Thursday, March 28

การป้องกันข้อมูลส่วนตัวกับ UNtracked อินเทอร์เน็ตล่องหน

อุปกรณ์ป้องกันข้อมูลและการสอดแนมทางอินเทอร์เน็ต UN-Tracked
จุดกำเนิดของการทำ UN-Tracked ขึ้นก็ตอนที่นายเอ็ดเวิร์ด โจเซฟ สโนว์เดน อดีตนักวิเคราะห์ข่าวกรอง ชาวอเมริกัน ซึ่งได้ปล่อยข่าวรายละเอียดของการสอดแนมข้อมูลจากสำนักงานความมั่นคงแห่งชาติ (NSA) ของสหรัฐ ให้กับหนังสือพิมพ์เดอะการ์เดียนของอังกฤษ ว่าทาง NSA ได้มีการดักฟังรายการทางอินเทอร์เน็ตของผู้นำรวมถึงประชาชนทั่วโลกจากเนื้อหาข้อมูลที่ได้รับจากบริษัทใหญ่ชั้นนำของโลกไม่ว่าเป็น Google , Microsoft , Facebook , Yahoo , Youtube เป็นต้น 

อีกทั้งการรุดหน้าของเทคโนโลยีสื่อสารและการเชื่อมต่อโครงข่ายอินเทอร์เน็ตอาจมีการดักรับข้อมูล (Sniffing) ทั้งในองค์กร ผ่านระบบ LAN และ Wireless LAN หรือ Wi-Fi และนอกองค์กรจากฝั่งผู้ให้บริการ อินเทอร์เน็ต (ISP) โดยอาจใช้เครื่องมือ (Tools) ที่สามารถอ่านวิเคราะห์เนื้อหาของข้อมูล (Payload) จากการรับ-ส่งข้อมูลผ่านช่องทางอินเทอร์เน็ตได้  ดังนั้นจึงได้มีการออกแบบฮาร์ดแวร์ที่สะดวกในการใช้งาน

คุณสมบัติ

1. เป็นอุปกรณ์ที่เข้ารหัสเส้นทางในการติดต่อสื่อสาร (Encryption Routing)
2. ป้องกันการดักฟังผ่านโครงข่ายภายในและอินเทอร์เน็ต (Anti Sniffer)
3. ป้องกันการตรวจตาม่ร่องรอยค่าไอพีแอดเดรสจาก Log file ของระบบ (Don't Tracking)
ด้วยคุณสมบัติทั้ง 3 รวมเรียก "UN Tracked" Defend Privacy Data and against Internet Surveillance

สิ่งที่ได้รับจากการใช้ "UN Tracked"
1. เมื่อใช้อุปกรณ์ UN-Tracked คุณจะปลอดภัยจากการดักข้อมูลไม่ว่าเป็นการดักข้อมูลจากเครือข่ายภายในองค์กร  เครือข่ายสาธารณะแบบไร้สาย  รวมถึงเครือข่ายอินเทอร์เน็ตที่ได้รับการให้ค่าไอพีแอดเดรส (Public IP) จากผู้ให้บริการ (ISP : Internet Services Provider)
2. มีความมั่นใจในการใช้ทุก Application บนสมาร์ทโฟนว่าจะมีการดักอ่านข้อมูลกลางทาง (MITM : Man In The Middle attack) ไม่ว่าเป็นการใช้งาน Browser IE , Chrome , Firefox , โปรแกรม Chat LINE , Whatapps MSN และการติดต่อสื่อสารผ่านเครือข่ายสังคมออนไลน์ ได้แก่  Facebook , Twitter , Instargram , youtube  เป็นต้น
