การโจมตี BIN คืออะไร สิ่งที่ธุรกิจควรรู้

Connect
Connect

แพลตฟอร์มและมาร์เก็ตเพลสที่ประสบความสำเร็จมากที่สุดในโลก อาทิ Shopify และ DoorDash ต่างก็ใช้ Stripe Connect ในการผสานรวมการชำระเงินเข้ากับผลิตภัณฑ์

ดูข้อมูลเพิ่มเติม 
  1. บทแนะนำ
  2. การโจมตี BIN ทํางานอย่างไร
  3. ธุรกิจใดบ้างที่มีความเสี่ยงต่อการโจมตี BIN มากที่สุด
  4. วิธีป้องกันและลดการโจมตี BIN
  5. แนวทางปฏิบัติที่ดีที่สุดสําหรับปกป้องธุรกิจของคุณจากการโจมตี BIN

หมายเลข BIN หรือหมายเลขประจําตัวธนาคาร คือลําดับเริ่มต้นของตัวเลข 6 ถึง 8 หลักที่ปรากฏบนบัตรเครดิต บัตรเดบิต หรือบัตรชําระเงินอื่นๆ เลขนี้จะระบุผู้ให้บริการบัตรและอำนวยความสะดวกในการทำธุรกรรมทางการเงินทางอิเล็กทรอนิกส์โดยให้แน่ใจว่าค่าใช้จ่ายจะถูกส่งไปยังธนาคารที่ถูกต้องเพื่อการชำระเงิน

นอกจากจะระบุธนาคารผู้ออกบัตรแล้ว BIN ยังสามารถให้ข้อมูลเกี่ยวกับประเภทบัตร (เช่น บัตรเครดิต บัตรเดบิต หรือบัตรของขวัญ) ระดับบัตร (เช่น มาตรฐาน ทอง หรือแพลทินัม) หรือตําแหน่งที่ตั้งทางภูมิศาสตร์ของสถาบันที่ออกบัตรด้วย หมายเลข BIN มีบทบาทสําคัญในด้านความปลอดภัยและการป้องกันการฉ้อโกงสําหรับธุรกรรมทางอิเล็กทรอนิกส์ โดยตรวจสอบความถูกต้องของบัตรที่ใช้ และอนุญาตให้ผู้ประมวลผลการชําระเงินใช้กระบวนการจัดการความเสี่ยงที่เหมาะสม

การโจมตี BIN เป็นรูปแบบหนึ่งของการฉ้อโกงบัตรเครดิต โดยผู้ก่ออาชญากรรมทางไซเบอร์ใช้วิธีการบรูทฟอร์ซเพื่อคาดเดาชุดข้อมูลบัตรเครดิตที่ถูกต้อง ในปี 2022 เพียงปีเดียว ความสูญเสียจากการฉ้อโกงจากบัตรเครดิตคิดเป็น 219 ล้านดอลลาร์ในสหรัฐอเมริกา ระหว่างการโจมตี BIN อาชญากรจะทดสอบชุดหมายเลขบัตรเครดิต วันหมดอายุ และค่าการยืนยันบัตร (CVV) อย่างเป็นระบบ เมื่อพวกเขาพบชุดตัวเลขที่ใช้ได้ ก็จะทดสอบบัตรโดยทำการซื้อในจำนวนเงินเล็กน้อย การโจมตีเหล่านี้ท้าทายกับสถาบันการเงินเนื่องจากนําไปสู่การสูญเสียทางการเงิน ความเสียหายด้านชื่อเสียง และการหยุดชะงักด้านการปฏิบัติงาน

ในบทความนี้เราจะพูดถึงสิ่งที่ธุรกิจต้องรู้เกี่ยวกับการโจมตี BIN รวมถึงวิธีการใช้งานและขั้นตอนในการป้องกัน

บทความนี้ให้ข้อมูลอะไรบ้าง

  • การโจมตี BIN ทํางานอย่างไร
  • ธุรกิจใดบ้างที่มีความเสี่ยงต่อการโจมตี BIN มากที่สุด
  • วิธีป้องกันและบรรเทาการโจมตี BIN
  • แนวทางปฏิบัติที่ดีที่สุดสําหรับปกป้องธุรกิจของคุณจากการโจมตีด้วย BIN

