นักวิจัยทดสอบการสร้างการ์ด Magstripe จากเทคโนโลยี EMV และ NFC

นักวิจัยด้านความปลอดภัยของอังกฤษได้พิสูจน์การสร้างการ์ดแถบแม่เหล็ก (Magstripe) โดยใช้รายละเอียดที่พบในการ์ดโมเดล Chip-and-PIN (EMV) และการ์ด Contactless Cards เพื่อทำการโคลนข้อมูลการ์ดสำหรับทำการละเมิดทางการเงิน

Galloway หัวหน้าฝ่ายวิจัยความปลอดภัยเชิงพาณิชย์จากห้องปฏิบัติการวิจัยและพัฒนาของ Cyber R&D Lab ได้เปิดเผยถึงการทดสอบเทคโนโลยีการ์ดที่ใช้ทำธุรกรรมทางการเงินจาก 11 ธนาคาร โดยมาจากธนาคารในประเทศสหรัฐอเมริกา, สหราชอาณาจักรและสหภาพยุโรป ซึ่ง Galloway ค้นพบว่าการ์ดของ 4 ธนาคารจาก 11 ธนาคารที่ทำการทดสอบนั้นใช้การ์ดโมเดล Chip-and-PIN (EMV) ซึ่งสามารถทำการโคลนข้อมูลไปสู่การ์ด Magstripe ได้และอาจนำไปใช้ในการละเมิดธุรกรรมทางการเงิน

Galloway ได้อธิบายต่อว่าการทำธุรกรรมด้วยการ์ดโมเดล Chip-and-PIN (EMV) และการ์ด Contactless Cards นั้นยังไม่ถือว่ามีความปลอดภัยในปัจจุบันเนื่องจากว่า ในทางปฏิบัตินั้นผู้ประสงค์ร้ายยังสามารถทำการโคลนการ์ดโมเดล EMV ได้ ถึงเเม้ว่าเทคโนโลยีการชำระเงินด้วยการ์ดจะพัฒนาไปมากแต่หลายๆ ประเทศในภูมิภาคต่างๆ ของทั่วโลกยังสนับสนุนการชำระเงินด้วยการ์ดเทคโนโลยี Magstrip ในการใช้ทำธุรกรรมการเงิน

ทั้งนี้ผู้ใช้งานบัตรเคดิตหรือบัตรต่างๆ ที่ใช้ทำธุรกรรมทางการเงินควรทำการระมัดระวังในการใช้งานและหมั่นตรวจสอบ เมื่อพบยอดชำระที่ผิดปกติควรรีบทำการติดต่อธนาคารที่ท่านใช้งานอย่างเร่งด่วน เพื่อป้องกันผู้ประสงค์ร้ายทำการละเมิดบัญชีธุรกรรมการเงินของท่าน

ที่มา: zdnet.

ธนาคารแห่งประเทศไทย(ธปท.) ชี้แจงพบว่ามีข้อมูลจากธนาคารสองแห่งหลุดออกสู่สาธารณะ

วันนี้ธนาคารแห่งประเทศไทย(ธปท.)ได้มีการออกข่าวประชาสัมพันธ์ให้สถาบันการเงินในประเทศยกระดับมาตรการป้องกันภัยทางไซเบอร์

สืบเนื่องจาก นายรณดล นุ่มนนท์ ผู้ช่วยผู้ว่าการ สายกำกับสถาบันการเงิน ธนาคารแห่งประเทศไทย ได้มีการเปิดเผยว่า มีข้อมูลบางส่วนซึ่งไม่เกี่ยวข้องกับธุรกรรมการเงินจากธนาคาร 2 แห่ง ได้แก่ ธนาคารกสิกรไทย จำกัด (มหาชน) และธนาคารกรุงไทย จำกัด (มหาชน) หลุดออกไป โดยจากรายงานข้อมูลที่หลุดออกไปของธนาคารกสิกรไทยเป็นข้อมูลลูกค้านิติบุคคลที่เป็นข้อมูลสาธารณะ ส่วนของธนาคารกรุงไทย เป็นข้อมูลคำขอสินเชื่อของลูกค้ารายย่อยและนิติบุคคลบางส่วน หลังจากธนาคารทั้ง 2 แห่งทราบปัญหาดังกล่าวได้มีการตรวจสอบทันที และพบว่ายังไม่มีลูกค้าที่ได้ผลกระทบจากกรณีข้อมูลรั่วไหลดังกล่าวนี้ พร้อมทั้งได้ดำเนินการปิดช่องโหว่ดังกล่าวโดยทันที ทั้งนี้ ธปท. ได้สั่งการ และกำชับให้ธนาคารทั้ง 2 แห่งยกระดับมาตราป้องกันภัยทางไซเบอร์อย่างเข้มงวดโดยทันที

