ถ้าคุณเคยใช้บัตรเครดิตผ่านระบบออนไลน์ หรือผ่านทางมือถือ ก็จะถูกร้องขอให้ใส่ข้อมูลบางอย่าง ซึ่งชื่ออย่างเป็นทางการว่า “ชอตโค้ด” หรือไม่ก็เรียกว่า “โค้ดความปลอดภัย” ซึ่งปกติแล้วก็คือตัวเลขสามตัวท้ายอยู่ด้านหลังบัตรเครดิต ใกล้ๆ กับลายเซ็นต์ ซึ่งส่วนใหญ่เราก็รู้จักกันว่ามันคือตัวเลข CVV (Card Verification Value) เอาไว้ช่วยป้องกันความปลอดภัยจากพวกการปลอมบัตรอย่างเช่นกรณีของ Skimming
Skimming เป็นเทคนิคในการขโมยข้อมูลบนบัตร โดยอาจจะใช้อุปกรณ์ติดอยู่กับเครื่อง ATM และมันจะทำการคัดลอกข้อมูลบนแถบแม่เหล็กของบัตรที่เสียบในตู้ ATM ซึ่งแถบแม่เหล็กในบัตรส่วนใหญ่ก็มีข้อมูลเกือบครบหมด และสามารถเอาไปใช้ในเว็บบางเว็บได้
ซึ่ง CVV ก็เป็นสิ่งที่มาช่วยตรงนี้ ในกรณีของการซื้อของออนไลน์แบบที่เรียกว่า “Card Not Present (CNP)” เป็นการซื้อของแบบออนไลน์ เพียงแค่กรอกข้อมูลบัตรเครดิตด้วยการพิมพ์ ซึ่งไม่มีการเข้ารหัสข้อมูลบัตรตามมาตรฐาน EMV แต่มีความสะดวกคือสามารถใช้ซื้อของผ่านเว็บ แต่เว็บส่วนใหญ่ที่รองรับ CNP นั้นก็จะให้คุณกรอก CVV ลงไป ก็ถือว่าเป็นการป้องกันได้ระดับหนึ่ง (ในแถบแม่เหล็กนั้นตัวเลข CVV จะไม่ได้ถูกเก็บไว้ด้วย ถึงแม้ Skimming ไปได้ แต่จะไม่ได้ตัวเลข CVV นั่นเอง)
แล้วคิดว่า CVV จะปลอดภัยแค่ไหนกัน?
นักวิจัยที่ Newcastle University ในอังกฤษ ได้ทำการทดสอบวิธีการเดาตัว CVV โดยทดลองที่เว็บไซต์แห่งหนึ่ง ซึ่งใช้ลักษณะกาเดาสุ่ม พอเดาตัวเลขไปประมาณสักพักกับ เว็บไซต์นั้นก็ทำการล็อกและไม่สามารถให้ใส่ตัวเลขได้อีก จากนั้นพวกเขาลองทำกันใหม่ด้วยการใช้วิธีการที่พวกเขาเรียกว่าการโจมตีแบบกระจาย โดยใช้โปรแกรมในการเจเนอเรตตัวเลขขึ้นมาซึ่งสุดท้ายก็หาตัวเลข CVV ได้ลองจินตนาการดูหากคุณโดนคัดลอกข้อมูลบัตรเครดิต แล้วเจอโปรแกรมนี้เข้าไปอีกดอก ทีนี้ก็จบ
VDO สาธิตการเจเนอเรตตัวเลข CVV จากบัตรเครดิต !
ที่มา :
http://www.enterpriseitpro.net/?p=4513
โอ้ว ! นักวิจัยใช้โปรแกรมสุ่มตัวเลข CVV ได้เพียงไม่ถึง 1 นาที !!
Skimming เป็นเทคนิคในการขโมยข้อมูลบนบัตร โดยอาจจะใช้อุปกรณ์ติดอยู่กับเครื่อง ATM และมันจะทำการคัดลอกข้อมูลบนแถบแม่เหล็กของบัตรที่เสียบในตู้ ATM ซึ่งแถบแม่เหล็กในบัตรส่วนใหญ่ก็มีข้อมูลเกือบครบหมด และสามารถเอาไปใช้ในเว็บบางเว็บได้
ซึ่ง CVV ก็เป็นสิ่งที่มาช่วยตรงนี้ ในกรณีของการซื้อของออนไลน์แบบที่เรียกว่า “Card Not Present (CNP)” เป็นการซื้อของแบบออนไลน์ เพียงแค่กรอกข้อมูลบัตรเครดิตด้วยการพิมพ์ ซึ่งไม่มีการเข้ารหัสข้อมูลบัตรตามมาตรฐาน EMV แต่มีความสะดวกคือสามารถใช้ซื้อของผ่านเว็บ แต่เว็บส่วนใหญ่ที่รองรับ CNP นั้นก็จะให้คุณกรอก CVV ลงไป ก็ถือว่าเป็นการป้องกันได้ระดับหนึ่ง (ในแถบแม่เหล็กนั้นตัวเลข CVV จะไม่ได้ถูกเก็บไว้ด้วย ถึงแม้ Skimming ไปได้ แต่จะไม่ได้ตัวเลข CVV นั่นเอง)
แล้วคิดว่า CVV จะปลอดภัยแค่ไหนกัน?
นักวิจัยที่ Newcastle University ในอังกฤษ ได้ทำการทดสอบวิธีการเดาตัว CVV โดยทดลองที่เว็บไซต์แห่งหนึ่ง ซึ่งใช้ลักษณะกาเดาสุ่ม พอเดาตัวเลขไปประมาณสักพักกับ เว็บไซต์นั้นก็ทำการล็อกและไม่สามารถให้ใส่ตัวเลขได้อีก จากนั้นพวกเขาลองทำกันใหม่ด้วยการใช้วิธีการที่พวกเขาเรียกว่าการโจมตีแบบกระจาย โดยใช้โปรแกรมในการเจเนอเรตตัวเลขขึ้นมาซึ่งสุดท้ายก็หาตัวเลข CVV ได้ลองจินตนาการดูหากคุณโดนคัดลอกข้อมูลบัตรเครดิต แล้วเจอโปรแกรมนี้เข้าไปอีกดอก ทีนี้ก็จบ
VDO สาธิตการเจเนอเรตตัวเลข CVV จากบัตรเครดิต !
ที่มา : http://www.enterpriseitpro.net/?p=4513