Posted inNote

Apple Pay กับช่องโหว่ที่ไม่ควรมองข้าม: เมื่อการจ่ายผ่านระบบขนส่งกลายเป็นความเสี่ยง

Posted inNote

Apple Pay กับช่องโหว่ที่ไม่ควรมองข้าม: เมื่อการจ่ายผ่านระบบขนส่งกลายเป็นความเสี่ยง

ปัจจุบัน Contactless Payment อย่าง Apple Pay มอบความสะดวกสบายในชีวิตประจำวันอย่างแท้จริง แต่เบื้องหลังความง่ายดายนี้ ยังมีประเด็นด้านความปลอดภัยที่ผู้ใช้งานควรรู้เพื่อป้องกันตนเอง

เบื้องหลังความสะดวกสบาย: Contactless Payment ทำงานอย่างไร?

ระบบ Contactless Payment บน Apple Pay ใช้มาตรฐาน EMV Contactless เพื่อการชำระเงินที่รวดเร็วและปลอดภัย โดยปกติทุกธุรกรรมต้องยืนยันตัวตนด้วย Face ID หรือ Touch ID ซึ่งเป็นหัวใจสำคัญด้านความปลอดภัยของระบบนี้ เพื่อป้องกันการใช้งานโดยไม่ได้รับอนุญาต

ช่องโหว่ที่ไม่คาดคิด: โหมด “ขนส่งสาธารณะ” คืออะไร?

ในมาตรฐาน EMV Contactless มี “โหมดขนส่งสาธารณะ” หรือ Transit Mode ที่ออกแบบมาเพื่อให้ผู้โดยสารแตะจ่ายค่าเดินทางได้อย่างรวดเร็ว โดยไม่ต้องยืนยันตัวตนด้วย PIN หรือ Face ID/Touch ID เหตุผลคือเพื่อลดความแออัดและเพิ่มความคล่องตัว แต่ความสะดวกนี้เองที่เปิดช่องว่างให้ถูกใช้เป็นช่องโหว่ได้

เจาะลึกการโจมตี: แฮกเกอร์ใช้ช่องทางนี้ได้อย่างไร?

การโจมตีใช้เทคนิค Man-in-the-middle ที่ต้องอาศัยอุปกรณ์สองชิ้น อุปกรณ์แรกจะอยู่ใกล้กับโทรศัพท์หรือนาฬิกาของเหยื่อ และอุปกรณ์ชิ้นที่สองจะอยู่ใกล้เครื่องรับชำระเงิน (POS terminal) ของร้านค้าปกติ

แฮกเกอร์จะดัดแปลงประเภทธุรกรรมที่ส่งจากเครื่องรับชำระเงิน จากธุรกรรมซื้อสินค้าทั่วไป ให้กลายเป็นธุรกรรมประเภท “ขนส่งสาธารณะ” เมื่อข้อมูลส่งถึง Apple Pay ระบบจะเข้าใจผิดว่าเป็นค่าเดินทาง จึงอนุญาตธุรกรรม โดยไม่เรียกยืนยัน Face ID หรือ Touch ID แต่อย่างใด การโจมตีมักจำกัดวงเงินไม่สูงนัก (ราว 100 ปอนด์/ดอลลาร์) เพื่อหลีกเลี่ยงการตรวจจับ

ผลกระทบและความเสี่ยงที่ผู้ใช้งานควรรู้

แม้การโจมตีจะซับซ้อนและต้องใช้ความใกล้ชิด แต่ก็บ่อนทำลายความเชื่อมั่นใน Apple Pay ได้อย่างมาก ผู้เสียหายอาจไม่รู้ตัวจนกว่าจะพบรายการผิดปกติใน Statement ที่สำคัญคือ ช่องโหว่นี้ มีผลกับบัตร VISA ที่ผูกกับ Apple Pay เป็นหลัก ส่วนบัตรจาก MasterCard หรือ American Express มีการป้องกันที่แตกต่างกัน จึงมีความเสี่ยงน้อยกว่า

ทำไมช่องโหว่นี้ยังไม่ได้รับการแก้ไข?

ช่องโหว่นี้ถูกเปิดเผยตั้งแต่ปี 2021 แต่ยังคงอยู่ ความซับซ้อนมาจากหลายฝ่ายที่เกี่ยวข้อง ทั้ง VISA ในฐานะผู้กำหนดมาตรฐาน Apple ในฐานะผู้ให้บริการแพลตฟอร์ม ธนาคารผู้ออกบัตร และผู้ให้บริการระบบขนส่ง การเปลี่ยนแปลงมาตรฐาน EMV Contactless ที่เป็นสากลนั้นยากยิ่ง เพราะต้องสมดุลระหว่างความรวดเร็วและความปลอดภัย ซึ่งเป็นโจทย์ที่ท้าทายที่ยังไม่มีข้อสรุปชัดเจน

ป้องกันตัวเองอย่างไรให้ปลอดภัย?

เพื่อลดความเสี่ยง ผู้ใช้งานควรปฏิบัติดังนี้:

  • ตรวจสอบรายการเดินบัญชีสม่ำเสมอ: หมั่นเช็ค Statement บัตรเครดิตหรือบัญชีที่ผูกกับ Apple Pay เป็นประจำ เพื่อตรวจจับธุรกรรมที่น่าสงสัย
  • ใช้ความระมัดระวังในที่แออัด: การโจมตีต้องใช้ความใกล้ชิดกับเหยื่อ ควรเพิ่มความระมัดระวังในพื้นที่สาธารณะที่มีผู้คนพลุกพล่าน
  • พิจารณาใช้บัตรจากผู้ให้บริการอื่น: หากกังวลเรื่องบัตร VISA บน Apple Pay อาจพิจารณาใช้บัตรจาก MasterCard หรือ American Express ซึ่งมีรายงานว่ามีความเสี่ยงน้อยกว่าสำหรับการชำระเงินไร้สัมผัส

การทำความเข้าใจและตระหนักถึงความเสี่ยงเหล่านี้ ช่วยให้ผู้ใช้งานเลือกใช้เทคโนโลยีอย่างชาญฉลาด เพื่อความสะดวกสบายและความปลอดภัยทางการเงินของตนเองอย่างสูงสุด

Tags: