www.cioworldmagazine.com

 Breaking News
  • สำรวจพฤติกรรม นักช้อปออนไลน์ในประเทศไทย “CIO World&Business ได้นำรายงานของ Picodi.com ที่ได้วิเคราะห์ข้อมูลจากรายงานของปี 2018 ในหลายๆ ประเด็นเกี่ยวกับพฤติกรรมการซื้อสินค้าออนไลน์ของคนไทย ทั้งการเลือกใช้อุปกรณ์ในการเชื่อต่อการซื้อสินค้าออนไลน์ อายุเฉลี่ยของผู้ซื้อสินค้า ช่วงเวลาของการใช้บริการรวมถึงหมวดหมู่สินค้าที่ได้รับความนิยม ข้อมูลทั้งหมดจะกลายเป็นตัวแปรสำคัญให้การซื้อขายในอุตตสาหกรรมนี้ปรับตัว”...
  • ลูกค้าดีแทค จ่ายทุกบริการของแอปเปิ้ลผ่านบิลของดีแทคได้แล้ว ลูกค้าดีแทค สามารถชำระเงินสำหรับทุกบริการของ App Store, Apple Music และ iTunes ผ่านบิลของดีแทคได้แล้ว ตั้งแต่วันที่ 18 เมษายน 2562 เป็นต้นไป...
  • แพลตฟอร์ม HR ในยุค Digital Transformation องค์กรสมัยใหม่จำเป็นต้องมองหาแพลตฟอร์ม HR ที่มีประสิทธิภาพ เพื่อสร้างความแตกต่างการขับเคลื่อนงานด้านทรัพยากรบุคคลในโลกดิจิทัลอย่างมีประสิทธิภาพ 60% กำลังวางแผนลงทุนเทคโนโลยีใหม่ใน 12-24 เดือน...
  • Kaspersky Lab พัฒนาบริการรายงานภัยคุกคาม APT Kaspersky lab พัฒนาบริการรายงานภัยคุกคามขั้นสูง (APT Intelligence Reporting Service) ด้วยการเพิ่มเติมโปรไฟล์ของผู้ก่อภัยคุกคามและเฟรมเวิร์ค MITRE ATT&CK...
  • อีริคสันจับมือยูเนสโก้พัฒนาทักษะ AI ให้เยาวชน อีริคสัน และยูเนสโก้ ร่วมกันพัฒนาโปรแกรมการเรียนรู้ทักษะใหม่ทางด้านดิจิทัล เน้นพัฒนาทักษะด้านสิ่งประดิษฐ์อัจฉริยะ (AI) สำหรับคนรุ่นใหม่ เพื่อสร้างการศึกษาที่เท่าเทียม...

Formjacking ภัยร้ายจ้องเก็บข้อมูลชำระเงินออนไลน์

Formjacking ภัยร้ายจ้องเก็บข้อมูลชำระเงินออนไลน์
March 22
10:47 2019

ไซแมนเทค พบภัยคุกคามข้อมูลบัตรเครดิต Formjacking มีจำนวนเพิ่มขึ้น แฝงตัวในแบบฟอร์มการชำระเงินบนเว็บไซต์อีคอมเมิร์ซ Ticketmaster และ British Airways โดนมาแล้ว

Banner_CIO_big one_version2

ไซแมนเทค เปิดเผยรายงานภัยคุกคามด้านความปลอดภัยบนอินเทอร์เน็ต (Internet Security Threat Report – ISTR) ฉบับที่ 24 ประจำเดือนกุมภาพันธ์ พบ ฟอร์มแจ๊คกิ้ง (Form jacking) ภัยคุกคามที่จ้องเก็บข้อมูลการชำระเงินบัตรเครดิต ที่ก่อภัยคุกคามร้ายแรงต่อองค์กรธุรกิจและผู้บริโภค เว็บไซต์อีคอมเมิร์ซรายใหญ่ สายการบินชั้นนำในยุโรปเคยโดนมาแล้ว ผู้เชี่ยวชาญเน้นย้ำว่า ผู้ให้บริการชำระเงินออนไลน์ อีคอมเมิร์ซ ปัดความรับผิดชอบการวางมาตรการที่เข้มแข็งไม่ได้

Formjacking ภัยร้ายจ้องเก็บข้อมูลชำระเงินออนไลน์

การโจมตีแบบ Formjacking เป็นการโจมตีด้วยการใช้โค้ด JavaScript ที่เป็นอันตราย เพื่อขโมยรายละเอียดบัตรเครดิตและข้อมูลอื่นๆ จากแบบฟอร์มการชำระเงินบนหน้าเช็คเอาต์ของเว็บไซต์อีคอมเมิร์ซ Form jacking ไม่ใช่เทคนิคใหม่ แต่การโจมตีครั้งล่าสุดนั้น มีความน่าสนใจมากขึ้นเนื่องจากมีการโจมตีในวงกว้าง ซับซ้อน และมีจำนวนเพิ่มขึ้นอย่างมากตั้งแต่กลางเดือนสิงหาคม 2561 มีรูปแบบที่เรียบง่าย เปรียบได้กับการดักจับรหัสเอทีเอ็มในโลกเสมือนจริง

