วันนี้ (18 ต.ค.2564) ผู้สื่อข่าวรายงานว่า ธนาคารแห่งประเทศไทย และสมาคมธนาคารไทย ปฏิเสธว่า การโอนเงินออกจากบัญชีที่เกิดขึ้น ไม่ใช่เพราะข้อมูลรั่วไหล แต่เป็นความผิดปกติ จากการที่ผู้ที่ถือบัตรไปผูกบัญชีกับร้านค้าออนไลน์ แต่คนส่วนหนึ่งอ้างว่า เขาไม่ได้ผูกบัญชีออนไลน์ มีแค่สมุดบัญชีเท่านั้น แต่ก็เกิดปัญหาด้วย
สมาชิกกลุ่มแชร์ประสบการณ์ถูกหักเงินจากบัญชีโดยไม่รู้ตัว ระบุว่า มียอดเงินในบัญชีหายไป ทั้งที่ไม่เคยผู้บัญชีออนไลน์ ไม่มีบัตรเครดิต และบัตรเดบิต ที่เกี่ยวข้องกับบัญชี ความเสียหายที่เกิดขึ้น ถูกรายงานว่าเกิดกับผู้ใช้บัญชีแทบจะทุกธนาคารในประเทศไทยแล้ว
ผู้เสียหายสรุปความเสียหายเอาไว้ในเบื้องต้นว่า ในภาพรวมส่วนใหญ่บัตรกดเงิน ที่เกิดความเสียหาย คือบัตรกดเงินประเภท บัตรเดบิต รูดเงินสดจากบัญชีออมทรัพย์ได้เลย โดยไม่ต้องไปที่ตู้เอทีเอ็ม ไม่ว่าจะผูกแอปหรือไม่ผูกแอป ก็เกิดปัญหา โดยพบว่าถูกนำไปใช้รูดชำระสินค้า และบริการ หลายประเภท เช่น เฟซบุ๊กเปย์ ช็อปปี้เปย์ กูเกิ้ลเปย์ การีน่า อาร์โอวี เน็ตฟลิกซ์ ลาซาด้าสตรีม ฯลฯ หรือแม้แต่ซื้อสินค้าจากร้านค้าปลีก ค้าส่งในประเทศไทย
ผู้เสียหายตั้งข้อสังเกตว่า ความเสียหายดูจะขัดกับคำชี้แจงของธนาคารแห่งประเทศไทย ที่บอกว่าไม่ได้เป็นการรั่วไหลของข้อมูลธนาคาร แต่เป็นรายการที่จดทะเบียนกับร้านออนไลน์ที่จดทะเบียนกับต่างประเทศเป็นส่วนใหญ่ และไม่ใช่แอปพลิเคชั่นดูดเงิน ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์วิเคราะห์ว่า เกิดจากการที่ข้อมูลสำคัญบัตร ทั้งหมายเลขบัตร และรหัสความปลอดภัยด้านหลัง ไปตกอยู่กับคนอื่น ผ่านการทำธุรกรรมก่อนหน้าหรือไม่
ปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ กล่าวว่า ไม่ต้องเซ็นชื่อ ไม่ต้องใช้บัตร เขาเรียก Card Not Present หรือ CNP แล้วเขาใช้อะไรบ้าง หนึ่งชื่อ นามสกุล สองเลขบัตรทั้งหมด 16 หลัก สาม เดือนและปีที่ Expire บางที่ใช้รหัสหลังบัตร 3 หลัก บางที่ไม่ใช้ รูดแล้วไปเลย
ขอสรุปเหตุการณ์ครั้งนี้ว่า มันถูกแฮก แต่ไม่ได้ถูกแฮกที่แบงก์ ถูกแฮกที่ไหนไม่รู้ ที่คุณไปรูดมา ตัวเลขพวกนี้ถูกไปเก็บที่นั่นแล้วถูกแฮกออกไป อันนี้แบงก์ไม่เกี่ยว แต่แบงก์มีหน้าที่ต้องตั้งยอดไว้แล้วก็เคลมให้เรา โดยที่เราไม่ต้องจ่าย