3. Log file ที่ปรากฏในเว็บเซิร์ฟเวอร์ หรือเซิร์ฟเวอร์บริการอื่นๆ ที่เราเข้าไปใช้บริการจะไม่สามารถตรวจหาค่าไอพีแอดเดรสที่แท้จริงของเราได้
4. ป้องกันภัยจากโปรแกรมสคิปเพื่อติดตามตัวตนจากเราจากการเปิดบราวเซอร์ ประเภทพวก Java Script , ajax (เช่นพวก Web Analytic , Web Stats เป็นต้น หรือเป็นการป้องกันประเภท malicious exploit จากฝั่ง Server ที่ต้องการติดตามร่องรอยค่าไอพีแอดเดรสจากเรา โดยที่เราไม่จำเป็นต้องลงโปรแกรมเสริมใดๆ ก็สามารถป้องกันสิ่งเหล่านี้ได้จากการใช้ UN-Tracked

จัดเป็นฮาร์ดแวร์ที่พร้อมใช้งานและสะดวกในการติดตั้งขนาดกะทัดลัดและสามารถรองรับการใช้งานได้หลายๆเครื่อง Client พร้อมกัน

ภาพที่ 1 UN-Tracked Hardware ขนาดเท่าของจริง

ภาพที่ 2 การติดตั้ง UN Tracked บนเครื่อข่าย
การติดตั้ง UN Tracked สามารถติดตั้งได้ทั้งที่บ้านและที่ทำงาน การติดตั้งเหมือนกันคือฮาร์ดแวร์ UN-Tracked จะมีการ์ดแลน 10/100/1000 จำนวน 4 Port   ประกอบด้วย
Port ที่ 1 ETH0  ติดตั้งไปกับ Router  หรือ Switch  เพื่อรับค่า DHCP จาก Gateway ได้ส่วน Port 3 , 4 คือ ETH2, ETH3  สามารถติดตั้งรับ VLAN หากเป็นระบบเครือข่ายขนาดกลางและใหญ่  
ส่วน ETH1 ใช้สำหรับ UN-Tracked Interface  เพื่อใช้อำพรางตัวตนเพื่อป้องกันการดักฟังทุกกรณีและมีการเข้ารหัสบนเส้นทางการติดต่อสื่อสาร


 ภาพที่ 3 คุณสมบัติฮาร์ดแวร์ของ UN-Tracked ด้วยรุ่นที่ทำขึ้นสามารถรองรับการใช้งานพร้อมกันได้ถึง 50 เครื่อง

Thursday, March 14

ความปลอดภัยบนเว็บไซต์อีคอมเมิร์ซที่ควรเอาใจใส่

การถูกเจาะระบบความปลอดภัยของเว็บไซต์อีคอมเมิร์ซได้เพิ่มขึ้นจนกลายเป็นเรื่องที่พบเห็นหรือได้ยินบ่อยครั้งแล้วในสมัยนี้ ผลรายงานความปลอดภัยทางคอมพิวเตอร์ทั่วโลกของSpiderLabsในปี 2012ได้ระบุว่า กว่า 20% ของเหตุภัยที่เกิดขึ้นนั้นมีเว็บไซต์อีคอมเมิร์ซเกี่ยวข้องด้วย โดยมีอัตราส่วนเพิ่มขึ้นจากปีก่อนหน้าถึง 9%ซึ่งเกือบ40% ของเหตุภัยดังกล่าวเกิดขึ้นในทวีป Asia-Pacificโดยเหตุการณ์ต่างๆที่เกิดขึ้นจากทั่วโลกเหล่านี้มีแรงจูงใจเพื่อการขโมยข้อมูลบัตรเครดิตเป็นเสียส่วนใหญ่
