ในด้านความปลอดภัยทางไซเบอร์ การ "สกิปปิ้ง" คืออะไร?

การโจรกรรมข้อมูลบัตรเครดิต (Skimming) ในด้านไซเบอร์ซีเคียวริตี้ เป็นวิธีการที่รวดเร็วและโต้ตอบได้ดีในการขโมยข้อมูลบัตรชำระเงินและข้อมูลส่วนบุคคลจากตู้เอทีเอ็มและเครื่องสแกนบัตรชำระเงินได้อย่างรวดเร็ว อุปกรณ์สอดแนม อีเมลที่ไม่พึงประสงค์ และโค้ด JavaScript ที่เป็นอันตรายซึ่งใช้ในการโจรกรรมทางไซเบอร์ จะแอบบันทึกและส่งข้อมูลผู้ถือบัตรแบบเรียลไทม์โดยที่เหยื่อไม่รู้ตัว อย่างไรก็ตาม วิธีแก้ปัญหาการตรวจพบและตรวจสอบล่าช้าคือการใช้โซลูชันที่เป็นนวัตกรรมใหม่ เช่น RiskRecon จาก Mastercard 

การโจมตีแบบ Skimming มีสองประเภทหลัก: 

• การขโมยข้อมูลบัตรเครดิตโดยใช้เครื่องมือทางกายภาพนั้น เกี่ยวข้องกับการติดตั้งเครื่องอ่านข้อมูลบัตรเครดิตไว้กับเครื่องชำระเงิน ตู้เอทีเอ็ม ปั๊มน้ำมัน ฯลฯ เป้าหมายของพวกเขาคือบัตรที่จับต้องได้และการทำธุรกรรมแบบพบปะตัวต่อตัว

• การโจรกรรมข้อมูลดิจิทัล จะซ่อน URL ในอีเมลสแปม/ฟิชชิ่ง หรือแพร่เชื้อไปยังเว็บไซต์และแอปพลิเคชันอีคอมเมิร์ซจากระยะไกลด้วยมัลแวร์ที่ขโมยข้อมูลการชำระเงินออนไลน์อย่างลับๆ ในระหว่างการชำระเงิน (การโจมตี Magecart)

การขโมยข้อมูลบัตรเครดิตหรือบัตรเดบิตนั้น ได้ชื่อนี้มาจากการใช้ซอฟต์แวร์ขโมยข้อมูลประจำตัวที่ติดตั้งไว้ในร้านค้าออนไลน์ของผู้ค้าปลีก เมื่อลูกค้าที่ไม่ระมัดระวังใช้ตะกร้าสินค้าเพื่อเริ่มทำรายการชำระเงินบนเว็บไซต์ แฮ็กเกอร์จะคัดลอกข้อมูลบัตรเดบิตหรือบัตรเครดิตที่ป้อนลงในช่องชำระเงินโดยที่ลูกค้าไม่รู้ตัว  

การโจมโจมแบบขโมยข้อมูลบัตรเครดิตอาจ นำไปสู่การรั่วไหลของข้อมูล ซึ่งทำลายความปลอดภัยทางการเงินและเปิดเผยตัวตนของผู้ถือบัญชีได้ จากนั้นข้อมูลบัตรที่ถูกขโมยจะถูกนำไปใช้ในการโจรกรรมบัญชีด้วยธุรกรรมที่ไม่ได้รับอนุญาตและเป็นการฉ้อโกง แต่ผู้กระทำผิดไม่ได้หยุดอยู่แค่นั้น พวกเขายังสามารถปลอมแปลงหรือขายที่อยู่อีเมล หมายเลขประกันสังคม และข้อมูลอื่นๆ บนเว็บไซต์ตลาดมืดที่น่าสงสัยได้อย่างง่ายดาย ความปลอดภัยทางไซเบอร์ในภาคการธนาคาร กลายเป็นเรื่องที่น่ากังวลอย่างมาก เนื่องจากมิจฉาชีพใช้เครื่องมือสแกนข้อมูลบัตรเครดิต (skimmer) ในการขโมยข้อมูลบัตรเครดิตในวงกว้าง สำนักงานสอบสวนกลางสหรัฐฯ (FBI) ประเมินว่า การฉ้อโกงโดยการขโมยข้อมูลบัตรอิเล็กทรอนิกส์ (e-skimming) ทำให้ผู้ถือบัตรและธนาคารสูญเสียเงิน กว่า 1 พันล้านดอลลาร์ต่อปี ไม่น่าแปลกใจเลยที่มันกลายเป็นวิธีการโจมตีที่เหล่าอาชญากรไซเบอร์นิยมใช้กันอย่างแพร่หลาย 

