แบงก์สะท้าน...แฮกเกอร์ปล้นเงินออนไลน์

รณธรรม ธาราพันธุ์ · **โพสต์แล้ว:** จันทร์ 20 ก.ย. 2010 9:35 pm

กลุ่มมิจฉาชีพชาวต่างชาติซึ่งใช้ซอฟต์แวร์ไฮเทคอย่าง “โทรจัน” เป็นเครื่องมือหากินออกอาละวาดปล้นเงินออนไลน์ในสหรัฐ ยุโรป และญี่ปุ่น

กลุ่มมิจฉาชีพชาวต่างชาติซึ่งใช้ซอฟต์แวร์ไฮเทคอย่าง “โทรจัน” เป็นเครื่องมือหากินออกอาละวาดปล้นเงินออนไลน์ในสหรัฐ ยุโรป และญี่ปุ่น ได้เหยียบเท้าย้ายฐานการทำงานมาประเทศไทยแล้ว นับเป็นภัยร้ายที่น่าสะพรึงกลัวยิ่ง เฉพาะที่สหรัฐ โทรจันสร้างความเสียหายนับล้านเหรียญสหรัฐ แต่เมื่อคนที่นั่นตื่นตัวกันมากขึ้น แฮกเกอร์จึงต้องย้ายแหล่งหากินมายังกลุ่มประเทศใหม่ที่ยังไม่ตื่นตัว เพราะไม่เคยลิ้มรสชาติความเสียหาย

ลูกค้าอินเทอร์เน็ตแบงกิงธนาคารกรุงเทพ โดนแฮกเกอร์ดูดเงินออกจากบัญชีเสียหาย 7 แสนบาท กลายเป็นข่าวหน้า 1 สั่นคลอนความเชื่อมั่นของผู้ใช้บริการอินเทอร์เน็ตแบงกิงชาวไทย ยุทธวิธีที่แฮกเกอร์ใช้นั้นแนบเนียน โดยเหยื่อไม่เอะใจแม้แต่น้อย แม้ผู้เสียหายยืนยันเสียงแข็งว่าได้ระมัดระวังในการใช้บริการเป็นปกติ เพราะมีความรู้พอสมควร แต่ก็ไม่วายพ่ายแพ้ต่อกลยุทธ์อันแนบเนียนของมิจฉาชีพ ซึ่งตำรวจได้เปิดเผยตัวเลขความเสียหายจากการฉกเงินออนไลน์ในประเทศไทยตั้งแต่ต้นปีเป็นต้นมา ประมาณ 100 ล้านบาท

เกิดคำถามว่า อินเทอร์เน็ตแบงกิงปลอดภัยสมคำโฆษณาหรือไม่!!!

ล่าสุด ธนาคารแห่งประเทศไทย (ธปท.) ต้องออกมาขอความร่วมมือให้ธนาคารพาณิชย์ ควานหาช่องโหว่ของบริการอินเทอร์เน็ตแบงกิง แล้วรายงานเพื่อหาทางป้องกันร่วมกัน รวมทั้งเพิ่มความเข้มข้นของมาตรการรักษาความปลอดภัยของผู้ใช้อินเทอร์เน็ต

ต่อมาธนาคารกรุงเทพก็ได้เพิ่มมาตรการรักษาความปลอดภัยอีกขั้น โดยข้อความสั้น (เอสเอ็มเอส) ที่ธนาคารส่งเข้าโทรศัพท์มือถือเจ้าของบัญชี เพื่อแจ้งรหัสผ่านที่ใช้ครั้งเดียวทิ้ง (OTP) ในการยืนยันบัญชีผู้รับเงินปลายทางนั้น ธนาคารได้เพิ่มการแจ้งชื่อบัญชีผู้รับโอนด้วย จากเดิมที่แจ้งเฉพาะเลขที่บัญชี ซึ่งถ้าเจ้าของบัญชีไม่สังเกต จะเป็นช่องโหว่ที่เปิดโอกาสรับคนร้ายเข้ามาได้

ด้านธนาคารกสิกรไทยได้ยกเลิกระบบการโอนเงินให้บุคคลที่ 3 ได้ทันทีผ่านอินเทอร์เน็ตแบงกิง เนื่องจากลูกค้าเกิดความไม่มั่นใจ หลังเกิดคดีฉกเงินออนไลน์ การโอนเงินให้บุคคลที่สาม จึงเหลือเพียงรูปแบบการโอนเงินที่ต้องยืนยันรหัสผ่านที่ส่งมาจากข้อความสั้นทางโทรศัพท์มือถือเท่านั้น หลังจากธนาคารเคยเปิดให้ลูกค้าโอนโดยไม่ต้องใช้รหัสผ่านที่ธนาคารส่งให้ เพราะต้องการเอาใจลูกค้า

