Pages

วันพฤหัสบดี, มีนาคม 14

ความปลอดภัยบนเว็บไซต์อีคอมเมิร์ซที่ควรเอาใจใส่

การถูกเจาะระบบความปลอดภัยของเว็บไซต์อีคอมเมิร์ซได้เพิ่มขึ้นจนกลายเป็นเรื่องที่พบเห็นหรือได้ยินบ่อยครั้งแล้วในสมัยนี้ ผลรายงานความปลอดภัยทางคอมพิวเตอร์ทั่วโลกของSpiderLabsในปี 2012ได้ระบุว่า กว่า 20% ของเหตุภัยที่เกิดขึ้นนั้นมีเว็บไซต์อีคอมเมิร์ซเกี่ยวข้องด้วย โดยมีอัตราส่วนเพิ่มขึ้นจากปีก่อนหน้าถึง 9%ซึ่งเกือบ40% ของเหตุภัยดังกล่าวเกิดขึ้นในทวีป Asia-Pacificโดยเหตุการณ์ต่างๆที่เกิดขึ้นจากทั่วโลกเหล่านี้มีแรงจูงใจเพื่อการขโมยข้อมูลบัตรเครดิตเป็นเสียส่วนใหญ่
เพื่อเป็นการเสริมการป้องกันต่อการโจมตีที่มุ่งเป้าไปยังระบบอีคอมเมิร์ซ, เราจะต้องมีความรู้ความเข้าใจข้อเท็จจริงของความปลอดภัยในระบบอีคอมคอมเมิร์ซให้มากยิ่งขึ้นไปกว่านี้ และจากประสพการณ์ของพวกเราที่ผ่านมานั้น โดยทั่วไปแล้วการรับชำระค่าสินค้าและบริการส่วนมากบนเว็บไซต์อีคอมเมิร์ซจะมีสามวิธีดังนี้
การจัดเก็บข้อมูลและดาวน์โหลด
วิธีการนี้เป็นวิธีการที่มักใช้โดยกลุ่มผู้ประกอบการธุรกิจรายย่อย โดยเฉพาะกลุ่มที่มีการนำระบบร้านค้าออนไลน์เข้ามาเสริมกับร้านค้าจริง ซึ่งร้านเหล่านี้จะมีเครื่องมือรับชำระเงินด้วยบัตรเครดิตแล้ว ดังนั้นเมื่อมีการสั่งซื้อสินค้าผ่านทางเว็บไซต์ ผู้ประกอบการจะทำการดำเนินการใส่ข้อมูลบัตรเครดิตของลูกค้าลงในเครื่องเพื่อชำระเงินทีละรายการด้วยตนเอง
ผลลัพท์จากวิธีการดังกล่าว ส่งผลให้ข้อมูลบัตรเครดิตของลูกค้าถูกจัดเก็บไว้ที่ไหนสักแห่ง โดยมากมักเป็นบนเว็บเซิฟเวอร์
ชำระผ่านอินเทอร์เฟซเกตเวย์ของผู้ให้บริการ
กลุ่มผู้ประกอบการรายที่ใหญ่ขึ้นมามีความเป็นไปได้สูงที่จะใช้วิธีการนี้ เพราะด้วยเหตุผลที่ว่ามันช่วยให้การรับชำระเงินเป็นไปได้ไม่ติดขัด และยังช่วยตรวจสอบสถานะบัตรเครดิต ณ เวลานั้นๆด้วย ซึ่งเมื่อลูกค้าให้ข้อมูลบัตรเครดิตแก่เว็บไซต์ของผู้ประกอบการแล้วในระหว่างขั้นตอนการคิดราคารวมสินค้าทั้งหมด ระบบจะทำการส่งข้อมูลเหล่านั้นไปยังเกตเวย์ของผู้ให้บริการบัตรเครดิตโดยตรงเพื่อตรวจสอบสถานะ ทำให้ข้อมูลบัตรเครดิตของลูกค้าไม่ถูกเก็บลงในระบบคอมพิวเตอร์ของผู้ประกอบการ และช่วยให้ลูกค้าไม่จำเป็นต้องถูกระบบเปลี่ยนหน้าเพจไปยังเว็บไซต์อื่นๆเพื่อชำระเงิน
ชำระผ่านเกตเวย์ของผู้ให้บริการโดยตรง
