พบช่องโหว่ระดับร้ายแรงบน Azure App ที่ Microsoft แอบติดตั้งไว้บน Linux VMs

 

 

 

 

 

 

 

 

 

เมื่อวันอังคารที่ผ่านมา Microsoft ได้กล่าวถึงช่องโหว่ด้านความปลอดภัย 4 รายการซึ่งเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday
ที่อาจจะถูกนำไปใช้ในการโจมตีโดยผู้ไม่หวังดี เพื่อกำหนดเป้าหมายไปยังลูกค้าที่ใช้บริการ Azure cloud และยกระดับสิทธิ์จนเข้ายึดระบบที่มีช่องโหว่เหล่านั้นได้จากระยะไกล

นักวิจัยจาก Wiz เรียกช่องโหว่พวกนี้รวมกันว่า OMIGOD ซึ่งช่องโหว่เหล่านี้จะส่งผลกระทบต่อ software agent ที่ชื่อว่า Open Management Infrastructure ซึ่ง Software Agent จะถูกติดตั้ง และเรียกใช้งานอัตโนมัติ โดยผู้ใช้งานไม่รู้ตัว

CVE-2021-38647 (CVSS score: 9.8) - Open Management Infrastructure Remote Code Execution Vulnerability
CVE-2021-38648 (CVSS score: 7.8) - Open Management Infrastructure Elevation of Privilege Vulnerability

CVE-2021-38645 (CVSS score: 7.8) - Open Management Infrastructure Elevation of Privilege Vulnerability

CVE-2021-38649 (CVSS score: 7.0) - Open Management Infrastructure Elevation of Privilege Vulnerability

Open Management Infrastructure (OMI) เป็นโอเพ่นซอร์สที่เทียบเท่ากับ Windows Management Infrastructure (WMI) แต่ออกแบบมาสำหรับระบบ Linux และ UNIX เช่น CentOS, Debian, Oracle Linux, Red Hat Enterprise Linux Server, SUSE Linux และ Ubuntu

ลูกค้า Azure บนเครื่อง Linux รวมถึงผู้ใช้บริการเหล่านี้มีความเสี่ยงที่จะถูกโจมตี

Azure Automation
Azure Automatic Update
Azure Operations Management Suite (OMS)
Azure Log Analytics
Azure Configuration Management
Azure Diagnostics

 

 

 

 

 

 

 

 

 

"เมื่อผู้ใช้เปิดใช้งานบริการดังกล่าว OMI จะถูกติดตั้งอย่างเงียบๆ บนเครื่อง VM (Virtual Machine) ของพวกเขา โดยทำงานด้วยสิทธิพิเศษสูงสุดเท่าที่เป็นไปได้" Nir Ohfeld นักวิจัยด้านความปลอดภัยของ Wiz กล่าว

"นอกเหนือจากลูกค้า Azure cloud แล้ว ลูกค้า Microsoft รายอื่นๆ จะได้รับผลกระทบ เนื่องจากสามารถติดตั้ง OMI บนเครื่อง Linux ได้ และมักใช้ในองค์กร" Ohfeld กล่าวเสริม

เนื่องจาก OMI ทำงานเป็น Root ที่มีสิทธิ์สูงสุด ช่องโหว่ดังกล่าวอาจถูกโจมตีโดยผู้ไม่หวังดีจากภายนอก หรือผู้ใช้ที่มีสิทธิ์ต่ำเพื่อรันโค้ดที่เป็นอันตรายจากระยะไกลบนเครื่องเป้าหมาย และยกระดับสิทธิ์ของตนเอง และทำให้ผู้ไม่หวังดีสามารถใช้ประโยชน์จากการยกระดับสิทธิ์ในการติดตั้งการโจมตีอื่นๆอีกต่อไป

ช่องโหว่ 4 รายการที่สำคัญที่สุดคือช่องโหว่เรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่เกิดจากพอร์ต HTTPS ที่ถูกเปิดไว้ เช่น 5986, 5985 หรือ 1270 ทำให้ผู้ไม่หวังดีสามารถที่จะเข้าถึง Azure ของเป้าหมายได้ และเริ่มเคลื่อนย้ายตนเองเข้าสู่เครือข่ายของเหยื่อ