เพื่อเป็นการเสริมการป้องกันต่อการโจมตีที่มุ่งเป้าไปยังระบบอีคอมเมิร์ซ, เราจะต้องมีความรู้ความเข้าใจข้อเท็จจริงของความปลอดภัยในระบบอีคอมคอมเมิร์ซให้มากยิ่งขึ้นไปกว่านี้ และจากประสพการณ์ของพวกเราที่ผ่านมานั้น โดยทั่วไปแล้วการรับชำระค่าสินค้าและบริการส่วนมากบนเว็บไซต์อีคอมเมิร์ซจะมีสามวิธีดังนี้
การจัดเก็บข้อมูลและดาวน์โหลด
วิธีการนี้เป็นวิธีการที่มักใช้โดยกลุ่มผู้ประกอบการธุรกิจรายย่อย โดยเฉพาะกลุ่มที่มีการนำระบบร้านค้าออนไลน์เข้ามาเสริมกับร้านค้าจริง ซึ่งร้านเหล่านี้จะมีเครื่องมือรับชำระเงินด้วยบัตรเครดิตแล้ว ดังนั้นเมื่อมีการสั่งซื้อสินค้าผ่านทางเว็บไซต์ ผู้ประกอบการจะทำการดำเนินการใส่ข้อมูลบัตรเครดิตของลูกค้าลงในเครื่องเพื่อชำระเงินทีละรายการด้วยตนเอง
ผลลัพท์จากวิธีการดังกล่าว ส่งผลให้ข้อมูลบัตรเครดิตของลูกค้าถูกจัดเก็บไว้ที่ไหนสักแห่ง โดยมากมักเป็นบนเว็บเซิฟเวอร์
ชำระผ่านอินเทอร์เฟซเกตเวย์ของผู้ให้บริการ
กลุ่มผู้ประกอบการรายที่ใหญ่ขึ้นมามีความเป็นไปได้สูงที่จะใช้วิธีการนี้ เพราะด้วยเหตุผลที่ว่ามันช่วยให้การรับชำระเงินเป็นไปได้ไม่ติดขัด และยังช่วยตรวจสอบสถานะบัตรเครดิต ณ เวลานั้นๆด้วย ซึ่งเมื่อลูกค้าให้ข้อมูลบัตรเครดิตแก่เว็บไซต์ของผู้ประกอบการแล้วในระหว่างขั้นตอนการคิดราคารวมสินค้าทั้งหมด ระบบจะทำการส่งข้อมูลเหล่านั้นไปยังเกตเวย์ของผู้ให้บริการบัตรเครดิตโดยตรงเพื่อตรวจสอบสถานะ ทำให้ข้อมูลบัตรเครดิตของลูกค้าไม่ถูกเก็บลงในระบบคอมพิวเตอร์ของผู้ประกอบการ และช่วยให้ลูกค้าไม่จำเป็นต้องถูกระบบเปลี่ยนหน้าเพจไปยังเว็บไซต์อื่นๆเพื่อชำระเงิน
ชำระผ่านเกตเวย์ของผู้ให้บริการโดยตรง
จุดมุ่งหมายของวิธีการนี้คือ เพื่อยืนยันให้ชัดเจนว่าข้อมูลบัตรเครดิตของลูกค้าจะไม่มีปรากฎในเว็บไซต์ของร้านค้าเลย โดยเมื่อลูกค้าได้เข้าสู่ขั้นตอนการคิดยอดค่าชำระแล้ว ลูกค้าจะถูกนำไปยังระบบของผู้ให้บริการ เพื่อให้ข้อมูลบัตรเครดิตและหักเงินจากยอดชำระของรายการสั่งซื้อ
