www.cioworldmagazine.com

 Breaking News
  • AIS ใช้ Big Data สร้างโปรแกรมดูแลลูกค้า Serenade AIS ใช้ ฺฺBig Data สร้างความสำเร็จโปรแกรมดูแลลูกค้า Serenade วิเคราะห์ข้อมูลชั้นสูง เรียนรู้และแบ่งกลุ่มตามไลฟ์สไตล์ ให้สิทธิพิเศษตอบพฤติกรรมลูกค้า...
  • อวดโฉม หุ่นยนต์สายพันธุ์นักรบ GJS Geio บันเลือง ชินอินเตอร์ ยกทัพหุ่นยนต์สายพันธุ์นักรบ GJS Geio ครั้งแรกในไทย หุ่นยนต์นักต่อสู้ที่ควบคุมด้วยแอพพลิเคชั่นบนสมาร์ทโฟนหรือแท็บเล็ต เติมเต็มความมันส์ให้นักเล่นเกม เพิ่มอรรถรสแห่งการต่อสู่จริง (AR) ในงาน Thailand Game Expo ...
  • เอสซีจีพลิกโฉมองค์กรด้วยสตาร์ทอัพ เอสซีจี เปิดเผยกลยุทธ์Digital Transformationเน้นการพัฒนาและลงทุนกับสตาร์ทอัพพลิกโฉมองค์กรด้วยดิจิทัล หวังตอบโจทย์ลูกค้า-สร้างการเติบโตให้ธุรกิจพร้อมลงทุนสตาร์ทอัพฟอร์มเด่น ปี 62-63...
  • Fujitsu จับมือ Veeam เสนอโซลูชั่นแบ็คอัพและกู้คืนข้อมูล Fujitsu สร้างความแข็งแกร่งทางธุรกิจ เดินหน้าสู่ Global Premium Service Integrator ประกาศความร่วมมือ วีม ซอฟท์แวร์ เจ้าของเทคโนโลยีการจัดการข้อมูลบนคลาวด์ เสริมประสิทธิภาพการแบ็คอัพและกู้คืนข้อมูลสำหรับโครงสร้างพื้นฐานเวอร์ชวลแมชชีน...
  • dtac ประกาศแผนกระตุ้นยอดขายสมาร์ทโฟน dtac จัดแคมเปญการตลาด กระตุ้นตลาดสมาร์ทโฟนครึ่งปีหลัง ให้ลูกค้าดีแทคเติมเงินและรายเดือน ทำโปรโมชั่นราคาพิเศษสมาร์ทโฟนแบรนด์ดัง ปูพรมทั่วประเทศทั้ง ดีแทคช็อป เว็บไซต์...

Formjacking ภัยร้ายจ้องเก็บข้อมูลชำระเงินออนไลน์

Formjacking ภัยร้ายจ้องเก็บข้อมูลชำระเงินออนไลน์
March 22
10:47 2019

ไซแมนเทค พบภัยคุกคามข้อมูลบัตรเครดิต Formjacking มีจำนวนเพิ่มขึ้น แฝงตัวในแบบฟอร์มการชำระเงินบนเว็บไซต์อีคอมเมิร์ซ Ticketmaster และ British Airways โดนมาแล้ว

Banner_CIO_big one_version2

ไซแมนเทค เปิดเผยรายงานภัยคุกคามด้านความปลอดภัยบนอินเทอร์เน็ต (Internet Security Threat Report – ISTR) ฉบับที่ 24 ประจำเดือนกุมภาพันธ์ พบ ฟอร์มแจ๊คกิ้ง (Form jacking) ภัยคุกคามที่จ้องเก็บข้อมูลการชำระเงินบัตรเครดิต ที่ก่อภัยคุกคามร้ายแรงต่อองค์กรธุรกิจและผู้บริโภค เว็บไซต์อีคอมเมิร์ซรายใหญ่ สายการบินชั้นนำในยุโรปเคยโดนมาแล้ว ผู้เชี่ยวชาญเน้นย้ำว่า ผู้ให้บริการชำระเงินออนไลน์ อีคอมเมิร์ซ ปัดความรับผิดชอบการวางมาตรการที่เข้มแข็งไม่ได้

Formjacking ภัยร้ายจ้องเก็บข้อมูลชำระเงินออนไลน์

การโจมตีแบบ Formjacking เป็นการโจมตีด้วยการใช้โค้ด JavaScript ที่เป็นอันตราย เพื่อขโมยรายละเอียดบัตรเครดิตและข้อมูลอื่นๆ จากแบบฟอร์มการชำระเงินบนหน้าเช็คเอาต์ของเว็บไซต์อีคอมเมิร์ซ Form jacking ไม่ใช่เทคนิคใหม่ แต่การโจมตีครั้งล่าสุดนั้น มีความน่าสนใจมากขึ้นเนื่องจากมีการโจมตีในวงกว้าง ซับซ้อน และมีจำนวนเพิ่มขึ้นอย่างมากตั้งแต่กลางเดือนสิงหาคม 2561 มีรูปแบบที่เรียบง่าย เปรียบได้กับการดักจับรหัสเอทีเอ็มในโลกเสมือนจริง

ISTR ฉบับที่ 24 รายงานว่า โดยเฉลี่ยแล้ว ในแต่ละเดือน ตรวจพบเว็บไซต์กว่า 4,800 แห่งที่มีโค้ด Form jacking ซ่อนอยู่ โดยไซแมนเทคได้สกัดกั้นการโจมตีแบบ Form jacking มากกว่า 3.7 ล้านครั้งบนอุปกรณ์ลูกข่ายในช่วงปี 2561 เกือบ 1 ใน 3 ของการตรวจพบทั้งหมดเกิดขึ้นในช่วงที่มีการซื้อสินค้าทางออนไลน์คึกคักที่สุดในรอบปี นั่นคือ ช่วงเดือนพฤศจิกายนและธันวาคม

Formjacking attacks

เว็บไซต์ชำระเงินออนไลน์ของผู้ค้าปลีกที่มีชื่อเสียง เช่น Ticketmaster และ British Airways ถูกฝังโค้ด Form jacking ในช่วงไม่กี่เดือนที่ผ่านมา แต่ผลการศึกษาของไซแมนเทคชี้ว่า โค้ดดังกล่าวปรากฏอยู่ในเว็บไซต์ของผู้ค้าปลีกขนาดเล็กและขนาดกลางอย่างกว้างขวางมากที่สุด

เชอรีฟ เอล-นาบาบิ รองประธานฝ่ายวิศวกรรมการขาย ภูมิภาคเอเชียแปซิฟิกและญี่ปุ่น ไซแมนเทค

เชอรีฟ เอล-นาบาบิ รองประธานฝ่ายวิศวกรรมการขาย ภูมิภาคเอเชียแปซิฟิกและญี่ปุ่น ไซแมนเทค

จากตัวเลขประมาณการ คาดว่าอาชญากรไซเบอร์สามารถทำเงินได้หลายสิบล้านดอลลาร์เมื่อปีที่แล้ว จากการโจรกรรมข้อมูลส่วนตัวและข้อมูลทางการเงินของผู้บริโภคผ่านการปลอมแปลงและขายบัตรเครดิตบนดาร์คเว็บ บัตรเครดิตเพียงแค่ 10 ใบที่โจรกรรมได้จากเว็บไซต์แต่ละแห่งอาจสร้างผลตอบแทนมากถึง 2.2 ล้านดอลลาร์ต่อเดือน

เนื่องจากบัตรเครดิตหนึ่งใบมีราคา 45 ดอลลาร์ในฟอรั่มซื้อ-ขายใต้ดิน เพียงแค่การโจมตีสายการบิน British Airways หนึ่งครั้งก็ส่งผลให้ข้อมูลบัตรเครดิตกว่า 380,000 ใบถูกโจรกรรม ซึ่งอาจทำให้คนร้ายได้รับผลตอบแทนมากกว่า 17 ล้านดอลลาร์

เชอรีฟ เอล-นาบาบิ รองประธานฝ่ายวิศวกรรมการขาย ภูมิภาคเอเชียแปซิฟิกและญี่ปุ่น ไซแมนเทค กล่าวว่า “สำหรับเรื่องการโจมตีแบบ Form jacking ที่มุ่งเก็บข้อมูลสำคัญบนบัตรเครดิต หรือข้อมูลอื่นๆ เวลาทำธุรกรรมชำระเงินออนไลน์ เป็นเรื่องที่ผู้ให้บริการอีคอมเมิร์ซ ทั้งที่เป็นลักษณะอีมาร์เก็ตเพลส หรือเว็บไซต์ใดที่มีการรับชำระเงิน ที่เชื่อมต่อกับผู้ให้บริการทางการเงินฝั่งธนาคาร หรือฝั่งผู้ให้บริการบัตรเครดิต ถือว่าเป็นผู้มีความรับผิดชอบต่อการวางมาตรการรักษาความปลอดภัย และเฝ้าระวังการถูกโจมตีด้วยวิธีการดังกล่าว เพราะอยู่ในฐานะของผู้เก็บข้อมูลลูกค้า จะไม่สามารถปฏิเสธการดำเนินการสร้างระบบที่ปลอดภัยสำหรับการกรอกข้อมูลต่างๆ ของลูกค้า”

อ่านรายงาน Internet Security Threat Report – ISTR ฉบับที่ 24

Banner (660x80 Pixel)

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

BannerWeb_CIOworld_3
300x250 (B2)
Banner (320x250 Pixel) EDIT
CEBIT_webbanner_320x250pxl_TH

Like Us On Facebook

Facebook Pagelike Widget
communication

Categories

Newsletters

ลงทะเบียนรับข่าวสารจาก CIOWorldMagazine.com