ล่าสุดนี้ทางธนาคารทั้ง 2 แห่ง ได้แก่ธนาคารกรุงไทย จำกัด (มหาชน) และธนาคารกสิกรไทย จำกัด (มหาชน) ได้มีการชี้แจงกรณีดังกล่าวออกมาแล้ว นายผยง ศรีวณิช กรรมการผู้จัดการใหญ่ ธนาคารกรุงไทย เปิดเผยว่าจากการตรวจสอบระบบพบว่า ในช่วงก่อนวันหยุดยาวที่ผ่านมาข้อมูลเบื้องต้นที่ส่วนใหญ่เป็นข้อมูลคำขอสินเชื่อพื้นฐานของลูกค้ารายย่อยที่สมัครสินเชื่อทางออนไลน์ทั้งสิ้น 1.2 แสนราย แบ่งเป็นนิติบุคคล 3 พันรายได้ถูกแฮกด้วยเทคนิคชั้นสูงจากระบบของธนาคาร และธนาคารยืนยันว่ายังไม่พบว่าความเสียหายเกิดขึ้นกับบัญชีของกลุ่มลูกค้าที่ได้รับผลกระทบดังกล่าว

ทั้งนี้ธนาคารได้มีการติดต่อกับกลุ่มลูกค้าดังกล่าว เพื่อแจ้งให้ทราบถึงเหตุการณ์ และให้คำแนะนำเพื่อป้องกันความเสี่ยงแล้ว ในส่วนของธนาคารกสิกรไทย นายพิพิธ เอนกนิธิ กรรมการผู้จัดการ ธนาคารกสิกรไทย เปิดเผยว่า เมื่อวันที่ 25 กรกฎาคมที่ผ่านมา ธนาคารตรวจพบว่าอาจมีข้อมูลรายชื่อลูกค้าองค์กรของธนาคารประมาณ 3 พันรายที่ใช้เว็บให้บริการหนังสือค้ำประกันหลุดออกไปสู่สาธารณะ ซึ่งข้อมูลที่หลุดออกไปไม่เกี่ยวข้องกับข้อมูลสำคัญด้านธุรกรรมการเงินของลูกค้า และยังไม่พบว่ามีลูกค้าที่ได้รับผลกระทบดังกล่าวได้รับความเสียหายใดๆ โดยคาดว่าเกิดจากการแฮกเช่นเดียวกัน ทั้งนี้ธนาคารได้มีแผนที่จะแจ้งให้ทางลูกค้าที่ได้รับผลกระทบทราบเป็นรายองค์กรแล้ว

อย่างไรก็ตามขณะนี้กลุ่มผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากสถาบันการเงินต่างๆในประเทศ ได้ร่วมมือกับทาง TB-CERT และผู้เชี่ยวชาญท่านอื่นๆ ช่วยกันสืบสวนหาสาเหตุที่แท้จริงอยู่ คาดว่าหากมีความคืบหน้าเพิ่มเติมน่าจะมีการแจ้งให้ทราบต่อไป

ที่มา : การเงินธนาคาร , ธปท.

According to the experts, North Korea is behind the SWIFT attacks in Latin America

จากเหตุการณ์ที่ธนาคาร Bamcomext และธนาคาร Bank of Chile ถูกโจมตีทั้งในรูปแบบของการใช้มัลแวร์ KillDisk เพื่อแพร่ระบาดในเครือข่ายของธนาคารและรูปแบบของการเข้ายึดและสั่งการระบบ SWIFT ของธนาคารให้มีการโอนเงินออกมา อ้างอิงจากแหล่งข่าวของ Cyberscoop คนในสามคนที่เข้าตรวจสอบเหตุการณ์นี้ได้ออกมายืนยันแล้วว่าเป็นการโจมตีที่มีความเกี่ยวข้องกับกลุ่มแฮกเกอร์ของเกาหลีเหนือ

กลุ่มแฮกเกอร์เกาหลีเหนือตกเป็นผู้ต้องสงสัยในการโจมตีระบบของธนาคารเพื่อขโมยเงินหลายครั้ง โดยหนึ่งในกลุ่มแฮกเกอร์ซึ่งเป็นที่รู้จักกันว่ามีแรงจูงใจในการโจมตีเพื่อการแสวงหาเงินนั้นคือกลุ่ม Lazarus Group (ชื่ออื่น HIDDEN COBRA, Unit 121)

