การรวบรวมชื่อบัญชีธนาคารหรือบัตรเครดิต
Information Gathering
อธิบาย (Description)
ข้อมูลหมายเลขบัญชีธนาคาร หรือบัตรเครดิต ถูกแสดงผลบนไฟล์เอกสาร (statement) จากการดาวน์โหลดเป็นไฟล์ excel pdf หรือรูปภาพ ซึ่งสามารถถูกโจรกรรมผ่านช่องโหว่อื่น ๆ เช่นการแอบมอง (Shoulder surfing) หรือถูกจดจำไว้บนเครื่องคอมพิวเตอร์สาธารณะ (caching) เป็นต้น
ปัจจัยที่จะทำให้ประสบความสำเร็จ (Successful factors)
ขึ้นอยู่กับปัจจัยภายนอกระบบ
วิธีแก้ไข (Solution)
- มีข้อความแสดงให้ผู้ใช้ทราบและตระหนักถึงความเสี่ยงในการเปิดเผยหมายเลขบัญชีอย่างชัดเจน
- ระบบจะต้องให้ผู้ใช้ยอมรับถึงความเสี่ยงดังกล่าวก่อนอนุญาตให้ดาวน์โหลดไฟล์ต่าง ๆ ไม่ว่าจะเป็น “Excel” “pdf” หรือรูปภาพ เป็นต้น
- ระบบจะต้องมีฟังก์ชันให้ผู้ใช้สามารถซ่อนหมายเลขบัญชี (Masked) เช่น XXX-XXX-4565
- และโดยค่าติดตั้งเริ่มต้นจะต้องเป็นที่ซ่อนหมายเลขบัญชี