บัตรเครดิตมีความเปราะบางต่อการโจมตีแบบ brute force

 (metin.nextc.org)
1 คะแนน โดย GN⁺ 2 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • PCI DSS จำกัดการจัดเก็บและการแสดงข้อมูลบัตร แต่แม้มีเพียงข้อมูลที่อนุญาตให้แสดงได้ เช่น BIN, 4 หลักท้าย และวันหมดอายุ ก็ยังสามารถนำไปใช้ลองทำรายการชำระเงินเพิ่มเติมกับร้านค้าอื่นต่อได้
  • จากบัญชีที่ถูกเจาะ ผู้โจมตีสามารถดูหน้าของธนาคารใน 3D Secure และได้ข้อมูลว่าบัตรยังใช้งานได้หรือไม่, ชื่อธนาคาร, หมายเลขบัตรที่ถูกปิดบางส่วน, และวันหมดอายุแบบเต็ม จากนั้นราว 6 ชั่วโมงต่อมาก็มีการพยายามยืนยันตัวตนกับร้านค้าหลายแห่ง
  • หมายเลขบัตรชำระเงิน (PAN) มีโครงสร้างประกอบด้วย IIN, ตัวระบุบัญชี, และเลขตรวจสอบแบบ Luhn และหากการตอบกลับของ payment gateway แยกได้ว่าค่าไหนผิด ก็จะเดา PAN, วันหมดอายุ, และ CVV ได้ง่ายขึ้น
  • ความเร็วในการทดสอบจริงอยู่ที่ 6 ครั้งต่อวินาที หรือราว 2 ครั้งต่อวินาทีต่อ API และเนื่องจาก IP เปลี่ยนไปเรื่อย ๆ ผ่านพร็อกซี รวมถึงหมายเลขบัตรก็เปลี่ยนตลอด จึงทำให้ฝั่งร้านค้าตรวจจับ brute force ได้ยาก
  • ผู้โจมตีอาศัยร้านค้าที่เป็น ข้อยกเว้น 3D Secure เพื่อโอนวงเงินที่ถูกลดไว้ทั้งหมดไปยัง e-wallet แม้เงินจะถูกคืนผ่าน chargeback แต่การจำกัดความเร็ว CVC2 ของธนาคารก็ยังอยู่เพียงระดับบล็อกไม่กี่นาที

สิ่งที่ PCI DSS ป้องกันได้ และสิ่งที่ยังเหลือช่องไว้

  • PCI DSS เป็นมาตรฐานอุตสาหกรรมที่กำหนดมาตรการความปลอดภัยขั้นต่ำเมื่อจัดการข้อมูลธนาคารที่อ่อนไหว เช่น ข้อมูลบัตรเครดิต และจำกัดการจัดเก็บกับการแสดงผลเพื่อไม่ให้ข้อมูลทั้งหมดถูกเปิดเผย แม้บัญชีจะถูกเจาะหรือข้อมูลบัตรจะรั่วไปยังบุคคลที่สาม
  • ตาม PCI DSS 4 ข้อมูลที่แสดงบนหน้าจอหรือใบเสร็จได้คือ PAN แบบปิดบางส่วน, ชื่อผู้ถือบัตร, service code และวันหมดอายุ โดย PAN สามารถแสดง BIN และ 4 หลักท้ายได้
  • ข้อมูลที่ห้ามแสดง ได้แก่ track data แบบเต็ม, รหัสตรวจสอบบัตร และ PIN/PIN block
  • ทั้งเว็บอีคอมเมิร์ซและใบเสร็จแบบกระดาษต่างก็ได้รับผลกระทบจากปัญหาเดียวกัน ไม่ใช่แค่การถูกเจาะบัญชี แต่ใบเสร็จที่ไม่ถูกทำลายก็อาจทำให้ข้อมูลบัตรบางส่วนรั่วได้เช่นกัน

ลำดับเหตุการณ์

  • ผู้เสียหายใช้ บัตรเครดิตเสมือน ที่มีการจำกัดวงเงิน เปิดใช้ 3D Secure ซึ่งเป็นการยืนยันตัวตนสองขั้นตอน และบันทึกบัตรไว้ใช้เฉพาะกับร้านค้าที่เป็นที่รู้จักเท่านั้น
  • หลังจากบัญชีเก่าที่สร้างไว้นานแล้วถูกเจาะ ก็มี SMS แจ้งความพยายามสั่งซื้อจากเว็บไซต์ที่บันทึกบัตรไว้ ผู้เสียหายจึงล็อกอินทันที เปลี่ยนรหัสผ่าน ตรวจสอบว่ามีการซื้อจริงหรือไม่ และลดวงเงินของบัตรเสมือนลงอย่างมาก
  • เหตุผลที่ยังไม่ปิดบัตรทั้งหมด เพราะมองว่าข้อมูลบัตรเต็มชุดยังไม่ได้รั่วไหล
  • ประมาณ 6 ชั่วโมงหลังการเจาะครั้งแรก มีความพยายาม 3D Secure SMS 3–4 ครั้งจากร้านค้าหลายแห่งที่ไม่เคยใช้งาน แม้ทั้งหมดจะล้มเหลว แต่ก็กลายเป็นเบาะแสสำคัญต่อการวิเคราะห์วิธีโจมตีในภายหลัง
  • ไม่กี่นาทีต่อมา ระหว่างที่ผู้เสียหายโทรหาธนาคารเพื่อปิดบัตรทั้งหมด ผู้โจมตีก็ใช้ร้านค้าอื่นที่ไม่มี 3D Secure ถอนวงเงินที่ลดไว้ทั้งหมดผ่านการชำระเงินหลายครั้ง
  • เงินถูกย้ายไปยัง e-wallet ของมาร์เก็ตที่สามารถถอนเป็นเงินสดได้ และหลังจากผู้เสียหายขอ chargeback ธนาคารก็คืนเงินให้