จุดมุ่งหมายของวิธีการนี้คือ เพื่อยืนยันให้ชัดเจนว่าข้อมูลบัตรเครดิตของลูกค้าจะไม่มีปรากฎในเว็บไซต์ของร้านค้าเลย โดยเมื่อลูกค้าได้เข้าสู่ขั้นตอนการคิดยอดค่าชำระแล้ว ลูกค้าจะถูกนำไปยังระบบของผู้ให้บริการ เพื่อให้ข้อมูลบัตรเครดิตและหักเงินจากยอดชำระของรายการสั่งซื้อ
วิธีการชำระผ่านเกตเวย์โดยตรง และผ่านอินเทอร์เฟซเกตเวย์นั้นมีความคล้ายคลึงกันมาก เว้นแต่ช่องแบบฟอร์มที่ลูกค้าจะต้องทำการกรอกข้อมูลบัตรเครดิตเพื่อชำระเงินนั้นมาจากคนละเว็บไซต์ ข้อมูลเหล่านั้นจะถูกส่งไปยังผู้ให้บริการโดยตรงหากเป็นวิธีการชำระผ่านเกตเวย์โดยตรงในขณะที่การชำระผ่านอินเทอร์เฟซเกตเวย์ ข้อมูลจะถูกส่งไปที่เว็บไซต์ของร้านค้าก่อนที่จะถูกนำไปส่งที่ผู้ให้บริการโดยอัตโนมัติอีกทอดหนึ่ง
ในบางสภาวะนั้นทั้งสามวิธีการดังกล่าว สามารถตกเป็นเป้าจากการโจมตีในรูปแบบเหล่านี้ได้:
  1. ข้อมูลที่ถูกจัดเก็บไว้ –แฮคเกอร์ใช้การค้นหาตำแหน่งของไฟล์ที่มีการบันทึกข้อมูลบัตรเครดิตไว้ และคัดลอกเอาออกมา มักเกิดขึ้นกับผู้ประกอบการที่เลือกใช้วิธีการ “จัดเก็บข้อมูลและดาวน์โหลด” และในบางครั้งเองก็อาจเกิดกับวิธีการ “ชำระผ่านอินเทอร์เฟซเกตเวย์ของผู้ให้บริการ” ได้ด้วยหากผู้ประกอบการเกิดความเผลอเรอ
  2. ช่วงระหว่างการรอส่งข้อมูลให้ผู้บริการ–เนื่องจากวิธีการชำระผ่านอินเทอร์เฟซเกตเวย์นั้นจะไม่มีข้อมูลบัตรเครดิตถูกเก็บไว้ในระบบของร้านค้าเลย ดังนั้นแฮคเกอร์จึงต้องทำการดักจับข้อมูลในช่วงระหว่างที่เว็บไซต์ร้านค้ากำลังเตรียมนำข้อมูลบัตรเครดิตที่ลูกค้ากรอกลงในแบบฟอร์มชำระเงิน ส่งให้กับผู้ให้บริการ การดักจับข้อมูลจะกระทำโดยการบันทึกข้อมูลทุกรายการที่มีการระบุให้ส่งไปที่ผู้ให้บริการลงในไฟล์เพื่อที่จะได้ดาวน์โหลดหรืออีเมล์ออกมาดูได้
  3. เหยื่อล่อ และการสับเปลี่ยน–ในขณะที่การใช้วิธีการชำระผ่านเกตเวย์ของผู้ให้บริการโดยตรงจะช่วยลดความเสี่ยงจากการถูกขโมยข้อมูลลงไปได้มาก แต่ก็ไม่ได้ทำให้ผู้ประกอบการสามารถทำให้เสี่ยงดังกล่าวหมดไปได้อย่างสิ้นเชิง ด้วยการเปลี่ยนแปลงการส่งข้อมูลบัตรเครดิตที่ลูกค้าได้ทำการกรอกลงไป
ตัวอย่างเช่น แฮคเกอร์อาจทำการแฮคเว็บไซต์ร้านค้าให้ทำการแสดงแบบฟอร์มกรอกข้อมูลปลอมแทนที่จะเป็นแบบฟอร์มจากผู้ให้บริการจริงๆ ซึ่งเมื่อมีการกรอกข้อมูลลงไปแล้ว ข้อมูลจะถูกสำเนาออกเป็นสองชุด โดยชุดแรกจะถูกส่งไปที่ผู้ให้บริการจริง ในขณะที่อีกชุดจะส่งไปให้แฮคเกอร์เอง ทำให้ลูกค้าและตัวผู้ประกอบการเองไม่สามารถรู้ตัวได้ว่าถูกขโมยข้อมูลแล้ว
หน้าที่ส่วนหนึ่งของผู้จัดทำบทความนี้คือการให้บริการตอบสนองกับภัยคุกคามที่เกิดขึ้น  ซึ่งต้องมีการสอบถามผู้ประกอบการที่ถูกขโมยข้อมูลบัตรเครดิตไป และมีจำนวนไม่น้อยที่ได้โต้แย้งว่าข้อมูลของพวกเขามีความปลอดภัย ไม่เกิดการรั่วไหลออกไปได้ ด้วยเหตุผลเหล่านี้:
  • ไม่เคยเก็บบันทึกข้อมูลบัตรเครดิตไว้เลย
  • ข้อมูลบัตรเครดิตมีการเข้ารหัสไว้
  • มีการนำเอาระบบ SSLมาใช้ ดังนั้นเว็บไซต์ร้านค้าจึงปลอดภัย
  • ข้อมูลบัตรเครดิตมีความปลอดภัยเพราะได้รับการรับรองมาตรฐาน PCI-DSS แล้ว
  • ร้านค้าเล็กๆไม่น่าจะตกเป็นเป้าของแฮคเกอร์ได้
ไม่เคยเก็บบันทึกข้อมูลบัตรเครดิตไว้เลย
เมื่อผู้ประกอบการยกเหตุผลนี้ขึ้นมา นั่นหมายถึง “เราไม่ได้มีความตั้งใจที่จะจัดเก็บข้อมูลบัตรเครดิตในระยะยาวเลย”เพราะผู้ประกอบการทุกคนต่างก็ทราบอยู่เสมอว่าพวกเขาไม่มีความจำเป็นที่จะต้องเก็บข้อมูลเหล่านั้นไว้เมื่อถึงจุดๆหนึ่งที่ทำรายการเก็บค่าชำระแล้วแต่การทำเช่นนั้นซึ่งเป็นส่วนหนึ่งของวิธีการ “จัดเก็บข้อมูลและดาวน์โหลด” จะต้องมีการเก็บข้อมูลบัตรเครดิตไว้ระยะเวลาหนึ่งก่อนที่ข้อมูลบัตรจะถูกนำไปใช้ชำระเงินทีละรายการ โดยภายหลังจากขั้นตอนนี้แล้วผู้ประกอบการจะทำการลบข้อมูลบัตรเครดิตออกจากระบบของพวกเขา
จากประสพการณ์ที่ทางผู้จัดทำบทความนี้ได้พบมานั้น น้อยครั้งนักที่ข้อมูลดังกล่าวจะถูกลบออกไปได้จนหมดสิ้น เพราะว่าผู้พัฒนาโปรแกรมรังเกียจการสูญหายของข้อมูล ดังนั้นโปรแกรมสำหรับการจัดการร้านค้าส่วนใหญ่จึงถูกปรับแต่งให้ทำการเปลี่ยนสถานะการรายการสั่งซื้อจากแจ้งความประสงค์ในการสั่งซื้อให้กลายเป็นสถานะถูกส่งสินค้าไปแล้ว และซ่อนข้อมูลอื่นๆของรายการสั่งซื้อ รวมไปถึงข้อมูลการชำระเงินของลูกค้าไว้มากกว่าการลบออกไป นอกจากนี้ในบางโปรแกรมยังได้มีค่าการปรับแต่งเริ่มต้นให้ทำการสำรองข้อมูลทั้งหมดไว้ที่ฐานข้อมูลเป็นประจำอีกด้วย
อย่างไรก็ตาม หากพิจารณาถึงประเด็นข้างต้นที่กล่าวมา ช่วงเวลาดังกล่าวหากข้อมูลมีการจัดเก็บไว้ในระบบแม้แต่เพียงวินาทีเดียว ก็เป็นสิ่งเคลือบแคลงใจที่จะเกิดความเป็นไปได้ว่าข้อมูลจะถูกขโมยออกไปได้โดยแฮคเกอร์ ผู้ประกอบการส่วนใหญ่มักมีความเชื่อที่ผิดๆว่า แฮคเกอร์จะต้องทำการเฝ้าติดตามความเคลื่อนไหวของเว็บไซต์ร้านค้าตลอดเวลา และขโมยข้อมูลบัตรเครดิตจากรายการสั่งซื้อที่เพิ่มเข้ามาเก็บไว้ทีละรายการ แต่จากประสพการณ์ของผู้จัดทำบทความได้พบว่าแฮคเกอร์เหล่านี้ใช้ระบบอัตโนมัติเพื่อเพิ่มความสะดวกสบายและลดเวลาในการปฏิบัติการ เช่นการใช้สคริปต์ควบคุมให้คอมพิวเตอร์ของพวกเขาตรวจสอบรายการสั่งซื้อเข้าใหม่จากเว็บไซต์ร้านค้าเป้าหมายได้ทุกๆ 5นาที
นอกจากนี้ยังเคยปรากฏการขโมยข้อมูลผ่านอินเทอร์เฟซของเกตเวย์ผู้ให้บริการอีกด้วย ในกรณีนี้มักเกิดจากข้อมูลในบัตรเครดิตถูกบันทึกไว้ในไฟล์ log โดยอุบัติเหตุ แม้ตัวผู้ประกอบการไม่ได้จงใจให้เกิดเหตุเช่นนั้น เช่น หน้าที่การบันทึกไฟล์ log ที่มาพร้อมกับโปรแกรมจัดการ, จากตัวระบบเอง, หรือการตั้งค่าติดตั้งที่มิได้รับการเปลี่ยนกลับครั้งเมื่อผู้ประกอบการทดสอบการติดตั้งโปรแกรมจัดการ
ข้อมูลบัตรเครดิตมีการเข้ารหัสไว้
หากผู้ประกอบการยกเหตุผลว่าข้อมูลบัตรเครดิตถูกเข้ารหัสไว้ คำถามที่เกิดขึ้นจะตามมานั้นคือ “เยี่ยมไปเลย –แต่พวกคุณทำอย่างไรถึงจะเห็นข้อมูลเหล่านั้นเวลาทำรายการคิดค่าชำระ?” คำตอบที่ได้รับนั้นมักระบุว่า ข้อมูลได้ถูกถอดรหัสเรียบร้อยปรากฏอยู่ที่หน้าจอให้แล้ว เมื่อเข้าไปทำรายการด้วยบัญชีที่ลงทะเบียนไว้ ซึ่งแน่นอนว่ามันควรจะต้องเป็นเช่นนั้น, เพราะผู้ประกอบการยังจำเป็นต้องนำข้อมูลบัตรเครดิตมาทำรายการด้วยตนเอง ดังนั้นโปรแกรมจัดการจึงต้องมีวิธีการบางอย่างเพื่อถอดรหัสไว้ด้วย
ถึงแม้ความเป็นไปได้ที่ข้อมูลบัตรเครดิตถูกเข้ารหัสไว้อย่างรัดกุม และช่วยให้ผู้ประกอบการสามารถเข้าไปดูข้อมูลได้ในขณะที่ป้องกันมิให้แฮคเกอร์เห็นข้อมูลใดๆ (เช่น โปรแกรมจัดการซื้อขายของ LiteCommerceที่มีการเข้ารหัสแบบอสมมาตร ตามมาตรฐาน GPG)มากกว่า การเข้ารหัสด้วยกุญแจเพียงดอกเดียว แต่นั่นหมายถึงกระบวนการเข้ารหัสที่ด้วยกุญแจที่ถูกจัดเก็บไว้ในสถานที่เดียวกันและสามารถถูกเรียกใช้ได้ตลอดเวลาโดยเว็บแอพพลิเคชั่น
การเข้ารหัสประเภทดังกล่าวมักไม่มีผลต่อแฮคเกอร์ที่สามารถแฮคเข้าเว็บไซต์ของร้านค้าได้เรียบร้อยแล้ว
