หน้าแรก Security เรียนรู้เรื่องความปลอดภัยในการใช้ “บัตรเครดิต” ซื้อของออนไลน์

[บทความ] เรียนรู้เรื่องความปลอดภัยในการใช้ “บัตรเครดิต” ซื้อของออนไลน์

แบ่งปัน

ในช่วงนี้ เรามักจะได้พบเห็นการแชร์ข่าวเกี่ยวกับการใช้บัตรเครดิตซื้อของออนไลน์แล้วพบว่ามีการนำข้อมูลบัตรเครดิตของตนไปซื้อของที่เว็บขายของที่ตนเองไม่เคยรู้จัก โดยส่วนใหญ่ผู้เสียหายที่มีการสมัคร SMS Alert เอาไว้ก็จะได้รับ SMS แจ้งว่ามีการใช้บัตรเครดิตทั้ง ๆ ที่บัตรก็อยู่กับตัวและไม่ได้ใช้งานแน่ ๆ ทำให้ต้องโทรหาคอลเซ็นเตอร์ธนาคารเจ้าของบัตรเพื่อปฏิเสธการใช้บัตรและอายัดบัตร

แต่ถึงแม้ว่าจะไม่ได้ใช้บริการ SMS Alert ทางธนาคารเจ้าของบัตรก็มีระบบตรวจสอบความผิดปกติและแจ้งเตือนให้เจ้าของบัตรทราบเพื่อยืนยันการใช้งาน ซึ่งหากไม่ได้มีการใช้งานจริงก็จะทำการปฏิเสธการใช้บัตรและอายัดบัตรให้เช่นกัน แต่จุดสำคัญที่ทำให้เป็นข่าวบ่อย ๆ ก็คือการที่ผุ้เสียหายนำเรื่องของตนเองไปแชร์ในพันทิพและมีผู้ที่ประสบเหตุเดียวกันมาร่วมวงจนกลายเป็นข่าวที่แชร์ในโซเชียลมีเดียในที่สุดดังแสดงในรูปที่ 1

card1

รูปที่ 1: รูปแบบของการขโมยบัตรเครดิตซื้อของออนไลน์

ใคร ทำอะไร อย่างไร?

ก่อนอื่นจะต้องเข้าใจก่อนว่าคนที่สามารถก็อปปี้ข้อมูลบัตรเครดิตของคุณนั้นอาจจะได้ข้อมูลจากเว็บไซต์ที่มีการปกป้องข้อมูลบัตรเครดิตที่คุณไปใช้บริการหรืออาจจะได้มาจาก Payment Gateway (บริษัทหรือธนาคารที่ทำหน้าที่ให้บริการชำระค่าบริการบัตรเครดิตแทนบริษัท e-commerce ที่ท่านใช้บริการ) หรืออาจจะได้มาตอนที่ท่านไปรูดบัตรเติมน้ำมัน จ่ายค่าอาหาร จ่ายค่าสินค้าและบริการต่าง ๆ ก็ได้

แต่ในวันนี้เราจะมุ่งประเด็นไปที่เว็บไซต์ที่เราไปซื้อของเท่านั้น โดยความเป็นไปได้แรกก็คือคนในองค์กรหรือมัลแวร์/โทรจันที่ติดอยู่บนเซิร์ฟเวอร์ของผู้ให้บริการ ซึ่งถ้าเป็นองค์กรเล็ก ๆ ที่ฝ่ายไอทีทำทุกอย่างเบ็ดเสร็จในตัวเอง มีสิทธิ์ทำอะไรกับข้อมูลบนเซิร์ฟเวอร์เมื่อไหร่ก็ได้ ก็มีความเป็นไปได้อย่างมากที่คนในจะมีส่วนในการฉ้อโกง

และปัจจัยที่ควบคุมได้ยากที่สุดก็คือคนนอกหรือที่เราเรียกกันจนติดปากว่าแฮกเกอร์นั่นเอง ซึ่งบางครั้งแฮกเกอร์ก็ใช้วิธีการแฝงมัลแวร์ลงไปบนเซิร์ฟเวอร์ของผู้ให้บริการหรือเครื่องไคล์เอ็นท์ของเหยื่อก็ได้ ดังนั้นการเลือกใช้บริการจากบริษัท e-commerce ที่มีขนาดใหญ่ที่มีมาตรฐานในการรักษาความปลอดภัยสูงและมีฐานลูกค้าจำนวนมากก็ถือเป็นการลดความเสี่ยงในการใช้บริการได้บางส่วน

