บทความวันนี้ของเราในวันนี้ คิดอยู่นานครับว่าจะหาวิธีอธิบายประเด็นการโกงเงินผ่านช่องทางต่างๆ ของธนาคารยังไงดี เพราะคนเข้าใจผิดเยอะมาก แล้วโยนบาป ให้ “พร้อมเพย์” ทั้งที่ไม่เกี่ยวกันเลย!

ทางเราจึงขออนุญาตนำบทความจากเพจ # สรุป https://www.facebook.com/in.one.zaroop/ในสองเรื่องคือ ออมสิน และ พ่อค้าหนุ่มกับกสิกร มาอธิบายความ ด้วย “ภาษาง่ายๆ กันเอง” สไตล์เพจนี้ครับ

รับรองว่า เข้าใจง่ายมากๆ เชิญอ่านครับ

เรื่องที่ 1 : #สรุป แบงก์ออมสิน โดนแฮกเอทีเอ็ม

#สรุป ปฏิบัติการปล้นเงินตู้เอทีเอ็ม ที่แฮกกันจริงอะไรจริง มันทำกันได้จริงเหรอ แล้วเงินในบัญชีเราจะปลอดภัยมั้ย ว่ากันใน #สรุปเดียว

1.คืองี้... เมื่อวานนี้มีข่าวว่าธนาคารออมสินสั่งปิดตู้เอทีเอ็มสามพันกว่าเครื่องทั่วประเทศ เพราะตรวจเจอว่ามีหัวขโมยมาดึงเงินสดๆจากตู้ของธนาคารไป 12 ล้านกว่า จาก 21 ตู้เอทีเอ็ม แถมเงินที่ถูกเอาไป ไม่ได้ดึงจากเงินในบัญชีลูกค้าเหมือนเคสก่อนๆ ด้วย เงินที่โดนไปเป็นเงินของธนาคารเองเลย โอ้ ล้ำมาก นี่มันหนังฮอลลีวู้ดชัดๆ

2.เคสก่อนๆ นี้ที่ไทยเราเจอบ่อยๆ จะเป็นว่า เราไปกดเงินจากตู้แล้วเจอก๊อบปี้ข้อมูลในบัตรเอทีเอ็มไป แล้วคนร้ายก็เอาไปทำบัตรปลอมของเรา แล้วไปกดเงินออกจากบัญชีของเรา อันนั้นใช้วิธีติดตั้งเครื่องอ่านบัตรไว้ที่ตู้เลย หรือที่เรียกกันว่า Skimming แต่วิธีนี้มันได้เงินน้อย ชาวบ้านเดินมากดเอทีเอ็มคงมีไม่กี่คนหรอกที่มีเงินหลักสิบล้าน แถมต้องเดินไล่กดทีละเครื่อง เจอลิมิตห้ามถอนเกินเท่าไหร่ๆเข้าไปอีก ยังงี้เมื่อไหร่จะรวย หลังๆมานี้เลยมีการคิดค้นวิธีใหม่โดยใช้ “มัลแวร์” ขึ้นมาแทน

3.เอาล่ะ ก่อนจะไปดูว่าแฮกด้วยมัลแวร์เป็นยังไง จะขอเล่าก่อนว่าข้างในตู้เอทีเอ็มมันมีอะไรอยู่ คือพวกเครื่องเอทีเอ็มส่วนใหญ่ที่ใช้กันในโลกมันก็รันด้วยเครื่องคอมพิวเตอร์คล้ายๆที่เราใช้ตามบ้านนี่แหละ ใช้วินโดวส์ ใช้ DOS หรือโอเอสของตัวเอง แล้วลงโปรแกรมเฉพาะที่เอาไว้ควบคุมกลไกการจ่ายเงินอีกที เพราะงั้นถ้าเปิดตู้มาดูก็จะเห็นเครื่องคล้ายๆ พีซี มีพอร์ตมาตรฐานต่างๆ อย่างพอร์ต USB, COM หรือแม้แต่ CD-ROM (ซึ่งในการใช้งานจริง ก่อนเอาไปใช้งานเครื่องจะต้องตั้งค่าปิดพอร์ตพวกนี้ตั้งแต่ระดับ BIOS, ล็อกห้ามลงโปรแกรมเพิ่ม, ซิงค์ NTP, ปิด TCP/UDP port ที่ไม่ได้ใช้งาน หรืออื่นๆที่จะทำให้เจาะเครื่องได้ยากขึ้นอีกขั้น เรียกว่าการทำhardening)

