ไซแมนเทคเผยกลวิธีขโมยบัตรเครดิต ด้วยการสกิมมิ่งและฝังมัลแวร์ลงเครื่องคิดเงิน

รายงานข่าวจากไซแมนเทค ( NASDAQ: SYMC )  เผยอาชญากรไซเบอร์พยายามทำทุกวิถีทางเพื่อให้ได้ข้อมูลบัตรเครดิต  ซึ่งที่จริงแล้วการโจรกรรมข้อมูลทางออนไลน์ทำได้หลายวิธี ตั้งแต่เครื่องคิดเงิน (Point of Sale – POS) คือเป้าหมายที่น่าสนใจมากที่สุด  ทั้งนี้ประมาณ 60 เปอร์เซ็นต์ของการชำระค่าสินค้าที่เครื่องคิดเงินของผู้ค้าปลีกเป็น การชำระเงินด้วยบัตรเครดิตหรือบัตรเดบิต  เนื่องจากห้างค้าปลีกขนาดใหญ่อาจต้องประมวลผลธุรกรรมหลายพันรายการต่อวันโดยผ่านระบบชำระเงิน ดังนั้นเครื่องคิดเงินจึงตกเป็นเป้าหมายหลักของอาชญากรที่ต้องการโจรกรรมข้อมูลบัตรเครดิตจำนวนมาก 

ปัจจุบันมีหลายฟอรั่มบนอินเทอร์เน็ตที่จำหน่ายข้อมูลบัตรเครดิตและบัตรเดบิตอย่างเปิดเผยในหลากหลายรูปแบบ โดยรูปแบบที่แพร่หลายมากที่สุดก็คือ “CVV2” ซึ่งผู้ขายจะจัดหาหมายเลขบัตรเครดิต พร้อมรหัสความปลอดภัย CVV2 ซึ่งโดยปกติแล้วจะอยู่ที่ด้านหลังบัตรเครดิต  ข้อมูลนี้เพียงพอที่จะทำการซื้อสินค้าทางออนไลน์  อย่างไรก็ตาม ผู้ขายบางรายยังนำเสนอข้อมูล “Track 2” ที่สร้างรายได้ได้มากกว่า โดยเป็นรหัสชวเลขสำหรับข้อมูลที่บันทึกไว้บนแถบแม่เหล็กของบัตร  ข้อมูลนี้ก่อให้เกิดผลกำไรได้มากกว่า เพราะคนร้ายจะสามารถทำบัตรปลอมและนำไปใช้ซื้อสินค้าตามร้านค้าทั่วไป หรืออาจใช้ถอนเงินจากตู้เอทีเอ็มหากว่ามีรหัสผ่านของบัตร  มูลค่าของข้อมูลนี้ปรากฏอยู่ในราคาขายทางออนไลน์ และราคาที่ว่านี้ก็แตกต่างหลากหลายอย่างมาก  ข้อมูล CVV2 มีราคาตั้งแต่ 0.1 ดอลลาร์ ถึง 5 ดอลลาร์ต่อบัตรหนึ่งใบ ขณะที่ข้อมูล Track 2 อาจมีราคาสูงถึง 100 ดอลลาร์ต่อบัตรหนึ่งใบ

รูปภาพ: ข้อมูลบัตรเครดิตที่วางจำหน่ายในฟอรั่มบนอินเทอร์เน็ต

ซึ่งปัญหาสำคัญคนร้ายได้ข้อมูลนี้มาได้อย่างไร? คำตอบคือการสกิมมิ่ง (Skimming) วิธีหนึ่งที่ได้รับความนิยมมากที่สุด โดยเป็นการติดตั้งอุปกรณ์ฮาร์ดแวร์เพิ่มเติมไว้ที่เครื่องคิดเงิน และอุปกรณ์ที่ว่านี้จะอ่านข้อมูล Track 2 จากบัตร  อย่างไรก็ดี เนื่องจากวิธีนี้จำเป็นต้องมีการเข้าถึงเครื่องคิดเงินโดยตรง และต้องใช้อุปกรณ์เพิ่มเติมซึ่งมีราคาแพง ดังนั้นจึงเป็นเรื่องยากที่คนร้ายจะสามารถดำเนินการเช่นนี้ในวงกว้าง  เพื่อแก้ไขปัญหานี้ คนร้ายจึงหันมาใช้โซลูชั่นซอฟต์แวร์ในรูปแบบของมัลแวร์ POS  ด้วยการพุ่งเป้าโจมตีห้างค้าปลีกรายสำคัญๆ โดยอาศัยมัลแวร์ดังกล่าว คนร้ายจึงสามารถเก็บรวบรวมข้อมูลสำหรับบัตรหลายล้านใบจากการดำเนินการเพียงครั้งเดียว

มัลแวร์ POS ใช้ประโยชน์จากช่องว่างในระบบรักษาความปลอดภัยในส่วนของวิธีการจัดการข้อมูลบัตร  แม้ว่าข้อมูลบัตรจะถูกเข้ารหัสในขั้นตอนการส่งข้อมูลไปเพื่อขออนุมัติการชำระเงิน แต่ไม่มีการเข้ารหัสในขั้นตอนการประมวลผลการชำระเงิน เช่น ขณะที่คุณรูดบัตรที่จุดรับชำระเงินเพื่อจ่ายค่าสินค้า  คนร้ายใช้ประโยชน์จากช่องโหว่นี้ในช่วงปี 2548 โดยอัลเบิร์ต กอนซาเลซ ได้ใช้วิธีนี้เพื่อโจรกรรมข้อมูลสำหรับบัตร 170 ล้านใบ

นับจากนั้นเป็นต้นมา ตลาดมีการเติบโตอย่างต่อเนื่องในส่วนของการซื้อขายมัลแวร์ที่อ่านข้อมูล Track 2 จากหน่วยความจำของเครื่องคิดเงิน  ระบบ POS ส่วนใหญ่ใช้ระบบปฏิบัติการ Windows จึงค่อนข้างง่ายที่จะสร้างมัลแวร์ที่รันบนแพลตฟอร์มนี้  มัลแวร์นี้เรียกว่า memory-scraping malware เพราะจะตรวจหาข้อมูลในหน่วยความจำ เพื่อจับคู่แบบแผนของข้อมูล Track 2 และเมื่อพบข้อมูลนี้ในหน่วยความจำ ซึ่งเกิดขึ้นในทันทีที่มีการรูดบัตร ก็จะบันทึกไว้ในไฟล์บนเครื่องคิดเงิน ซึ่งผู้โจมตีจะสามารถเรียกดูไฟล์นี้ได้ในภายหลัง  มัลแวร์ POS ที่มีชื่อเสียงมากที่สุดคือ BlackPOS ซึ่งมีวางจำหน่ายบนฟอรั่มสำหรับอาชญากรรมในโลกไซเบอร์  ไซแมนเทคตรวจพบมัลแวร์นี้ในรูปแบบของ Infostealer.Reedum.B

หลังจากที่มีมัลแวร์ POS แล้ว ปัญหาต่อไปสำหรับผู้โจมตีก็คือการติดตั้งมัลแวร์ไว้บนเครื่องคิดเงิน ซึ่งโดยปกติแล้วไม่ได้เชื่อมต่อกับอินเทอร์เน็ต แต่จะเชื่อมต่อกับเครือข่ายองค์กร  ดังนั้นขั้นแรกผู้โจมตีจะต้องพยายามแทรกซึมเข้าสู่เครือข่ายองค์กร โดยอาจใช้จุดอ่อนในระบบที่ติดต่อกับบุคคลภายนอก เช่น การแฝงคำสั่ง SQL (SQL Injection) บนเว็บเซิร์ฟเวอร์ หรือการค้นหาอุปกรณ์ต่อพ่วงที่ยังคงใช้รหัสผ่านตามค่ามาตรฐานจากผู้ผลิต  และเมื่อเข้าไปในเครือข่ายได้แล้ว คนร้ายก็จะใช้เครื่องมือต่างๆ เพื่อเจาะเข้าสู่ส่วนที่โฮสต์ระบบ POS บนเครือข่าย  หลังจากที่ติดตั้งมัลแวร์ POS เรียบร้อยแล้ว ผู้โจมตีจะดำเนินมาตรการบางอย่างเพื่อให้แน่ใจว่าจะไม่มีใครสังเกตเห็นกิจกรรมที่เขากำลังทำอยู่  มาตรการที่ว่านี้อาจได้แก่ การลบข้อมูลในล็อกไฟล์ หรือการปรับเปลี่ยนซอฟต์แวร์ด้านความปลอดภัย ซึ่งจะช่วยให้มัลแวร์ทำงานได้อย่างต่อเนื่องและเก็บรวบรวมข้อมูลให้มากที่สุดเท่าที่จะเป็นไปได้

การโจรกรรมข้อมูลบัตรในลักษณะนี้มีแนวโน้มที่จะเกิดขึ้นอย่างต่อเนื่องในอนาคตอันใกล้  ข้อมูลบัตรที่ขโมยมาได้สามารถนำออกขายได้ในช่วงสั้นๆ เท่านั้น เพราะบริษัทที่ออกบัตรเครดิตจะสามารถตรวจพบพฤติกรรมการใช้จ่ายที่ผิดปกติได้อย่างรวดเร็ว เช่นเดียวกับเจ้าของบัตรที่มีความระมัดระวัง และนั่นหมายความว่าคนร้ายจะต้องเสนอขายหมายเลขบัตรเครดิตที่ “ออกใหม่” อยู่เสมอ

ข่าวดีก็คือ ผู้ค้าปลีกจะได้รับบทเรียนจากการโจมตีล่าสุดและดำเนินมาตรการที่จำเป็นเพื่อป้องกันการโจมตีประเภทนี้ซึ่งอาจเกิดขึ้นอีก  นอกจากนี้เทคโนโลยีการชำระเงินจะเปลี่ยนแปลงไป โดยปัจจุบันผู้ค้าปลีกหลายรายในสหรัฐฯ กำลังเปลี่ยนไปใช้เทคโนโลยีการชำระเงินแบบ EMV หรือ “ชิปและรหัสพิน”  บัตรที่ใช้ชิปและรหัสพินจะปลอมแปลงได้ยากกว่ามาก จึงไม่ได้รับความสนใจจากคนร้ายมากนัก  และแน่นอนว่าอาจมีรูปแบบการชำระเงินแบบใหม่ที่เข้ามาแทนที่ เช่น สมาร์ทโฟนอาจทำหน้าที่แทนบัตรเครดิตเมื่อเทคโนโลยีการชำระเงินผ่านอุปกรณ์พกพาหรือ NFC ได้รับความนิยมอย่างกว้างขวางมากขึ้น

แน่นอนว่าอาชญากรทางไซเบอร์จะต้องปรับตัวเพื่อรับมือกับความเปลี่ยนแปลงนี้ แต่หากผู้ค้าปลีกปรับใช้เทคโนโลยีรุ่นใหม่และบริษัทด้านความปลอดภัยดำเนินการตรวจสอบผู้โจมตีอย่างต่อเนื่อง การโจรกรรมข้อมูล POS บนระบบขนาดใหญ่ก็จะทำได้ยากขึ้นและสร้างผลกำไรได้น้อยกว่า