มาเรื่องเบาๆ(รึเปล่า)กันบ้าง หลังจาก Blog ที่แล้วใช้เวลาเขียนปาไป 2 อาทิตย์ แต่ได้รับการตอบรับดีเยี่ยม ขอบคุณทุกคนมา ณ ที่นี้สำหรับ Feedback รู้สึกดีใจมากที่สามารถสร้างกำลังใจและสร้างประโยชน์ให้กับหลายๆคนได้
สำหรับเรื่อง Blog วันนี้เป็นเรื่องที่ประสบพบเจอมาด้วยตัวเอง ตอนแรกก็แค่คิดเล่นๆว่าคงเป็นแค่ทฤษฎี คงปฏิบัติจริงไม่ได้หรอก แต่อยู่ดีๆก็ไปเจอสถานการณ์จริงโดยบังเอิญ แล้วก็พบว่ามันเป็นไปได้
ทฤษฎีที่ว่าคือ
"ถ้าเรารู้ทุกอย่างบนบัตรเครดิต เราก็เอาไปใช้ทำธุรกรรมทางอินเทอร์เนตได้ทันที"
เพราะใครเคยใช้บัตรเครดิตทำธุรกรรมทางอินเทอร์เนตคงจะรู้ว่า แค่รู้ข้อมูล ชื่อนามสกุล เลขบัตร เลข CVV และวันหมดอายุ ก็จะสามารถเอาไปรูดซื้อของได้แล้ว
ดังนั้นบัตรเครดิตจึงต้องถูกเก็บไว้อย่างดี ถ้าหายต้องอายัดทันที ก่อนจะสายไป
แต่ใครหละจะบ้าเอาบัตรเครดิตไปให้คนอื่นดู ทั้งด้านหน้าด้านหลังเป็นนาที นานพอให้จำทุกอย่างได้ มันต้องตั้งใจมากถึงจะทำได้
...แต่ไม่น่าเชื่อว่าช่วงนาทีนั้นมีอยู่จริงๆ ...
เริ่มเรื่อง
เรื่องเกิดที่ลานอาหารญี่ปุ่น ณ อิเซตัน ... (จำชื่อลานไม่ได้)
ข้าวแกงกะหรี่อร่อยมาก ...
แต่นั่นไม่ใช่ประเด็น !
ประเด็นมันอยู่ตอนเดินไปจ่ายตังค์ ที่ลานนั้นถึงจะประกอบด้วยร้านอาหารเป็นสิบร้าน แต่เวลาจ่ายเงิน ต้องไปจ่ายที่เคาน์เตอร์เก็บเงินเดียวกัน แล้วค่อยเอาบิลไปยื่นให้ร้านอาหารอีกทีนึง
คิวเลยยาวอย่างไม่ต้องแปลกใจ ปกติก็จะมีคนต่อ 2-3 คิวเสมอ
วันนั้นเข้าไปคิวที่ 4 พอดี
ทุกอย่างดูเหมือนจะปกติ แต่มันไม่ เพราะเหมือนว่าคนแรกจะรูดบัตรแล้วการสื่อสารขัดข้อง
ด้วยความหวังดี กลัวคนต่อคิวจะถือบิลนาน เมื่อยงะ เมื่อย ผู้ช่วยประจำเคาน์เตอร์เลยบอกว่า "ส่งบิลและเงิน/บัตรมาได้เลยจ้า"
สองคิวด้านหน้าก็วางบิลและบัตรบนเคาน์เตอร์ แต่เราไม่วาง หวงของ
เรื่องจึงเริ่มต้นขึ้น เมื่อบัตรเครดิตของคนข้างหน้าถูกพนักงานวางไว้แบบหงายหน้าหรา ข้อมูลทุกอย่างสามารถมองเห็นได้ชัด โดยไม่มีใครเอะใจว่าคนมองอยู่หรือเปล่า
ตะหงิดๆ ทำไมทำเช่นนั้น - -
ไหนๆก็ไหนๆ จึงได้เวลาพิสูจน์ว่าเป็นไปได้หรือไม่ที่จะลักจำข้อมูลทั้งหมด เลยเริ่มทดสอบกับเหตุการณ์จริง ต้องใช้เวลาเท่าไหร่ในการจดข้อมูลเหล่านั้นทั้งหมด (รหัส 16 หลัก ชื่อนามสกุล วันหมดอายุ และ CVV)
เริ่มการทดลอง
พบว่าใช้เวลาเพียง 20 วินาที ก็สามารถลักจำทั้งหมดได้แล้ว ! และครั้งนั้น พนักงานวางบัตรไว้แบบนั้นนานถึง 2 นาที ... สามารถแอบจดไว้ได้อีกต่างหาก (แต่ไม่ได้จดนะ แค่จะทดสอบความเป็นไปได้ เดี๋ยวจะดูตั้งใจเกิน)
ส่วนตัวแล้ว 20 วินาที เป็นเวลาที่นานมากนะ ใครจะวางบัตรเครดิตไว้นานขนาดนั้น แต่นี่ 2 นาทีจ้าาา
เอาหละ ด้านบนบัตรข้อมูลครบละ ปัญหาเดียวคือ CVV มันอยู่ด้านล่าง เป็นไปไม่ได้หรอกที่จะเห็น (เค้าออกแบบมาให้อยู่ด้านล่างก็เพราะงี้)
คงหมดหวัง ทฤษฎีนี้คงปฏิบัติจริงไม่ได้ ความเป็นไปได้ดูริบหรี่ละ
พูดไม่ทันไร พนักงานก็เอาบัตรไปรูด เสร็จแล้วก็วางกลับที่เดิม ... โดยการกลับเอาด้านหลังหงายขึ้นมา ...