การโจมตี BIN ทํางานอย่างไร

การโจมตี BIN เกี่ยวข้องกับผู้กระทำการฉ้อโกงที่แสวงหาประโยชน์จาก BIN เพื่อสร้างหมายเลขบัตรเครดิตหรือบัตรเดบิตที่ถูกต้องเพื่อวัตถุประสงค์ที่ผิดกฎหมาย BIN คือลำดับตัวเลขเริ่มต้น 6 ถึง 8 ตัวบนบัตรเครดิตหรือบัตรเดบิตที่ระบุธนาคารผู้ออกบัตรและประเภทบัตร ต่อไปนี้คือรายละเอียดเกี่ยวกับวิธีการโจมตีเหล่านี้

  • ข้อมูลประจำตัว BIN: ก่อนอื่นผู้โจมตีจะได้ BIN ของธนาคารหรือผู้ออกบัตรที่ระบุ สามารถทำได้หลายวิธี เช่น การซื้อรายการ BIN จากเว็บมืด การดึงข้อมูลมาจากข้อมูลบัตรที่ขโมยมา หรือใช้ข้อมูลที่เปิดเผยต่อสาธารณะ

  • การสร้างหมายเลขบัตร: ผู้โจมตีสร้างหมายเลขบัตรที่สมบูรณ์ด้วยการเพิ่มตัวเลขที่สร้างแบบสุ่มลงใน BIN และคำนวณตัวเลขตรวจสอบที่เหมาะสม (โดยปกติคือตัวเลขสุดท้าย) โดยใช้ อัลกอริทึม Luhn ซึ่งเป็นสูตรที่ใช้ตรวจสอบความถูกต้องของหมายเลขประจําตัวที่หลากหลาย ผู้โจมตี BIN ที่มีความซับซ้อนมากขึ้นอาจใช้สคริปต์หรือบอตอัตโนมัติเพื่อสร้างและทดสอบหมายเลขบัตรหลายพันรายการ ซึ่งจะช่วยเพิ่มประสิทธิภาพและขอบเขตของการโจมตีได้

  • จํานวนครั้งที่พยายามตรวจสอบ: จากนั้น จะทดสอบหมายเลขบัตรที่สร้างขึ้นบนเว็บไซต์ ซึ่งโดยปกติแล้วจะเป็นธุรกรรมที่มีมาตรการรักษาความปลอดภัยที่ไม่ปลอดภัย หรือกระบวนการยืนยันไม่ได้มีการทําธุรกรรมจริงในทันที (เช่น การเพิ่มบัตรไปยังกระเป๋าเงินดิจิทัล or checking the card’s validity on certain online platforms)

  • การใช้ประโยชน์: เมื่อระบุหมายเลขบัตรที่ถูกต้องแล้ว มิจฉาชีพจะใช้หมายเลขดังกล่าวเพื่อทําการซื้อหรือธุรกรรมที่ไม่ได้รับอนุญาตได้จนกว่าจะบล็อกบัตรหรือเจ้าของบัตรตรวจพบการฉ้อโกงหรือธนาคารที่ออกบัตร มิจฉาชีพอาจใช้รายละเอียดของบัตรเพื่อซื้อสินค้าออนไลน์ สร้างบัตรลอกเลียนแบบ หรือขายข้อมูลบนเว็บไซต์มืด

การโจมตีเหล่านี้อาจก่อให้เกิดความสูญเสียทางการเงินแก่ลูกค้าและธุรกิจ ความเสียหายที่ไว้วางใจในสถาบันการเงิน และเพิ่มค่าใช้จ่ายในการปฏิบัติงานที่เกี่ยวข้องกับการตรวจจับและป้องกันการฉ้อโกง

ธุรกิจใดบ้างที่มีความเสี่ยงต่อการโจมตี BIN มากที่สุด

ธุรกิจที่เสี่ยงต่อการถูกโจมตี BIN มากที่สุดมักจะเป็นธุรกิจที่ดำเนินการธุรกรรมออนไลน์จำนวนมาก และอาจไม่มีกระบวนการตรวจสอบที่เข้มงวด

  • ผู้ค้าปลีกออนไลน์: ธุรกิจอีคอมเมิร์ซที่รับการชําระเงินออนไลน์มักจะตกเป็นเป้าของการโจมตี BIN เนื่องจากมีปริมาณธุรกรรมสูง และมีโอกาสที่จะไม่ต้องเปิดเผยตัวตนในการซื้อสินค้าและบริการออนไลน์

