แกะรอยเส้นทางขายข้อมูลบัตรเครดิตตามเว็บใต้ดิน

การฉ้อโกงบัตรเครดิตเป็นอาชญากรรมที่ก่อให้เกิดความเสียหายมูลค่าหลายหมื่นล้านบาทต่อปี ยังความสูญเสียแก่ทุกฝ่ายที่เกี่ยวข้องทั้งเจ้าของบัตรฯ ผู้ค้าปลีกรวมถึงธนาคารผู้ออกบัตรฯ เอง

การขโมยข้อมูลบัตรฯ ทำได้หลายวิธี โดยเริ่มจากวิธีแบบดั้งเดิมคือ ผ่านเครื่องมือดูดข้อมูลบัตรรุ่นเก่าที่แอบติดตั้งไว้กับเครื่องอ่านข้อมูลแถบแม่เหล็กของบัตรฯ ที่เรียกว่า Skimming ที่พัฒนาอีกขั้นที่สามารถดูดข้อมูลบัตรที่ใช้ EMV Chip (บัตรรุ่นใหม่ฝัง Chip ที่สามารถสร้างรหัสทำรายการที่ไม่ซ้ำกัน ซึ่งต่างจากบัตรที่มีเพียงแถบแม่เหล็ก) ได้ ไปจนถึงการโจมตีจากมัลแวร์ที่แฝงเข้าสู่ระบบเพื่อดักจับข้อมูล ณ จุดชำระเงินของลูกค้าโดยตรง (POS Terminal Malware)

เมื่อเร็วๆ นี้ พบการโจมตีของมัลแวร์ที่ถูกสร้างขึ้นเพื่อขโมยข้อมูลบัตรเครดิตของลูกค้าที่ซื้อสินค้าผ่านเว็บไซต์อีคอมเมิร์ซที่ใช้ Magento (ระบบ CMS ที่ออกแบบมาเพื่อรองรับการทำอีคอมเมิร์ซโดยเฉพาะ ) โดยแฮกเกอร์จะแฮกเว็บอีคอมเมิร์ซที่มีช่องโหว่แล้วแอบฝัง Code เพื่อดักจับข้อมูลบัตรเครดิตในหน้า Checkout โดยเมื่อลูกค้าได้กรอกข้อมูลบัตรฯ และคลิกทำรายการ ข้อมูลดังกล่าวจะถูกส่งต่อไปยังเว็บไซต์ของแฮกเกอร์ด้วยเช่นกัน

หลังจากที่แฮกเกอร์ได้ข้อมูลบัตรฯ ไปแล้ว จะมีหลายขั้นตอนต่างๆ ก่อนถึงมือผู้ซื้อ ดังนี้

• ข้อมูลบัตรฯ ทั้งหมดจะถูกนำมาแยกตามชื่อผู้ให้บริการชำระเงิน เช่น Visa และ Mastercard
• แฮกเกอร์มีเทคนิคในการป้องกันการสาวมาถึงตัวได้โดยการขายข้อมูลผ่านผู้ค้าคนกลาง (Reseller) หรือเครือข่ายผู้ค้าคนกลาง (Network of Resellers) โดยเน้นให้ผ่านหลายๆ มือ และใช้เงินดิจิทัลในการซื้อ-ขาย
• การซื้อ-ขายข้อมูลบัตรฯ มักถูกดำเนินการอย่างรวดเร็ว ก่อนเจ้าของบัตรฯ หรือธนาคารผู้ออกบัตรฯ จะรู้ตัว แต่ถึงแม้บัตรฯ บางใบอาจจะถูกยกเลิกโดยธนาคารไปแล้วก็ตาม แฮกเกอร์ก็ยังพอนำข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (Personally Identifiable Information; PII) ของเจ้าของบัตรฯ มาขายได้
• เมื่อผู้ค้าคนกลางซื้อข้อมูลมาจากแฮกเกอร์ ข้อมูลบัตรฯ จะถูกนำมาแยกอีกครั้งตามมูลค่าของบัตรฯ ที่พอประเมินได้ โดยหลักการ มีดังนี้
  (1) วงเงินคงเหลือในบัตรฯ ที่พอระบุตัวเลขได้
  (2) ข้อมูลส่วนตัวที่ติดมากับบัตรฯ เช่น ชื่อ ที่อยู่ เบอร์โทร อีเมล์ และวันเกิด เป็นต้น
  ตัวอย่างโพสโฆษณาขายข้อมูลบัตรเครดิตที่ระบุวงเงินคงเหลือแล้ว โดยมีการตั้งราคาขายอยู่ที่ 0.1195 BTC (Bitcoin) หรือเทียบเท่าประมาณ 450 ดอลลาร์สหรัฐฯ
• หลังจากข้อมูลถูกส่งขายมาหลายทอด ผู้ค้าคนกลางจะเริ่มโพสโฆษณาขายข้อมูลบัตรฯ บนเว็บใต้ดิน มิจฉาชีพเมื่อเห็นโฆษณาที่ตรงความต้องการจะซื้อข้อมูลเพื่อนำบัตรฯ ไปใช้ซื้อสินค้าหรือถอนเงินสดออกมา
• เว็บใต้ดินมีรายได้จากค่าธรรมเนียมที่เรียกเก็บจากทุกธุรกรรมซื้อขายที่เกิดขึ้นจากผู้ค้าทุกราย