"ด้วยแพ็กเก็ตเดียว ผู้ไม่หวังดีสามารถเป็น Root บนเครื่องจากระยะไกลได้โดยเพียงแค่ลบ Authentication Header มันง่ายมาก" "นี่เป็นช่องโหว่เรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่เราสามารถเห็นได้ในตำราเรียนตั้งแต่ในยุค 90 เป็นเรื่องผิดปกติอย่างมากที่ยังสามารถเห็นมันเกิดขึ้นกับ Endpoints นับล้าน ในปี 2021" Ohfeld กล่าว

OMI เป็นเพียงตัวอย่างหนึ่งของ Software Agent ที่แอบติดตั้งโดยผู้ใช้งานไม่รู้ตัว สิ่งสำคัญคือต้องทราบว่า Software Agent เหล่านี้ไม่ได้มีเพียงใน Azure แต่ใน Amazon Web Services และ Google Cloud Platform ก็อาจมีเช่นเดียวกัน

คำแนะนำ

ในตอนนี้ Azure ไม่สามารถ Update OMI ให้ผู้ใช้งานที่ติดตั้ง Version ที่มีช่องโหว่ได้ แต่ผู้ใช้งานสามารถแก้ไขได้โดยดาวน์โหลด Package Repository ของ Microsoft และดำเนินการ Update OMI โดย การติดตั้ง OMI Version ใหม่ รายละเอียดสามารถเข้าไปอ่านเพิ่มเติมได้ใน

ที่มา : msrc.

New PIN Verification Bypass Flaw Affects Visa Contactless Payments

นักวิจัยค้นพบช่องโหว่ใหม่ที่สามารถ Bypass การตรวจสอบ PIN บนบัตรเครดิตแบบ Contactless ของ Visa

นักวิจัย ETH จากซูริคได้เปิดเผยถึงช่องโหว่การ Bypass การตรวจสอบ PIN ของบัตรเครดิตแบบระบบ Contactless ของ Visa ที่ช่วยให้ผู้ประสงค์ร้ายสามารถใช้บัตรเครดิตของเหยื่อที่ถูกขโมยหรือหายทำการซื้อสินค้าโดยปราศจากรหัส PIN ของบัตรบัตรเครดิต ณ จุด Point of sale (PoS)

จากการเปิดเผยของนักวิจัย ETH ช่องโหว่ที่พบนั้นอยู่ในโปรโตคอล EMV (ย่อมาจาก Europay, Mastercard, และ Visa) ซึ่งเป็นมาตรฐานโปรโตคอลสากลที่ใช้กันอย่างแพร่หลายสำหรับการชำระเงินด้วยสมาร์ทการ์ด โดยผู้ประสงค์ร้ายสามารถทำการโจมตีแบบ man-in-the-middle (MitM) ผ่านแอป Android ด้วยการสั่งให้เทอร์มินัลไม่ต้องทำการตรวจสอบ PIN เนื่องจากมีการตรวจสอบผู้ถือบัตรด้วยการดำเนินการบนอุปกรณ์ของผู้ถือบัตร เนื่องจากได้รับการยืนยันแล้วจากอุปกรณ์ของผู้ใช้และจะดำเนินการหักเงินในบัตรของผู้ใช้ในขึ้นต่อไป

นอกจากช่องโหว่ที่ถูกเปิดเผยนี้นักวิจัย ETH ยังพบช่องโหว่ที่เกี่ยวข้องกับระบบ Contactless ของ Visa และบัตร Mastercard อีกช่องโหว่หนึ่งคือผู้ประสงค์ร้ายสามารถแก้ไขข้อมูลเฉพาะที่เรียกว่า "Application Cryptogram" (AC) ก่อนที่จะส่งไปยังเทอร์มินัล PoS โดยทั่วไปบัตรที่ทำธุรกรรมแบบออฟไลน์จะใช้เพื่อชำระค่าสินค้าและบริการโดยตรงจากบัญชีธนาคารของผู้ถือบัตรโดยไม่ต้องใช้หมายเลข PIN แต่เนื่องจากธุรกรรมเหล่านี้ไม่ได้เชื่อมต่อกับระบบออนไลน์จึงมีความล่าช้า 24 ถึง 72 ชั่วโมงก่อนที่ธนาคารจะยืนยันความถูกต้องของธุรกรรมโดยใช้การใช้ Cryptogram และจำนวนเงินที่ซื้อจะถูกหักออกจากบัญชี ผู้ประสงค์ร้ายสามารถใช้กลไกการประมวลผลที่ล่าช้านี้เพื่อใช้บัตรที่ทำการปลอมเเปลงทำธุรกรรมที่มีมูลค่าต่ำ ซึ่งกว่าธนาคารผู้ออกบัตรจะปฏิเสธธุรกรรมที่ใช้ Cryptogram ผิดพลาดผู้ประสงค์ร้ายก็ออกจากจุดที่ทำธุรกรรมแล้ว