พระเจ้าช่วยยยยยยยยยยยย
จบ ! ข้อมูลครบทุกอย่าง เพียงพอจะเอาไปใช้รูดทางเนตแล้ว !
สรุปผลการทดลอง
การลักจำข้อมูลบัตรเครดิตสามารถทำได้จริงโดยใช้เวลาไม่นาน
กลัววิธีฉลาดๆซับซ้อนๆมาหลายวิธี แต่ไม่น่าเชื่อว่า วิธีโง่ๆแบบนี้กลับสร้างอันตรายได้เหมือนกัน
จากการสังเกต พบว่า Security Hole นี้เกิดจากการทำงานแบบไม่ระมัดระวังของพนักงานเต็มๆ ที่ปล่อยให้วางบัตรเดรดิตไว้ตรงพื้นที่เปิดเป็นเวลานาน แถมยังพลิกกลับให้อีก
แต่แน่นอน การลักจำนี้คงไม่เกิดขึ้นถ้าเจ้าของบัตรรู้ว่ามีอันตรายแบบนี้อยู่ เค้าก็คงจะขอบัตรคืน ไม่ปล่อยให้วางไว้นานแบบนี้
เรื่องแบบนี้คงไม่ได้เกิดขึ้นบ่อย เพราะตลอดชีวิต เพิ่งเคยเจอครั้งสองครั้งเองที่ Condition ครบแบบนี้ แต่ถ้าโจรมันจะทำจริงๆ วันนึงก็คงได้สักรายสองรายหละ ถ้าสถานที่นั้นดำเนินการหละหลวมเกินไป
จึงขอเขียนเป็น Case Study จากเหตุการณ์ที่เกิดขึ้นจริง ไม่ได้เขียนจากจินตนาการ ว่า อย่าส่งบัตรเครดิตให้ใครนอกจากตอนที่จะรูดเท่านั้น และคอยดูตำแหน่งการวางเสมอ อย่าให้ใครมองเห็นข้อมูลบนบัตรได้ เป็นเรื่องพื้นฐานมากๆ แต่คนถือบัตรน้อยนักที่จะตระหนักตรงนี้ คนไม่หวังดีมันเยอะะะะะนะสมัยนี้
และหลังจากการพิสูจน์ครั้งนี้ ทำให้ตระหนักได้ว่า OTP มีความสำคัญเพียงใด มันเป็นอย่างเดียวที่จะ Protect เงินเรา ในกรณีที่โดนลักจำบัตรไปโดยไม่รู้ตัวแบบนี้
จงใช้บัตรที่มี OTP !
ข้อมูลเพิ่มเติม
สำหรับบัตรเครดิตสมัยใหม่ แต่ละเจ้ามีเทคนิคในการ Verify ตัวตนที่แตกต่างกันไป บางเจ้าก็มี OTP บางเจ้าก็ Billing Address บางเจ้าก็อีเมล ดังนั้นการเลือกทำบัตรเครดิตต้องอย่าลืมดูตัวเลือกพวกนี้ไว้ด้วย Blog นี้เขียนไว้เพื่อให้มองเห็นความสำคัญของการ Verify มากกว่าแค่ข้อมูลบนบัตรค้าบบบบกระผม
บางคนมีวิธีน่าสนใจอย่างเช่นเอาสติกเกอร์แปะปิดข้อมูลบางตัวเช่น CVV ชอบๆ 555
โอเค จบเนื้อหาแบบดื้อๆจ๊ะ ฮ่าๆๆๆ
แว้บบบ
ปล. ทั้งหมดที่เล่าให้ฟังเป็นการทดลองเท่านั้น ไม่ได้จดข้อมูลใดๆมาแต่อย่างใด แค่พิสูจน์ให้เห็นว่ามันเป็นไปได้จริงๆเท่านั้น และก็ไม่ได้เป็นการชี้ช่องให้โจรด้วย เพราะโจรหนะ ไม่ต้องชี้ช่องให้มันหรอก มันคิดเองได้ เชื่อสิ แต่คนธรรมดาอย่างเราๆนี่แหละที่ต้องรู้ทันพวกนั้นและระวังตัวเสมอเสมอ