ยุทธวิธีของแฮกเกอร์จ้องเล่นงานลูกค้า เพราะง่ายกว่าการเจาะระบบของสถาบันการเงิน ที่ทั้งยากกว่าและเสี่ยงกว่า พร้อมกับจ้องเล่นงานจุดที่นำเงินออกได้ ซึ่งก็คือการโอนเงินให้บุคคลที่สาม

การฉกเงิน

คนร้ายจะเริ่มจากว่าจ้างคนไปเปิดบัญชีเงินฝากพร้อมทำบัตรเอทีเอ็ม หรือในวงการรู้จักกันในนาม “บัญชีม้า” โดยให้ค่าจ้าง 5001,000 บาท ช่วงเวลาเดียวกัน คนร้ายฝังซอฟต์แวร์สอดแนม “โทรจัน” ลงเว็บไซต์ตามหน้าที่ให้ลงโฆษณา เช่น กูเกิล โดยเนื้อหาจูงใจให้คนคลิก เมื่อเหยื่อหลงคลิกเข้าไปโทรจันจะฝังตัวติดเครื่องคอมพิวเตอร์ พร้อมกับรายงานไปยังแฮกเกอร์ว่าได้เข้าไปติดตัวเครื่องเรียบร้อยแล้ว

ความชาญฉลาดอยู่ที่ซอฟต์แวร์ชนิดนี้ รู้จักชื่อเว็บไซต์ (URL) ของสถาบันการเงินเป็นอย่างดี ระหว่างนี้ฝังตัวรอเวลาไปเรื่อยๆ รอจนเมื่อไหร่เหยื่อจะเข้าใช้บริการธุรกรรมการเงินออนไลน์ แล้วจึงดักข้อมูล รหัสผ่านบัญชีอินเทอร์เน็ตแบงกิงที่เหยื่อกรอกเข้าเว็บไซต์ นำมาเก็บไว้ รอจนกว่าจะถึงปราการด่านสุดท้าย

จุดที่แฮกเกอร์จะเปิดฉากฉกเงิน คือ จุดที่นำเงินออกมาได้ นั่นคือ เมื่อใดก็ตามที่เหยื่อกำลังจะโอนเงินไปให้บุคคลที่สาม เช่น โอนเงินให้ญาติเหยื่อต้องป้อนเลขที่บัญชีของญาติ แล้วธนาคารจะส่งรหัสผ่านใช้ครั้งเดียวแล้วทิ้ง (OTP) เพื่อให้ลูกค้าป้อนรหัสผ่านยืนยันบัญชีถูกต้อง ซึ่งจุดนี้ที่ซอฟต์แวร์จะรายงานไปยังแฮกเกอร์ เพื่อให้แฮกเกอร์ดักข้อมูลเลขที่บัญชีของญาติแล้วสลับเลขที่บัญชีม้าส่งไปขอ OTP จากธนาคารแทน ดังนั้น รหัสผ่านยืนยันบัญชีที่ธนาคารส่งมาจึงเป็นของบัญชีม้า แทนที่จะเป็นบัญชีญาติ หากเหยื่อไม่ได้สังเกตเลขที่บัญชีที่ธนาคารส่งมายืนยันให้ดี ก่อนป้อน OTP ก็จะหลงยอมรับเลขที่บัญชีม้าเข้ามาในรายการของตัวเองทันที

แต่ถ้าสังเกตเลขที่บัญชีก่อนป้อน OTP จะเห็นว่าไม่ตรงกัน ซึ่งสามารถป้องกันคนร้ายเข้ามาโอนเงินออกจากบัญชีได้

อย่างไรก็ดี กับคดีที่เกิดขึ้น เหยื่อไม่ได้สังเกตว่าเลขที่บัญชีที่ขอไป กับเลขที่บัญชีที่ได้รับ OTP มาไม่ตรงกัน บัญชีม้าจึงเข้ามาในหน้ารายการส่วนตัว หลังจากนั้น คนร้ายซึ่งได้ชื่อ รหัสผ่านส่วนตัวไปก่อนหน้านี้ และมีเลขที่บัญชีอยู่ในรายการโอนเงิน จะเข้ามาโอนเงินออกไปสู่บัญชีม้าที่เปิดรออยู่ก่อนแล้ว โดยที่เหยื่อไม่รู้ตัวแม้แต่น้อย มารู้ตัวอีกทีเมื่อตรวจสอบยอดเงินพบว่าเงินหายไปแล้ว

