือถือที่ใช้งานในย่านเดียวกัน จนกระทั่งจับตัวหญิงสาวอายุ 25 ปีพร้อมสินค้าจำนวนมากกำลังนำไปขายในตลาดมืด จากนั้นจึงขยายผลจับกุมชายอีกสี่คน พร้อมบัตรเครดิตที่ถูกขโมยมา 25 ใบ
เมื่อตรวจสอบบัตรพบว่าบัตรเครดิตเป็นบัตรที่ถูกดัดแปลง เป็นชิปซ้อนชิปอยู่อีกชั้น บัตรชิปที่ซ้อนอยู่เป็นบัตร FUNcard ที่ใช้ชิป AVR และสามารถเขียนโปรแกรมลงไปเองได้
เมื่อทดสอบตัวบัตรพบว่าบัตรถูกโปรแกรมให้ข้ามขั้นตอนยืนยันตัวตนผู้ใช้ (VerifyPIN) โดยบัตร FUNcard จะตอบว่ารหัสผ่านถูกต้องเสมอ ไม่ว่าบัตรจริงที่ซ้อนอยู่ข้างใต้จะตอบว่าอะไรก็ตาม เมื่อตรวจสอบพบว่าคำสั่ง VerifyPIN จะถูกดักไว้ที่ FUNcard โดยไม่ถูกส่งไปยังชิปจริง
แนวทางนี้ทางทีมวิจัยระบุว่ามีความเป็นไปได้ ที่จะใช้แนวทางนี้โจมตีรูปแบบอื่นๆ เช่น การดักฟังโทรศัพท์มือถือ ที่ใช้ชิปซ้อนเข้าไปกับซิมการ์ดเพื่อขโมยกุญแจการเชื่อมต่อ (session key), การบันทึกข้อมูลการโต้ตอบระหว่างบัตรจริงและสมาร์ตการ์ด
กระบวนการนี้ข้ามได้เฉพาะการยืนยันรหัสผ่าน โดยทั่วไปแล้วบัตรยังไม่สามารถทำสำเนาได้สำหรับเมืองไทยเองที่ใช้บัตรควบคู่กับลายเซ็นคงไม่ต่างไปนัก โดยควรตรวจสอบว่าบัตรยังอยู่กับตัวหรือไม่เสมอๆ และรีบโทรระงับบัตรเมื่อบัตรสูญหาย
ที่มา - ArsTechnica, When Organized Crime Applies Academic Results (PDF)