ข้อมูลที่ผู้โจมตีได้รับ

  • ผู้โจมตีลองชำระเงินจากบัญชีที่เจาะได้ เข้าไปดูหน้าของธนาคารใน 3D Secure จากนั้นยกเลิกคำสั่งซื้อและออกไป
  • ในกระบวนการนี้ ผู้โจมตีได้รู้ว่าบัตรยังใช้งานได้ ชื่อธนาคาร หมายเลขบัตรที่ถูกปิดบางส่วน และวันหมดอายุแบบเต็ม
  • โดยทั่วไป หากจะทำธุรกรรมบัตรให้สำเร็จ มักต้องมี PAN ครบ 16 หลัก, วันหมดอายุ, หมายเลข CVC2 และข้อมูลอย่างเบอร์โทรศัพท์ที่ใช้ใน 3D Secure
  • แต่ในการโจมตีจริง กลับสามารถอาศัยเพียงข้อมูลบางส่วนเพื่อเดินหน้าลองทำรายการต่อกับร้านค้าอื่นได้

โครงสร้าง PAN และความเป็นไปได้ในการเดา

  • หมายเลขบัตรชำระเงิน (PAN) คือรหัสระบุบัตรที่ใช้กับบัตรเครดิต บัตรเดบิต บัตรมูลค่าเก็บสะสม และบัตรของขวัญ
  • PAN ใช้ระบบหมายเลขร่วมตาม ISO/IEC 7812 และมีโครงสร้างภายในดังนี้
    • Issuer Identification Number (IIN) 6 หรือ 8 หลัก
    • ตัวระบุบัญชีเฉพาะรายยาวได้สูงสุด 12 หลัก
    • เลขตรวจสอบ 1 หลักที่คำนวณด้วยอัลกอริทึม Luhn
  • ธนาคารของผู้เสียหายไม่อนุญาตให้ชำระเงินด้วยหมายเลขบัตรอย่างเดียว แต่ต้องใช้ PAN, วันหมดอายุ และ CVV ร่วมกัน
  • อย่างไรก็ตาม ธนาคารและ payment gateway บางแห่งสามารถประมวลผลการชำระเงินได้ด้วยหมายเลขบัตรเพียงอย่างเดียว ซึ่งเป็นจุดที่ผู้เสียหายรู้สึกเชื่อได้ยากที่สุด

เงื่อนไขที่ทำให้ brute force เป็นไปได้จากการตอบกลับของ payment gateway

  • ธนาคารของผู้เสียหายปฏิเสธรายการที่ไม่มีข้อมูลจำเป็นหรือมีข้อมูลผิด แต่กลับแจ้งผ่าน response code ว่าส่วนใดผิด
  • ตัวอย่างการตอบกลับมีดังนี้
    • “ไม่ใช่บัตรเครดิตที่ถูกต้อง”
    • “บัตรหมดอายุแล้ว”
    • “ข้อมูลอื่นถูกทั้งหมด แต่ CVV ไม่ถูกต้อง”
  • การตอบกลับลักษณะนี้สามารถถูกใช้ให้ผู้โจมตีแยกได้ว่าค่าใดในหมายเลขบัตร วันหมดอายุ หรือ CVV ถูกหรือผิด
  • ผู้โจมตีจริงทดสอบที่ความเร็ว 6 ครั้งต่อวินาที หรือประมาณ 2 ครั้งต่อวินาทีต่อ API
  • ความเร็วระดับนี้ตรวจจับได้ยากจากมุมมองของร้านค้า เพราะต้นทาง IP เปลี่ยนไปผ่านพร็อกซี หมายเลขบัตรก็ไม่ซ้ำกันตามธรรมชาติของ brute force และความถี่ของคำขอก็ต่ำมาก

บทบาทของร้านค้าที่เป็นข้อยกเว้น 3D Secure

  • ธนาคารมีรายชื่อร้านค้าที่เป็น ข้อยกเว้น 3D Secure ซึ่งถือว่าเป็นร้านค้าที่ธนาคารเชื่อถือ จึงสามารถรับการชำระเงินและค่าสมาชิกได้โดยไม่ต้องใช้ 3D Secure
  • ร้านค้ากลุ่มนี้ต้องรับผิดชอบหากเกิด chargeback
  • ผู้โจมตีใช้ร้านค้าที่ไม่มี 3D Secure เพื่อย้ายเงินภายในวงเงินบัตรไปยัง e-wallet

