เตือนภัย “Internet Banking” Malware โจรกรรมโลกออนไลน์

Malware

“ช่วยด้วย!!! ผมถูกแฮกเงิน 343,000 บาท…” คือสเตตัสบนเฟซบุ๊กของ ร.ศ.ยุทธพร อิสรชัย นักวิชาการทางการเมืองชื่อดัง ที่เขียนเล่าเหตุการณ์น่าใจหายให้คนบนโลกออนไลน์ได้อ่าน เพื่อบอกว่า เขาตกเป็นเหยื่อ “การโจรกรรมทางการเงินบนอินเทอร์เน็ต” เสียแล้ว
คนที่ยังไม่รู้รายละเอียด อาจนึกสงสัยว่าเป็นถึงรองศาสตราจารย์ เหตุใดจึงโดนหลอกได้ แต่ถ้าลองอ่านรายละเอียดดูจะรู้ว่า เป็นการโจรกรรมที่แยบยลที่สุดตั้งแต่เคยมีมา ถึงขนาดผู้เชี่ยวชาญด้านความปลอดภัยระบบสารสนเทศ ยืนยันว่า “เคสนี้เป็นเคสที่แปลกมาก เป็นครั้งแรกที่เกิดขึ้นในประเทศไทยเลยครับ!!”


แปลกแต่จริง… เงินเกลี้ยงบัญชี
“ผมเข้าไปทำธุรกรรมบนหน้าเว็บไซต์ของ SCB ครั้งสุดท้าย วันที่ 16 ก.พ. สักประมาณ 5 โมงครึ่ง เข้าไปเปลี่ยนอีเมล เพื่อให้อีเมลใหม่นี้ส่งข้อมูลติดต่อถึงผมได้ เขาก็ส่งข้อมูลตอบกลับมายืนยันว่าการเปลี่ยนอีเมลสมบูรณ์แล้ว วันที่เข้าไปเปลี่ยนอีเมล ผมยังเห็นยอดเงินอยู่ที่ 3 แสนกว่าบาท และผมก็ไม่ได้ทำธุรกรรมอะไรเลย จนวันที่ 21 ก.พ. สัก 4-5 โมงเย็น มีโทรศัพท์เข้ามา โทร.มาจากศูนย์ข้อมูลของไทยพาณิชย์ แจ้งว่ามีการทำธุรกรรมที่ผิดปกติเกิดขึ้น ถามว่าผมทำหรือเปล่า ผมก็บอก เอ๊ะ! ผมไม่ได้ทำนะ

บอกให้เขาช่วยส่งข้อมูลมาให้หน่อยว่า ผมทำธุรกรรมอะไรไป โอนเข้าบัญชีของใคร เขาก็บอกว่าจะรีบตรวจสอบ แล้วก็ส่งอีเมลมาให้ดู บอกว่าผมทำไป 7 รายการ เป็นการโอนเงินไปที่ธนาคารกรุงเทพฯ มีชื่อและเลขเจ้าของบัญชีด้วย ชื่อ น.ส.สนธยา ชมชื่น ซึ่งผมไม่รู้จัก ธนาคารก็แนะนำให้ผมไปแจ้งความ ทำหนังสือถึงธนาคารเพื่อปฏิเสธการทำธุรกรรม ขอให้ทางธนาคารชดเชยค่าเสียหาย” ร.ศ.ยุทธพร อิสรชัย คณบดีรัฐศาสตร์ มหาวิทยาลัยสุโขทัยธรรมาธิราช เล่ารายละเอียดให้ฟังผ่านรายการ คม ชัด ลึก เมื่อไม่กี่วันที่ผ่านมา

อาจารย์ยืนยันด้วยน้ำเสียงหนักแน่นว่า ทุกครั้งที่จะทำธุรกรรมทางการเงินบนอินเทอร์เน็ต เขาจะตั้งสติและระมัดระวังเป็นพิเศษ ไม่ใช้โน้ตบุ๊กสาธารณะ และเลือกใช้เฉพาะโน้ตบุ๊กส่วนตัวเท่านั้น โดยเครื่องที่ใช้ในครั้งนี้คือ “แม็คบุ๊กโปร” ซึ่งถือว่ามีระบบป้องกันการแฮกต่างๆ ในระดับสูง จึงชวนให้สงสัยว่าเหตุการณ์ทั้งหมดที่เกิดขึ้น เกิดขึ้นได้อย่างไร?
เพราะมันเกิดขึ้นปุบปับจนตั้งรับไม่ทัน ไม่มีแม้แต่ SMS ส่งรหัส OTP มาจากธนาคารเพื่อให้คอนเฟิร์มการโอนเงิน หรือส่งผลการทำธุรกรรมแล้วเสร็จมาบอกอีกที อย่างที่ควรจะเป็น ไม่มีกระทั่งการแจ้งเตือนทางอีเมล มารู้ตัวอีกที เงินก็เกลี้ยงบัญชีเสียแล้ว… 343,000 บาท บวกค่าโอนด้วย สูญเงินไป 343,245 พอดี