ISTR ฉบับที่ 24 รายงานว่า โดยเฉลี่ยแล้ว ในแต่ละเดือน ตรวจพบเว็บไซต์กว่า 4,800 แห่งที่มีโค้ด Form jacking ซ่อนอยู่ โดยไซแมนเทคได้สกัดกั้นการโจมตีแบบ Form jacking มากกว่า 3.7 ล้านครั้งบนอุปกรณ์ลูกข่ายในช่วงปี 2561 เกือบ 1 ใน 3 ของการตรวจพบทั้งหมดเกิดขึ้นในช่วงที่มีการซื้อสินค้าทางออนไลน์คึกคักที่สุดในรอบปี นั่นคือ ช่วงเดือนพฤศจิกายนและธันวาคม

Formjacking attacks

เว็บไซต์ชำระเงินออนไลน์ของผู้ค้าปลีกที่มีชื่อเสียง เช่น Ticketmaster และ British Airways ถูกฝังโค้ด Form jacking ในช่วงไม่กี่เดือนที่ผ่านมา แต่ผลการศึกษาของไซแมนเทคชี้ว่า โค้ดดังกล่าวปรากฏอยู่ในเว็บไซต์ของผู้ค้าปลีกขนาดเล็กและขนาดกลางอย่างกว้างขวางมากที่สุด

เชอรีฟ เอล-นาบาบิ รองประธานฝ่ายวิศวกรรมการขาย ภูมิภาคเอเชียแปซิฟิกและญี่ปุ่น ไซแมนเทค

เชอรีฟ เอล-นาบาบิ รองประธานฝ่ายวิศวกรรมการขาย ภูมิภาคเอเชียแปซิฟิกและญี่ปุ่น ไซแมนเทค

จากตัวเลขประมาณการ คาดว่าอาชญากรไซเบอร์สามารถทำเงินได้หลายสิบล้านดอลลาร์เมื่อปีที่แล้ว จากการโจรกรรมข้อมูลส่วนตัวและข้อมูลทางการเงินของผู้บริโภคผ่านการปลอมแปลงและขายบัตรเครดิตบนดาร์คเว็บ บัตรเครดิตเพียงแค่ 10 ใบที่โจรกรรมได้จากเว็บไซต์แต่ละแห่งอาจสร้างผลตอบแทนมากถึง 2.2 ล้านดอลลาร์ต่อเดือน

เนื่องจากบัตรเครดิตหนึ่งใบมีราคา 45 ดอลลาร์ในฟอรั่มซื้อ-ขายใต้ดิน เพียงแค่การโจมตีสายการบิน British Airways หนึ่งครั้งก็ส่งผลให้ข้อมูลบัตรเครดิตกว่า 380,000 ใบถูกโจรกรรม ซึ่งอาจทำให้คนร้ายได้รับผลตอบแทนมากกว่า 17 ล้านดอลลาร์

เชอรีฟ เอล-นาบาบิ รองประธานฝ่ายวิศวกรรมการขาย ภูมิภาคเอเชียแปซิฟิกและญี่ปุ่น ไซแมนเทค กล่าวว่า “สำหรับเรื่องการโจมตีแบบ Form jacking ที่มุ่งเก็บข้อมูลสำคัญบนบัตรเครดิต หรือข้อมูลอื่นๆ เวลาทำธุรกรรมชำระเงินออนไลน์ เป็นเรื่องที่ผู้ให้บริการอีคอมเมิร์ซ ทั้งที่เป็นลักษณะอีมาร์เก็ตเพลส หรือเว็บไซต์ใดที่มีการรับชำระเงิน ที่เชื่อมต่อกับผู้ให้บริการทางการเงินฝั่งธนาคาร หรือฝั่งผู้ให้บริการบัตรเครดิต ถือว่าเป็นผู้มีความรับผิดชอบต่อการวางมาตรการรักษาความปลอดภัย และเฝ้าระวังการถูกโจมตีด้วยวิธีการดังกล่าว เพราะอยู่ในฐานะของผู้เก็บข้อมูลลูกค้า จะไม่สามารถปฏิเสธการดำเนินการสร้างระบบที่ปลอดภัยสำหรับการกรอกข้อมูลต่างๆ ของลูกค้า”

อ่านรายงาน Internet Security Threat Report – ISTR ฉบับที่ 24

A1

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

BannerWeb_CIOworld_3
Banner (320x250 Pixel) EDIT
CEBIT_webbanner_320x250pxl_TH

Like Us On Facebook

Facebook Pagelike Widget
communication

Categories

Newsletters

ลงทะเบียนรับข่าวสารจาก CIOWorldMagazine.com