4.เจ้าพวกเครื่องที่ไม่ได้ hardening หรือทำมาแบบไม่ครบถ้วนนี่แหละ เป็นขนมกรุบสำหรับพวกแฮกเกอร์เลย เพราะสามารถใช้วิธีฝังโปรแกรมคอมพิวเตอร์แปลกปลอม หรือที่เรียกว่า มัลแวร์ (malware) ลงไปในเครื่องคอมพิวเตอร์ของเอทีเอ็ม แล้วโปรแกรมจะคอยรับคำสั่งคนร้ายให้ดึงเงินออกมาได้ ซึ่งเป็นวิธีที่หลายประเทศก็โดนกันไปในช่วงไม่กี่ปีนี้ ทั้งรัสเซีย เม็กซิโก มาเลเซีย ไต้หวัน และรอบล่าสุดก็ที่ไทยนี่แหละ

5.ส่วนวิธีโหลดมัลแวร์เข้าไปก็มีหลายแบบ แบบต่อตรงๆ ก็ไปหากุญแจไขเปิดหลังตู้ซะ หรือถึกหน่อยก็เจาะฝาตู้เลย แล้วเข้าไปโหลดมัลแวร์เข้าเครื่องพีซีตรงๆ ซึ่งถ้าคนร้ายมีกุญแจดอกมาสเตอร์ที่ไขได้ทุกตู้อยู่แล้วก็สบาย พอเปิดได้แล้วจะโหลดผ่าน USB หรือยัดแผ่นซีดีก็ลุยได้ทุกท่า

6.อย่างเช่นมัลแวร์ที่ชื่อ Backdoor.Ploutus.B ที่มีการตรวจเจอปี 2013 จะใช้วิธีเอามือถือต่อผ่านพอร์ต USB แล้วโหลดมัลแวร์ไปฝังไว้ แล้วส่ง SMS เข้าไปสั่งงานได้เลย จะให้ปล่อยเงินออกออกมาเท่าไหร่ก็สั่งได้สบายละ

7.หรือมัลแวร์อีกตัวที่ชื่อ Tyupkin ที่แล็บของ Kaspersky ตรวจเจอเมื่อปี 2014 นี่ใช้วิธีลงผ่านแผ่นซีดีแล้วสั่งบูตให้โหลดมัลแวร์ไปฝังไว้ก่อน เสร็จแล้วเอทีเอ็มก็ยังทำงานได้ปกติทุกอย่าง แต่พอเวลาคนร้ายเดินมากดรหัสพิเศษที่ตั้งไว้เองบนเครื่องเอทีเอ็มไม่กี่จึ๊ก ก็ดึงเงินออกมาเกลี้ยงตู้ได้เลย นอกจากนี้ ก็ยังมีมัลแวร์ตัวอื่นอีกอย่างBackdoor.Pinpad ก็ให้โหลดผ่านซีดีเหมือนกัน

8.แล้วยังมีเทคนิคที่ซับซ้อนอื่นๆ ที่ผู้เชี่ยวชาญเคยเจอกันมา ก็อย่างเช่น แฝงติดไปกับช่างตอนเอา USB Drive ไปอัพเดทซอฟต์แวร์หรือไปทำการซ่อมบำรุงที่ตู้ กับอีกวิธีคือไปเจาะระบบ Server ที่ควบคุมระบบ ATM ผ่านทางเนตเวิร์ก ซึ่งปกติระบบนี้จะไม่ได้เชื่อมต่อกับเครือข่ายอื่นโดยตรง แต่ก็ไม่ได้แยกขาดกันซะทีเดียว จะเข้าถึงได้จากเครื่องเฉพาะที่กำหนดเท่านั้น แฮกเกอร์ก็จะใช้วิธีเจาะผ่านเครื่องที่สามารถเข้าถึงเซิร์ฟเวอร์พวกนี้ได้อีกที