แม้ว่ากลุ่มผู้โจมตีจะมีการใช้มัลแวร์ KillDisk หรือ MBR Killer ในการสร้างความเสียหายและดึงความสนใจ การปรากฎตัวของมัลแวร์ดังกล่าวก็ไม่ได้เป็นหลักฐานในการยืนยันที่ดีมากนักแม้ว่ามัลแวร์ในลักษณะเดียวกันจะเคยปรากฎในครั้งที้ธนาคารสัญชาติไต้หวันถูกโจมตีมาแล้ว เนื่องจากซอร์สโค้ดของมัลแวร์ทั้งสองประเภทนี้นั้นถูกปล่อยขายอยู่ในตลาดมืดออนไลน์โดยทั่วไป

อย่างไรก็ตามนอกเหนือจากการปรากฎตัวของมัลแวร์ KillDisk หรือ MBR Killer และความคลุมเครือของมัน อ้างอิงจากรายงานการวิเคราะห์ของ Flashpoint (TLP: Amber) Flashpoint ยังคงยืนยันว่าโมดูลของ MBR Killer, RAT และ TTP ของผู้โจมตีนั้นมีความเกี่ยวข้องกับกรณีการโจมตีสถาบันทางการเงินอื่นๆ และยังสามาถเชื่อมโยงกลับไปยังเกาหลีเหนือได้

Lazarus Group หรือ HIDDEN Cobra มักใช้เทคนิค Spear Phishing เพื่อให้สามารถเข้าถึงเครือข่ายภายในของธนาคารได้ ก่อนจะทำการติดตั้งและดาวโหลดมัลแวร์ต่างๆ ที่ทำให้ผู้โจมตีสามารถควบคุมระบบภายได้ ท้ายที่สุดผู้โจมตีจะมีการทำ Lateral Movement เพื่อค้นหาระบบที่เกี่ยวข้องกับระบบ SWIFT ก่อนที่จะดำเนินสั่งโอนเงินออกมา

ที่มา : Security Affairs

Hackers Demand $770,000 Ransom From Canadian Banks

หลังจากที่ธนาคาร Bank of Montreal และ Simplii Financial ได้ประกาศการรั่วไหลของข้อมูลเมื่ออาทิตย์ที่ผ่านมา แฮกเกอร์ผู้ซึ่งอ้างว่าเป็นผู้โจมตีในครั้งนี้นั้นได้ออกมาขู่เรียกค่าไถ่กว่าเกือบ 1 ล้านเหรียญสหรัฐฯ ในสกุลเงิน Ripple เพื่อแลกกับการไม่เปิดเผยข้อมูลที่รั่วไหลออกมาของลูกค้ากว่า 100,000 คน

อีเมลที่ถูกส่งเพื่อเรียกค่าไถ่จากกลุ่มแฮกเกอร์ยังมีการเปิดเผยถึงวิธีการในเบื้องต้นที่ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลของบัญชีลูกค้าได้โดยอ้างว่า พวกเขาใช้อัลกอริธึมทางคณิตศาสตร์ทั่วไปในการสร้างเลขของบัญชีธนาคารที่เป็นเลขบัญชีจริง จากนั้นจึงใช้ข้อมูลดังกล่าวในการร้องขอให้ระบบล้างและตั้งค่ารหัสผ่านใหม่ได้

สำนักข่าว CBC News ออกมายืนยันการโจมตีนี้และยืนยันเพิ่มเติมว่าข้อมูลที่ผู้โจมตีใช้ในการกล่าวอ้างนั้นเป็นข้อมูลของลูกค้าซึ่งมีตัวตนจริง โดยทางธนาคารยังคงยืนยันที่จะไม่จ่ายค่าไถ่ให้กับแฮกเกอร์ โดยจะโฟกัสไปที่การปกป้องข้อมูลของผู้ใช้งานที่รั่วไหลออกต่อไป