วิธีการชำระผ่านเกตเวย์โดยตรง และผ่านอินเทอร์เฟซเกตเวย์นั้นมีความคล้ายคลึงกันมาก เว้นแต่ช่องแบบฟอร์มที่ลูกค้าจะต้องทำการกรอกข้อมูลบัตรเครดิตเพื่อชำระเงินนั้นมาจากคนละเว็บไซต์ ข้อมูลเหล่านั้นจะถูกส่งไปยังผู้ให้บริการโดยตรงหากเป็นวิธีการชำระผ่านเกตเวย์โดยตรงในขณะที่การชำระผ่านอินเทอร์เฟซเกตเวย์ ข้อมูลจะถูกส่งไปที่เว็บไซต์ของร้านค้าก่อนที่จะถูกนำไปส่งที่ผู้ให้บริการโดยอัตโนมัติอีกทอดหนึ่ง
ในบางสภาวะนั้นทั้งสามวิธีการดังกล่าว สามารถตกเป็นเป้าจากการโจมตีในรูปแบบเหล่านี้ได้:
  1. ข้อมูลที่ถูกจัดเก็บไว้ –แฮคเกอร์ใช้การค้นหาตำแหน่งของไฟล์ที่มีการบันทึกข้อมูลบัตรเครดิตไว้ และคัดลอกเอาออกมา มักเกิดขึ้นกับผู้ประกอบการที่เลือกใช้วิธีการ “จัดเก็บข้อมูลและดาวน์โหลด” และในบางครั้งเองก็อาจเกิดกับวิธีการ “ชำระผ่านอินเทอร์เฟซเกตเวย์ของผู้ให้บริการ” ได้ด้วยหากผู้ประกอบการเกิดความเผลอเรอ
  2. ช่วงระหว่างการรอส่งข้อมูลให้ผู้บริการ–เนื่องจากวิธีการชำระผ่านอินเทอร์เฟซเกตเวย์นั้นจะไม่มีข้อมูลบัตรเครดิตถูกเก็บไว้ในระบบของร้านค้าเลย ดังนั้นแฮคเกอร์จึงต้องทำการดักจับข้อมูลในช่วงระหว่างที่เว็บไซต์ร้านค้ากำลังเตรียมนำข้อมูลบัตรเครดิตที่ลูกค้ากรอกลงในแบบฟอร์มชำระเงิน ส่งให้กับผู้ให้บริการ การดักจับข้อมูลจะกระทำโดยการบันทึกข้อมูลทุกรายการที่มีการระบุให้ส่งไปที่ผู้ให้บริการลงในไฟล์เพื่อที่จะได้ดาวน์โหลดหรืออีเมล์ออกมาดูได้
  3. เหยื่อล่อ และการสับเปลี่ยน–ในขณะที่การใช้วิธีการชำระผ่านเกตเวย์ของผู้ให้บริการโดยตรงจะช่วยลดความเสี่ยงจากการถูกขโมยข้อมูลลงไปได้มาก แต่ก็ไม่ได้ทำให้ผู้ประกอบการสามารถทำให้เสี่ยงดังกล่าวหมดไปได้อย่างสิ้นเชิง ด้วยการเปลี่ยนแปลงการส่งข้อมูลบัตรเครดิตที่ลูกค้าได้ทำการกรอกลงไป
ตัวอย่างเช่น แฮคเกอร์อาจทำการแฮคเว็บไซต์ร้านค้าให้ทำการแสดงแบบฟอร์มกรอกข้อมูลปลอมแทนที่จะเป็นแบบฟอร์มจากผู้ให้บริการจริงๆ ซึ่งเมื่อมีการกรอกข้อมูลลงไปแล้ว ข้อมูลจะถูกสำเนาออกเป็นสองชุด โดยชุดแรกจะถูกส่งไปที่ผู้ให้บริการจริง ในขณะที่อีกชุดจะส่งไปให้แฮคเกอร์เอง ทำให้ลูกค้าและตัวผู้ประกอบการเองไม่สามารถรู้ตัวได้ว่าถูกขโมยข้อมูลแล้ว
หน้าที่ส่วนหนึ่งของผู้จัดทำบทความนี้คือการให้บริการตอบสนองกับภัยคุกคามที่เกิดขึ้น  ซึ่งต้องมีการสอบถามผู้ประกอบการที่ถูกขโมยข้อมูลบัตรเครดิตไป และมีจำนวนไม่น้อยที่ได้โต้แย้งว่าข้อมูลของพวกเขามีความปลอดภัย ไม่เกิดการรั่วไหลออกไปได้ ด้วยเหตุผลเหล่านี้:
  • ไม่เคยเก็บบันทึกข้อมูลบัตรเครดิตไว้เลย
  • ข้อมูลบัตรเครดิตมีการเข้ารหัสไว้
  • มีการนำเอาระบบ SSLมาใช้ ดังนั้นเว็บไซต์ร้านค้าจึงปลอดภัย
  • ข้อมูลบัตรเครดิตมีความปลอดภัยเพราะได้รับการรับรองมาตรฐาน PCI-DSS แล้ว
  • ร้านค้าเล็กๆไม่น่าจะตกเป็นเป้าของแฮคเกอร์ได้
ไม่เคยเก็บบันทึกข้อมูลบัตรเครดิตไว้เลย
เมื่อผู้ประกอบการยกเหตุผลนี้ขึ้นมา นั่นหมายถึง “เราไม่ได้มีความตั้งใจที่จะจัดเก็บข้อมูลบัตรเครดิตในระยะยาวเลย”เพราะผู้ประกอบการทุกคนต่างก็ทราบอยู่เสมอว่าพวกเขาไม่มีความจำเป็นที่จะต้องเก็บข้อมูลเหล่านั้นไว้เมื่อถึงจุดๆหนึ่งที่ทำรายการเก็บค่าชำระแล้วแต่การทำเช่นนั้นซึ่งเป็นส่วนหนึ่งของวิธีการ “จัดเก็บข้อมูลและดาวน์โหลด” จะต้องมีการเก็บข้อมูลบัตรเครดิตไว้ระยะเวลาหนึ่งก่อนที่ข้อมูลบัตรจะถูกนำไปใช้ชำระเงินทีละรายการ โดยภายหลังจากขั้นตอนนี้แล้วผู้ประกอบการจะทำการลบข้อมูลบัตรเครดิตออกจากระบบของพวกเขา
จากประสพการณ์ที่ทางผู้จัดทำบทความนี้ได้พบมานั้น น้อยครั้งนักที่ข้อมูลดังกล่าวจะถูกลบออกไปได้จนหมดสิ้น เพราะว่าผู้พัฒนาโปรแกรมรังเกียจการสูญหายของข้อมูล ดังนั้นโปรแกรมสำหรับการจัดการร้านค้าส่วนใหญ่จึงถูกปรับแต่งให้ทำการเปลี่ยนสถานะการรายการสั่งซื้อจากแจ้งความประสงค์ในการสั่งซื้อให้กลายเป็นสถานะถูกส่งสินค้าไปแล้ว และซ่อนข้อมูลอื่นๆของรายการสั่งซื้อ รวมไปถึงข้อมูลการชำระเงินของลูกค้าไว้มากกว่าการลบออกไป นอกจากนี้ในบางโปรแกรมยังได้มีค่าการปรับแต่งเริ่มต้นให้ทำการสำรองข้อมูลทั้งหมดไว้ที่ฐานข้อมูลเป็นประจำอีกด้วย
อย่างไรก็ตาม หากพิจารณาถึงประเด็นข้างต้นที่กล่าวมา ช่วงเวลาดังกล่าวหากข้อมูลมีการจัดเก็บไว้ในระบบแม้แต่เพียงวินาทีเดียว ก็เป็นสิ่งเคลือบแคลงใจที่จะเกิดความเป็นไปได้ว่าข้อมูลจะถูกขโมยออกไปได้โดยแฮคเกอร์ ผู้ประกอบการส่วนใหญ่มักมีความเชื่อที่ผิดๆว่า แฮคเกอร์จะต้องทำการเฝ้าติดตามความเคลื่อนไหวของเว็บไซต์ร้านค้าตลอดเวลา และขโมยข้อมูลบัตรเครดิตจากรายการสั่งซื้อที่เพิ่มเข้ามาเก็บไว้ทีละรายการ แต่จากประสพการณ์ของผู้จัดทำบทความได้พบว่าแฮคเกอร์เหล่านี้ใช้ระบบอัตโนมัติเพื่อเพิ่มความสะดวกสบายและลดเวลาในการปฏิบัติการ เช่นการใช้สคริปต์ควบคุมให้คอมพิวเตอร์ของพวกเขาตรวจสอบรายการสั่งซื้อเข้าใหม่จากเว็บไซต์ร้านค้าเป้าหมายได้ทุกๆ 5นาที