นักวิจัย ETH กล่าวว่าช่องโหว่ที่ถุกค้นพบนั้นมีผลกระทบกับบัตรเครดิตแบบระบบ Contactless ของ Visa เช่น Visa Credit, Visa Debit, Visa Electron และ V Pay card ทั้งนี้ช่องโหว่ยังสามารถใช้กับบัตรที่ใช้โปรโตคอล EMV อย่าง Discover และ UnionPay ได้ด้วยอย่างไรก็ตามช่องโหว่ดังกล่าวจะไม่ส่งผลกระทบต่อ Mastercard, American Express และ JCB ปัจจุบันนักวิจัยได้ทำการเเจ้ง Visa ให้ได้รับทราบถึงปัญหาแล้ว ส่วนรายละเอียดของช่องโหว่นั้นจะถูกนำเสนอในงาน IEEE Symposium on Security and Privacy ครั้งที่ 42 ที่จะจัดขึ้นในซานฟรานซิสโกในเดือนพฤษภาคมปีหน้า

ที่มา: thehackernews.

Check Point Patches Privilege Escalation Flaw in Endpoint Client

Check Point Software แก้ช่องโหว่ยกระดับสิทธิ์ใน Endpoint Client

Check Point Software แก้ช่องโหว่ที่พบในซอฟต์แวร์ Check Point Endpoint Security Initial Client สำหรับวินโดว์ที่ยอมให้ผู้โจมตียกระดับสิทธิ์และรันโค้ดโดยใช้สิทธิ์ SYSTEM

ช่องโหว่ดังกล่าวได้รับ CVE-2019-8461 ทำให้ผู้โจมตีสามารถรันเพย์โหลดที่เป็นอันตรายโดยใช้สิทธิ์ system-level เช่นเดียวรวมทั้งหลีกเลี่ยงการตรวจจับมัลแวร์โดยเลี่ยง application whitelisting ซึ่งเป็นเทคนิคที่ใช้กันโดยไปทั่วไปเพื่อป้องกันการเรียกใช้แอปที่ไม่รู้จักหรืออาจเป็นอันตราย

Peleg Hadar นักวิจัยผู้ค้นพบช่องโหว่ดังกล่าวระบุว่าช่องโหว่นี้อาจถูกใช้เพื่อยกระดับสิทธิ์และคงอยู่บนเครื่องถาวรโดยการเรียกใช้ DLL เป็นอันตรายด้วย Windows services ที่ถูกใช้โดย Check Point Endpoint Security

ที่มา : bleepingcomputer

Indian Healthcare Website Hacked, stolen data for sale

FireEye บริษัทความมั่งคงทางไซเบอร์ในสหรัฐฯ พบการแฮกบนเว็บไซต์ด้านสุขภาพจากประเทศอินเดีย โดยทำการขโมยข้อมูลไปมากกว่า 6.8 ล้านข้อมูลของทั้งแพทย์และคนไข้
FireEye ไม่ได้ระบุชื่อเว็บไซต์ แต่ได้กล่าวว่านี่เป็นอาชญากรไซเบอร์ที่ส่วนใหญ่มาจากจีน โดยจะขายข้อมูลที่ขโมยมาจากเว็บไซต์ทั่วโลก