โจรกรรมแบบนี้ ครั้งแรกในไทย!!
นอกจากคำมั่นสัญญาว่าจะตามรอยแฮกเกอร์ สืบค้นความจริงให้ถึงที่สุดแล้ว ความคืบหน้าล่าสุดจากทางธนาคารไทยพาณิชย์ ผู้ให้บริการ Internet Banking ของเหยื่อคือการส่งจดหมายถึงลูกค้าทุกคน ผ่านทางเว็บไซต์และสื่อแขนงต่างๆ

“แจ้งเตือน: ขณะนี้มีการโจรกรรมในรูปแบบของการส่ง SMS โดยใช้หมายเลข 02-777-7777 ซึ่งเป็นหมายเลข Call Center ของธนาคารไทยพาณิชย์เป็นผูู้ส่งและมีลิงก์เพื่อให้ดาวน์โหลดหรือติดตั้งโปรแกรมทางการเงิน หมายเลขดังกล่าวถูกปลอมขึ้นเพื่อหวังหลอกลวงประชาชนโดยตรง
ทั้งนี้ ธนาคารฯ ไม่มีนโยบายในการส่งลิงก์เพื่อให้ดาวน์โหลดโปรแกรมใดๆ ผ่านมือถือ ดังนั้น เพื่อความปลอดภัยควรใช้งาน Mobile banking application ที่ดาวน์โหลดจาก Google Play หรือ App Store เท่านั้น”

การออกมาให้เตือนให้สมาชิกระมัดระวังแบบนี้ ก็ถือเป็นเรื่องดี แต่แค่อาจจะยังไม่ตรงจุดเท่าที่ควร เพราะในกรณีของอาจารย์ยุทธพร ซึ่งตกเป็นเหยื่อครั้งใหญ่ครั้งนี้ ไม่ได้เกิดจากการติดตั้งโปรแกรมผ่านมือถือ หรือถูกหลอกจากหมายเลข Call Center ของทางธนาคาร แต่เกิดจากสาเหตุใด ยังคงเป็นปริศนาคาใจที่ ปริญญา หอมเอนก ประธานผู้ก่อตั้ง บริษัท ACIS Professional Center และเลขานุการสมาคมความมั่นคงปลอดภัยสารสนเทศ (TICA) ได้แต่ตั้งข้อสงสัยอย่างประหลาดใจซ้ำแล้วซ้ำเล่า

“เหตุการณ์นี้เกิดขึ้นที่ไทยพาณิชย์ที่เดียว และเป็นครั้งแรกของเมืองไทยด้วย เป็นเคสที่แปลกมาก ผมเพิ่งคุยกับธนาคาร ทางตำรวจ แล้วก็เหยื่อ ตอนนี้ก็ยังหาข้อสรุปไม่ได้ว่าเพราะอะไร ปกติแล้ว คนที่จะโดนแฮกธุรกรรมทางอินเทอร์เน็ตได้ จะต้องมีโทรจัน (Trojan) อยู่บนเครื่องพีซี มีการสร้างหน้าจอเว็บไซต์หลอกลวงให้ลูกค้าเข้าไปใช้บริการ และดำเนินการตามขั้นตอน จนสุดท้าย ใส่รหัส OTP. (รหัสที่จะส่งมายืนยันผ่าน SMS มือถือ เพื่อยินยอมให้ตัดเงินจากบัญชี) แต่กรณีนี้ ไม่มี SMS ส่งมาคอนเฟิร์มแม้แต่อันเดียวเลย แต่ดันถูกโจรกรรมเงินจากบัญชีไป 7 ครั้งรวด ครั้งละ 5 หมื่น ครั้งสุดท้าย เงินมีไม่พอ เลยโดนไปอีก 4 หมื่นกว่าบาท”