นอกจากนี้ยังเคยปรากฏการขโมยข้อมูลผ่านอินเทอร์เฟซของเกตเวย์ผู้ให้บริการอีกด้วย ในกรณีนี้มักเกิดจากข้อมูลในบัตรเครดิตถูกบันทึกไว้ในไฟล์ log โดยอุบัติเหตุ แม้ตัวผู้ประกอบการไม่ได้จงใจให้เกิดเหตุเช่นนั้น เช่น หน้าที่การบันทึกไฟล์ log ที่มาพร้อมกับโปรแกรมจัดการ, จากตัวระบบเอง, หรือการตั้งค่าติดตั้งที่มิได้รับการเปลี่ยนกลับครั้งเมื่อผู้ประกอบการทดสอบการติดตั้งโปรแกรมจัดการ
ข้อมูลบัตรเครดิตมีการเข้ารหัสไว้
หากผู้ประกอบการยกเหตุผลว่าข้อมูลบัตรเครดิตถูกเข้ารหัสไว้ คำถามที่เกิดขึ้นจะตามมานั้นคือ “เยี่ยมไปเลย –แต่พวกคุณทำอย่างไรถึงจะเห็นข้อมูลเหล่านั้นเวลาทำรายการคิดค่าชำระ?” คำตอบที่ได้รับนั้นมักระบุว่า ข้อมูลได้ถูกถอดรหัสเรียบร้อยปรากฏอยู่ที่หน้าจอให้แล้ว เมื่อเข้าไปทำรายการด้วยบัญชีที่ลงทะเบียนไว้ ซึ่งแน่นอนว่ามันควรจะต้องเป็นเช่นนั้น, เพราะผู้ประกอบการยังจำเป็นต้องนำข้อมูลบัตรเครดิตมาทำรายการด้วยตนเอง ดังนั้นโปรแกรมจัดการจึงต้องมีวิธีการบางอย่างเพื่อถอดรหัสไว้ด้วย
ถึงแม้ความเป็นไปได้ที่ข้อมูลบัตรเครดิตถูกเข้ารหัสไว้อย่างรัดกุม และช่วยให้ผู้ประกอบการสามารถเข้าไปดูข้อมูลได้ในขณะที่ป้องกันมิให้แฮคเกอร์เห็นข้อมูลใดๆ (เช่น โปรแกรมจัดการซื้อขายของ LiteCommerceที่มีการเข้ารหัสแบบอสมมาตร ตามมาตรฐาน GPG)มากกว่า การเข้ารหัสด้วยกุญแจเพียงดอกเดียว แต่นั่นหมายถึงกระบวนการเข้ารหัสที่ด้วยกุญแจที่ถูกจัดเก็บไว้ในสถานที่เดียวกันและสามารถถูกเรียกใช้ได้ตลอดเวลาโดยเว็บแอพพลิเคชั่น
การเข้ารหัสประเภทดังกล่าวมักไม่มีผลต่อแฮคเกอร์ที่สามารถแฮคเข้าเว็บไซต์ของร้านค้าได้เรียบร้อยแล้ว
เมื่อแฮคเกอร์พบว่าข้อมูลที่ตนเองต้องการได้ถูกเข้ารหัสไว้ พวกเขาจะมองหาวิธีการถอดรหัสข้อมูลโดยวิเคราะห์จากโค้ดโปรแกรม เมื่อนำโค้ดในการถอดรหัสมาเรียบเรียงเขียนขึ้นใหม่ก็จะสามารถถอดรหัสเพื่อดูข้อมูลที่อยู่ข้างในได้
มีการนำเอาระบบ SSL มาใช้ ดังนั้นเว็บไซต์ร้านค้าจึงปลอดภัย