“ในเดือนกุมภาพันธ์ ผู้ไม่หวังดีนามแฝงว่า “fallensky519” ได้ขโมย 6.8 ล้านข้อมูลที่เกี่ยวกับข้อมูลด้านสุขภาพชาวอินเดียบนเว็บไซต์ ที่มีข้อมูลทั้งคนไข้และแพทย์ที่สามารถระบุตัวตนได้ รวมถึงรหัสผ่าน” FireEye แถลงรายงานร่วมกับ IANS
ตามที่ FireEye กล่าวในระหว่างวันที่ 1 ตุลาคม 2018 ถึง 31 มีนาคม 2019 ทีมข่าวกรองพบข้อมูลหลายตัวที่มีประวัติสุขภาพได้ถูกขายในราคา $2,000 ซึ่งข้อมูลที่ขายเกี่ยวข้องกับงานวิจัยเกี่ยวกับมะเร็ง ซึ่งสะท้อนให้เห็นถึงความกังวลของจีนต่อการเพิ่มอัตราการเกิดโรคมะเร็งและการเสียชีวิต รวมถึงค่าใช้จ่ายด้านการดูแลสุขภาพระดับชาติ

ที่มา : ehackingnews

Android September 2018 Patches Fix Critical Flaws

Google ได้ปล่อยแพทช์รักษาความปลอดภัยเดือนกันยายนปี 2018 สำหรับ Android ซึ่งแก้ไขปัญหาได้มากกว่า 50 ช่องโหว่

แพทช์รักษาความปลอดภัย Android ในเดือนกันยายน 2018 แบ่งออกเป็นสองส่วนคือระดับแพทช์การรักษาความปลอดภัย 2018-09-01 ซึ่งสามารถแก้ไขข้อบกพร่องได้ 24 ข้อและแพทช์ความปลอดภัย 2018-09-05 ซึ่งมีข้อบกพร่องทั้งหมด 35 ข้อ

มี 5 ช่องโหว่ในแพทช์รักษาความปลอดภัย 2018-09-01 ได้รับการจัดอันดับความรุนแรง Critical 3 ช่องโหว่เป็นปัญหาเรื่องการยกระดับสิทธิพิเศษที่มีผลต่อระบบ ในขณะที่ส่วนที่เหลืออีก 2 ข้อเป็นช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Media framework

Google ยังกล่าวถึงช่องโหว่ที่มีความเสี่ยงสูงใน Android runtime, Framework, Library, Media framework และ System รวมถึงปัญหาความรุนแรงระดับปานกลาง 2 เรื่องใน Media framework and System ซึ่งช่องโหว่ดังกล่าวส่วนใหญ่จะส่งผลกระทบต่อ Android เวอร์ชัน 7.0, 7.1.1, 7.1.2, 8.0, 8.1 และ 9.0 แต่มีเพียงบางส่วนเท่านั้นที่พบว่ามีผลต่อ Android 8.0 และแพลตฟอร์มใหม่ ๆ

35 ช่องโหว่ในแพทช์รักษาความปลอดภัย 2018-09-05 ซึ่ง 6 ช่องโหว่อยู่ในระดับความรุนแรง Critical, 27 ช่องโหว่อยู่ในระดับความรุนแรง High และ 2 ช่องโหว่ถือว่าเป็นความรุนแรงปานกลาง ซึ่งเป็นช่องโหว่ใน Framework, Kernel components, และ Qualcomm components

ที่มา : securityweek

Trend Micro Apps Leak User Data, Removed from Mac App Store

Application หลายรายการที่พัฒนาโดย Trend Micro จะถูกนำออกไปจาก Mac App Store หลังจากที่นักวิจัยพบว่าแอพพลิเคชั่นเหล่านั้นทำการรวบรวมประวัติการเข้าชมเบราเซอร์และข้อมูลเกี่ยวกับคอมพิวเตอร์ของผู้ใช้งาน

Apple ได้นำ Adware Doctor ซึ่งเป็นแอพพลิเคชั่นด้านความปลอดภัยที่มีผู้ใช้งานมากจากการจัดอันดับในส่วนของ Application ที่ให้ดาวน์โหลดฟรีออกจาก App Store นอกจากนี้ยังมีแอพพลิเคชั่น Dr. Antivirus, Dr. Cleaner และ Dr. Unarchiver ซึ่งทั้งหมดถูกพัฒนาภายใต้บัญชีของ Trend Micro หลังจากที่มีการนำแอพพลิเคชั่นดังกล่าวออกไปแล้ว นักวิจัยด้านความปลอดภัย Privacy_1st ได้เผยแพร่วิดีโอที่แสดงว่า Dr. Cleaner และ Dr. Antivirus (Adware Doctor) รวบรวมประวัติการเข้าชมเบราว์เซอร์จาก Safari, Chrome และ Firefox รวมถึงข้อมูลอื่นๆ โดยข้อมูลต่างๆที่ส่งออกไปสามารถใช้ยืนยันและระบุตัวตนของผู้ใช้งานได้