9.ส่วนวิธีที่พวกแฮกเกอร์เขียนมัลแวร์พวกนี้ขึ้นมาเนี่ย ก็เหมือนพวกแฮกเกอร์อื่นๆ ที่อาศัยช่องโหว่ของโปรแกรมหรือของโอเอสเจาะเข้าไป ซึ่งถ้าเป็นคอมพ์ตามบ้านหรือเซิร์ฟเวอร์ที่คนใช้กันทั่วไปก็ไม่ยากอะไร เพราะเครื่องไหนก็ไม่ต่างกันมากนัก แต่ในเคสของระบบตู้เอทีเอ็ม มันจะไม่ใช่ Windows ปกติธรรมดา แต่จะมีโปรแกรมเฉพาะที่ออกแบบมาสำหรับเครื่องเอทีเอ็ม คนก็จะชอบคิดไปว่ามันก็ปลอดภัยชัวร์ เพราะเป็นระบบเฉพาะ ไม่ค่อยมีคนรู้ ไม่มีวางขายทั่วไป แฮกเกอร์มันจะรู้ได้ไงเล่าว่าต้องเขียนเจาะช่องโหว่ไหน หรือต้องใช้คำสั่งอะไรยังไง บ้านพวกมันมีเครื่องเอทีเอ็มให้หัดเจาะเล่นเหรอไง

10.แต่จริงๆ แล้วสำหรับแฮกเกอร์ก็ลำบากเพียงแค่ยกมือ เพราะกูเกิ้ลไปก็เจอแล้ว คู่มือการเขียนโปรแกรม (Programmer’s Reference Manual) คู่มือการใช้งาน (Operation Manual) มีของตู้เอทีเอ็มแทบทุกยี่ห้อ ตำแหน่งรูกุญแจตำแหน่งตัวล๊อกอะไรก็มีบอกไว้หมด แถมพวกตู้เอทีเอ็มมือสองก็หาซื้อได้ง่ายๆ จากอาลีบาบาหรือเว็บขายของใต้ดิน ช็อปปิ้งเอามาเจาะเล่นได้เพลินๆ เลย อย่างยี่ห้อ NCR ผู้ผลิตตู้เอทีเอ็มเจ้าใหญ่ของอเมริกา (แต่ส่วนที่ทำระบบเอทีเอ็มอยู่สกอตแลนด์) และขายตู้ให้ธนาคารออมสินที่มีปัญหาอยู่นี่ก็มีคู่มือแปะหราอยู่ในเว็บอีบุ๊คของจีนเลย (ใครสนใจลองหาคำว่า wosa_ncr ที่ baidu ได้นะจ๊ะ)

#สรุป 1 เรายังไม่รู้ชัดๆ ว่าคนร้ายใช้วิธีไหนในการฝังมัลแวร์ รวมถึงไม่รู้ว่าเป็นมัลแวร์ตัวไหน การแฮกตู้เริ่มมาตั้งแต่วันที่ 1 สิงหาคม ตอนนี้ทางออมสินส่งข้อมูลไปให้บริษัท NCR ที่เป็นผู้ผลิตตู้ให้วิเคราะห์ดูแล้ว ซึ่งเราคงได้รู้รายละเอียดในเร็ววัน แต่ไม่ว่าจะเป็นวิธีไหน ธนาคารไหนที่รู้ตัวว่าใช้ยี่ห้อนี้ก็คงระวังตัวอย่างเต็มที่ ใครไปกดเงินแล้วเจอเครื่องมันปิดปรับปรุงก็ทำใจหน่อยนะช่วงนี้ ชีวิตคงอยู่กันยากขึ้น เอ๊ะ...หรือเป็นกุศโลบายให้เราไปก้าวไปสู่สังคมไร้เงินสด #เอ้าสมัครพร้อมเพย์กันเลยพวกเรา