ใบรับรองSSLเป็นส่วนหนึ่งที่สำคัญของความปลอดภัยบนเว็บไซต์อีคอมเมิร์ซ โดยมีจุดประสงค์เพื่อปกป้องข้อมูลที่ถูกส่งผ่านจากเครื่องคอมพิวเตอร์ของผู้เข้าเยี่ยมชมเว็บไซต์หรือลูกค้าไปถึงเครื่องเซิฟเวอร์ของร้านค้า  โชคไม่ดีนักที่มันไม่ทำให้ข้อมูลมีความปลอดภัยเพิ่มขึ้นเลย เพราะเมื่อข้อมูลได้เดินทางถึงเครื่องเซิฟเวอร์ของร้านค้าแล้ว ใบรับรองSSL จะไม่สามารถป้องกันข้อมูลจากการถูกแฮคเว็บไซต์ร้านค้าโดยตรงได้
ผู้ประกอบการส่วนใหญ่มักมีความเข้าใจผิดว่าใบรับรอง SSLจะสามารถช่วยป้องกันการโจมตีจากแฮคเกอร์ได้ทุกชนิด โดยเฉพาะกลุ่มรายย่อย
ข้อมูลบัตรเครดิตมีความปลอดภัยเพราะได้รับการรับรองมาตรฐาน PCI-DSS แล้ว
ผู้ประกอบการจำนวนไม่น้อยที่มีการจ้างวานให้หน่วยงานที่สามเข้ามาดูแลจัดการตามมาตรฐาน PCI-DSS ซึ่งหลายต่อหลายครั้งผู้ประกอบการมีความเชื่อว่าหากผ่านมาตรฐานแล้ว พวกเขาจะไม่ต้องกังวลเรื่องความปลอดภัยอีก
ซึ่งน่าเสียดายว่าความเชื่อเหล่านี้ไม่เป็นความจริง –ความปลอดภัยบนเว็บไซต์ของร้านค้ายังเป็นสิ่งที่จำเป็นต่อข้อมูลส่วนตัวและบัตรเครดิตของลูกค้า เพราะหากแฮคเกอร์สามารถที่จะเข้าไปขโมยข้อมูลเหล่านั้นออกมาได้ด้วยการแก้ไขการทำงานของเว็บไซต์หากสามารถแฮคเข้าไปควบคุมเครื่องเซิฟเวอร์ของร้านค้าได้สำเร็จ
หากผู้ประกอบการเลือกใช้วิธีการคิดค่าชำระผ่านอินเทอร์เฟซเกตเวย์ แฮคเกอร์จะใช้การอีเมล์ข้อมูลบัตรเครดิตส่งมาให้ ในช่วงขั้นตอนการคิดราคาสินค้าเพื่อชำระเงินและเตรียมส่งให้ผู้บริการบัตรเครดิตตรวจสอบสถานะของบัตร
ส่วนวิธีการชำระผ่านเกตเวย์โดยตรงนั้น แฮคเกอร์สามารถลวงให้ผู้ซื้อสินค้ากรอกข้อมูลบัตรเครดิตที่เว็บไซต์เกตเวย์ปลอมที่ได้สร้างขึ้นมาเตรียมไว้ จากนั้นทำการสำเนาข้อมูลการซื้อขาย แล้วส่งไปให้ที่เกตเวย์ของจริงอีกครั้งหนึ่ง ทำให้ผู้ประกอบการได้รับใบเสร็จจากการชำระเงิน และไม่เป็นที่สงสัยด้วย
ร้านค้าเล็กๆไม่น่าจะตกเป็นเป้าของแฮคเกอร์ได้
นี่อาจเป็นสาเหตุหลักที่ส่งผลให้เกิดแนวโน้มภัยคุกคามต่อเว็บไซต์อีคอมเมิร์ซมากที่สุด ผู้ประกอบการรายย่อยเกือบทุกรายที่ผู้จัดทำบทความได้เคยสอบถามได้เปิดเผยว่าพวกเขามีความเชื่อที่ว่าแฮคเกอร์มักมุ่งเป้าโจมตีไปที่บริษัทที่มีธุรกิจขนาดใหญ่ และถึงกับจินตนาการไปว่าในเวลาดังกล่าวจะต้องมีแฮคเกอร์จำนวนมากกำลังขบคิดหาวิธีโจมตีบริษัทใหญ่ๆเหล่านั้นอยู่