เมื่อแฮคเกอร์พบว่าข้อมูลที่ตนเองต้องการได้ถูกเข้ารหัสไว้ พวกเขาจะมองหาวิธีการถอดรหัสข้อมูลโดยวิเคราะห์จากโค้ดโปรแกรม เมื่อนำโค้ดในการถอดรหัสมาเรียบเรียงเขียนขึ้นใหม่ก็จะสามารถถอดรหัสเพื่อดูข้อมูลที่อยู่ข้างในได้
มีการนำเอาระบบ SSL มาใช้ ดังนั้นเว็บไซต์ร้านค้าจึงปลอดภัย
ใบรับรองSSLเป็นส่วนหนึ่งที่สำคัญของความปลอดภัยบนเว็บไซต์อีคอมเมิร์ซ โดยมีจุดประสงค์เพื่อปกป้องข้อมูลที่ถูกส่งผ่านจากเครื่องคอมพิวเตอร์ของผู้เข้าเยี่ยมชมเว็บไซต์หรือลูกค้าไปถึงเครื่องเซิฟเวอร์ของร้านค้า  โชคไม่ดีนักที่มันไม่ทำให้ข้อมูลมีความปลอดภัยเพิ่มขึ้นเลย เพราะเมื่อข้อมูลได้เดินทางถึงเครื่องเซิฟเวอร์ของร้านค้าแล้ว ใบรับรองSSL จะไม่สามารถป้องกันข้อมูลจากการถูกแฮคเว็บไซต์ร้านค้าโดยตรงได้
ผู้ประกอบการส่วนใหญ่มักมีความเข้าใจผิดว่าใบรับรอง SSLจะสามารถช่วยป้องกันการโจมตีจากแฮคเกอร์ได้ทุกชนิด โดยเฉพาะกลุ่มรายย่อย
ข้อมูลบัตรเครดิตมีความปลอดภัยเพราะได้รับการรับรองมาตรฐาน PCI-DSS แล้ว
ผู้ประกอบการจำนวนไม่น้อยที่มีการจ้างวานให้หน่วยงานที่สามเข้ามาดูแลจัดการตามมาตรฐาน PCI-DSS ซึ่งหลายต่อหลายครั้งผู้ประกอบการมีความเชื่อว่าหากผ่านมาตรฐานแล้ว พวกเขาจะไม่ต้องกังวลเรื่องความปลอดภัยอีก
ซึ่งน่าเสียดายว่าความเชื่อเหล่านี้ไม่เป็นความจริง –ความปลอดภัยบนเว็บไซต์ของร้านค้ายังเป็นสิ่งที่จำเป็นต่อข้อมูลส่วนตัวและบัตรเครดิตของลูกค้า เพราะหากแฮคเกอร์สามารถที่จะเข้าไปขโมยข้อมูลเหล่านั้นออกมาได้ด้วยการแก้ไขการทำงานของเว็บไซต์หากสามารถแฮคเข้าไปควบคุมเครื่องเซิฟเวอร์ของร้านค้าได้สำเร็จ
หากผู้ประกอบการเลือกใช้วิธีการคิดค่าชำระผ่านอินเทอร์เฟซเกตเวย์ แฮคเกอร์จะใช้การอีเมล์ข้อมูลบัตรเครดิตส่งมาให้ ในช่วงขั้นตอนการคิดราคาสินค้าเพื่อชำระเงินและเตรียมส่งให้ผู้บริการบัตรเครดิตตรวจสอบสถานะของบัตร
ส่วนวิธีการชำระผ่านเกตเวย์โดยตรงนั้น แฮคเกอร์สามารถลวงให้ผู้ซื้อสินค้ากรอกข้อมูลบัตรเครดิตที่เว็บไซต์เกตเวย์ปลอมที่ได้สร้างขึ้นมาเตรียมไว้ จากนั้นทำการสำเนาข้อมูลการซื้อขาย แล้วส่งไปให้ที่เกตเวย์ของจริงอีกครั้งหนึ่ง ทำให้ผู้ประกอบการได้รับใบเสร็จจากการชำระเงิน และไม่เป็นที่สงสัยด้วย
ร้านค้าเล็กๆไม่น่าจะตกเป็นเป้าของแฮคเกอร์ได้
