By: lew 
on 5 March 2015 - 09:19
Tags:
Topics:
บริการ Apple Pay เป็นความภาคภูมิใจอย่างหนึ่งของแอปเปิลที่ปรับระบบการจ่ายเงินให้อยู่ในโทรศัพท์มือถืออย่างสมบูรณ์ และยังปรับระบบจ่ายเงินให้สั่งจ่ายด้วยหมายเลขแบบใช้ครั้งเดียวทิ้งแทนที่จะเป็นหมายเลขบัตรโดยตรง แต่รายงานล่าสุดจาก Wall Street Journal อ้างแหล่งข่าวไม่เปิดเผยตัวตนระบุว่าอัตราการฉ้อโกงด้วย Apple Pay นั้นสูงมาก อาจจะสูงถึง 6% ของจำนวนการจ่ายทั้งหมดเมื่อเทียบกับอัตราการฉ้อโกงด้วยบัตรธรรมดาที่ 0.1% เท่านั้น
ปัญหาสำคัญคือกระบวนการเพิ่มบัตรเข้าสู่ Apple Pay นั้นทำได้ง่ายมาก แอปเปิลจะส่งข้อมูลบางอย่างให้ธนาคารเพื่อยืนยัน เช่น หมายเลขโทรศัพท์สี่หลักสุดท้าย, ชนิดโทรศัพท์, และตำแหน่งของผู้ใช้ หากธนาคารไม่แน่ใจก็สามารถโทรถามลูกค้าเพื่อให้ยืนยันว่ากำลังเพิ่มบัตรเข้า Apple Pay จริงหรือไม่ แต่พนักงานของธนาคารไม่ได้รับการฝึกมาดีพอและชุดคำถามก็ง่ายเกินไปจนทำให้อาชญากรตอบคำถามได้โดยง่าย
แก๊งอาชญากรอาศัยช่องทางนี้ใช้ข้อมูลส่วนตัวที่ซื้อขายกันในตลาดมืดมาเพิ่มบัตรเข้าสู่ระบบ Apple Pay แล้วสั่งจ่ายเงิน
แอปเปิลระบุว่าระบบ Apple Pay ปกป้องข้อมูลลูกค้าเป็นอย่างดี แต่กระบวนการยืนยันบัตรเข้าสู่ระบบเป็นกระบวนการของแต่ละธนาคาร และธนาคารเองก็ปรับปรุงระบบอยู่ตลอดเวลา
ที่มา - Wall Street Journal, Drop Labs
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
-6%เอง
-ไม่ใช่ความผิดของระบบแอปเปิ้ล
-ผู้ร้ายอาศัยช่องโหว่ระบบธนาคาร
ค้นใจความที่จะช่วยแก้ต่างให้เรียบร้อยแล้วครับ
ถ้าเทียบกับ 0.1% มันก็ไม่ 'เอง' นะครับ ต่างกันตั้ง 6000%
เค้าประชดมั้งครับ
เห็นด้วยตรงที่ ผู้ร้ายอาศัยช่องโหว่ของธนาคาร
ถ้าถึงขั้นรู้ชื่อ หมายเลข บัตร CCV ไม่ต้อง Apple Pay ก็เอาเงินไปใช้ได้ครับ
อ่านหัวข้อข่าวทีแรกผมนึกว่า Apple Pay ทำข้อมูลบัตรเครดิตลูกค้าหลุดซะอีก ถ้าแบบนี้มันก็เป็นเรื่องที่แต่ละธนาคารต้องจัดการกันไป
อันนี้ปัญหาคือมูลค่าความเสียหายขึ้นสูงกว่าปกติ
ผมมองความเป็นไปได้ของปัญหาคือดันตรวจสอบใกล้เคียงซื้อสินค้าออนไลน์ (ที่ธนาคารจะระมัดระวังตัวกว่า เวลามี transaction) แต่ทำตัวเป็นบัตรปกติ ไปรูดตามร้านทั่วไปได้ มูลค่าความเสียหายเลยสูง
lewcpe.com, @wasonliw
ก็แค่อยากได้ NFC มาแปะแทนบัตรกระต่ายบ้างอะไรบ้าง T,T
6% สูงมากเลยนะนั่น กลายเป็นช่องให้ขโมยบัตรง่ายขึ้นไปซะงั้น
ทางแก้ที่คิดออก ถ้าเรื่องตอบคำถามเอามากรองไม่ได้ สู้ให้ลำบากหน่อย
โดยการไปแอดบัตรที่สาขา อาจจะทำให้ปลอดภัยมากกว่าแม้จะยุ่งขึ้นนิดหน่อยก็เถอะ 55
ชั้นทำช่องทางเข้าถึงเงินให้มันง่ายๆ แต่เรื่อวความปลอดภัยไปคุยกับคนเฝ้าเงินเองนะ ~ชาลาล่า
The Dream hacker..