นอกเหนือจากความเสี่ยงเรื่องค่าธรรมเนียมการเบิกเงินเกินบัญชี บัตรเครดิตที่ใช้จนเต็มวงเงิน และบัญชีที่ถูกปลอมแปลงแล้ว การโจรกรรมข้อมูลบัตรเครดิตทางไซเบอร์ ยังส่งผลกระทบเชิงลบต่อผู้ที่เกี่ยวข้องดังนี้:

• บัญชีที่ถูกระงับ

• การติดตั้งมัลแวร์

• ข้อมูลที่ถูกแก้ไขหรือลบ

• การหยุดชะงักและการหยุดทำงาน

• เสียเวลานับไม่ถ้วนไปกับการโต้แย้งข้อกล่าวหาและการกรอกเอกสาร

• ความทุกข์ทางอารมณ์จากการถูกละเมิด

• การสูญเสียความไว้วางใจจากลูกค้าเนื่องจากชื่อเสียงเสียหาย

อุปกรณ์สแกนข้อมูลบัตรเครดิตออนไลน์ หรือ E-skimmer นั้น ส่วนใหญ่จะค้นหาข้อมูลการชำระเงินเพื่อใช้ในการซื้อสินค้าโดยไม่ได้รับอนุญาตและการโจรกรรม โดยเฉพาะอย่างยิ่ง นี่คือเป้าหมายที่ผู้โจมตีมุ่งเป้าไป:

• รายละเอียดบัตรเครดิต - หมายเลขบัตร วันหมดอายุ รหัส CVV

• ข้อมูลส่วนบุคคล - ชื่อ อีเมล ที่อยู่ หมายเลขโทรศัพท์ หมายเลขประกันสังคม และข้อมูลระบุตัวตนอื่นๆ

อาจกล่าวได้ว่า อุปกรณ์ดักข้อมูลบัตรเครดิตจาก ATM เป็นตัวอย่างที่พบได้บ่อยที่สุดของอุปกรณ์ดักข้อมูลบัตรเครดิต นอกจากนี้ พ่อค้าที่ไม่ซื่อสัตย์ยังสลับเปลี่ยนเครื่องรับชำระเงินแบบพกพา (POS) ของแท้ด้วยเครื่องที่ดัดแปลงแล้ว ซึ่งสามารถอ่านและจัดเก็บข้อมูลบัตรเครดิตได้ นอกจากนี้ ยังมีวิธีอื่นๆ ที่แมลงดูดเลือดใช้ในการพรางตัวอย่างชาญฉลาดเพื่อให้กลมกลืนกับสภาพแวดล้อม ได้แก่: 

• แผ่นปิดทับรหัส PIN ปลอมที่สามารถดักจับรหัส PIN ได้ 
• อุปกรณ์ตรวจสอบที่ดักจับและส่งต่อข้อมูลจากการชำระเงินแบบไร้สัมผัส เช่น เครื่องสแกนคิวอาร์โค้ดและ Apple Pay

เครื่องมือขโมยข้อมูลบัตรเครดิตจะได้รับข้อมูลผ่านกลอุบายที่ซับซ้อนและกลยุทธ์ที่แนบเนียน โดยอาศัยเครื่องชำระเงินที่ถูกบุกรุก เมื่อติดตั้งและพร้อมที่จะส่งต่อข้อมูลแล้ว อุปกรณ์จะอ่านแถบแม่เหล็กหรือชิปเพื่อดึงข้อมูลที่ต้องการและรหัสลับที่ใช้ตรวจสอบความถูกต้องของธุรกรรม วิธีการใช้งานมีดังนี้: 

• การติดตั้งและการเก็บรวบรวมข้อมูล: อุปกรณ์ดักข้อมูลภายนอกจะติดตั้งแนบสนิทกับตู้เอทีเอ็มใกล้กับช่องเสียบบัตรหรือเครื่องอ่านบัตรแม่เหล็ก ในขณะที่แผ่นรองแบบถอดเปลี่ยนได้หรือกล้องรูเข็มจะบันทึกรหัส PIN ของลูกค้า ภายในเครื่องจ่ายน้ำมันและระบบ POS มักซ่อนเครื่องอ่านบัตรที่ดัดแปลงไว้เพื่อขโมยข้อมูลการชำระเงิน 