ผมเองโดนมาหลายครั้งแล้ว ไม่ต้องจ่ายเงินเลย สองมันเกิดจากการที่เราไปสมัครอะไรไว้ก็ไม่รู้ แล้วเราไม่ได้ไปดูว่าเรา ไม่ได้ยกเลิก แล้วมันก็มาตัดอย่างนี้ก็มี
ด้าน พล.ต.ต.นิเวศน์ อาภาวศิน ผบก.ตรวจสอบและวิเคราะห์อาชญากรรมทางเทคโนโลยี กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) ให้สัมภาษณ์ถึงกรณีดังกล่าวว่า ตรงนี้เกิดขึ้นได้หลายสาเหตุ อย่างกรณีที่ทางธนาคารชี้แจงก็มีความเป็นไปได้
ส่วนหนึ่งที่ประชาชนอาจจะไม่ทราบก็คือว่า ข้อมูลหน้าบัตรของเรา และตัวเลข 3 ตัวที่เป็นรหัสความปลอดภัย ที่อยู่หลังบัตร มันเป็นตัวที่เราไปใช้ในชีวิตประจำวันจนเกิดความเคยชิน บางทีเวลาเราซื้อของอะไรต่างๆ เราก็จะยื่นบัตรตรงนี้ เพื่อใช้จ่ายหรือไปรูดบัตร
มีความเป็นไปได้ที่มิจฉาชีพจะจดจำตัวเลข 3 ตัวที่อยู่หลังบัตร ตรงนี้จะเป็นข้อมูลที่เก็บสะสมไปเรื่อยๆ แล้วคนร้ายจะเอาตรงนี้ไปขาย อันนี้มีความเป็นไปได้ อีกส่วนคือประชาชนเองอาจจะผูกข้อมูลไว้กับแอปพลิเคชั่น กับการทำธุรกรรมต่างๆ เอาไว้ โอกาสที่ข้อมูลเหล่านี้จะรั่วจากระบบต่างๆ ที่ประชาชนเคยไปผูกเอาไว้ ก็มีความเป็นไปได้ เพราะฉะนั้นหนทางที่ข้อมูลจะรั่วไหล มันมีหลายช่องทาง
นอกจากนี้ล่าสุดยังมีอีกช่องทางหนึ่งก็คือว่า มีการส่งอีเมล์ ส่งลิงค์มาหลอกประชาชนว่า เราได้รับพัสดุจากไปรษณีย์ไทย แต่เนื่องจากมาจากต่างประเทศ ยังไม่ได้เสียภาษี ให้เรากรอกข้อมูลบัตรเครดิต หรือบัตรเดบิตไปในของเขา แล้วเขาจะหลอกเอาข้อมูลของเราไปทั้งหมด เป็นข้อมูลที่อยู่หน้าบัตร ตัวเลขหน้าบัตร และข้อมูลความปลอดภัย ที่อยู่หลังบัตรด้วย นี่คือช่องทางหลักๆ ที่ข้อมูลจะรั่วไหลออกไป
ผู้สื่อข่าวถามว่า ขณะนี้มีผู้เสียหายแล้วประมาณ 20,000 คน แล้ว มีข้อแนะนำอย่างไรบ้าง พล.ต.ต.นิเวศน์กล่าวว่า เบื้องต้น แนะนำไปให้ประสานกับธนาคาร แจ้งให้ทราบว่าข้อมูลที่ถูกใช้ไป เราไม่ได้เป็นคนใช้ ยืนยันไปนะครับ ซึ่งตอนนี้ทางธนาคาร ออกมาให้ข้อมูลยืนยันว่า จะให้ความช่วยเหลือ และจะรับผิดชอบค่าใช้จ่ายตัวนี้ให้ เพราะทราบดีว่า มันเกิดจากกลไกที่มีการกำหนดเงื่อนไขเอาไว้ เมื่อมีการนำข้อมูลตรงนี้ไปใช้ ทำธุรกรรมที่มีมูลค่าไม่สูง เช่นกรณีที่เกิดขึ้นมีมูลค่าไม่เกิน 100 บาท จึงไม่ต้องใช้ OTP แจ้งเตือน จึงทำให้คนร้ายทำธุรกรรมจำนวนน้อยๆ หลายครั้ง จนเกิดความเสียหาย