  • ผู้ขายสินค้าดิจิทัล: ธุรกิจที่ขายสินค้าดิจิทัล เช่น ซอฟต์แวร์ เพลง หรือวิดีโอมีความเสี่ยงเนื่องจากผลิตภัณฑ์ดิจิทัลสามารถขอรับได้อย่างรวดเร็วและง่ายดาย ทําให้เป็นเป้าหมายที่น่าสนใจสําหรับนักแสดงที่เป็นการฉ้อโกง

  • ธุรกิจด้านการท่องเที่ยวและการบริการ: สายการบิน โรงแรม และตัวแทนท่องเที่ยวมักไวต่อการโจมตี BIN เนื่องจากมักจะเกี่ยวข้องกับธุรกรรมที่มีมูลค่าสูงและลูกค้าในต่างประเทศ ซึ่งทําให้ตรวจจับกิจกรรมการฉ้อโกงได้ยากขึ้น

  • บริษัทด้านการเล่นเกมและการพนัน: แพลตฟอร์มการเล่นเกมและการพนันออนไลน์เป็นเป้าหมายที่พบบ่อยสําหรับการโจมตี BIN เนื่องจากลักษณะการทําธุรกรรมทันทีและมีมูลค่าสูง รวมถึงโอกาสในการไม่เปิดเผยตัวตน

  • บริการแบบสมัครใช้บริการ: บริษัทที่ให้บริการบริการแบบสมัครใช้บริการ เช่น แพลตฟอร์มสตรีมมิงหรือเว็บไซต์สมาชิก มีความเสี่ยงเนื่องจากมิจฉาชีพสามารถใช้ประโยชน์จากจากโมเดลการเรียกเก็บเงินตามแบบแผนล่วงหน้า เพื่อดำเนินการธุรกรรมฉ้อโกงได้ในช่วงระยะเวลาที่ยาวนาน

  • สถาบันการเงิน: ธนาคารและสถาบันการเงินสามารถตกเป็นเป้าหมายของการโจมตีด้วย BIN เนื่องจากมิจฉาชีพที่มีเจตนาฉ้อโกงและมองหาจุดอ่อนในระบบประมวลผลการชําระเงินและทําธุรกรรมที่ไม่ได้รับอนุญาต

  • ผู้ประมวลผลการชําระเงิน: บริษัทที่จัดการการประมวลผลการชําระเงินสําหรับธุรกิจอื่นๆ ก็มีความเสี่ยงต่อการโจมตี BIN เช่นกัน เนื่องจากการละเมิดระบบของตัวเองอาจส่งผลกระทบเสียต่อธุรกิจและลูกค้าของตน

วิธีป้องกันและลดการโจมตี BIN

  • การวิเคราะห์พฤติกรรมและแมชชีนเลิร์น นิง: นําโมเดลแมชชีนเลิร์นนิงขั้นสูงและการวิเคราะห์พฤติกรรมมาใช้ตรวจจับรูปแบบธุรกรรมที่ผิดปกติ ระบบเหล่านี้สามารถเรียนรู้จากข้อมูลธุรกรรมที่ผ่านมา โดยจดจำรูปแบบที่บ่งชี้ถึงกิจกรรมฉ้อโกง และปรับให้เข้ากับภัยคุกคามใหม่ๆ ในแต่ละช่วงเวลา

  • การแปลงเป็นโทเค็นและการเข้ารหัส: นอกเหนือจากการเข้ารหัสพื้นฐานแล้ว ยังมีการใช้การแปลงเป็นโทเค็นเพื่อแทนที่รายละเอียดของบัตรที่ละเอียดอ่อนด้วยรหัสระบุเฉพาะ (โทเค็น) ที่ไม่มีค่าหากละเมิด ตรวจสอบว่าระบบทั้งหมดได้รับการประมวลผลหรือจัดเก็บข้อมูลบัตรเป็นโทเค็นแล้ว พิจารณาใช้การเข้ารหัสขั้นสูง เช่น การเข้ารหัสแบบโฮโมมอร์ฟิก ซึ่งช่วยให้สามารถคำนวณข้อมูลที่เข้ารหัสได้ ทำให้มีระดับความปลอดภัยเพิ่มขึ้นอีกชั้นหนึ่ง

  • 3D Secure 2: นํา 3D Secure เวอร์ชันล่าสุดมาใช้ ซึ่งจะเพิ่มการตรวจสอบสิทธิ์อีกชั้นหนึ่งสําหรับธุรกรรมออนไลน์ และยังรองรับประสบการณ์ของผู้ใช้ที่ง่ายขึ้น พร้อมทั้งมอบฟังก์ชันการป้องกันการฉ้อโกงที่มีประสิทธิภาพมากขึ้นด้วย