social engineer คือพระเอกของแฮกเกอร์เสมอมา
ผมลองใช้ Apple Pay ที่อเมริกาแล้วครับ ของ Bank of America นะ
ตอนยืนยันการเพิ่มบัตรต้องโทรไปที่ Call Center แล้วตอบคำถามทั้งหมด
ชื่อ
ที่อยู่แบบเต็ม
เลขบัตร 16 ตัว
เลขหลังบัตร
และเลข Virtual Card ที่คนมีเครื่องเท่านั้นจะรู้เพราะเป็นรหัสที่สร้างขึ้นมาเฉพาะแต่ละบัตรแต่ละเครื่อง
ซึ่งข้อมูลพวกนี้ต้องตรงกับที่ให้ไว้กับธนาคาร
ถ้าถามว่าจะโกงจริงๆ มันก็โกงได้นะ แต่ก็ไม่ต่างกับบัตรเครดิททั่วไป
ยากกว่าด้วยซ้ำ เพราะบัตรเครดิททั่วไป มีแค่ตัวบัตร + เลขหลังบัตรก็เอาไปรูดซื้อของออนไลน์สบายแล้ว แต่ว่าแต่ละกระบวนการ ของแต่ละธนาคารคงต่างกัน ธนาคารอื่นอาจจะถามน้อยกว่านี้
ผมใช้บัตรเครดิตที่ไทย ส่วนใหญ่จะต้องมี OTP มาก่อน ถึงจะ add หรือใช้ได้นะครับ (น่าจะใกล้เคียงกับ Virtualcard number)
ซึ่งถ้าธนาคารไหนไม่มีของพวกนี้ ผมว่าก็เป็นความรับผิดชอบของธนาคารเองส่วนนึง
ดาต้าที่ขายกัน ให้ไปทำบัตรก๊อบ
มันมีข้อมูลให้ครบหน่ะซิครับ
ชื่อ ที่อยู่ เบอร์หน้าบัตร วันหมดอายุ เลขcvv วงเงิน
ซื้อมือถือด้วยบัตร copy
สมัคร account ผูกกับบัตร copy
Add บัตร copy เข้าเครื่อง
ทุกอย่างตรงกันเป๊ะ
จะได้ บัตร apple ของจริงมาใช้
แต่ผมก็สงสัยอยู่นะครับว่ามันต่างจากเอาข้อมูลตรงนี้ไปซื้อของออนไลน์หรือเปล่า
เพราะมันก็ทำได้เหมือนกันแถมง่ายกว่าด้วย
เพิ่มบัตรเครดิทใน Amazon นี่จบภายใน 3 คลิกเลยมั้ง ...
ผมเคยดู รายการนึง นานมาแล้วช่อง discovery มั้ง
เป็นรายการเกี่ยวกับการโจรกรรม
ขโมยรถ ค้ายา ทำบัตรเครดิตปลอม
พิธีกร กับตากล้อง ต้องไปอยู่ในแก๊งจริงๆ
ก่ออาชญากรรมกับทางแก๊ง จริง
รอเทป หมดอายุความ ถึงเอามาฉายได้
บัตร ต่อให้เป็น chip and pin
ถ้าเจอเครื่องสกีม ไม่รอดครับ
รู้ข้อมูลเท่าธนาคารยัน ทรานเซคชั่นล่าสุดเลยครับ
เหอะๆๆ
เอาจากที่เคยทำงานมาครับ จริงๆ บัตรเครดิตตัดเงินง่ายมาก ขึ้นอยู่กับระบบบริษัทที่ตัดเงิน ซึ่งผมเคยตัดเงินลูกค้าโดยไม่ต้องมีเลข CCV ด้วยซ้ำ ให้แค่มีเลขบัตรครบหลัก เดือนปีหมดอายุ แค่นั้นเอง อนึ่งเนื่องจากผมออกจากที่ทำงานเดิมมาประมาณ 1 ปีกว่าแล้วอาจจะมีการเปลี่ยน แต่ยืนยันว่าผมมีแค่ข้อมูลแค่นั้นก็ตัดเงินลูกค้าได้เพราะทำทุกวัน เป็นบริษัทเกี่ยวกับเดิมพันครับ
Issuer ไม่ว่าเจ้าไหนก็อยากได้ CVV2 มาตรวจสอบรายการทั้งนั้นแหละครับ
แต่จะมี MCC บางตัวที่เวลาทำรายการไม่จำเป็นต้องใช้ CVV2 สำหรับรายการ card-not-present ซึ่งถ้าผมจำไม่ผิด gambling นี้ก็เข้าข่ายนี้เช่นกัน ถ้าผมจำไม่ผิดนะ รอคนในแวดวงมายืนยันอีกที
COBOL !!
ตัดบัตรทุกวันนี้ Name on card ไม่มีผลด้วยครับ
Apple Pay น่าจะเทียบได้กับบัตรที่สามารถทำธุรกรรมแบบ Contactless หรือเปล่าครับเช่น VISA payWave, MasterCard PayPass
น่าจะเอาอัตรา fraud ของบัตรจำพวก contactless มาเทียบกับ Apple Pay น่าจะยุติธรรมมากกว่า (ถ้าอ้างอิงจาก คห. บนๆ ว่าเครื่อง skimmer สามารถ copy chip emv ได้)
หรือเพราะว่ากระบวนการการใช้ Apple Pay ไม่มี OTP มาช่วยป้องกันอีกที มองในแง่ของการซื้อของออนไลน์ ตอนแรกผมก็นึกว่า Apple Pay ซื้อได้เฉพาะกับ POS terminal ที่เป็นคล้ายๆ contactless นะเนี้ย
COBOL !!