ประเด็นถัดมาก็คือใครที่ว่านั้นทำอะไรกับข้อมูลบัตรเครดิตได้บ้าง ก็ต้องขึ้นกับว่าเค้าได้รับข้อมูลบัตรเครดิตมาบางส่วนหรือว่าได้มาทั้งหมดที่เก็บอยู่ในฐานข้อมูลของผู้ให้บริการ e-commerce นั่นก็แสดงว่าผู้ให้บริการ e-commerce นั้นมีการเก็บข้อมูลบัตรเครดิตบนเว๋บไซต์อย่างไม่ปลอดภัย ซึ่งเราในฐานะลูกค้าสามารถสังเกตุได้ง่าย ๆ ว่าหน้าจอที่ให้เราใส่ข้อมูลบัตรเครดิตนั้นเป็นของผู้ให้บริการ e-commerce หรือของ Payment Gateway ซึ่งถ้าเป็นหน้าจอของ Payment Gateway ที่มีชื่อเสียงน่าเชื่อถือค่อยดำเนินการต่อ แต่ถ้าดูแล้วว่ามันง่าย ๆ ไม่มีการซ่อนข้อมูล CVV ที่กรอกลงไปเลยก็หลีกเลี่ยงที่จะทำรายการต่อ

cvv

ประเด็นสุดท้ายคือใครคนนั้นสามารถทำได้อย่างไร ในเชิงเทคนิคจะแบ่งเป็น 2 ช่องทางหลัก ๆ ก็คือ 1) ช่องโหว่ทางเทคนิค ซึ่งอาจจะเป็นที่ซิสเต็มหรือแอพพลิเคชั่นก็ได้ ซึ่งช่องโหว่เหล่านี้ถือเป็นอาหารหวานอันโอชะสำหรับแฮกเกอร์มือเก๋า เพราะปัจจุบันมีการเปิดเผยช่องโหว่เหล่านี้เพื่อให้ผู้ให้บริการปรับปรุงระบบเพื่อป้องกันตนเอง แต่สุดท้ายกลับกลายเป็นการเปิดช่องโหว่ที่ยังไม่ได้ปิดให้กับแฮกเกอร์แทน

ในขณะที่ 2) นั้นเกิดจากการฉ้อโกงของคนในที่เห็นช่องโหว่ของกระบวนการในการดำเนินธุรกิจ (Business Process) หรือการที่พนักงานที่มีสิทธิ์บนระบบทำการก็อปปี้ข้อมูลออกมา ซึ่งสิ่งเหล่านี้มักจะไม่ค่อยเห็นในองค์กรที่อยู่ในตลาดหลักทรัพย์เพราะจะมีการครวจสอบกระบวนการทำงานและปิดโอกาสในการฉ้อโกงของพนังงานจาก Auditor ที่เข้ามาตรวจสอบเป็นประจำทุกปีนั่นเอง

Payment Gateway ปกป้องข้อมูลบัตรเครดิตอย่างไร?

ดังที่ได้กล่าวไปเบื้องต้นแล้วว่า payment Gateway นั้นมีหน้าที่ในการให้บริการชำระค่าบริการบัตรเครดิตแทนบริษัท e-commerce ที่ท่านกำลังใช้บริการอยู่ ดังนั้น Payment gateway จึงหลีกเลี่ยงไม่ได้ที่จะต้องเก็บข้อมูลบัตรเครดิตของท่าน แต่ท่านจะเชื่อได้อย่างไรว่า Payment Gateway จะมีการเก็บรักษาข้อมูลบัตรเครดิตของท่านอย่างปลอดภัย

ดังนั้นทาง VISA และ Master Card จึงได้มีการกำหนดมาตรฐาน PCI DSS ขึ้นมาเพื่อปกป้องข้อมูลบัตรเครดิตให้กับลูกค้า โดยที่ธนาคารเจ้าของบัตร (Issuer) ตลอดจนผู้ค้า (Merchant) นั้นมีหน้าที่ต้องปฏิบัติตามมาตรฐาน PCI DSS เพื่อลดความเสี่ยงที่ข้อมูลบัตรเครดิตของลูกค้าหลุดออกไป