และนี่ไม่ใช่เคสเดียวที่โดน ยังมีอีกรายหนึ่งที่ตกเป็นเหยื่อจากธนาคารเดียวกัน ในระยะเวลาไล่เลี่ยกัน เพียงแต่รายนี้ เลือกที่จะไม่ให้ข้อมูลออกสื่อ “แต่พอเอามือถือไปเช็กดู พบว่าเครื่องของเขาลงโปรแกรมเอนดรอยด์เอาไว้ตัวหนึ่ง ซึ่งเป็นโปรแกรมเอาไว้ดัก SMS ของเครื่องและฟอร์เวิร์ดรหัสที่ธนาคารส่งมา ส่งไปให้โจรอีกที ซึ่งถ้าตรวจสอบแน่ชัดว่าเป็นเพราะแบบนี้ นั่นก็แสดงว่าเหยื่อรายนี้ไม่น่าจะมีสิทธิได้เงินคืนจากธนาคาร เพราะเขาพลาดเอง เขายินยอม ดาวน์โหลดโปรแกรมด้วยมือของเขาเอง ก็เท่ากับยอมรับให้แฮกเกอร์มาโจรกรรมเงินของตัวเอง เหมือนเป็นการยื่นกุญแจเซฟให้โจรนั่นแหละครับ

จริงๆ แล้ว ในต่างประเทศก็มีปรากฏการณ์นี้เหมือนกันครับ โดนไป 30 ล้านกว่ายูโร โดนเพราะตัวโทรจัน เป็น Malware ดัก SMS ซึ่งซ่อนอยู่ในมือถือประเภทแอนดรอยด์เป็นส่วนใหญ่ 80 เปอร์เซ็นต์ ตัวโปรแกรมนี้จะดัก SMS ของเหยื่อ ทำให้แฮกเกอร์สามารถขโมยรหัส OTP ที่ทางธนาคารส่งมาคอนเฟิร์มกับผู้ใช้ผ่านทางมือถือ พอแฮกเกอร์เห็น ก็สามารถตัดหน้าเอาไปกรอกข้อมูลแทน แล้วก็ใช้เงินแทนเจ้าของจริงได้สบายๆ เลย”

ระวัง!! ตกเป็นเหยื่อ
ให้ลองวิเคราะห์กลโกง ขโมยเงินจากแบงก์ออนไลน์ในหลายๆ รูปแบบว่าเกิดขึ้นเพราะอะไรได้บ้าง? ผู้เชี่ยวชาญด้านความปลอดภัยระบบสารสนเทศ จึงเริ่มยกตัวอย่างหนทางที่พอจะเป็นไปได้ให้ฟัง เริ่มจากช่องโหว่ที่แทบทุกธนาคารมีในตอนนี้คือ รหัส OTP

“ถ้าโอนข้ามธนาคาร มันจะไม่โชว์ชื่อบัญชีของคนที่โอนเข้า จะบอกแค่ว่ามีเงินจำนวนเท่านี้ โอนเข้าบัญชี แต่ไม่โชว์ชื่อ และคนส่วนใหญ่ก็เลินเล่อ ไม่ได้ตรวจสอบบัญชีปลายทางให้ดีๆ เขาส่ง Password ยืนยันมาทาง SMS ให้กรอก โอนเสร็จปุ๊บ ปรากฏว่าบัญชีปลายทางไม่ใช่บัญชีที่เราอยากจะโอนก็มี

หรืออาจเป็นเพราะบางธนาคารออกแบบระบบเอาไว้ให้ช่วยจำ Username กับ password ของลูกค้า และถ้าเห็นว่าเป็นบัญชีเดิมที่เคยโอน เคยมีธุรกรรมทางการเงิน ระบบจะไม่ส่ง sms มาถามซ้ำอีก เพื่อความสะดวกของลูกค้า ซึ่งมันเป็นดาบสองคม เป็นระบบที่ออกแบบมาอย่างบกพร่องและแฮกเกอร์จะชอบมาก แต่ก็มีบางธนาคารที่ระบบต่างกันนะครับ ถามแล้วถามอีก เพื่อรักษาความปลอดภัยของผู้ใช้ ซึ่งผมกำลังพยายามเข้าไปคุยกับทางแบงก์ชาติอยู่ครับ ให้ธนาคารออกกฎรักษาความปลอดภัยของลูกค้าให้มากขึ้นอยู่ครับ”