Skimmer copy EMV ได้นี่ผมไม่เห็นใครพูดนะครับ มีคุณนี่ล่ะคนแรก
ผมตามข่าวมาก็ไม่เคยเห็นรายงาน
lewcpe.com, @wasonliw
เห็นของคุณ waroonh เค้าพูดไว้ด้านบนน่ะครับ
หรือเค้าหมายถึง copy ทั้ง chip, magnetic แล้วเอาไปทำ fallback อันนี้ ผมอาจจะตีความหมายผิดไป
COBOL !!
ผมลองหาดูเจอแค่ magstripe clone แล้วเอาไปซื้อสินค้าออนไลน์ ซึ่งสุดท้ายมันก็เหมือนเอาเลขหน้าบัตรไปใช้กับเว็บที่ไม่มีการตรวจสอบ
ประเด็นนี้ผมว่ามันไม่ใช่ช่องโหว่ของ EMV โดยตรงเท่าไหร่ (ถ้าจะอ่านข้อมูลจากชิป ถ่ายรูปหน้าบัตรเอาก็ได้)
lewcpe.com, @wasonliw
Ok อันนี้ผมโพสทำให้สับสน
ต้องขอโทษด้วยครับ
ปล. อ่าน data บนบัตรเพื่อให้ได้มา
ซึ่งข้อมูลของเจ้าของบัตรครับ
ระบบ แถบแม่เหล็ก ต้องยื่น card ให้ร้านค้า
ทำการรูดแถบบัตร ตัว chip and pin
เค้าจงใจออกแบยป้องกันตรงจุดนี้ แต่ไม่ได้หมายความว่า
ข้อมูลบนบัตรจะไม่รั่วออกไปครับ
ประเด็นนี้ไม่น่าจะเกี่ยวกับ บัตร Chip ไม่ Chip หรือ Apple ปล่อยข้อมูลหลุด จากหลายๆ ความเห็น
ประเด็นคือ "โจรขโมยข้อมูลบัตรตามปกตินี่แหละ" แต่เอามาผูกบัญชีกับ Apple Pay เพื่อไปใช้ซื้อของ
ไม่ต่างกับโดนขโมยบัตรแล้ว โจรรีบไปรูดซื้อทอง ซื้อนาฬิกาแพงๆ หรือ เอาไปซื้อของ On-line
แต่กระบวนการการพิสูจน์ตัวตน (Know Your Customer, KYC) ของเจ้าหน้าที่แบงก์ Verify ลูกค้าแบบหละหลวมมาก (ตามข่าว)
วิธีการซื้อของ Online นั้น ปกติ ธนาคารผู้ออกบัตร (Issuer Bank) และ ธนาคารผู้ให้บริการรับบัตร (Acquiring Bank) ที่ให้บริการ Payment Gateway จะต้องมีระบบ 3D Secure รวมถึงร้านค้า e-commerce ที่ได้มาตรฐานจะใช้มาตรฐานนี้ในการรับชำระค่าสินค้าหรือบริการ เพื่อป้องกันการโกง
สำหรับ Apple, Google นั้นจะทำการทดลองตัดเงิน เป็นจำนวนที่ต่ำมาก แล้ว คืนเงิน เข้าบัญชี เช่นเดียวกับ PayPal เพื่อตรวจสอบว่าบัตรใบนั้นสามารถตัดเงินได้จริง
โดยไม่ยืนยันตัวตนลูกค้าแต่อย่างใด แม้กระทั่งส่ง OTP ตามขั้นตอน 3D Secure
เพราะขั้นตอนดังกล่าว ลูกค้าต้องให้เบอร์โทรศัพท์กับธนาคารไว้เพื่อส่ง OTP
Apple, Google ต้องการให้ประสบการณ์การผูกบัตรเพื่อทำการซื้อ ง่าย จึงปล่อยผ่าน ขั้นตอนนี้
เชื่อว่าถ้ายังไม่ปรับเปลี่ยนวิธีการ Verify ลูกค้าที่ดีกว่านี้ รับรองเลยว่าอัตราการโกงจะสูงขึ้นเรื่อยๆ
ไปมาๆ ผมว่าที่รั่วเพราะตอนเพิ่มบัตร ใช้ข้อมูลมากกว่าซื้อของ Online เล็กน้อย
แต่พอเพิ่มได้ก็ไม่มีตรวจอะไรเพิ่มเติมเท่าไหร เลยกลายเป็นช่องให้โจรพยายามเพิ่มบัตรผ่านระบบนี้แทน
เพราะเพิ่มได้ก็ใช้ได้เต็มที่โดยธนาคารไม่มาตรวจสอบเพิ่มเติม