  • ระบบตรวจจับการฉ้อโกงระดับเครือข่าย: ใช้การวิเคราะห์ระดับเครือข่ายขั้นสูงเพื่อตรวจจับและป้องกันการโจมตี BIN ข้อมูลเหล่านี้อาจประกอบด้วยการวิเคราะห์ปริมาณการใช้งานเครือข่ายที่น่าสงสัย รูปแบบการตรวจสอบสัญญาณของการขยายข้อมูล และการใช้ระบบตรวจจับการบุกรุก (IDS) ขั้นสูง

  • ความปลอดภัยของปลายทาง: ต้องแน่ใจว่าจุดสิ้นสุดทั้งหมด โดยเฉพาะอย่างยิ่งจุดที่เกี่ยวข้องกับการประมวลผลธุรกรรม ได้รับการรักษาความปลอดภัยด้วยแพลตฟอร์มการป้องกันจุดสิ้นสุดขั้นสูง (EPP) ซึ่งรวมถึงโปรแกรมป้องกันไวรัสรุ่นถัดไป การตรวจจับและตอบสนองจุดสิ้นสุด (EDR) และโมเดลความปลอดภัย Sero Trust

  • การรักษาความปลอดภัยโปรแกรมประยุกต์ขั้นสูง: ใช้มาตรการรักษาความปลอดภัยที่ครอบคลุมของแอปพลิเคชัน ซึ่งรวมถึงการตรวจสอบรหัสตามปกติ การเข้ารหัสระดับแอปพลิเคชัน และไฟร์วอลล์เว็บแอปพลิเคชัน (WAF) ที่ได้รับการกําหนดค่าเพื่อตรวจจับและบล็อกรูปแบบการโจมตีเฉพาะสําหรับการโจมตี BIN

  • การตรวจสอบแพ็กเก็ตแบบลึก (DPI): ใช้ DPI ที่ขอบเขตเครือข่ายเพื่อตรวจสอบข้อมูลขาเข้าและขาออกที่เลเยอร์แอปพลิเคชัน วิธีนี้สามารถช่วยระบุและบล็อกแพ็คเก็ตที่อาจเป็นอันตรายซึ่งอาจเป็นส่วนหนึ่งของการโจมตี BIN ได้

  • การตรวจสอบสิทธิ์แบบเข้มงวด: ใช้วิธียืนยันตัวตนด้วยไบโอเมตริก เช่น ลายนิ้วมือหรือการจดจําใบหน้าเพื่อการตรวจสอบสิทธิ์ชั้นเพิ่มเติม โดยเฉพาะกับการเปลี่ยนแปลงของวิธีการชําระเงิน สําหรับธุรกรรมที่มีความเสี่ยงสูง ควรใช้การตรวจสอบสิทธิ์ตามความยินยอม ซึ่งผู้ใช้จะต้องอนุมัติธุรกรรมดังกล่าวผ่านช่องทางแยกต่างหากที่ปลอดภัย

  • การให้คะแนนความเสี่ยงโดย AI: พัฒนาหรือผสานการทํางานกับระบบแบบ AI ที่กําหนดคะแนนความเสี่ยงให้กับธุรกรรมแบบเรียลไทม์ โดยอิงตามปัจจัยที่หลากหลาย ซึ่งรวมถึงการทํางานของผู้ใช้ การตรวจสอบเอกลักษณ์ของอุปกรณ์ และบริบทของธุรกรรม ธุรกรรมที่มีคะแนนความเสี่ยงสูงอาจต้องมีการตรวจสอบเพิ่มเติมหรือถูกบล็อกโดยทันที

  • การวิเคราะห์ข้ามช่องทางและตําแหน่งทางภูมิศาสตร์: วิเคราะห์ช่องทางต่างๆ (เช่น ออนไลน์ มือถือ และที่ร้านค้า) เพื่อตรวจจับรูปแบบและการเชื่อมโยงในกิจกรรมที่เป็นการฉ้อโกง มุมมองแบบองค์รวมนี้สามารถเปิดเผยแผนการฉ้อโกงที่ซับซ้อนซึ่งใช้ประโยชน์จากหลายช่องทางได้ วิเคราะห์ข้อมูลตำแหน่งทางภูมิศาสตร์ของการทำธุรกรรมเพื่อตรวจจับความคลาดเคลื่อน เช่น การใช้บัตรในสองสถานที่ที่ห่างไกลกันภายในกรอบเวลาที่ไม่น่าเชื่อ

  • บล็อกเชนเพื่อความปลอดภัยของธุรกรรม: สํารวจการใช้เทคโนโลยีบล็อกเชนเพื่อหาคุณสมบัติความโปร่งใสและภูมิคุ้มกันของบล็อกเชนเพื่อธุรกรรมที่ปลอดภัย สัญญาอัจฉริยะสามารถใช้เพื่อบังคับใช้กฎธุรกรรมโดยอัตโนมัติ ซึ่งช่วยลดโอกาสที่จะเป็นการฉ้อโกงได้

แนวทางปฏิบัติที่ดีที่สุดสําหรับปกป้องธุรกิจของคุณจากการโจมตี BIN

  • แบ่งกลุ่มเครือข่ายของคุณ: แบ่งเครือข่ายออกเป็นส่วนๆ เพื่อจํากัดการแพร่กระจายของการโจมตีที่อาจเกิดขึ้นและอํานวยความสะดวกให้กับการติดตามตรวจสอบที่มากยิ่งขึ้น ติดตามตรวจสอบกลุ่มต่างๆ ที่จัดการกับข้อมูลการชําระเงินที่ละเอียดอ่อนเพื่อตรวจจับและรับมือกับกิจกรรมที่ผิดปกติโดยทันที

  • รับข้อมูลข่าวสารล่าสุดเกี่ยวกับภัยคุกคาม: ใช้ฟีดข้อมูลข่าวกรองด้านภัยคุกคามแบบเรียลไทม์เพื่อให้ทราบข้อมูลล่าสุดเกี่ยวกับกลยุทธ์การโจมตี BIN และตัวบ่งชี้การเจาะระบบ (IOC) ข้อมูลนี้จะช่วยคุณอัปเดตมาตรการป้องกันและรับมือกับภัยคุกคามใหม่ๆ ได้อย่างมีประสิทธิภาพมากขึ้น

  • วางแผนรับมือกับเหตุการณ์ในเชิงรุก: มีแผนรับมือเหตุการณ์ที่มีความซับซ้อนซึ่งออกแบบมาสําหรับการจัดการการโจมตี BIN โดยเฉพาะ การกําจัดและรักษาความเสี่ยง รวมถึงกระบวนการในการตรวจจับการบรรจุ การกําจัดวัคซีน และการกู้คืนข้อมูล รวมถึงกลยุทธ์การสื่อสารสําหรับผู้มีส่วนเกี่ยวข้อง

  • ทําการวิเคราะห์โปรโตคอลการรักษาความปลอดภัยอย่างต่อเนื่อง: ประเมินมาตรการความปลอดภัยของคุณเป็นประจำผ่านการทดสอบการเจาะระบบ การประเมินความเสี่ยง และการตรวจสอบความปลอดภัย เพื่อระบุและแก้ไขจุดอ่อนที่อาจถูกใช้ในการโจมตี BIN

เนื้อหาในบทความนี้มีไว้เพื่อให้ข้อมูลทั่วไปและมีจุดประสงค์เพื่อการศึกษาเท่านั้น ไม่ควรใช้เป็นคําแนะนําทางกฎหมายหรือภาษี Stripe ไม่รับประกันหรือรับประกันความถูกต้อง ความสมบูรณ์ ความไม่เพียงพอ หรือความเป็นปัจจุบันของข้อมูลในบทความ คุณควรขอคําแนะนําจากทนายความที่มีอํานาจหรือนักบัญชีที่ได้รับใบอนุญาตให้ประกอบกิจการในเขตอํานาจศาลเพื่อรับคําแนะนําที่ตรงกับสถานการณ์ของคุณ

หากพร้อมเริ่มใช้งานแล้ว

สร้างบัญชีและเริ่มรับการชำระเงินโดยไม่ต้องทำสัญญาหรือระบุรายละเอียดเกี่ยวกับธนาคาร หรือติดต่อเราเพื่อสร้างแพ็กเกจที่ออกแบบเองสำหรับธุรกิจของคุณ
Connect

Connect

ใช้งานจริงภายในไม่กี่สัปดาห์แทนที่จะต้องเสียเวลาหลายไตรมาส สร้างธุรกิจการชำระเงินที่สร้างผลกำไร และขยายธุรกิจได้อย่างง่ายดาย

Stripe Docs เกี่ยวกับ Connect

ดูวิธีกำหนดเส้นทางการชำระเงินระหว่างหลายฝ่าย