จะเห็นได้ว่าการขโมยข้อมูลบัตรเครดิตทำได้ไม่ยากนักหากแฮกเกอร์มีความเชี่ยวชาญและเว็บไซต์อีคอมเมิร์ซที่ถูกโจมตีมีระบบรักษาความปลอดภัยที่อ่อนแอ เจ้าของบัตรฯ ไม่มีทางล่วงรู้ได้เลยว่าข้อมูลบัตรถูกขโมยไปเมื่อใด และจำนวนมากมักจะทราบว่าบัตรฯ ของตัวเองถูกนำไปใช้จ่ายก็ต่อเมื่อมีการแจ้งเตือนจากธนาคารผู้ออกบัตรฯ ซึ่งนั่นแปลว่าความเสียหายทางการเงินได้เกิดขึ้นแล้ว ไม่เจ้าของบัตรฯ ก็ธนาคารผู้ออกบัตรฯ ฝ่ายใดฝ่ายหนึ่งอาจต้องเป็นผู้รับผิดชอบ ดังนั้นการป้องกันความเสี่ยงจากการใช้บัตรเครดิตจึงตกเป็นภาระที่เจ้าของบัตรฯ เองนั้น ต้องระมัดระวังในการใช้บัตร ด้วยตนเอง

แนวทางต่าง ๆ นี้เป็นสิ่งที่อาจจะช่วยป้องกันความเสียหายแก่เจ้าของบัตรฯ ได้

1. ใช้บัตรเครดิตแทนการใช้บัตรเดบิต เนื่องจากบัตรเครดิตมีการคุ้มครองจากธนาคารในกรณีที่บัตรถูกขโมยนำไปใช้โดยผิดกฎหมาย
2. เมื่อเลือกซื้อของจากเว็บอีคอมเมิร์ซ ให้เลือกเว็บที่มีการเข้ารหัสความปลอดภัยไว้ (Secure Socket Layer – SSL) เท่านั้น หากหน้า URL ของเว็บไซต์นั้นมีรูปกุญแจอยู่ด้านหน้า หรือมี “S” ตามหลัง http เป็น https ถือว่ามีความปลอดภัยพอสมควร บ้างก็จะมีสัญลักษณ์ VeriSign หรือ TRUSTe
3. อย่าทำธุรกรรมภายใต้สภาพแวดล้อมสาธารณะ เช่น ใช้เครื่องคอมพิวเตอร์สาธารณะหรือร่วมกับผู้อื่น ถึงแม้จะใช้เครื่องคอมพิวเตอร์ส่วนตัวก็ตาม อย่าเชื่อมต่อกับ WiFi สาธารณะโดยเด็ดขาด ให้เชื่อมต่อผ่านมือถือหรือ WiFi บ้านเท่านั้น หากจำเป็นต้องใช้ WiFi สาธารณะ ให้เชื่อมต่อผ่าน เครือข่ายส่วนตัวเสมือน (Virtual Private Network – VPN) ซึ่งข้อมูลจะถูกเข้ารหัสก่อนส่งไปยังปลายทางเพื่อเพิ่มความปลอดภัย
4. เลี่ยงการทำธุรกรรมผ่านเว็บอีคอมเมิร์ซที่ให้เจ้าของบัตรฯ กรอกข้อมูลเลข 3 หลักหลังบัตร (CCV) ในหน้า Checkout เนื่องจากอาจจะมีการเก็บบันทึกลงบน Server ของเว็บฯ ได้ และข้อมูลสำคัญนี้ทำให้ธนาคารอนุมัติการใช้บัตรได้ทันทีหากหลุดรอดออกไป ให้เลือกทำธุรกรรมผ่าน Payment Gateway ของธนาคารผู้ออกบัตรฯ โดยตรงจะปลอดภัยกว่า

อ้างอิงที่มา :

• https://blog.sucuri.net/2019/05/how-stolen-ecommerce-data-is-sold-on-the-darknet.html
• https://www.creditcards.com/credit-card-news/emv-faq-chip-cards-answers-1264.php
• https://www.nerdwallet.com/blog/credit-cards/online-credit-card-purchases-safe/