ในช่วงนี้ เรามักจะได้พบเห็นการแชร์ข่าวเกี่ยวกับการใช้บัตรเครดิตซื้อของออนไลน์แล้วพบว่ามีการนำข้อมูลบัตรเครดิตของตนไปซื้อของที่เว็บขายของที่ตนเองไม่เคยรู้จัก โดยส่วนใหญ่ผู้เสียหายที่มีการสมัคร SMS Alert เอาไว้ก็จะได้รับ SMS แจ้งว่ามีการใช้บัตรเครดิตทั้ง ๆ ที่บัตรก็อยู่กับตัวและไม่ได้ใช้งานแน่ ๆ ทำให้ต้องโทรหาคอลเซ็นเตอร์ธนาคารเจ้าของบัตรเพื่อปฏิเสธการใช้บัตรและอายัดบัตร
แต่ถึงแม้ว่าจะไม่ได้ใช้บริการ SMS Alert ทางธนาคารเจ้าของบัตรก็มีระบบตรวจสอบความผิดปกติและแจ้งเตือนให้เจ้าของบัตรทราบเพื่อยืนยันการใช้งาน ซึ่งหากไม่ได้มีการใช้งานจริงก็จะทำการปฏิเสธการใช้บัตรและอายัดบัตรให้เช่นกัน แต่จุดสำคัญที่ทำให้เป็นข่าวบ่อย ๆ ก็คือการที่ผุ้เสียหายนำเรื่องของตนเองไปแชร์ในพันทิพและมีผู้ที่ประสบเหตุเดียวกันมาร่วมวงจนกลายเป็นข่าวที่แชร์ในโซเชียลมีเดียในที่สุดดังแสดงในรูปที่ 1
รูปที่ 1: รูปแบบของการขโมยบัตรเครดิตซื้อของออนไลน์
ใคร ทำอะไร อย่างไร?
ก่อนอื่นจะต้องเข้าใจก่อนว่าคนที่สามารถก็อปปี้ข้อมูลบัตรเครดิตของคุณนั้นอาจจะได้ข้อมูลจากเว็บไซต์ที่มีการปกป้องข้อมูลบัตรเครดิตที่คุณไปใช้บริการหรืออาจจะได้มาจาก Payment Gateway (บริษัทหรือธนาคารที่ทำหน้าที่ให้บริการชำระค่าบริการบัตรเครดิตแทนบริษัท e-commerce ที่ท่านใช้บริการ) หรืออาจจะได้มาตอนที่ท่านไปรูดบัตรเติมน้ำมัน จ่ายค่าอาหาร จ่ายค่าสินค้าและบริการต่าง ๆ ก็ได้
แต่ในวันนี้เราจะมุ่งประเด็นไปที่เว็บไซต์ที่เราไปซื้อของเท่านั้น โดยความเป็นไปได้แรกก็คือคนในองค์กรหรือมัลแวร์/โทรจันที่ติดอยู่บนเซิร์ฟเวอร์ของผู้ให้บริการ ซึ่งถ้าเป็นองค์กรเล็ก ๆ ที่ฝ่ายไอทีทำทุกอย่างเบ็ดเสร็จในตัวเอง มีสิทธิ์ทำอะไรกับข้อมูลบนเซิร์ฟเวอร์เมื่อไหร่ก็ได้ ก็มีความเป็นไปได้อย่างมากที่คนในจะมีส่วนในการฉ้อโกง
และปัจจัยที่ควบคุมได้ยากที่สุดก็คือคนนอกหรือที่เราเรียกกันจนติดปากว่าแฮกเกอร์นั่นเอง ซึ่งบางครั้งแฮกเกอร์ก็ใช้วิธีการแฝงมัลแวร์ลงไปบนเซิร์ฟเวอร์ของผู้ให้บริการหรือเครื่องไคล์เอ็นท์ของเหยื่อก็ได้ ดังนั้นการเลือกใช้บริการจากบริษัท e-commerce ที่มีขนาดใหญ่ที่มีมาตรฐานในการรักษาความปลอดภัยสูงและมีฐานลูกค้าจำนวนมากก็ถือเป็นการลดความเสี่ยงในการใช้บริการได้บางส่วน
ประเด็นถัดมาก็คือใครที่ว่านั้นทำอะไรกับข้อมูลบัตรเครดิตได้บ้าง ก็ต้องขึ้นกับว่าเค้าได้รับข้อมูลบัตรเครดิตมาบางส่วนหรือว่าได้มาทั้งหมดที่เก็บอยู่ในฐานข้อมูลของผู้ให้บริการ e-commerce นั่นก็แสดงว่าผู้ให้บริการ e-commerce นั้นมีการเก็บข้อมูลบัตรเครดิตบนเว๋บไซต์อย่างไม่ปลอดภัย ซึ่งเราในฐานะลูกค้าสามารถสังเกตุได้ง่าย ๆ ว่าหน้าจอที่ให้เราใส่ข้อมูลบัตรเครดิตนั้นเป็นของผู้ให้บริการ e-commerce หรือของ Payment Gateway ซึ่งถ้าเป็นหน้าจอของ Payment Gateway ที่มีชื่อเสียงน่าเชื่อถือค่อยดำเนินการต่อ แต่ถ้าดูแล้วว่ามันง่าย ๆ ไม่มีการซ่อนข้อมูล CVV ที่กรอกลงไปเลยก็หลีกเลี่ยงที่จะทำรายการต่อ
ประเด็นสุดท้ายคือใครคนนั้นสามารถทำได้อย่างไร ในเชิงเทคนิคจะแบ่งเป็น 2 ช่องทางหลัก ๆ ก็คือ 1) ช่องโหว่ทางเทคนิค ซึ่งอาจจะเป็นที่ซิสเต็มหรือแอพพลิเคชั่นก็ได้ ซึ่งช่องโหว่เหล่านี้ถือเป็นอาหารหวานอันโอชะสำหรับแฮกเกอร์มือเก๋า เพราะปัจจุบันมีการเปิดเผยช่องโหว่เหล่านี้เพื่อให้ผู้ให้บริการปรับปรุงระบบเพื่อป้องกันตนเอง แต่สุดท้ายกลับกลายเป็นการเปิดช่องโหว่ที่ยังไม่ได้ปิดให้กับแฮกเกอร์แทน
ในขณะที่ 2) นั้นเกิดจากการฉ้อโกงของคนในที่เห็นช่องโหว่ของกระบวนการในการดำเนินธุรกิจ (Business Process) หรือการที่พนักงานที่มีสิทธิ์บนระบบทำการก็อปปี้ข้อมูลออกมา ซึ่งสิ่งเหล่านี้มักจะไม่ค่อยเห็นในองค์กรที่อยู่ในตลาดหลักทรัพย์เพราะจะมีการครวจสอบกระบวนการทำงานและปิดโอกาสในการฉ้อโกงของพนังงานจาก Auditor ที่เข้ามาตรวจสอบเป็นประจำทุกปีนั่นเอง
Payment Gateway ปกป้องข้อมูลบัตรเครดิตอย่างไร?
ดังที่ได้กล่าวไปเบื้องต้นแล้วว่า payment Gateway นั้นมีหน้าที่ในการให้บริการชำระค่าบริการบัตรเครดิตแทนบริษัท e-commerce ที่ท่านกำลังใช้บริการอยู่ ดังนั้น Payment gateway จึงหลีกเลี่ยงไม่ได้ที่จะต้องเก็บข้อมูลบัตรเครดิตของท่าน แต่ท่านจะเชื่อได้อย่างไรว่า Payment Gateway จะมีการเก็บรักษาข้อมูลบัตรเครดิตของท่านอย่างปลอดภัย
ดังนั้นทาง VISA และ Master Card จึงได้มีการกำหนดมาตรฐาน PCI DSS ขึ้นมาเพื่อปกป้องข้อมูลบัตรเครดิตให้กับลูกค้า โดยที่ธนาคารเจ้าของบัตร (Issuer) ตลอดจนผู้ค้า (Merchant) นั้นมีหน้าที่ต้องปฏิบัติตามมาตรฐาน PCI DSS เพื่อลดความเสี่ยงที่ข้อมูลบัตรเครดิตของลูกค้าหลุดออกไป
ซึ่ง Payment Gateway ก็จำเป็นที่จะต้องปฏิบัติตามมาตรฐาน PCI DSS ด้วยมิฉะนั้นอาจถูก VISA ปรับหรืออาจจะถึงขั้นไม่อนุญาตให้บริการบัตรเครดิตก็ได้ โดยผู้เขียนจะกล่าวถึงรายละเอียดของมาตรฐาน PCI DSS ในฉบับหน้าเพื่อที่ท่านจะได้ทราบว่า PCI DSS นั้นทำให้มาตรฐานความปลอดภัยของเว็บที่ท่านใช้บริการนั้นปลอดภัยขึ้นอย่างไร
รูปที่ 2: PCI DSS มาตรฐานในการปกป้องข้อมูลบัตรเครดิต
เจ้าของบัตรสามารถปกป้องตัวเองได้อย่างไร?