นี่อาจเป็นสาเหตุหลักที่ส่งผลให้เกิดแนวโน้มภัยคุกคามต่อเว็บไซต์อีคอมเมิร์ซมากที่สุด ผู้ประกอบการรายย่อยเกือบทุกรายที่ผู้จัดทำบทความได้เคยสอบถามได้เปิดเผยว่าพวกเขามีความเชื่อที่ว่าแฮคเกอร์มักมุ่งเป้าโจมตีไปที่บริษัทที่มีธุรกิจขนาดใหญ่ และถึงกับจินตนาการไปว่าในเวลาดังกล่าวจะต้องมีแฮคเกอร์จำนวนมากกำลังขบคิดหาวิธีโจมตีบริษัทใหญ่ๆเหล่านั้นอยู่
ในความเป็นจริงนั้น แฮคเกอร์เกือบทั้งหมดมักไม่มีความสนใจว่าเป้าหมายของพวกเขาจะมีความใหญ่โตทางด้านธุรกิจเพียงใด ในทางกลับกันพวกเขามุ่งเป้าไปที่การพยายามเจาะระบบรักษาความปลอดภัยที่ใช้โดยผู้ประกอบการธุรกิจ เพราะสามารถพัฒนาเครื่องมือเพื่อใช้ในการแฮคได้ง่าย
นอกจากนี้แล้วพวกเขายังมีทัศนคติในเชิงบวกอีกด้วย หากระบบที่ถูกแฮคจะมีข้อมูลบัตรเครดิตเพียงไม่กี่ใบก็ตาม พวกเขาก็เลือกที่จะลงมือแล้วหาเหยื่อรายถัดไป และเมื่อรวมกับการนำระบบขโมยข้อมูลที่ทำงานโดยอัตโนมัติแล้ว ทำให้มีค่าใช้จ่ายน้อย และสามารถกระทำการได้อย่างต่อเนื่อง
เพราะเหตุฉะนี้เอง เป้าหมายการโจมตีจึงตกไปอยู่กับกลุ่มผู้ประกอบการรายย่อยซึ่งมักใช้โปรแกรมหรือซอฟต์แวร์ที่ฟรีหรือถูก แต่ไม่มีประสิทธิภาพในการป้องกันภัยได้ดีพอ
แล้วเช่นนี้บทเรียนอะไรบ้างที่ผู้ประกอบการธุรกิจควรจะต้องทราบไว้ ?แนวทางง่ายๆด้านล่างนี้จะช่วยลดความเสี่ยงจากการถูกโจมตีโดยภัยคุกคามได้ ดังนี้:
1.ไม่เก็บบันทึกข้อมูลบัตรเครดิต, มีเพียงบางสถานการณ์เท่านั้นที่ผู้ประกอบการจำเป็นต้องเก็บข้อมูลบัตรเครดิตไว้กับเครื่องเซิฟเวอร์ตัวเอง ผู้ประกอบการรายย่อยควรเลือกใช้วิธีชำระผ่านเกตเวย์โดยตรงโดยที่ไม่มีข้อมูลถูกจัดเก็บไว้
2.หมั่นอัพเดตโปรแกรมจัดการร้านค้าให้ทันสมัยอยู่เสมอ, หลายครั้งที่แฮคเกอร์ใช้ประโยชน์จากช่องโหว่ของโปรแกรมที่ยังไม่ได้รับการแก้ไขในเวอร์ชั่นเก่าๆเพื่อโจมตีเว็บไซต์ร้านค้า
3.ตรวจสอบเว็บไซต์ของตนเองเป็นประจำ, ตามที่ได้กล่าวมาทั้งหมดในบทความนี้ ผู้ประกอบการจะไม่สามารถรับรองความปลอดภัยของเว็บไซต์ได้ร้อยเปอร์เซ็นต์ ไม่เว้นแม้แต่การใช้วิธีชำระเงินผ่านเกตเวย์โดยตรงก็ตาม ผู้ประกอบการควรพิจารณานำเอาซอฟต์แวร์ที่ตรวจสอบการเปลี่ยนแปลงของข้อมูลของไฟล์หรือค่าติดตั้งในเซิฟเวอร์เข้ามาช่วยป้องกันการแก้ไขข้อมูลโดยมิได้รับอนุญาตจากผู้ไม่ประสงค์ดี และหากเป็นไปได้ ผู้ประกอบการควรทำการทดสอบการชำระเงินทุกวันเพื่อยืนยันว่าข้อมูลมิได้ถูกส่งไปที่อื่นด้วย

ไม่มีความคิดเห็น: