แบงค์ชาติระบุเหตุเงินรั่วเกิดจากคนร้ายสุ่มทั้งเลขบัตรและวันหมดอายุบัตร บางเว็บไม่ถามแม้แต่ CVV ระบุโดนโจมตีแค่บางธนาคาร

ธนาคารแห่งประเทศไทยโพสชี้แจงเพิ่มเติมถึงเหตุผู้ใช้ถูกเรียกเก็บเงินโดยไม่ได้ใช้งาน ว่าคนร้ายนั้นสุ่มข้อมูล ทั้งหมายเลขบัตร และวันที่หมดอายุ โดยคนร้ายทำสำเร็จเพราะร้านค้าออนไลน์บางประเทศไม่มีการยืนยันข้อมูลด้วย OTP รวมถึงไม่ยืนยันแม้แต่รหัสหลังบัตร CVV นับเป็นการยืนยันว่าการโจมตีช่วงสัปดาห์ที่ผ่านมาคือการโจมตีแบบ Enumeration Attack ตามที่ Visa เคยแจ้งเตือน

โพสนี้ยังระบุว่าเหตุการสุ่มหมายเลขบัตรนี้ไม่ได้เกิดกับทุกธนาคาร โดยไม่ได้แจกแจงเพิ่มเติมว่าธนาคารใดถูกโจมตีหรือไม่ถูกโจมตีบ้าง แต่ระบุว่า “ธนาคารที่ตั้งเกณฑ์การตรวจจับไว้ไม่เข้มอาจจะมีธุรกรรมเหล่านี้หลุดมาได้”

Visa แนะนำให้ร้านค้าอีคอมเมิร์ชเพิ่มมาตรการความปลอดภัยเพื่อป้องกัน Enumeration Attack มาตั้งแต่เดือนกันยายนปีที่แล้ว โดยแนะนำให้เปิด CAPTCHA ป้องกันการสั่งจ่ายอัตโนมัติ, ตรวจสอบอัตราการจ่ายเงินล้มเหลว, ตรวจจับไอพีที่สั่งจ่ายล้มเหลวบ่อยๆ, เปิดบริการ 3D Secure เพื่อใช้ OTP ยืนยันการจ่าย

หลังจากนั้น Visa ออกรายงานแนะนำธนาคารอีกครั้งเมื่อเดือนสิงหาคมที่ผ่านมา แนะนำไม่ให้ออกบัตรโดยหมายเลขบัตรเรียงกันและมีวันหมดอายุตรงกันเป็นชุดๆ, ตรวจสอบการจ่ายเงินล่มเหลวว่ามาจากผู้ค้ารายใดมากเป็นพิเศษ

ที่มา – Blognone

คดีพลิก ไม่เคยซื้อของออนไลน์ บัตรก็ถูกโจรกรรมได้

ใครที่มีบัตรเดบิตทุกคน ควรทราบข้อมูลนี้

ในช่วงที่ผ่านมาเริ่มมีผู้ถือบัตรเดบิตหลายราย ที่ไม่เคยซื้อของออนไลน์ หรือให้ข้อมูลบัตรเดบิตกับใครเลย แต่ยังถูกตัดเงินจากบัญชี โดยมีชื่อรายการว่าถูกจ่ายผ่าน EDC ซึ่งเป็นการจ่ายจากบัตรเดบิตที่เรียกเก็บเงินทันทีจากบัญชีธนาคาร

จากก่อนหน้านี้ที่มีหลายคนบอกว่า “ผู้ถือบัตรผิดเองที่เอาบัตรไปผูกกับเว็บไซต์ซื้อของออนไลน์” แต่ตอนนี้กลับไม่ใช่อย่างนั้น.. เพราะการมีบัตรถือไว้เฉย ๆ ไม่เคยไปซื้อของออนไลน์ ก็สามารถถูกแฮกและโดนดูดเงินได้เช่นกัน

โดยวิธีที่มิจฉาชีพใช้ในการแฮกบัตรเครดิตเพื่อเอามาจ่ายเงิน ที่ทางธนาคารแห่งประเทศไทยเปิดเผยล่าสุดก็คือ การใช้โปรแกรมคอมพิวเตอร์สุ่มหมายเลขบัตร ซึ่งจะประกอบไปด้วย หมายเลขบัตร วันที่หมดอายุของบัตร และหมายเลข CVV 3 ตัว

ถ้าให้เปรียบเทียบแบบง่าย ๆ ก็คือ ให้หมายเลขบัตรเครดิต และหมายเลขอื่น ๆ เหมือน รหัสกุญแจ เข้าประตู

ถ้าเป็นมนุษย์ ก็คงยากและใช้เวลานานที่จะลองสุ่มหมายเลขไปเรื่อย ๆ

แต่คราวนี้แฮกเกอร์จะใช้โปรแกรมคอมพิวเตอร์ที่สามารถสุ่มเป็นล้านครั้งได้ ในเวลาไม่นาน

และนั่นเป็นเหตุผลที่ทำไมต้องเป็นรายการถี่ ๆ ที่มียอดน้อย ๆ

เพราะว่ายอดน้อย ส่วนใหญ่แล้วการตัดบัตรเดบิตจะไม่ต้องใช้เลข OTP หรือการยืนยันด้วยการส่ง SMS มาที่โทรศัพท์มือถืออีกครั้งหนึ่ง

ดังนั้นการตัดยอดน้อย ๆ จะเป็นการเปิดโอกาสให้ แฮกเกอร์สามารถ สุ่มหมายเลขบัตรได้หลาย ๆ ครั้ง จนกว่าจะถูกตัดสำเร็จ

และเมื่อตัดสำเร็จแล้ว แฮกเกอร์ก็จะตัดไปเรื่อย ๆ ทีละน้อย ๆ คล้ายเป็นการค่อย ๆ ดูดเงินออกจากบัญชีจนหมดภายในไม่กี่นาที

สำหรับเหตุผลที่บัตรเดบิต จะเจอปัญหาได้บ่อยกว่าบัตรเครดิตก็เพราะว่า บัตรเดบิตจะตัดเงินจากบัญชีธนาคารทันที

ส่วนบัตรเครดิต เมื่อพบธุรกรรมที่ต้องสงสัย ผู้ถือบัตรสามารถอายัดธุรกรรม ก่อนที่จะตัดเงินจริงได้

ซึ่งจริง ๆ แล้ว การตัดเงินทีละน้อย ๆ จากบัญชีเดียว ในช่วงเวลาอันสั้นแบบนี้ เป็นธุรกรรมที่ไม่ปกติ

ถ้าธนาคารจะเขียนชุดโปรแกรมคำสั่งป้องกันตรงนี้ก็น่าจะสามารถทำได้ง่าย

อย่างไรก็ตามนี่เป็นวิธีโจรกรรมที่เพิ่งทราบปัญหากันในวงกว้าง ซึ่งก็คาดเดาได้ว่าหลังจากนี้หลายธนาคารคงมีระบบป้องกันเรื่องนี้ได้ในที่สุด

และก็สอดคล้องกับที่ ธนาคารแห่งประเทศไทย กับสมาคมธนาคารไทย แจ้งว่าจะทำก็คือ การยกระดับความเข้มข้นให้ครอบคลุมธุรกรรมที่มีจำนวนเงินต่ำและมีความถี่สูง ให้ทุกธนาคารระงับบัญชีนั้นทันที

ดังนั้นสรุปได้ว่า ตอนนี้ใครมีบัตรเดบิต ควรต้องระวังเงินในบัญชีของท่านให้ดี

แนะนำว่าให้เปิดแจ้งเตือนทางโทรศัพท์ทุกครั้งเมื่อมีการทำธุรกรรมผ่านบัตร

เพราะไม่เช่นนั้น บัตรเดบิตของท่าน อาจจะเป็นเครื่องผลิตเงินของคนอื่น โดยไม่รู้ตัว..

ที่มา: ลงทุนแมน

พบแล้ว 130 ล้านบาท จำนวนหมื่นบัตรตัดเงินบัตร ผิดปกติ

ล่าสุด ธนาคารแห่งประเทศไทย (ธปท.) และ สมาคมธนาคารไทย ได้ชี้แจงกรณีการตัดเงินที่ผิดปกติ ผ่านบัตรเครดิตและบัตรเดบิตของลูกค้าจำนวนมาก เมื่อวันที่ 17 ตุลาคม ที่ผ่านมาว่า “มิได้เกิดจากการรั่วไหลของข้อมูลจากระบบธนาคาร”

โดยสาเหตุสำคัญเกิดจากการที่มิจฉาชีพสุ่มข้อมูลบัตรและนำไปสวมรอยทำธุรกรรมผ่านร้านค้าออนไลน์ต่างประเทศ ที่ไม่มีการใช้ One Time Password (OTP) ตั้งแต่ต้นเดือนตุลาคม

ซึ่งมีจำนวนบัตรที่มีการใช้งานผิดปกติจากเหตุข้างต้นจำนวน 10,700 ใบ คิดเป็นมูลค่ากว่า 130 ล้านบาท โดย 80-90% เป็นการตัดเงินจากบัตรเดบิต