การรับมือภายหลังและปัญหาที่ยังเหลืออยู่

  • เงินถูกคืนอย่างรวดเร็วผ่าน chargeback
  • มีการแจ้งร้านค้าที่เกี่ยวข้องว่าระบบเปลี่ยนการชำระด้วยบัตรให้เป็นเงินสดถูกใช้ในการถอนเงินโดยไม่ได้รับอนุญาต แต่ร้านค้าตอบให้ไปสอบถามธนาคาร
  • มีการแจ้งเว็บอีคอมเมิร์ซว่าการเปิดเผยหมายเลขบัตร 10 หลักพร้อมวันหมดอายุทำให้โจมตีได้ง่ายขึ้น แต่เว็บดังกล่าวไม่ยอมรับว่าเป็นช่องโหว่ และตอบว่าถูกออกแบบไว้เช่นนั้นโดยตั้งใจให้สอดคล้องกับมาตรฐาน PCI DSS 3 และ 4
  • ผู้ที่สร้าง payment API หรือทำงานในอุตสาหกรรมการชำระเงินไม่ได้แปลกใจกับเรื่องนี้นัก และร้านค้าบางแห่งก็ตอบว่าสามารถทำธุรกรรมได้แม้ไม่มีวันหมดอายุ
  • หลังเกิดเหตุ ผู้ที่เคยแปลงการชำระด้วยบัตรเครดิตเป็นเงินสดก็ไม่ได้ดำเนินการดังกล่าวโดยไม่มี 3D Secure อีกต่อไป
  • ธนาคารของผู้เสียหายยังคงใช้การจำกัดความเร็วที่ค่อนข้างผ่อนปรนต่อการ brute force CVC2 และหากติดข้อจำกัดก็เพียงบล็อกบัตรใบนั้นชั่วคราวไม่กี่นาที

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2 시간 전
ความคิดเห็นจาก Hacker News

  • จากกรณีที่เกี่ยวข้อง ดูเหมือนว่าผู้เขียนต้นฉบับอาจกำลังไล่ตาม สาเหตุผิดจุด อยู่ก็ได้ ช่วงหลังมีรายการตัดบัตรเล็กน้อยที่ไม่ได้รับอนุญาตจาก FB/Meta โผล่ขึ้นมาในบัตรเครดิตของฉัน และดูเหมือนว่าจะมีใครกำลังลองดูว่าบัตรยังใช้งานได้หรือไม่
    ฉันโทรหาบริษัทบัตรเพื่อยกเลิกรายการและปิดบัตร จากนั้นก็ได้รับบัตรใบใหม่ที่มีหมายเลขบัตร วันหมดอายุ และ CVV ใหม่ แต่แม้แต่บัตรใหม่ที่ยังไม่เคยใช้เลยก็ยังเริ่มมีรายการโกงจาก FB/Meta อีก สาเหตุมาจาก กระเป๋าเงินดิจิทัล ซึ่งแม้จะปิดบัตรแล้ว ข้อมูลอย่างหมายเลขบัตรก็ยังอาจถูกโอนต่อผ่านกระเป๋าเงินดิจิทัลได้
    พอโทรกลับไปที่บริษัทบัตรอีกครั้งเพื่อขอให้ปิดกระเป๋าเงินดิจิทัลทั้งหมด กลับพบว่ามีถึง 99 รายการ และทำออนไลน์ไม่ได้ ต้องคุยกับพนักงานคอลเซ็นเตอร์เท่านั้น ฉันต้องย้ำให้เขาปิดทั้งบัตรและกระเป๋าเงินดิจิทัลทั้งหมด แม้เขาจะอธิบายว่าการตัดเงินแบบต่ออายุจะถูกรีเซ็ตหมดแล้วก็ตาม และยังต้องรอสายตั้ง 20 นาที การ “ปิดบัตร” อาจไม่เหมือนที่หลายคนคิด และดูเหมือนว่ารายการตัดเงินแบบเกิดซ้ำจะทำกำไรให้บริษัทบัตรสูงมากจนการปิดมันหมายถึงการเสียรายได้ก้อนใหญ่