ที่มา : BANK INFO SECURITY

Crims pull another SWIFT-ie, Indian bank stung for nearly US$2m

ธนาคารสัญชาติอินเดีย City Union Bank ได้มีการประกาศแจ้งเตือนลูกค้าเมื่อวันอาทิตย์ที่ผ่านมาหลังจากตรวจพบการทำธุรกรรมที่ผิดปกติจากระบบ SWIFT ของทางธนาคารและยืนยันผ่านทางประกาศว่าระบบของธนาคารถูกโจมตี โดยผู้โจมตีประสบความสำเร็จในการถอนเงินออกจากธนาคารไปได้เกือบ 2 ล้านดอลลาร์สหรัฐฯ
อ้างอิงจากแถลงการณ์ของธนาคาร ทางธนาคารได้มีการยืนยันว่าการโจมตีดังกล่าวนั้นเกิดขึ้นจากองค์กรอาชญากรข้ามชาติที่มุ่งโจมตีระบบของธนาคารโดยตรง และยืนยันว่าไม่มีการร่วมมือของบุคคลภายในในการโจมตีแต่อย่างใด
สำหรับธุรกรรมที่ถูกดำเนินการผิดปกตินั้นประกอบด้วย 3 ธุรกรรมย่อยซึ่งทั้งหมดนั้นถูกบล็อคอันเนื่องมาจากพฤติกรรมที่ผิดปกติ โดยหนึ่งในสามของธุรกรรมที่เป็นการโอนเงินมูลค่า 500,000 ดอลลาร์สหรัฐฯ ได้รับการยืนยันว่ามีการส่งคืนเงินจำนวนดังกล่าวแล้ว ทาง City Union Bank จะดำเนินการประสานงานกับธนาคารปลายทางเพื่อเจรจาขอยกเลิกการทำธุรกรรมและกู้คืนเงินในแต่ละธุรกรรมต่อไป
ในขณะนี้ยังไม่มีข้อมูลที่แน่ชัดถึงวิธีการที่ผู้โจมตีดำเนินการเพื่อโจมตีระบบ

ที่มา : theregister

NUKEBOT ฉบับดัดแปลงที่ใช้เพื่อการขโมยข้อมูลธนาคาร

นักวิจัยจาก Kaspersky Lab ได้กล่าวว่าพวกเขามีตัวอย่างของ Nukebot Malware ที่มีเป้าหมายหลักเป็นธุรกิจกลุ่มธนาคารที่มีพฤติกรรมขโมยข้อมูล , รหัสผ่าน Email , รหัสผ่าน Browser โดยทางนักวิจัยได้รวบรวมตัวอย่างมาจากหลายแหล่งซึ่งดูเหมือนจะเป็นเพียงรุ่นทดสอบ บางตัวอย่างที่ Kaspersky Lab ครอบครองอยู่เป็นเพียงรูปแบบข้อความ แต่ตอนนี้นักวิจัยสามารถดึงรูปแบบคำสั่ง , ส่วนควบคุม Addresses , และข้อมูลอื่นๆที่ใช้ในการวิเคราะห์จากมัลแวร์ Nukebot ออกมาได้ แต่ข้อมูลที่ได้มาถูกเข้ารหัสไว้ การเข้ารหัสนี้ทำให้นักวิจัยจำเป็นต้องหาทางดึงคีย์ถอดรหัสออกเพื่อการสร้างค่าสตริง

ในส่วนการโจมตีแบบ Web Injections ต้องเลียนแบบการโต้ตอบกับเซิร์ฟเวอร์ C & C โดย C & C addresses จะหาได้ในขั้นตอนการเริ่มทำงานทำงาน Bot จะส่งคีย์ RC4 ที่ใช้ในการถอดรหัส Injections เราใช้วิธีเลียนแบบ Bot แล้วสามารถรวบรวมการแทรกเว็บจากเซิร์ฟเวอร์จำนวนมากได้

แต่ Nukebot บางรุ่นก็ไม่ได้ใช้ web injections แตใช้การกระจายตัวแบบ Droppers จากนั้น Malware จะดาวน์โหลด Password Recovery Utilities เพื่อใช้ในการเจาะรหัสผ่านมาจากเซิร์ฟเวอร์ระยะไกลภายใต้การควบคุมของผู้โจมตี

threatpost

Banking Trojan 'Qadars' now targets users in Netherlands

รายงาน ESET กล่าวว่า โทรจันที่ขโมยข้อมูลธนาคารตัวใหม่ที่ชื่อว่า "Qadars" ซึ่งผู้ใช้ทั่วโลกติดกันในขณะนี้ มีเป้าหมายส่วนใหญ่อยู่ที่ผู้ใช้จากประเทศเนเธอร์แลนด์ มัลแวร์ Qadars จะขโมยข้อมูลจากเบราว์เซอร์ ก่อนที่ข้อมูลเหล่านั้นจะถูกเข้ารหัส และจะส่งข้อมูลที่ถูกปรับเปลี่ยนไปยังเว็บไซต์ของธนาคาร นอกจากนี้สมาร์ทโฟนระบบปฏิบัติการแอนดรอยยังอนุญาตให้มัลแวร์ดังกล่าวผ่านการตรวจสอบความปลอดภัย (two-step authentication) ของธนาคารออนไลน์และสามารถเข้าถึงบัญชีธนาคารได้ มัลแวร์นี้ได้มุ่งเน้นการโจมตีใน 6 ประเทศ ได้แก่ ประเทศเนเธอร์แลนด์, ฝรั่งเศส, แคนาดา, ออสเตรเลีย, อินเดียและอิตาลี

ที่มา : ehackingnews