ตอนนี้ทางสมาคมธนาคารไทย กำลังมีการพูดคุยด้วยกันว่า อาจจะต้องมีการปรับนโยบาย กลไกต่างๆ เพื่อตรวจจับเช่น กรณีที่มีการทำธุรกรรมจำนวนน้อยหลายครั้ง แต่ถ้ามูลค่ามันเกินที่ตั้งเอาไว้ เช่น เกิน 500 บาท มันก็ต้องเอากลไก OTP เข้ามาเตือนประชาชน เพื่อให้ประชาชนรู้ว่ามีการใช้แบบนี้ เพื่อให้ทุกคนระวังตัวมากขึ้น
เมื่อถามว่า การใช้ One Time Password (OTP) มันไม่ควรจำกัดว่า มูลค่าธุรกรรมน้อยๆ ไม่ต้องมี มากๆ ค่อยมี หรือจริงๆ มันควรจะอัพเดททุกครั้งที่ทำธุรกรรม
พล.ต.ต.นิเวศน์กล่าวว่า สมัยก่อนมีทุกครั้ง แต่ต้องเข้าใจว่า การส่ง OTP ครั้งหนึ่ง มันมีค่าใช้จ่าย อย่างเช่นปัจจุบันเรามีการใช้บัตร ไปซื้อของมูลค่าไม่เกิน 500 บาท เราก็ไม่ได้เซ็นชื่อ มันเป็นการลดค่าใช้จ่ายในจุดนี้
ต้องหาจุดสมดุล ระหว่างธนาคาร ที่เขารับภาระค่าใช้จ่ายตรงนี้กับความปลอดภัยที่จะเกิดขึ้น เราไม่สามารถที่จะไปทางใดทางหนึ่งได้ ก็พยายามหาว่าจุดไหนที่เป็นจุดรับได้ทั้งสองฝ่าย และไม่เกิดความเสียหายที่มากขึ้น ซึ่งไม่จำเป็นต้องมี OTP ทุกครั้ง เพราะตรงนี้มีค่าใช้จ่ายสูงเมื่อเปรียบเทียบกับมูลค่าจำนวนน้อยๆ เราก็ต้องเข้าคนที่ทำธุรกรรมตรงนี้ให้เราด้วย
ข้อแนะนำเพื่อป้องกันคือ ไม่ควรเอาบัตรไปผูกติดกับแอปพลิเคชั่นต่างๆ ซึ่งเขามักอ้างว่าเพื่อความสะดวก ซึ่งเมื่อเราใช้เสร็จให้เอาข้อมูลของเราออกจากระบบ อันนี้อันแรก อย่างที่สอง เมื่อเราจะเอาบัตรไปใช้ จะต้องมีการปกป้องรหัสความปลอดภัยที่อยู่หลังบัตร วิธีการง่ายที่สุดคือ เอาสติ๊กเกอร์ทึบแสงปิดทับเลข 3 ตัวหลังบัตรเอาไว้ หรืออีกวิธีก็คือ ถ่ายรูปเลข 3 ตัวนี้เอาไว้ แล้วเอากระดาษทรายขัดตัวเลขนี้ออกไปจากหลังบัตร
ตัวเลขนี้เป็นมาตรฐานสากล ซึ่งธนาคารแห่งประเทศไทย ก็ไม่สามารถไปแก้ไขตรงนี้ได้ เพราะมันเป็นเรื่องสากล ก็ต้องใช้วิธีการปกป้องตัวเอง
อ่านข่าวที่เกี่ยวข้อง
"ดีอีเอส" เร่งตรวจสอบ-บล็อกการแฮกระบบบัญชีธนาคาร