    • ไม่แน่ใจว่าจะใช่ “กระเป๋าเงินดิจิทัล” หรือเปล่า แต่แนวคิดเรื่อง การอัปเดตข้อมูลบัตร หลังออกบัตรใหม่มีอยู่จริง และเป็นบริการที่บริษัทบัตรให้ บล็อก Stripe: https://stripe.com/resources/more/what-is-a-card-account-upd...
    • ฉันก็โดน Meta/FB ตัดเงิน 200 ยูโร เหมือนกัน และตอนนี้ยังรอบัตรใหม่อยู่
    • ถ้าดูที่ privacy.com คุณสามารถสร้างบัตรเองได้ และถ้าต้องการก็ใช้บัตรแยกใบต่อหนึ่งบริการได้เลย
    • เรื่องที่ว่า “ไม่มีทางปิดกระเป๋าเงินดิจิทัลทั้งหมดทางออนไลน์” นั้นแตกต่างกันมากตามแต่ละธนาคาร ตัวอย่างเช่น Bank of America ให้ดูและลบบัตรที่เพิ่มไว้ในกระเป๋าเงินดิจิทัลได้จากหน้าเว็บไซต์
    • สำหรับกรณีของฉันแทบจะแน่ชัดเลย มันเกิดขึ้นภายในวันเดียว และบัตรที่ใช้ก็เป็น บัตรเสมือน ที่ใช้กับเว็บอีคอมเมิร์ซใหญ่ ๆ แค่ไม่กี่แห่งเท่านั้น
      ถ้ารั่วจากที่อื่น ก็คงไม่มีเหตุผลจะต้องพยายามล็อกอินเข้าบัญชีอีคอมเมิร์ซที่ไม่เกี่ยวข้องด้วย

  • บทความนี้ไม่ได้แตะประเด็นสำคัญที่สุดเลย นั่นคือ การชำระราคา ซึ่งธนาคารยอมให้เงินย้ายจากบัญชีฉันไปยังร้านค้า เป็นเรื่องที่แยกจาก การอนุมัติ โดยสิ้นเชิง
    การอนุมัติคือ EMV สมัยใหม่ หรือการยืนยันแบบ “ชิปและ PIN”, CVV สำหรับออนไลน์ และกลไกอีกหลายอย่างที่ธนาคารใช้ป้องกันตนเองจากการฉ้อโกง และรองลงมาคือปกป้องร้านค้า
    เครือข่ายสามารถยอมรับได้เมื่อ Amazon บอกว่า “นี่คือหมายเลขบัตร และคนนี้บอกว่าจะจ่ายเรา 400 ดอลลาร์” แค่นั้นก็คือการชำระราคาและจะไปขึ้นในใบแจ้งยอด โดยไม่มีทั้งการเข้ารหัสซับซ้อน กลไกแม้แต่ระดับ PIN 4 หลัก หรือการตรวจสอบง่าย ๆ แบบถามนามสกุลเดิมของแม่ ทุกอย่างเป็นแค่ “โอเค เชื่อก็ได้” นี่จึงเป็นเหตุผลว่าทำไมผู้บริโภคต้องอ่านใบแจ้งยอดบัตรเครดิต และถ้าไม่โต้แย้งรายการที่ไม่รู้จัก ก็จะกลายเป็นว่าจ่ายไปเฉย ๆ
    แทบไม่มีแรงจูงใจใด ๆ ให้เครือข่ายใส่ใจว่าผู้บริโภคถูกโกงหรือไม่ ถ้าไม่โต้แย้ง ทุกฝ่ายก็พอใจ และถ้าโต้แย้งก็ไปเรียกคืนจากร้านค้าอีกที จึงไม่ใช่ปัญหาของพวกเขา

    • คำว่า “ถ้าโต้แย้งก็แค่ไปเรียกคืนจากร้านค้าแล้วจบ” ใช้ได้กับ การชำระเงินออนไลน์ที่ไม่มี 3DS แต่ใช้ไม่ได้กับการจ่ายหน้าร้านหรือการจ่ายออนไลน์ที่มี 3DS โดยปกติกรณีนั้นผู้ออกบัตรจะเป็นฝ่ายรับผิดชอบ

  • ผู้ประมวลผลการชำระเงินไม่ได้เปิดให้มี การไล่ลองบัตรแบบ enumerate หรือการทดสอบบัตรแบบเดาสุ่มทั้งหมายเลข และเครือข่ายบัตรก็มีบทลงโทษรุนแรงต่อร้านค้าและผู้ประมวลผลที่ไม่หยุดยั้งเรื่องนี้

    1. https://stripe.com/newsroom/news/card-testing-surge
    2. https://stripe.com/blog/the-ml-flywheel-how-we-continually-i...
    3. https://docs.stripe.com/disputes/monitoring-programs#enumera...
    • ถ้าใช้ API ตรวจสอบบัตรหลายตัว ความถี่ของความพยายามก็จะต่ำมาก ถ้าเป็น PAN คนละหมายเลข IP ต้นทางคนละตัว ผมไม่ค่อยเห็นว่าจะเชื่อมโยงกันได้อย่างไร
      ส่วนการไล่ลอง CVC2 กับ PAN เดียวเป็นอีกเรื่องหนึ่ง
    • จนถึงเมื่อ 6 ปีก่อน Stripe ยังไม่ปิดบังหมายเลขบัตรใน API log เลย

  • นี่เป็นหลักฐานว่าโครงสร้างพื้นฐานป้องกันการฉ้อโกงช่วยปกป้องได้จริง ธนาคารเป็นฝ่ายรับความเสียหายจากการโกงและก็ได้เงินคืน
    สุดท้ายแล้วระบบธนาคารให้ความสำคัญกับความเสียหายจากการฉ้อโกง และยังมีความสามารถสูงมากในการตรวจจับการฉ้อโกงด้วย ระบบชำระเงินด้วยบัตรมีขนาดใหญ่เกินกว่าจะเปลี่ยนได้ง่ายมาก ๆ ดังนั้นถ้าไม่มีหลักฐานหนักแน่นว่าการเปลี่ยนแปลงบางอย่างจะลดอัตราการโกงได้จริง ธนาคารก็มักจะเลือกไม่เปลี่ยน

    • น่าเสียดายที่หลายครั้งความเสียหายจากการฉ้อโกงไม่ได้ตกที่ธนาคาร แต่ตกที่ ร้านค้า จึงเกิดปัญหา principal-agent
      ธนาคารผู้ออกบัตรได้เงินจากค่าธรรมเนียมการชำระราคาทุกธุรกรรม ดังนั้นถ้าไม่ต้องรับผิดชอบต่อการโกง แรงจูงใจตามธรรมชาติก็คืออนุมัติให้มากที่สุดเท่าที่ทำได้ แล้วค่อยไปจัดการด้วย chargeback ทีหลัง แต่ 3DS เปลี่ยนสมการนี้ไปมาก และการจ่ายหน้าร้านก็มักเป็นความรับผิดชอบของธนาคารผู้ออกบัตร
    • ไม่ใช่ว่าธนาคารรับความเสียหายจริง ๆ หรอก แต่พวกเขาบวก มาร์จิน ไว้ในบริการทั้งหมดมากพอจะครอบคลุมต้นทุนการฉ้อโกง
      สุดท้ายผู้บริโภคทุกคนก็ร่วมกันแบกรับต้นทุนการฉ้อโกงทั้งหมด เพียงแต่ไม่ได้เห็นเป็นบรรทัดแยกในใบแจ้งยอด เราจ่ายแพงขึ้นนิดหน่อยกับทุกสิ่งที่ซื้อ
    • จะได้รับการคุ้มครองก็ต่อเมื่อสังเกตเห็นรายการโกงเท่านั้น
    • ฉันเคยเจอกรณีที่ธนาคารยอมแพ้เมื่ออีกฝ่ายสู้เรื่อง chargeback อย่างจริงจัง
      ตอนเจอเรื่องบัตรเครดิตที่ถูกขโมยบน eBay ตอนแรกทุกอย่างเหมือนจะไปได้ดี แต่พอ eBay ส่งเอกสารกองโตไปให้ธนาคาร chargeback ก็ถูกกลับคำตัดสิน และไม่นานหลังจากนั้นบัญชีธนาคารของฉันก็ถูกปิดไปด้วย
      ไม่ใช่ว่าได้เงินคืนจาก chargeback แล้วเรื่องจะจบ ตอนแรกมันดูเหมือนเป็นการจัดการชั่วคราวระหว่างรอให้อีกฝ่ายมีเวลาตอบ และใช้เวลาราว 30 วันก่อนที่ eBay จะถล่มฉันด้วยเอกสารจน chargeback ถูกยกเลิกกลับ ธนาคารเชื่อคำอธิบายของพวกเขามากจนสุดท้ายกลับมองว่าฉันเป็นคนโกงเสียเอง
      และผมก็ไม่แน่ใจด้วยว่าคำพูดที่ว่าธนาคารเป็นฝ่ายรับความเสียหายจากการโกงจะถูกต้อง 100% เพราะเหตุผลที่ฝ่ายที่โดน chargeback ยังโต้แย้งก็เพราะท้ายที่สุดจะต้องมีฝ่ายใดฝ่ายหนึ่งระหว่างผู้ถูก chargeback กับผู้ยื่น chargeback ที่เป็นคนรับความเสียหาย ถ้าระบบออกแบบให้ธนาคารเป็นคนรับทั้งหมดจริง eBay ก็คงไม่มีเหตุผลต้องจ้างคนเฉพาะทางมาสอบสวนและตอบโต้ chargeback ของผม

  • ถ้า 3D Secure เป็นข้อบังคับทุกที่ก็น่าจะช่วยได้มากกว่านี้ แต่เท่าที่เข้าใจ ในสหรัฐฯ แทบไม่ได้ใช้กันเลย เพราะตลาดอเมริกาใหญ่เกินไปจนผู้ออกบัตรจำเป็นต้องยอมรับคำขอที่ไม่มี 3D Secure ไม่อย่างนั้นลูกค้าก็จะใช้บัตรไม่ได้ในหลายที่เกินไป
    มันเลยกลายเป็นว่ากลไกป้องกันการโกงที่ทรงพลังมากถูกจำกัดอย่างหนัก ซึ่งจากมุมของโลกส่วนใหญ่ก็น่าหงุดหงิด
    ผมไม่เข้าใจว่าทำไมผู้บริโภคอเมริกันถึงดูเหมือนจะยอมรับการถูกโกงมากกว่าความไม่สะดวกเล็กน้อย ต่อให้ไม่ใช่เหยื่อโดยตรง ร้านค้าก็นำต้นทุนการโกงและประกันไปบวกราคาอยู่ดี สุดท้ายทุกคนก็จ่าย

    • โดยทั่วไปมักตัดสินกันว่า ถ้า conversion ลดลง จากมาตรการความปลอดภัยใด ๆ มากกว่าอัตราการโกงเฉลี่ย ก็ไม่มีเหตุผลทางการเงินจะนำมาใช้
      แต่ถ้ามองทั้งอุตสาหกรรม นี่เป็นปัญหาการประสานงานแบบคลาสสิก conversion ที่ตกเกิดจากยังมีทางเลือกอื่นที่ง่ายกว่าอยู่ ถ้าร้านค้าและธนาคารทุกแห่งบังคับ 3DS พร้อมกัน ก็จะไม่มีตัวเลือกที่สะดวกกว่าสำหรับย้ายไปใช้ ไม่ชอบหรือชอบ ผู้ใช้ก็จะคุ้นกับวิธีใหม่ที่ปลอดภัยกว่า และ conversion ก็จะกลับมาดีขึ้น
      สหภาพยุโรปบังคับใช้ 3DS กับการชำระเงินจำนวนมากในลักษณะนี้ และหน่วยงานกำกับดูแลที่นั่นก็ยอมรับเหมือนกันว่าการบังคับ 100% อาจให้ผลย้อนกลับ จึงต้องหาจุดสมดุลบางแห่ง
      หลักฐานอีกอย่างในแนวเดียวกันคือ บัตรเครดิตในอเมริกาไม่มี PIN ถ้าธนาคารรายใดรายหนึ่งนำ PIN มาใช้ ลูกค้าก็จะหันไปใช้บัตรของคู่แข่งที่ไม่มี PIN และการใช้งานจะลดลงมาก ในตลาดอื่น ๆ มีทั้งการแทรกแซงจากกฎระเบียบหรือแรงจูงใจจากเครือข่ายบัตร ทำให้บัตรทุกใบมี PIN และผู้คนก็แค่ปรับตัวจนชิน
    • สหรัฐฯ มีกฎหมายต่างออกไป และเป็นมิตรกับผู้บริโภคมากกว่า พฤติกรรมผู้บริโภคจึงต่างกัน
      ตอนที่บัตรเครดิตเพิ่งถือกำเนิดขึ้นในสหรัฐฯ สภาคองเกรสได้ผ่าน Fair Credit Billing Act ปี 1974 ซึ่งจำกัดความรับผิดของผู้บริโภคไว้ที่ 50 ดอลลาร์ หากแจ้งบัตรหายภายใน 60 วันหลังรอบบิลที่มีรายการฉ้อโกงสิ้นสุดลง ในยุคนั้นการชำระเงินทำบนกระดาษด้วยเครื่องที่ทำเสียง “ka-chunk” เพื่อกดสำเนาคาร์บอนของบัตร และเป็นระบบออฟไลน์ทั้งหมด
      กฎหมายนี้ไม่เคยเปลี่ยน และในความเป็นจริง ธนาคารส่วนใหญ่ยังยกเว้นแม้แต่ 50 ดอลลาร์นั้นด้วย จึงไม่เรียกเก็บความรับผิดใด ๆ จากผู้ถือบัตรในกรณีที่มีการแจ้ง เพราะสำหรับธนาคาร การทำให้ลูกค้าหงุดหงิดเพราะเงิน 50 ดอลลาร์ไม่คุ้มเลย
      อินเทอร์เน็ตทำให้บัตรถูกขโมยและถูกนำไปใช้ผิดวัตถุประสงค์ได้ง่ายขึ้นมากในทันที แต่ธนาคารก็ยังคงต้องรับภาระความเสียหายทั้งหมดที่มีการแจ้งภายใน 60 วันหลังสิ้นสุดรอบบิล ดังนั้นธนาคารอเมริกันจึงลงทุนมหาศาลกับการเฝ้าตรวจธุรกรรมบัตรเครดิตแบบเรียลไทม์ และเพราะสุดท้ายพวกเขาเป็นผู้รับผิดชอบจริง จึงเฝ้าระวังอย่างจริงจังมาก ขณะที่ผู้บริโภคใส่ใจน้อยกว่า เหตุผลที่จากมุมผู้บริโภคแล้วบัตรในอเมริกาดูหละหลวมกว่ายุโรป ก็เพราะต่างจากบัตรยุโรปที่ผู้บริโภคต้องรับผิดบางส่วน ระบบอเมริกันทำให้ธนาคารไปลงทุนหนักที่ฝั่ง backend แทน
      อีกประเด็นหนึ่งคือ EU ได้กำกับเพดาน ค่าธรรมเนียมการชำระราคา ที่บริษัทบัตรเก็บได้ แต่สหรัฐฯ ไม่ได้กำหนดเพดาน ผลก็คือผู้ถือบัตรในอเมริกาได้รับรางวัลจากการใช้บัตรค่อนข้างมาก โดยเฉพาะคนรวย 10% แรก และสิ่งนี้แทบเป็นไปไม่ได้เลยกับบัตรผู้ออกใน EU ที่ค่าธรรมเนียมถูกจำกัด
      ตอนนี้กำลังมีคดีใหญ่ที่พยายามเปิดทางให้ร้านค้าเลือกรับเฉพาะบัตรที่ค่าธรรมเนียมต่ำได้ สัญญามาตรฐานของ VISA/MC/AMEX กำหนดให้ร้านค้าต้องปฏิบัติต่อบัตรทุกใบเท่าเทียมกัน และนั่นทำให้บริษัทบัตรมีแรงจูงใจพาผู้คนไปใช้บัตรที่มีค่าธรรมเนียมการชำระราคาสูงกว่า ต้องรอดูผลคดีนี้ แต่ก่อนถึงตอนนั้น ผู้บริโภคอเมริกันที่ใช้จ่ายสูงก็อาจได้รางวัลจากบัตรมากกว่ามาก และนี่ก็เป็นอีกแรงที่ทำให้การใช้บัตรเพิ่มขึ้นและมีแรงเสียดทานน้อยกว่าบัตรแบบยุโรป
    • คุณคิดว่าเรากำลังเรียกร้องเครื่องมือชำระเงินที่ปลอดภัยน้อยกว่าหรือ?
      ไม่ใช่ว่าเราอยากถูกโกง แต่เรื่องนี้เป็นปัญหาการต่อรองระหว่างผู้ออกบัตรกับร้านค้า
    • เผื่อใครอยู่ในสหรัฐฯ และต้องการ HSBC USA Mastercard ใช้ 3D Secure
    • ความเสียหายจากการโกงที่ 3D Secure ป้องกันได้จริงจะมากแค่ไหนกัน 0.1% หรือเปล่า?

  • ครั้งหนึ่งบริษัทเราเคยจ้างคนคนหนึ่งเข้ามา แล้วเขาเริ่มคุยโวว่าตัวเองเจอ วิธีเพิ่มมูลค่าเก็บไว้ในบัตรของขวัญ ได้ ต่อมาถึงรู้ว่าเขากำลังโดน FBI สอบสวนอยู่
    นั่นยังเป็นบริษัทรับเหมารัฐบาลอีกด้วย และสุดท้ายก็มีเจ้าหน้าที่รักษาความปลอดภัยตัวใหญ่ที่สุดเท่าที่ผมเคยเห็นมาพาเขาออกไป

    • “เพิ่มมูลค่าเก็บไว้ในบัตรของขวัญ” หมายถึงอะไร?

  • บัตรเครดิตเสมือน มีมานานมากแล้ว ผมจำได้ว่าเมื่อกว่า 15 ปีก่อน Bank of America หรือ Citi ก็มีให้ใช้ อาจเป็นแอป Java หรือไม่ก็โปรแกรม standalone ก็ได้ แปลกใจว่าทำไมมันไม่แพร่หลายกว่านี้
    Robinhood ทำเรื่องนี้ได้ดีมาก เป็นระบบบัตรเครดิตเสมือนที่ดีที่สุดที่ผมเคยใช้และลื่นไหลมาก คุณจะอนุมัติบัตรให้ใช้ครั้งเดียว 24 ชั่วโมง หรือไม่มีกำหนดจนกว่าจะยกเลิกก็ได้ และ UI/UX ก็ดีเยี่ยม

    • มันไม่แพร่หลายเพราะการรับภาระต้นทุนการโกงง่ายกว่าการดูแลระบบนี้ แค่นั้นเอง
      มันก็แค่ ฟีเจอร์ที่เป็นประโยชน์ต่อผู้บริโภค เลยไม่ค่อยมีที่ยืน
    • MBNA เคยมี แอปบัตรเสมือนแบบ Flash ในช่วงต้นยุค 2000 ก่อนจะถูก Chase ซื้อ และฉันใช้มันหนักมาก
      ในโลกทุกวันนี้ที่ทุกอย่างกลายเป็น subscription ไปหมด ฉันไม่เข้าใจจริง ๆ ว่าทำไมฟีเจอร์แบบนี้ถึงไม่แพร่หลาย ความสามารถในการกำหนดวันหมดอายุและเพดานการใช้จ่ายเพื่อไม่ต้องไปต่อรองกันสกปรกตอนยกเลิก subscription นั้นดีมาก

  • ไม่นานมานี้ผมได้รับข้อความจากธนาคารว่ามีธุรกรรมต้องสงสัยในต่างประเทศบนบัตรของภรรยา แต่ยอดเงินเป็น 0 ดอลลาร์ ตามตัวอักษร และเกิดในช่วงที่ภรรยาไม่ได้ใช้โทรศัพท์หรือคอมพิวเตอร์เลย
    ตอนแรกผมนึกว่าข้อความนั้นเองเป็นฟิชชิง แต่พอตรวจออนไลน์ก็พบว่ารูปแบบข้อความตรงกัน และหน้าเว็บของธนาคารก็ยืนยันว่าในขั้นตอน feedback จะไม่ขอข้อมูลใด ๆ ผมจึงยืนยันว่าไม่ได้ทำรายการนั้น
    ธนาคารยกเลิกบัตรทันทีและส่งบัตรใหม่มาให้
    ตอนแรกคิดว่าระบบความปลอดภัยของธนาคารไวเกินเหตุ แต่จริง ๆ แล้วน่าจะมีใครกำลังทำสิ่งที่บทความนี้อธิบายอยู่ และธนาคารตรวจจับได้เร็วกว่านั้นเอง