ในความเป็นจริงนั้น แฮคเกอร์เกือบทั้งหมดมักไม่มีความสนใจว่าเป้าหมายของพวกเขาจะมีความใหญ่โตทางด้านธุรกิจเพียงใด ในทางกลับกันพวกเขามุ่งเป้าไปที่การพยายามเจาะระบบรักษาความปลอดภัยที่ใช้โดยผู้ประกอบการธุรกิจ เพราะสามารถพัฒนาเครื่องมือเพื่อใช้ในการแฮคได้ง่าย
นอกจากนี้แล้วพวกเขายังมีทัศนคติในเชิงบวกอีกด้วย หากระบบที่ถูกแฮคจะมีข้อมูลบัตรเครดิตเพียงไม่กี่ใบก็ตาม พวกเขาก็เลือกที่จะลงมือแล้วหาเหยื่อรายถัดไป และเมื่อรวมกับการนำระบบขโมยข้อมูลที่ทำงานโดยอัตโนมัติแล้ว ทำให้มีค่าใช้จ่ายน้อย และสามารถกระทำการได้อย่างต่อเนื่อง
เพราะเหตุฉะนี้เอง เป้าหมายการโจมตีจึงตกไปอยู่กับกลุ่มผู้ประกอบการรายย่อยซึ่งมักใช้โปรแกรมหรือซอฟต์แวร์ที่ฟรีหรือถูก แต่ไม่มีประสิทธิภาพในการป้องกันภัยได้ดีพอ
แล้วเช่นนี้บทเรียนอะไรบ้างที่ผู้ประกอบการธุรกิจควรจะต้องทราบไว้ ?แนวทางง่ายๆด้านล่างนี้จะช่วยลดความเสี่ยงจากการถูกโจมตีโดยภัยคุกคามได้ ดังนี้:
1.ไม่เก็บบันทึกข้อมูลบัตรเครดิต, มีเพียงบางสถานการณ์เท่านั้นที่ผู้ประกอบการจำเป็นต้องเก็บข้อมูลบัตรเครดิตไว้กับเครื่องเซิฟเวอร์ตัวเอง ผู้ประกอบการรายย่อยควรเลือกใช้วิธีชำระผ่านเกตเวย์โดยตรงโดยที่ไม่มีข้อมูลถูกจัดเก็บไว้
2.หมั่นอัพเดตโปรแกรมจัดการร้านค้าให้ทันสมัยอยู่เสมอ, หลายครั้งที่แฮคเกอร์ใช้ประโยชน์จากช่องโหว่ของโปรแกรมที่ยังไม่ได้รับการแก้ไขในเวอร์ชั่นเก่าๆเพื่อโจมตีเว็บไซต์ร้านค้า
3.ตรวจสอบเว็บไซต์ของตนเองเป็นประจำ, ตามที่ได้กล่าวมาทั้งหมดในบทความนี้ ผู้ประกอบการจะไม่สามารถรับรองความปลอดภัยของเว็บไซต์ได้ร้อยเปอร์เซ็นต์ ไม่เว้นแม้แต่การใช้วิธีชำระเงินผ่านเกตเวย์โดยตรงก็ตาม ผู้ประกอบการควรพิจารณานำเอาซอฟต์แวร์ที่ตรวจสอบการเปลี่ยนแปลงของข้อมูลของไฟล์หรือค่าติดตั้งในเซิฟเวอร์เข้ามาช่วยป้องกันการแก้ไขข้อมูลโดยมิได้รับอนุญาตจากผู้ไม่ประสงค์ดี และหากเป็นไปได้ ผู้ประกอบการควรทำการทดสอบการชำระเงินทุกวันเพื่อยืนยันว่าข้อมูลมิได้ถูกส่งไปที่อื่นด้วย