#สรุป 2 งานนี้ออมสินซวยหน่อยที่ตกเป็นเหยื่อแก๊งโจรปล้มเอทีเอ็มข้ามชาติ แต่โชคยังดีโดนไปนิดหน่อยแค่ 12 ล้านกว่า เพราะประเทศอื่นๆ ที่เจอมีหนักกว่านี้เยอะ อย่างไต้หวันโดนไปเมื่อก.ค.ที่ผ่านมาเกือบ 70 ล้านบาท หรือมาเลย์ก็เคยโดนไปเกือบ 30 ล้านบาท แม้แต่ญี่ปุ่นก็เพิ่งโดนไปเมื่อไม่กี่เดือนก่อน เสียหายร่วมพันล้านเยน แต่วิธีการต่างกันนิดหน่อย อันนั้นคนร้ายใช้บัตรเครดิตปลอมที่ได้ข้อมูลจากการแฮกระบบออนไลน์ในแอฟริกา แต่เอามากดเงินที่ญี่ปุ่น ตอนนี้ก็ยังจับคนร้ายไม่ได้

#สรุป 3 เจอเคสนี้เข้าไป คดีโอนเงินพ่อค้าเกือบล้านบาทวันก่อนนี่ดูเด็กๆ ไปเลยจ้ะ เพราะรอบนี้เขาแอดวานซ์จริงอะไรจริง

และทางเพจต้องขอขอบคุณ คุณนฤดมรุ่งศิริวงศ์ Narudom Roongsiriwong Vice President, IT Security ธนาคารเกียรตินาคิน จำกัด (มหาชน) ที่ให้ความกรุณาตรวจทานความถูกต้องของข้อมูลครับ

-------------------------

เรื่องที่ 2 : #สรุป พ่อค้าหนุ่ม กสิกร มือถือทรู 

วิธีหาเงินผ่านเนต ทำที่ไหนก็ได้ ขอแค่มีเนตกับมือถือ ไม่ต้องหาเครือข่าย ไม่ใช่ขายตรง ไม่กี่ชั่วโมงได้เกือบล้าน ทำกันได้ยังไง มาดูกันใน #สรุปเดียว

1.คืองี้... วันก่อนมีข่าวพ่อค้าขายของแต่งรถคนนึงไปร้องเรียนที่ต่างๆ ว่าโดนหัวขโมยไฮเทคโอนเงินในบัญชีผ่านระบบออนไลน์ไปเกือบล้าน เหลือไว้ให้ดูต่างหน้าติดบัญชีแค่58 บาทถ้วน!! พ่อค้าก็รีบไปร้องเรียนหาทางเอาเงินคืน

2.ทีแรกก็ไปร้องเรียนที่สาขาธนาคารเลย แต่ไม่ค่อยคืบหน้า มาตอนหลังธนาคารบอกจะคืนให้ 1 ใน 3 แล้วที่เหลือไปตามเอากับค่ายมือถือและคนร้ายเอง แต่พ่อค้าไม่ยอมแล้วไปร้องเรียนที่ต่างๆ บวกแรงโซเชียลและสื่อกดดันจนสุดท้ายธนาคารก็ยอมชดใช้คืนให้ (เฮ้ ยินดีด้วยครับ)

3.จริงๆ วิธีที่คนร้ายใช้ก็ไม่ได้มีการแฮกหรือเจาะระบบอะไรเลย คือ อาศัยความประมาทของคนล้วนๆ ตอนแรกคนร้ายติดต่อพ่อค้าทางเฟซบุ๊ค ทำทีขอซื้อสินค้า คุยราคากันเรียบร้อยละ ก็บอกว่าจะโอนเงินให้ก่อนส่วนนึง ก็ขอเลขบัญชีกับชื่อบัญชีตามปกติ แล้วทำหน้าใสซื่อ บอกผมเพิ่งเคยครั้งแรกครับพี่ ไม่เคยซื้อของออนไลน์มาก่อน แบบว่าไม่มั่นใจ กลัวโดนหลอก ไรงี้ เลยจะขอสำเนาบัตรประชาชนของพ่อค้ามาดู จะได้รู้ว่าตัวจริงตรงกับบัญชี

4.พ่อค้าก็คิดว่าคงแค่ตรวจสอบเฉยๆ มั้ง ไม่น่ามีไร ก็ส่งสำเนาบัตรไปให้ แต่เบลอเลขบัตรไว้หน่อยกันเหนียว คิดว่าแค่นี้คงปลอดภัยละ มันคงเอาสำเนาบัตรประชาชนเราไปทำไรไม่ได้หรอก หึหึหึ (เช็คพอยท์1: จุดนี้สำคัญ สำเนาบัตรไม่ควรส่งให้คนอื่น เพราะมีข้อมูลส่วนตัวของเราในนั้น)

5.แต่คนร้ายก็แชทมาอีก บอกว่าโอนให้ไม่ได้ครับพี่ พี่ต้องไปเปิดบัญชีออนไลน์ก่อน อ่ะ พ่อค้าใจดีเลยไปเปิดบัญชีออนไลน์ให้มันโอนมา แต่คุณลูกค้าก็เงียบหาย ไม่ติดต่อมาอีก (เช็คพอยท์2: อันนี้ไม่เกี่ยว ต่อให้มีหรือไม่มีบัญชีออนไลน์ก็โอนได้ แค่มีเลขบัญชีก็พอ)

6.ฝ่ายคนร้าย พอได้เลขบัญชีกับสำเนาบัตรจากเหยื่อมาแล้ว ก็เอาสำเนาบัตรไปตัดต่อใหม่ ใส่หน้าตัวเองเข้าไป เสร็จแล้วก็ไปที่สาขาของค่ายมือถือทรูที่บางนา แล้วก็ตีหน้าเศร้าเล่าความเท็จ อ้างว่าทำกระเป๋าตังค์หาย มือถือก็หาย เหลือแต่ตัวและหัวใจกับสำเนาบัตรมายืนยันตัวตน จะขอออกซิมใหม่เบอร์เดิม จนท.สาขาได้ฟังก็สงสารจับใจยิ่งนัก เราจะช่วยอะไรเขาได้บ้าง อ่ะ
ก็ออกซิมให้โดยดูแค่สำเนาบัตร (เช็คพอยท์3: จนท.สาขาเลินเล่อ และค่ายมือถือให้สิทธิ์สาขาออกซิมใหม่ได้ง่ายเกินไปโดย
ไม่ตรวจสอบให้รัดกุม ปกติต้องใช้บัตรจริงนะ)

7.พอได้ซิมใหม่มาละ จังหวะนี้ต้องทำเวลาหน่อยเพราะซิมเก่าจะถูกยกเลิก เดี๋ยวเหยื่อจะรู้ตัว คนร้ายก็รีบโทรไปคอลล์เซ็นเตอร์ของธนาคาร บอกว่าลืมพาสเวิร์ดเข้าระบบออนไลน์ แบงกิ้ง ช่วยรีเซตให้หน่อยสิ จนท.คอลล์เซ็นเตอร์ก็เลยสอบถามข้อมูลส่วนตัว เพื่อยืนยันว่าเป็นเจ้าของบัญชีตัวจริงโทรมา ซึ่งคำถามก็ไม่ได้ซับซ้อนแบบ ถามชื่อเล่นแฟนเก่าคนที่สาม หรือเมื่อวานเกรดเฉลี่ยตอนป.3 ได้เท่าไหร่ แต่เป็นคำถามพื้นๆ อย่าง ชื่อที่อยู่ วันเดือนปีเกิด ที่อยู่ เลขบัตร ซึ่งส่วนใหญ่ก็อยู่บนบัตรนั่นแหละ (แต่บางที่เขาอาจจะถามคำถามอื่นเพิ่ม เช่น เลขบัญชีอื่นที่เปิดกับธนาคาร หรือรายการล่าสุดคืออะไร)

8.พอคนร้ายเคลียร์ปริศนาสายฟ้าแลบจนผ่าน คอลล์เซ็นเตอร์ก็คิดว่าเป็นคงเป็นตัวจริงละ อ่ะ ก็รีเซตรหัสให้ แต่ไม่ได้บอกรหัสกันตรงๆทางโทรศัพท์นะ ตัวระบบจะส่งเลข OTPไปที่มือถือที่ลงทะเบียนกับธนาคารไว้ เรียกว่าระบบตรวจสอบของธนาคารก็โอเคระดับนึง แม้จะยังไม่สมบูรณ์แบบ (เช็คพอยท์4: ตรงนี้ไม่ชัวร์ว่าคนร้ายได้ Username เข้าระบบธนาคารออนไลน์ได้ยังไง อาจจะได้จากตัวพ่อค้า หรือไม่ก็จากคอลล์เซ็นเตอร์ ซึ่งถือว่าเป็นจุดพลาดสำคัญอีกอัน เพราะถึงรีเซตรหัส แต่ถ้าไม่มี Username ก็ล็อกอินเข้าไม่ได้)

