นักวิจัยเผยสามารถแฮ็กบัตร ATM แบบชิปได้สำเร็จ

ช่วงที่ผ่านมาเราเห็นความพยายามในการส่งเสริมให้ใช้บัตร ATM เป็นบัตรแบบชิปและรหัส PIN แทนการใช้บัตรแถบแม่เหล็กแบบเดิม  อันเนื่องมาจากเหตุผลด้านความปลอดภัย

หากแต่ประเด็นเรื่องความปลอดภัยนี้อาจจะต้องถูกตั้งคำถามอีกครั้ง  เมื่อทีมวิจัย Rapid7 ได้สาธิตวิธีการขโมยข้อมูลบัตรแบบชิปนี้ในงาน Black Hat 2016 ซึ่งเป็นงานสัมนาเกี่ยวกับแฮ็กเกอร์ที่จัดขึ้นที่ลาสเวกัส

ซึ่งวิธีการที่กลุ่มนักวิจัยเลือกใช้นั้นคือการใช้เครื่อง Shimmer ในการอ่านและคัดลอกข้อมูลบนชิปรวมถึงรหัสพินที่ผู้ใช้กด  จากนั้นก็ใช้โทรศัพท์มือถือเชื่อมต่อเข้ามาดาวน์โหลดข้อมูลบัตรออกไปเพื่อใช้สร้างบัตรใหม่

shim-in-situ.png

อย่างไรก็ดี  โดยปกติแล้วเมื่อมีการกระทำธุรกรรมใดๆ ด้วยบัตรแบบชิป  บัตรจะมีการสร้าง Unique ID ขึ้นเพื่อใช้ในการทำธุรกรรมนั้นๆ และ Unique ID นี้จะหมดอายุลงเมื่อผ่านไปชั่วเวลาหนึ่ง (ต่างกับบัตรแถบแม่เหล็ก  ที่ไม่มีการสร้าง Unique ID ทำให้สามารถคัดลอกข้อมูลบนแถบแม่เหล็กไปใช้ได้ตลอดจนบัตรหมดอายุ) ทำให้บัตรที่สร้างขึ้นใหม่นี้จะสามารถใช้ได้ในช่วงเวลาสั้นๆ เท่านั้น

ซึ่งทีมวิจัยก็แก้เกมด้วยการโปรแกรมให้บัตรสั่งจ่ายเงินออกมาทันทีเมื่อเสียบเข้าไปในตู้ ATM ครับ  ซึ่งทีมวิจัยสามารถสั่งให้ตู้จ่ายเงินออกมาได้กว่า $50,000 หรือกว่า 1.7 ล้านบาทเลยทีเดียว  โดยขั้นตอนทั้งหมดนี้ใช้เวลาราว 15 นาทีเท่านั้น

_90668113_whatsubject.jpg

ความเห็นของเรา

ตอนนี้เรากำลังรณรงค์ให้ใช้บัตรชิปแทนแถบแม่เหล็ก  ด้วยเหตุผลด้านความปลอดภัย  แต่สุดท้ายแล้วก็ยังไม่รอดมือแฮ็กเกอร์อยู่ดีครับ

อย่างไรก็ดีการแฮ็กแบบนี้ก็ไม่ใช่จะสามารถทำได้ 100% ครับ  เพราะตู้ ATM หรือเครื่องรูดบัตร  จะต้องเก่าระดับหนึ่ง  และเหมือนจะต้องเป็นเฉพาะยี่ห้อด้วยครับ (ทีมวิจัยไม่ได้เปิดเผยข้อมูลส่วนนี้ออกมา  เพื่อป้องกันการเอาข้อมูลนี้ไปเป็นเป้าหมายการขโมยข้อมูลครับ) ซึ่งในอนาคตคาดว่าผู้ผลิตตู้ ATM และเครื่องรูดบัตร  น่าจะออกแพทช์มาแก้ไขข้อผิดพลาดนี้อย่างแน่นอน

ที่มา – The Hacker News, The Next Web