เมื่อวันที่ 10 ก.ย. 19:13: บริษัท เทรนด์ไมโคร ได้ออกมาแถลงการณ์ปฏิเสธว่าแอพพลิเคชั่นดังกล่าวไม่ได้ขโมยข้อมูลของผู้ใช้งาน แต่เป็นการเก็บรวมรวบข้อมูลเพื่อไปพัฒนาแอพพลิเคชั่นให้ดียิ่งขึ้น และข้อมูลดังกล่าวจะถูกอัพโหลดไปยังเซิร์ฟเวอร์ในสหรัฐอเมริกาที่เป็น Amazon Web Services ไม่ใช่ในประเทศจีน แต่ Apple เห็นถึงความไม่ปลอดภัยของผู้ใช้งาน จึงได้ทำการลบแอพพลิเคชั่นดังกล่าวออกจาก App store และเตือนให้ผู้ใช้งานถอนการติดตั้งแอพดังกล่าว

ที่มา : bleepingcomputer

Microsoft patches recent ALPC zero-day in September 2018 Patch Tuesday updates

ไมโครซอฟต์แก้ไขช่องโหว่ zero-day ใน Task Scheduler และช่องโหว่ร้ายแรงมากอื่นๆ ในแพตช์ประจำเดือนกันยายน 2018

ไมโครซอฟต์ออกแพตช์ประจำเดือนกันยายน 2018 เพื่อแก้ไขช่องโหว่รวมทั้งหมด 61 ช่องโหว่ แบ่งออกเป็นช่องโหว่รายแรงมาก (Critical) จำนวน 17 ช่องโหว่ ช่องโหว่ร้ายแรง (Important) 43 ช่องโหว่ และช่องโหว่ร้ายแรงปานกลางจำนวน 1 ช่องโหว่

ในช่องโหว่ทั้ง 61 ช่องโหว่นี้มีช่องโหว่ที่่ได้รับการเปิดเผยต่อสาธารณะแล้ว 4 ช่องโหว่ ได้แก่ CVE-2018-8440, CVE-2018-8475, CVE-2018-8457 และ CVE-2018-8457

ช่องโหว่ CVE-2018-8440 คือช่องโหว่ zero-day ใน Task Scheduler ที่มีผู้เผยแพร่วิธีการโจมตี รวมถึงมีมัลแวร์ใช้ในการโจมตีแล้ว โดยสามารถอ่านรายละเอียดของช่องโหว่ดังกล่าวได้จาก [https://www.

Tor Browser Zero-Day Exploit Revealed Online – Patch Now

Zerodium ได้เปิดเผยช่องโหว่ zero-day ใน Tor Browser ระดับความรุนแรงสูงให้ดำเนินการอัปเดต patch โดยด่วน

Zerodium แชร์ข้อมูลของช่องโหว่ที่อยู่ในปลั๊กอิน NoScript ภายใน Mozilla Firefox ที่มาพร้อมกับซอฟต์แวร์ Tor NoScript คือ ส่วนที่ทำหน้าที่บล็อกการทำงานของ JavaScript, Java, Flash และเนื้อหาอื่นๆ ที่เป็นอันตรายบนเว็บ ทั้งนี้ NoScript "Classic" รุ่น 5.0.4 ถึง 5.1.8.6 ที่มาพร้อมกับ Tor Browser รุ่น 7.5.6 มีช่องโหว่ทำให้แฮกเกอร์สามารถเรียกใช้ไฟล์ JavaScript เมื่อเปลี่ยน content-type header ของไฟล์ให้เป็นรูปแบบ JSON ทำให้สามารถระบุที่อยู่ IP จริงของผู้ใช้งานได้

อย่างไรก็ตาม Tor browser รุ่นล่าสุด หรือ Tor 8.0 จะไม่ได้รับความเสี่ยงจากข้อบกพร่องนี้เนื่องจากปลั๊กอิน NoScript ภายใน Mozilla Firefox ที่มาพร้อมกับ Tor browser รุ่นล่าสุดถูกปรับปรุงใหม่แล้ว จึงขอแนะนำให้ผู้ใช้ Tor รุ่น 7.x อัปเดตเบราว์เซอร์ของตนเป็น Tor 8.0