9.พอได้พาสเวิร์ดใหม่ที่รีเซตมาแล้ว คนร้ายก็เข้าบัญชีออนไลน์ของพ่อค้าได้เหมือนเป็นเจ้าของบัญชีเอง ก็เริ่มโอนเงินทันที ซึ่งขั้นตอนการโอนคือต้อง “เพิ่มบัญชีปลายทางที่จะโอน” เข้าไปซะก่อน แล้วถึงจะสั่งโอนได้ ซึ่งความจริงแต่ละขั้นตอนของระบบธนาคารกสิกรจะมีการส่งเลข OTP เข้ามือถือเพื่อยืนยันธุรกรรมทุกครั้ง เป็นการป้องกันอีกชั้น แต่คราวนี้ OTP ถูกส่งเข้ามือถือคนร้ายอ่ะดิ เพราะไปหลอกเปิดซิมมาแล้ว งานนี้ก็โอนกันสบายๆ แค่ 3 ครั้งก็แทบหมดบัญชี

10.จากนั้นคนร้ายก็รีบไปถอนเงินจากบัญชีปลายทางที่โอนไปแล้ว ด้วยการกดเอทีเอ็มบ้าง โอนผ่านระบบออนไลน์บ้าง และโอนจากหน้าตู้ด้วย ภายในเวลาไม่กี่ชั่วโมงเงินก็ถูกโอนย้ายไปอีกทอดเรียบร้อย เรียกว่าวางแผนมาอย่างดี (เช็คพอยท์5: บัญชีปลายทางที่ถูกโอนไปอาจจะเป็นของคนร้ายหรือไม่ก็ได้ ต้องรอการสืบสวนต่อไป)

#สรุป 1 ปฏิบัติการนี้คนร้ายอาศัยความประมาทของทั้งตัวพ่อค้าเองที่เปิดเผยข้อมูลส่วนตัว และความเลินเล่อของค่ายมือถือที่ออกซิมใหม่โดยไม่ตรวจสอบให้ดีก่อน และบวกกับช่องโหว่ในการรีเซตรหัสผ่านคอลล์เซ็นเตอร์ของระบบธนาคารออนไลน์ ที่ถามแค่ข้อมูลทั่วไปที่หาได้ง่ายๆ

#สรุป 2 ต่อไปนี้บัตรประชาชนและสำเนาจะมีค่า เพราะมันผูกกับทั้งมือถือและบัญชีธนาคาร ถ้าไม่จำเป็นก็อย่าส่งให้คนอื่น ถ้าจำเป็นต้องใช้ทำธุรกรรมก็ให้ใช้ปากกาดำเขียนจุดประสงค์คร่อมบนสำเนาให้ละเอียด เช่น “ใช้สำหรับยืนยันตัวว่าเป็นเจ้าของร้านเจ๊โดและยืนยันกับบัญชีธนาคารที่มีชื่อเจ้าของบัญชีตรงกันเท่านั้น ไม่อนุญาตให้ทำไปใช้อย่างอื่น” ไม่ใช่เขียนแค่ “สำเนาถูกต้อง”

#สรุป3 นอกจากสำเนาบัตรแล้ว ยังมีอีกหลายอย่างที่ต้องแยกให้ชัดว่าอันไหนใช้ส่วนตัว อันไหนใช้กับธุรกิจ อันไหนใช้ลงทะเบียนระบบธนาคาร เช่น เบอร์มือถือกับอี-เมล์ที่ใช้ติดต่อกับลูกค้า ควรแยกกับตัวที่ใช้ลงทะเบียนบัญชีธนาคาร นอกจากแยกใช้แล้ว ยังต้องเก็บให้มิดชิดด้วยจ้ะ อย่างพวก username password ต่างๆ ไม่ควรเปิดเผยกับคนอื่นเด็ดขาด