• การส่งข้อมูล: บางครั้ง การดึงหมายเลขบัตรเดบิตหรือบัตรเครดิตแบบทันทีทันใดนั้นเกี่ยวข้องกับการส่งข้อมูลแบบไร้สายผ่านบลูทูธไปยังแหล่งเก็บข้อมูลหรืออุปกรณ์สำรองข้อมูลในสถานที่อื่น  

ใช่แล้ว เครื่องอ่านข้อมูลบัตรเครดิตเป็นภัยคุกคามร้ายแรงต่อบัญชีธนาคารและเงินทุน การปลอมแปลงบัตรเครดิตเพียงครั้งเดียวก็สามารถทำให้เงินในบัญชีออมทรัพย์หมดเกลี้ยงได้แล้ว เงินที่หามาอย่างยากลำบากอาจหายไปในพริบตาเมื่อผู้ใช้งานที่ได้รับอนุญาตนำบัตรปลอมไปใช้ซื้อสินค้าอย่างฟุ่มเฟือย แม้ว่าการทำธุรกรรมผ่านเครื่อง POS และการถอนเงินจากตู้ ATM มักจะเกิดขึ้นทันที แต่เวชระเบียนที่ไม่ถูกต้องและเอกสารอื่นๆ สามารถปลอมแปลงได้ง่ายหลังจากเกิดการขโมยข้อมูลบัตรแล้ว การได้รับบริการทางการแพทย์และยาตามใบสั่งแพทย์โดยการแอบอ้างตัวตน ส่งผลให้ผู้ถูกเอารัดเอาเปรียบต้องแบกรับหนี้สินทางการแพทย์มากขึ้น

เพื่อต่อสู้กับภัยคุกคามจากการขโมยข้อมูลบัตรเครดิตที่เพิ่มมากขึ้น โปรดปฏิบัติตามมาตรการป้องกันเหล่านี้: 

• ใช้ประโยชน์จากการประเมินความเสี่ยงโดยใช้แมชชีนเลิร์นนิงของ RiskRecon ในระบบนิเวศทางธุรกิจที่ซับซ้อน 

• อัปเดตซอฟต์แวร์ ปลั๊กอิน และระบบปฏิบัติการเป็นประจำให้เป็นเวอร์ชันที่ปลอดภัยล่าสุด 

• จำกัดการใช้งานเครื่องอ่านบัตรในธุรกิจของคุณ 

• ป้องกันการโจรกรรมข้อมูลบัตรเครดิตโดยการเก็บรวบรวมข้อมูลลูกค้าขั้นต่ำที่จำเป็นสำหรับการทำธุรกรรมเท่านั้น 

• ใช้ HTTPS และใบรับรอง SSL/TLS เพื่อเข้ารหัสการส่งข้อมูลทั้งหมดระหว่างการชำระเงินและการเข้าสู่ระบบบัญชี 

• ปฏิบัติตาม มาตรฐานความปลอดภัยข้อมูลบัตรชำระเงิน (Payment Card Industry Data Security Standards) เพื่อรักษาความปลอดภัยของข้อมูลการชำระเงิน 

• ตรวจสอบสคริปต์และเครื่องมือจากภายนอกอย่างละเอียดถี่ถ้วนก่อนที่จะนำไปผสานรวมเข้ากับโค้ดของเว็บไซต์ 

• ตรวจสอบปริมาณการเข้าชมเว็บไซต์ ซอร์สโค้ด และเซิร์ฟเวอร์อย่างสม่ำเสมอ เพื่อตรวจจับการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต  

• สำรองโค้ดเว็บไซต์และฐานข้อมูลไว้เผื่อกรณีที่จำเป็นต้องกู้คืนจากจุดที่เกิดความล้มเหลวก่อนหน้านี้  

เนื่องจากการช้อปปิ้งออนไลน์ได้รับความนิยมมากขึ้น การวางแผนเชิงรุกด้านความปลอดภัยและการป้องกันการแฮ็กจึงมีความสำคัญอย่างยิ่ง ดังนั้น นอกจากการทำการทดสอบการเจาะระบบแล้ว ผู้ค้าปลีกออนไลน์ควรแนะนำให้ผู้เยี่ยมชมร้านค้าออนไลน์ของตนดำเนินการดังต่อไปนี้ เพื่อลดความเสี่ยงจากการถูกแฮ็กโดยโปรแกรมขโมยข้อมูลบัตรเครดิต: 