ซึ่ง Payment Gateway ก็จำเป็นที่จะต้องปฏิบัติตามมาตรฐาน PCI DSS ด้วยมิฉะนั้นอาจถูก VISA ปรับหรืออาจจะถึงขั้นไม่อนุญาตให้บริการบัตรเครดิตก็ได้ โดยผู้เขียนจะกล่าวถึงรายละเอียดของมาตรฐาน PCI DSS ในฉบับหน้าเพื่อที่ท่านจะได้ทราบว่า PCI DSS นั้นทำให้มาตรฐานความปลอดภัยของเว็บที่ท่านใช้บริการนั้นปลอดภัยขึ้นอย่างไร

card2รูปที่ 2:  PCI DSS มาตรฐานในการปกป้องข้อมูลบัตรเครดิต

เจ้าของบัตรสามารถปกป้องตัวเองได้อย่างไร?

อย่างแรกเลยที่เจ้าของบัตรเครดิตสามารถทำได้ด้วยตัวเองโดยไม่ต้องรอให้ธนาคารเจ้าของบัตร, VISA, Payment Gateway, e-commerce site จัดการความปลอดภัยของเว็บไซต์และเซิร์ฟเวอร์ที่จัดเก็บข้อมูลบัตรเครดิตให้กับเรา นั่นก็คือการลดวงเงินบัตรเครดิตที่ใช้งานผ่าน e-commerce ให้มีวงเงินแค่เพียงพอต่อการใช้งาน ถ้าเดือนไหนมีการใช้งานจนวงเงินเต็มก็แค่เอาเงินไปจ่ายหรือโทรขอเพิ่มวงเงินชั่วคราวก็ได้ โดยถ้าจะให้ดีก็ควรจะเลือกใช้บัตรเครกิตในประเทศ เพราะทันทีที่มีการนำบัตรไปใช้ต่างประเทศจะได้มีเจ้าหน้าที่โทรมายืนยันกับเราอีกทีนึง

อีกสิ่งหนึ่งที่เจ้าของบัตรเครดิตควรจะระมัดระวังในการเลือกใช้บริการของ e-commerce หรือ Payment Gateway ก็คือการดูว่าเว็บไซต์นั้นมีการรักษาความปลอดภัยอย่างเหมาะสมหรือไม่ (ผู้เขียนขอยืนยันว่าไม่มีเว็บใดในโลกที่ปลอดภัย 100% ดังนั้นจงอย่าคาดหวังว่าบัตรเครดิตของเรานั้นปลอดภัย 100% แค่มีการรักษาความปลอดภัยอย่างเหมาะสมก็ดีมากแล้วครับ) โดยตัวอย่างการพิจารณาความปลอดภัยของเว็บไซต์แบบง่าย ๆ ในรูปที่ 4 กือ (1) จะต้องใช้โปรโตคอล https (2-4) จะต้องใช้ certificate ที่ valid ในปัจจุบัน และ Issue โดยบริษัทที่มีความเชื่อถือได้

card3

รูปที่ 3: ตัวอย่างการพิจารณาความปลอดภัยของเว็บไซต์

บทสรุป

ภัยของการใช้บัตรเครดิตกับโลกออนไลน์นั้นเป็นเรื่องที่ธรรมดามากกับโลกที่ใคร ๆ ก็สามารถเชื่อมต่อกับอินเตอร์เน็ตได้ และการแฮกเว็บไซต์นั้นก็มีให้เห็นเป็นข่าวอยู่ทุกวัน ดังนั้นการที่ท่านใช้ชีวิตออนไลน์ด้วยบัตรเครดิตใบเก่งของท่านนั้นนอกจากต้องมีการระแวดระวังตัวเองในการใช้บัตรเครดิตแล้ว ก็คงได้แต่ภาวนาว่าขออย่าให้แฮกเกอร์หรือผู้ไม่ประสงค์ดีมายุ่มย่ามกับบัตรเครดิตของเราเลย แต่ถ้าถึงที่สุดแล้วด้วยความเป็นบัตรเครดิตเราสามารถที่จะปฏิเสธการจ่ายได้ ดังนั้นจงอย่ากลัวที่จะใช้บัตรเครดิตซื้อของออนไลน์แต่จงใช้อย่างระวังและเท่าที่จำเป็นก็พอนะครับ

ที่มา : นิตยสาร Enterprise ITPro ฉบับที่ 136 ผู้แต่ง : สุรชาติ พงศ์สุธนะ