ทั้งนี้ ลักษณะการตัดเงินส่วนใหญ่มีจำนวนเงินต่อรายการต่ำ เช่น 37 บาทต่อรายการ แต่จะมีการตัดเงินถี่ ๆ เป็นจำนวนหลายครั้ง ติดต่อกัน

อย่างไรก็ดี ธนาคารได้มีระบบตรวจจับธุรกรรมที่ผิดปกติ ซึ่งแต่ละธนาคารจะกำหนดเพดานและเงื่อนไขการใช้งานของบัตรตามลักษณะประเภทร้านค้าและประเภทสินค้าแตกต่างกันไป

โดย ธปท. และสมาคมธนาคารไทย ได้ร่วมกันกำหนดมาตรการเพิ่มเติมเพื่อป้องกันและแก้ปัญหา ดังนี้

1. ยกระดับความเข้มข้นในการตรวจจับธุรกรรมที่ผิดปกติ ให้ครอบคลุมทั้งธุรกรรมที่มีจำนวนเงินต่ำและที่มีความถี่สูง หากพบธุรกรรมที่ผิดปกติ ธนาคารจะระงับการใช้บัตรทันทีและแจ้งลูกค้าในทุกช่องทาง รวมทั้งติดตามเฝ้าระวังรายการธุรกรรมจากต่างประเทศเป็นพิเศษ

2. เพิ่มการแจ้งเตือนลูกค้าในการทำธุรกรรมทุกรายการ ตั้งแต่รายการแรกผ่านช่องทางต่าง ๆ เช่น ระบบ Mobile Banking, อีเมล หรือ SMS

3. กรณีที่ตรวจสอบพบว่าลูกค้าได้รับผลกระทบจากการทุจริตตามข้างต้น กรณีบัตรเดบิต ลูกค้าจะได้รับการคืนเงินภายใน 5 วันทำการ ส่วนกรณีบัตรเครดิต ธนาคารจะยกเลิกรายการดังกล่าว ลูกค้าไม่ต้องชำระเงินตามยอดเรียกเก็บที่ผิดปกติ และจะไม่มีการคิดดอกเบี้ย

4. ธปท. และสมาคมธนาคารไทยจะเร่งหารือกับผู้ให้บริการเครือข่ายบัตร เช่น Visa, Mastercard เพื่อกำหนดให้มีการใช้การยืนยันตัวตนเพิ่มเติม เช่น OTP กับบัตรเดบิตสำหรับร้านค้าออนไลน์

หากในกรณีลูกค้าพบความผิดปกติของธุรกรรมด้วยตนเอง สามารถติดต่อคอลเซนเตอร์หรือสาขาของธนาคารผู้ออกบัตร เพื่อแจ้งตรวจสอบและยืนยันความถูกต้องของธุรกรรมในทันที โดยธนาคารจะดูแลแก้ไขปัญหาที่เกิดขึ้นโดยเร็วที่สุด

สำหรับประชาชนทั่วไป ควรตรวจสอบการทำธุรกรรมของตนเองอย่างสม่ำเสมอ รวมทั้งระมัดระวังการผูกบัตรเดบิตในการทำธุรกรรม โดยเฉพาะกับแพลตฟอร์มที่มีความเสี่ยง

เช่น เกมออนไลน์ แพลตฟอร์มที่ไม่มีการยืนยันตัวตนก่อนเข้าใช้งาน หรือไม่มี OTP สำหรับยืนยันตัวตน

ทั้งนี้ สำหรับบางธนาคาร ลูกค้ายังสามารถเปิด/ปิดการใช้งานของบัตร, เปลี่ยนแปลงวงเงินการใช้บัตร หรืออายัดบัตรผ่านแอปพลิเคชันของธนาคารด้วยตัวเองได้เลย

นอกจากนี้ ทาง ธปท. และสมาคมธนาคารไทย กล่าวว่าได้ให้ความสำคัญอย่างยิ่งกับความปลอดภัยในการทำธุรกรรมทางการเงิน และการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า

โดยธนาคารมีระบบการรักษาความมั่นคงปลอดภัยและมีการตรวจสอบการทำธุรกรรมที่ผิดปกติอย่างต่อเนื่อง ในระยะต่อไป ธปท. และสถาบันการเงินจะร่วมกับหน่วยงานที่เกี่ยวข้องในการยกระดับมาตรการและประสิทธิภาพการตรวจจับและตอบสนองต่อรายการธุรกรรมที่ผิดปกติ เพื่อป้องกันและลดผลกระทบจากการเกิดเหตุการณ์ในลักษณะดังกล่าว

ที่มา: ลงทุนแมน