ส่วนคอไอทีที่ใช้สมาร์ทโฟน-โน้ตบุ๊ก-พีซี ทำธุรการออนไลน์เป็นกิจวัตร ก็ต้องมีสติกันให้มากขึ้น “ประการแรก ไม่ว่าเราจะได้รับ sms อะไรก็ตาม อย่าเพิ่งคลิก ต้องโทร.เช็กกับทางธนาคารก่อน คิดดูว่าจู่ๆ จะมีใครส่งลิงก์มาให้เราโหลดนั่นโหลดนี่ มันน่าสงสัยอยู่แล้ว และถ้าลองสังเกตดีๆ ตัวแอปฯ (application) เขาส่งมาให้โหลด
พอคลิกเข้าไป หน้าแรกที่เข้า มันคือหน้าของ Google Play หรือ Apple App Store ก็จริง แต่พอคลิกเข้าไปหน้าที่โหลด มันจะส่งให้เราไปโหลดอีกหน้าลิงก์หนึ่งแทน เป็นเว็บฝากไฟล์ โหลดเกม อะไรแบบนั้น เราก็ต้องสังเกตดีๆ ว่าถ้าเป็นแบบนั้น ถ้าไม่ใช่แอปฯ ที่โหลดจาก Google Play กับ Apple Store โดยตรง ก็อย่าไปโหลดเลยดีกว่า มันมีความเสี่ยงที่จะถูกแฮกสูง

หรือถึงแม้เป็นแอปฯ ในกูเกิลเองก็ตาม แต่คุณก็ต้องรู้ข้อมูลเชิงลึกก่อนว่า แอปฯ ที่วางไว้ในนั้น เขาเปิดกว้างมากๆ เพราะฉะนั้น จะมีพวกแอปฯ โจรปลอมแปลงซ่อนตัวอยู่ในนั้นเยอะมาก เพราะคนตรวจสอบเขาไม่มีเวลาตรวจและตรวจไม่ละเอียดพอ

เพราะฉะนั้น ประการที่สองคือ อย่าไปโหลดแอปฯ หรือโปรแกรมซี้ซั้ว ให้โหลดเฉพาะโปรแกรมดังๆ ที่เขาเล่นกัน จะเป็น Whatsapp หรือ Line ก็เล่นไป แต่โปรแกรมหรือเกมชื่อแปลกๆ ที่ชาวบ้านเขาไม่เล่นกัน ก็อย่าไปโหลดมาเล่น มีโอกาสจะโดนแฮกสูงมาก

ประการที่สาม คือพยายามหาเวลาอัปเดตไวรัสและสแกนในมือถือด้วย จะช่วยให้ค้นหาแอปฯ แปลกๆ หรือแอปฯ โจรได้ในระดับหนึ่ง แต่ไม่ได้ทั้งหมด แต่ว่าวิธีการนี้ คนส่วนใหญ่ไม่ค่อยทำ เพราะคิดว่ามือถือเป็นมือถือ ไม่ได้คิดว่ามือถือเป็นคอมพิวเตอร์

ประการที่สี่ เพื่อความเซฟ ให้ใช้ Platform โปรแกรมที่เป็น IOS เอาไว้ก่อน จะปลอดภัยกว่าแบบเอนดรอยด์ พูดไปทางกูเกิลก็อาจจะไม่ค่อยพอใจ แต่มันคือเรื่องจริง คุณทำระบบออกมาห่วยไปหน่อย ตรวจสอบแย่ เน้นเรื่อง Make Money เป็นหลัก พอพื้นที่มันเปิดมาก ก็มีแฮกเกอร์มากมายมาทำ Malware มาลงในสโตร์คุณเยอะแยะ เพราะคุณไม่มีกระบวนการกลั่นกรองที่ดี
กลายเป็นความซวยของผู้บริโภค เพราะถ้าธนาคารตรวจสอบพบว่า เหยื่อที่ถูกโจรกรรมทางมือถือเป็นเพราะโหลดแอปฯ พวกนี้มา เขาก็จะไม่รับผิดชอบอะไรเลย ไม่คืนแม้แต่บาทเดียว หมดสิทธิฟ้องร้องเลย เพราะเหมือนเราเอารหัสบัตรเอทีเอ็มไปบอกเพื่อน ให้เขาไปกดเงินเอง ถ้าเป็นแบบนั้น ก็คงช่วยอะไรไม่ได้แล้วล่ะครับ” / โดย ASTV ผู้จัดการ LIVE