  • ควรมีบัตรแยกไว้สำหรับการจ่ายเงินออนไลน์ และเติมเงินไว้เท่าที่จำเป็นสำหรับการชำระเงิน
    ผมรู้ว่านี่อาจฟังดูไร้เดียงสา
    กลับมาที่บทความ จุดอ่อนคือรหัสผ่าน และมันนำไปสู่ร้านค้าอื่นที่ไม่ใช้ 3D Secure
    จากที่อ่านดู เหมือนผู้โจมตีมีระบบอัตโนมัติเต็มรูปแบบอยู่แล้ว ดังนั้นร้านค้ารายใหญ่ควรจัดการกับความพยายามล็อกอินอัตโนมัติจาก IP เดียวกันไปยังหลายบัญชีที่แตกต่างกันได้ ดูจาก Wordfence log ของเรา การหมุน IP ก็ไม่ได้เร็วขนาดนั้น ดังนั้นการบล็อก IP ถาวรก็น่าจะช่วยรับมือได้ระดับหนึ่ง

    • ถ้าร้านค้าไม่ต้องรับผิดชอบต่อการฉ้อโกงที่เกิดขึ้นในสภาพปัจจุบัน แล้วทำไมพวกเขาต้องทำด้วย?
    • พูดตามตรง ผมไม่ค่อยสนใจเรื่องโกงบัตรเครดิตเท่าไร เพราะธนาคารก็คืนเงินให้ แค่คอยดูว่ามีอะไรแปลก ๆ ในใบแจ้งยอดหรือไม่
    • ตอนนี้ Mercury มีบัญชีธนาคารส่วนบุคคลแล้ว คุณสามารถสร้าง บัตรเดบิตเสมือน ได้ เหมือนบริการสำหรับบริษัทอย่าง Brex/Mercury/Ramp
    • เห็นด้วยกับการใช้บัตรแยก ของผมก็เป็นบัตรแยกเหมือนกัน และอย่างน้อยก็ดีที่ยอดเงินไม่ได้มากนัก
      ผมไม่คิดว่าการรั่วของรหัสผ่านควรลามไปถึงการรั่วของข้อมูลบัตรเครดิตทั้งหมด ข้อมูลชุดเดียวกันนี้ยังพิมพ์อยู่บนใบเสร็จกระดาษในร้านด้วย บางครั้งแสดง 4 หลัก บางครั้ง 10 หลัก และแม้แต่ใบเสร็จกระดาษที่ถูกทิ้งไว้ในร้านก็ยังทำให้การ brute-force เป็นไปได้อยู่ดี
    • ไม่ได้เกี่ยวข้องโดยตรง แต่บัตรเสมือน Capital One Eno ก็เหมาะกับการใช้งานแบบนี้มาก

  • ขอเสริมว่า ร้านค้าไม่สามารถเลือกระดับความปลอดภัยที่ต้องการจากผู้ประมวลผลบัตรเครดิตได้เสมอไป เช่นใน authorize.net คุณยังรับชำระเงินได้แม้ที่อยู่จะไม่ตรงกัน
    คำถามจริงคือเขาดึงเงินออกไปได้อย่างไร ซื้อบัตรของขวัญจากร้านค้าที่ความปลอดภัยหย่อนยานงั้นหรือ?
    การเดาหมายเลขให้ถูก กับการเอาเงินออกจากระบบไปใช้นอกระบบ เป็นคนละเรื่องกันโดยสิ้นเชิง

    • คำกล่าวที่ว่า “ร้านค้าเลือกไม่ได้ว่าต้องการระดับความปลอดภัยแบบไหนจากผู้ประมวลผล” นั้นขึ้นอยู่กับผู้ประมวลผล หลายเจ้าปล่อยให้ร้านค้ากำหนด กฎการอนุมัติ ได้ลึกพอสมควร
      ตลาดผู้ประมวลผลมีการแบ่งขั้วอยู่บ้าง ด้านหนึ่งคือผู้ให้บริการที่มอบความเรียบง่ายและลดภาระให้ลูกค้า อีกด้านคือผู้ที่เปิดเผยความซับซ้อนทั้งหมดและให้สิทธิ์ควบคุมอย่างละเอียด แบบแรกจะไม่ให้คุณกำหนดข้อกำหนดด้านความปลอดภัย ส่วนแบบหลังจะให้ตัวเลือกนับร้อย แน่นอนว่ายังมีผู้ประมวลผลที่อยู่ตรงกลาง และสองแกนนี้ก็มักเจาะกลุ่มลูกค้าคนละประเภท