นอกจากนี้ NoScript ได้แก้ไขข้อบกพร่อง zero-day ดังกล่าวด้วยการเปิดตัว NoScript "Classic" version 5.1.8.7

ที่มา : The Hacker News

Vodafone blames customers for the weak password and the hack

แฮกเกอร์ที่โจมตีบัญชีของลูกค้า Vodafone ไปนอนในคุกเรียบร้อยแล้ว

จากรายงานข่าวของสาธารณรัฐเช็ก ระบุว่าแฮกเกอร์ 2 รายที่ได้เข้าถึงบัญชีลูกค้า Vodafone และได้ทำการชำระเงินผ่านมือถือ โดยแฮกเกอร์ได้สิทธิ์ในการเข้าถึงบัญชีเพียงใช้การเดารหัสผ่านแบบง่ายๆ ทำให้สามารถเปิดใช้งานซิมการ์ดได้ง่ายๆ และใช้ส่ง SMS ไปยังเว็บไซต์การพนันเพื่อจ่ายตังค์ ส่งผลให้ได้รับความเสียหายโดยรวมประมาณ 30,000 ดอลลาร์

Vodafone เชื่อว่าลูกค้าที่ใช้รหัสผ่านที่คาดเดาง่าย เช่น 1234 หรือ QWERTY ควรได้รับการชดเชยในความเสียหายที่เกิดขึ้น เนื่องจากผู้ที่ตกเป็นเหยื่ออ้างว่าพวกเขาไม่ทราบอะไรเกี่ยวกับรหัสผ่านและบริการออนไลน์ของ Vodafone และพนักงานของ Vodafone จะเป็นคนตั้งรหัสผ่านเริ่มต้นให้ลูกค้าเอง

ในอีกแง่มุมหนึ่งของ Oleg Galushkin ผู้อำนวยการการรักษาความปลอดภัยข้อมูลที่ SEC Consult Services กล่าวว่า "ถ้าผู้ใช้เองไม่ต้องการที่จะรักษาความปลอดภัยของพวกเขาแม้ในระดับพื้นฐานแล้ว พวกเขาก็ต้องยอมรับกับผลที่เกิดขึ้น" แต่ทั้งนี้ก็เป็นความผิดพลาดของบริษัทเองด้วยที่หละหลวมในการป้องกันด้านความปลอดภัย และแฮกเกอร์ทั้ง 2 รายต้องโทษจำคุกเป็นเวลา 2 ปี และ 3 ปี

ที่มา : E Hacking News

British Airways hit with customer data theft

สายการบินบริติชแอร์เวย์ ได้แจ้งตำรวจหลังจากมีการขโมยข้อมูลลูกค้าจากเว็บไซต์และแอปฯ ในมือถือ

สายการบินบริติชแอร์เวย์กล่าวว่าการโจมตีตังกล่าวกระทบกับข้อมูลส่วนบุคคลและการเงินของลูกค้าที่ทำการจองในเว็บไซต์หรือแอปพลิเคชันตั้งแต่เวลา 10.58 น. ตามเวลาท้องถิ่นในวันที่ 21 สิงหาคมถึงเวลา 9.45 น. ในวันที่ 5 กันยายน โดยกระทบบัตรเครดิตประมาณ 380,000 ใบ โดยข้อมูลที่ถูกขโมยไม่รวมข้อมูลรายละเอียดเกี่ยวกับการเดินทางหรือรายละเอียดบนหนังสือเดินทาง ซึ่งสายการบินแก้ไขช่องโหว่ที่ถูกโจมตีแล้ว ทำให้เว็บไซต์กลับมาทำงานได้ตามปกติ และจะสืบสวนกรณีนี้อย่างเร่งด่วน

สายการบินบริติชแอร์เวย์กำลังแจ้งลูกค้าที่ได้รับผลกระทบและแนะนำให้ทุกคนที่อาจได้รับผลกระทบติดต่อธนาคารหรือผู้ให้บริการบัตรเครดิตของตน

ที่มา : ZDNet