อย่างแรกเลยที่เจ้าของบัตรเครดิตสามารถทำได้ด้วยตัวเองโดยไม่ต้องรอให้ธนาคารเจ้าของบัตร, VISA, Payment Gateway, e-commerce site จัดการความปลอดภัยของเว็บไซต์และเซิร์ฟเวอร์ที่จัดเก็บข้อมูลบัตรเครดิตให้กับเรา นั่นก็คือการลดวงเงินบัตรเครดิตที่ใช้งานผ่าน e-commerce ให้มีวงเงินแค่เพียงพอต่อการใช้งาน ถ้าเดือนไหนมีการใช้งานจนวงเงินเต็มก็แค่เอาเงินไปจ่ายหรือโทรขอเพิ่มวงเงินชั่วคราวก็ได้ โดยถ้าจะให้ดีก็ควรจะเลือกใช้บัตรเครกิตในประเทศ เพราะทันทีที่มีการนำบัตรไปใช้ต่างประเทศจะได้มีเจ้าหน้าที่โทรมายืนยันกับเราอีกทีนึง
อีกสิ่งหนึ่งที่เจ้าของบัตรเครดิตควรจะระมัดระวังในการเลือกใช้บริการของ e-commerce หรือ Payment Gateway ก็คือการดูว่าเว็บไซต์นั้นมีการรักษาความปลอดภัยอย่างเหมาะสมหรือไม่ (ผู้เขียนขอยืนยันว่าไม่มีเว็บใดในโลกที่ปลอดภัย 100% ดังนั้นจงอย่าคาดหวังว่าบัตรเครดิตของเรานั้นปลอดภัย 100% แค่มีการรักษาความปลอดภัยอย่างเหมาะสมก็ดีมากแล้วครับ) โดยตัวอย่างการพิจารณาความปลอดภัยของเว็บไซต์แบบง่าย ๆ ในรูปที่ 4 กือ (1) จะต้องใช้โปรโตคอล https (2-4) จะต้องใช้ certificate ที่ valid ในปัจจุบัน และ Issue โดยบริษัทที่มีความเชื่อถือได้
รูปที่ 3: ตัวอย่างการพิจารณาความปลอดภัยของเว็บไซต์
บทสรุป
ภัยของการใช้บัตรเครดิตกับโลกออนไลน์นั้นเป็นเรื่องที่ธรรมดามากกับโลกที่ใคร ๆ ก็สามารถเชื่อมต่อกับอินเตอร์เน็ตได้ และการแฮกเว็บไซต์นั้นก็มีให้เห็นเป็นข่าวอยู่ทุกวัน ดังนั้นการที่ท่านใช้ชีวิตออนไลน์ด้วยบัตรเครดิตใบเก่งของท่านนั้นนอกจากต้องมีการระแวดระวังตัวเองในการใช้บัตรเครดิตแล้ว ก็คงได้แต่ภาวนาว่าขออย่าให้แฮกเกอร์หรือผู้ไม่ประสงค์ดีมายุ่มย่ามกับบัตรเครดิตของเราเลย แต่ถ้าถึงที่สุดแล้วด้วยความเป็นบัตรเครดิตเราสามารถที่จะปฏิเสธการจ่ายได้ ดังนั้นจงอย่ากลัวที่จะใช้บัตรเครดิตซื้อของออนไลน์แต่จงใช้อย่างระวังและเท่าที่จำเป็นก็พอนะครับ
ที่มา : นิตยสาร Enterprise ITPro ฉบับที่ 136 ผู้แต่ง : สุรชาติ พงศ์สุธนะ