• ใช้บัตรเครดิตเพียงใบเดียวสำหรับการช้อปปิ้งออนไลน์ 

• เปิดใช้งานการแจ้งเตือนธุรกรรม 

• ตั้งรหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน 

• เชื่อมต่อกับเครือข่าย WiFi สาธารณะโดยใช้ VPN ที่เชื่อถือได้ 

• พิจารณาบัตรเสมือนจริง 

• ตรวจสอบใบแจ้งยอดบัญชีเป็นประจำเพื่อหารายการค่าใช้จ่ายที่ผิดปกติ 

ความระมัดระวังและความรอบคอบเป็นปัจจัยสำคัญที่สุดในการป้องกันการพยายามขโมยข้อมูลบัตรเครดิต ซึ่งตรวจจับได้ยาก วิธีที่ดีที่สุดในการระบุการโจมตีคือการสังเกตสัญญาณของการดัดแปลงแก้ไข ชิ้นส่วนที่เสียหาย หรือการบุกรุก เครื่องอ่านบัตรที่โยกเยกและช่องเสียบที่ไม่ตรงแนวเป็นสัญญาณเตือนภัย - มิจฉาชีพมักพยายามปกปิดร่องรอยด้วยกาวหรือเทป ดังนั้นให้ลองใช้ปลายนิ้วลูบไปบนเครื่องอ่านบัตรเพื่อตรวจสอบให้แน่ใจว่าไม่มีคราบเหนียวหลงเหลืออยู่ เคล็ดลับอื่นๆ ในการใช้บัตรเดบิตหรือบัตรเครดิต ได้แก่:

• ตรวจสอบว่ามีแผ่นปิดทับแป้นพิมพ์หรือปุ่มกดที่กดลงได้ยากหรือไม่

• โปรดระวังการรอคอยที่ผิดปกติและนานกว่าปกติในขณะที่บัตรของคุณกำลัง "ประมวลผล"

• ตรวจสอบให้แน่ใจว่าพนักงานเก็บเงินไม่ได้รูดบัตรเครดิตของคุณโดยที่คุณมองไม่เห็น

แนวโน้มด้านความปลอดภัยทางไซเบอร์แสดงให้เห็นว่าแรงกดดันต่อการปกป้องข้อมูลส่วนบุคคลกำลังเพิ่มสูงขึ้น RiskRecon ได้พัฒนาอัลกอริทึมที่เป็นกรรมสิทธิ์ของตนเอง ซึ่งสามารถระบุช่องโหว่ของระบบโดยอัตโนมัติและประเมินความเสี่ยงได้อย่างแม่นยำ ขณะพิจารณาใช้เครื่องมือนี้ โปรดประเมินสัญญาณบ่งชี้ภัยคุกคามต่อไปนี้บนหน้าเว็บระบบประมวลผลการชำระเงิน:

• การล็อกอินเข้าสู่เว็บไซต์ที่คุณไม่เคยเข้าชมมาก่อนโดยไม่ทันตั้งตัว

• ป๊อปอัพและโฆษณาในเบราว์เซอร์ที่น่ารำคาญ

• เบราว์เซอร์แจ้งเตือนเกี่ยวกับเว็บไซต์ที่ไม่ปลอดภัย

• ข้อผิดพลาดด้านการสะกดและไวยากรณ์บนเว็บไซต์ร้านค้าปลอม

RiskRecon มอบการตรวจสอบอย่างต่อเนื่องและความโปร่งใสที่จำเป็นต่อการจัดการความเสี่ยงด้านไซเบอร์จากบุคคลภายนอกในวงกว้างได้อย่างมีประสิทธิภาพ ด้วยการวิเคราะห์ช่องโหว่ของแอปพลิเคชันหรือโปรแกรมบนเว็บที่ผู้จำหน่ายใช้งานโดยตรง เราจึงสร้างผลลัพธ์ที่แม่นยำและจัดลำดับความสำคัญตามความเสี่ยง เพื่อขับเคลื่อนการแก้ไขปัญหา แนวทางการทำงานที่ขับเคลื่อนด้วยข้อมูลของเราช่วยให้ลูกค้าสามารถประเมินภัยคุกคาม ลดระยะเวลาในการแก้ไขปัญหา และสร้างระบบนิเวศทางธุรกิจที่น่าเชื่อถือได้ ลงทะเบียนเพื่อ ทดลองใช้งานฟรี 30 วัน เพื่อประเมินผู้ให้บริการได้มากถึง 50 ราย และรับรายงาน RiskRecon ของคุณเอง