คดีฉกเงินที่เกิดขึ้นนี้ ใครจะเป็นผู้รับผิดชอบต่อความเสียหาย ธนาคาร หรือ ตัวลูกค้าเอง เพราะข้อเท็จจริงคือ แฮกเกอร์เจาะไปที่ลูกค้า ไม่ได้เจาะระบบธนาคาร ทว่า จะโทษว่าเป็นความผิดของลูกค้าก็พูดได้ไม่เต็มปาก เพราะลูกค้าคงไม่ได้ตระหนัก และนึกไม่ถึงว่าข้อความยืนยันรหัสผ่านที่ได้รับจากธนาคารนั้น จะโดนใครก็ไม่รู้มาสลับข้อมูลระหว่างทางที่ส่งหาธนาคาร คำถามจึงเด้งกลับไปที่ธนาคารอีกครั้ง ว่าเพิกเฉยเกินไปหรือไม่ต่อการออกมากำชับให้ลูกค้าระวังการโจรกรรมรูปแบบใหม่ๆ

เพราะหลายครั้งที่ลูกค้าเจอลูกเล่นใหม่ๆ ของแฮกเกอร์ แล้วโทรศัพท์เข้ามาแจ้งธนาคาร แต่กลับไม่ได้ออกมาเตือนอย่างทันท่วงที เพราะเกรงจะทำให้ลูกค้าตื่นตระหนก เสียขวัญ ไม่กล้าเข้ามาใช้บริการอินเทอร์เน็ตแบงกิง เพราะธนาคารออนไลน์ ซึ่งเป็นบริการที่ธนาคารพยายามชักชวนให้ลูกค้ามาสมัครใช้ โดยอัดโปรโมชันของแจก ของแถม

ถ้าลูกค้าเข้ามาใช้บริการกันมากๆ จะเป็นผลดีกับธนาคารในระยะยาว เพราะต้นทุนการทำธุรกรรมการเงินออนไลน์ต่อรายการถูกกว่าการที่ลูกค้าเข้ามาทำธุรกรรมการเงินที่สาขา การที่ธนาคารไม่เตือน จึงมีลูกค้าบางคนที่ไม่ได้ระวัง หรือไม่รู้ แล้วหลงเป็นเหยื่อ แฮกเกอร์จู่โจมไปถึง 100 คน และต้องมีอย่างน้อย 1 คนที่ตกหลุม ซึ่งสุดท้ายเมื่อเกิดเงินสูญหาย ย่อมกระทบต่อภาพลักษณ์ของธนาคารอยู่ดี

โจทย์ของธนาคาร คือ การหาจุดสมดุลระหว่างการออกมาให้ความรู้ลูกค้าอย่างทันเหตุการณ์ ไม่รอให้เกิดกรณีวัวหายแล้วล้อมคอก และทำอย่างไรไม่ให้ลูกค้าหวาดกลัวเกินเหตุจนไม่กล้ามาใช้บริการอิเล็กทรอนิกส์ ด้วยเงินลงทุนด้านไอทีและบริการอิเล็กทรอนิกส์ของแต่ละธนาคารในแต่ละปีเป็นวงเงินที่สูงมาก ถ้าลูกค้าเกิดความไม่มั่นใจหันหลังไม่ยอมใช้ เงินที่ลงทุนไปย่อมสูญเปล่า

แม้ธนาคารยืนยันว่า ที่ผ่านมา ธนาคารทุกแห่งนอกจากมีระบบธนาคารออนไลน์ที่ปลอดภัย แล้วยังออกมาให้ข้อมูลความรู้ อยู่เป็นระยะๆ ทั้งผ่านอีเมล หรือแจ้งผ่านเว็บไซต์ แต่ด้วยพฤติกรรมของลูกค้า ที่มักละเลยไม่อ่านคำแนะนำ ข้อมูลความรู้ที่ธนาคารเตรียมไว้ให้ จึงไม่รู้ และไม่ตื่นตัว

ทว่า การใช้วิธีการเตือนแบบเดิมๆ ทั้งที่รู้ว่าลูกค้าไม่สน ไม่อ่าน แล้วไม่ปรับเปลี่ยนวิธีการ ก็อาจมองได้ว่า ธนาคารไม่ตื่นตัวด้วยเช่นกัน

ถึงเวลาที่ธนาคารต้องปรับตัว ทำงานเชิงรุก คิดหาการวิธีใหม่ๆ ที่จะเรียกร้องความสนใจจากลูกค้าให้เรียนรู้วิธีบริการอิเล็กทรอนิกส์อย่างปลอดภัย

จูงใจลูกค้าให้ตระหนักรู้ภัยใกล้ตัว ทำให้เหมือนเมื่อตอนจูงใจลูกค้ามาสมัครใช้บริการ น่าจะดีกว่าวัวหายล้อมคอก โทษกันไปมา หรือต้องรอให้เกิดปัญหาเป็นข่าวหน้า 1 ถึงจะเรียกความสนใจได้ครั้งหนึ่ง