วันอังคารที่ 10 มีนาคม พ.ศ. 2558

ใช้มือถือหรือบัตรเครดิตที่มี NFC ระวังโดน copy ข้อมูลขโมยเงินโดยไม่รู้ตัว


วันนี้มีเรื่องเตือนภัยสำหรับผู้ใช้โทรศัพท์มือถือ และบัตรเครดิตแบบ Visa Paywave  ซึ่งที่มีเทคโนโลยี NFC ติดอยู่ไว้ใช้สำหรับในการชำระค่าสินค้าต่างๆ เพียง NFC แตะ แต่ระวังจะตกเป็นเหยื่อของแก็งค์ขโมยข้อมูล ซึ่งจะใช้วิธี copy ข้อมูล NFC ที่แทบจะไม่ต่าง copy บัตรเครดิตหรือบัตร ATM ออกมาใช้จ่ายเงินได้แบบสบาย   โดยเจ้าของตัวจริงไม่รู้ตัวว่ามีโจรแอบเอาข้อมูลเราไปใช้จ่ายฟรีแบบสบายๆแล้ว
ข้อมูลเตือนภัยนี้ได้รวบรวมข้อมูลมาจาก โครงการอบรมการป้องกันความปลอดภัยข้อมูลคอมพิวเตอร์ ครั้งที่ 13 ( CDIC 2014 ) ที BITEC บางนา เมื่อ 30-31 กรกฎาคม 2014 ที่ผ่านมา โดยนอกจากเป็นงานสัมมนาความปลอดภัยบนโลกไอทีแล้ว ยังได้มีการ Live Show การแฮคต่างๆภายในงานนี้ด้วย ซึ่งเรื่องที่น่าตกใจคือ  การโมยข้อมูลบนโทรศัพท์มือถือ และบัครเครดิต NFC มันเป็นเรื่องง่ายและเป็นภัยอันตรายที่ใกล้ตัวเรามาก  NFC นี้ พัฒนาต่อยอดจาก RFID  ซึ่ง RFID เอาไว้บอกข้อมูลว่า อุปกรณ์นั้นที่ติดไว้มันเป็น ID อะไร เอาไปใช้กับพวกขายของ เช่นร้านอาหาร ขึ้นรถไฟใต้ดิน รถไฟฟ้า  บางครั้ง RFID ใช้กับสัตว์โดยติดบริเวณปลอกคอ ไว้ทราบว่า สัตว์ชนิดนี้ สุขภาพดีแค่ไหน? ได้รับอาหารอะไรบ้าง ?

ต่อมา RFID ได้พัฒนาขึ้นเรื่อยๆจากปกติแค่ส่งข้อมูลได้อย่างเดียว มาเป็น NFC ที่สามารถรับ-ส่งข้อมูลได้   อุปกรณ์ ที่ใช้ NFC นี้พบได้ตามมือถือสมาร์ทโฟน ระบบปฏิบัติการ Android และ Windows Phone ซึ่งจะระบุสเปคว่ารองรับ NFC อยู่ ซึ่งจะพบผู้ใช้มือถือใช้ NFC ใช้ตาม BTS , หรือร้านอาหารอย่าง McDonald หรือห้างสรรพสินค้าค้าปลีก Big C , Tesco Lotus  ก็จะมีจุดรับชำระเงินผ่านทาง NFC แล้วและยังมีบัตรเครดิตที่ใช้เทคโนโลยี NFC ด้วย คือ Visa Paywave , Master Card PayPass ที่ช่วยให้การชำระเงินง่านขึ้นเพียงแค่แตะกับเครื่องอ่าน NFC ชำระเงินเท่านั้น ไม่ต้องมอบบัตรให้พนักงาน และไม่ต้องเซ็นต์  ง่ายๆจริงๆ แต่ก็มีผลร้ายคือมันง่ายสำหรับการโจรกรรมข้อมูลบัตรเครดิตด้วยเพราะบัตรที่มี NFC อย่าง Visa Paywave , Master Card PayPass สามารถขโมยข้อมูลบัตร NFC ได้เพียงแค่นำบัตรมาแตะเครื่องแตะบัตรของ Hacker ก็ขโมยข้อมูลบัตรได้แล้ว โดยข้อมูลที่ถูกขโมยไปผ่านทาง NFC คือ หมายเลขบัตรเครดิต วันที่หมดอายุ ชื่อผู้ใช้บัตรเครดิต เป็นต้น แต่ไม่มีข้อมูล CVV  (เลข 3 ตัว )อยู่  ยิ่งตัว nfc reader นี้ หน้าตาเหมือน flashdrive มากดังภาพด้านบน ราคาแค่พันกว่าบาท มีขายใน ebay
คนร้ายจะใช้วิธีแยบยลในการขโมยข้อมูล NFC คือ   มีคนร้าย 2 คน ถือโทรศัพท์มือถือ NFC คนละเครื่อง   โดยคนร้ายคนนึงคอยแตะที่การ์ดบัตรเครดิต NFC สมาร์ทโฟน NFC ของเหยื่อ โดยใช้แอพบน Android ตัวนึงที่ติดตั้งแล้วสามารถนำมาแตะบัตรเครดิตเหยื่อ เพื่ออ่าน…. แล้วคัดลอกข้อมูลบัตรเกี่ยวกับการเงินที่จ่ายผ่าน NFC  >> แล้วส่งข้อมูลให้กับสมาร์ทโฟนของคนร้ายอีกคนที่ถือมือถือ NFC อีกเครื่อง เพื่อเอาไปใช้จ่ายเงิน โดยสิ่งที่คนร้ายนำมือถือ แตะเงินจ่ายซื้อสินค้านี้ เป็นข้อมูลจากบัตร NFC ของเหยื่อ….  เหยื่อก็กลายเป็นผู้ต้องเสียเงินแทนในขณะที่คนร้ายซื้อของได้สบายๆฟรีๆ