รายการ “ถอนหมุดข่าว” ทาง NEWS1 โดย นพรัฐ พรวนสุข บก.ข่าวการเมืองและกระบวนการยุติธรรม เครือผู้จัดการ วันที่ 20 ต.ค.64 นำเสนอรายงานพิเศษ ไขปริศนาดูดรัวๆ เงินบัญชีธนาคาร
ปริศนาเงินถูกดูดจากบัญชีธนาคารรัวๆ จนมีประชาชนตกเป็นเหยื่อกว่า 4 หมื่นราย รวมมูลค่าความเสียหายนับสิบล้านบาท ที่สร้างความตื่นตระหนกไปทั่วนั้น
มีผู้รู้ออกมาอธิบายถึงสาเหตุ และตัวการปล้นเงินออนไลน์ครั้งนี้ ได้ทะลุปรุโปร่งเรียบร้อยแล้ว รวมถึงแนววิธีการป้องกันไม่ให้เกิดซ้ำรอยในอนาคตด้วย
เขาคือ อาจารย์ลอย ชุนพงษ์ทอง นักคณิตศาสตร์และนักดาราศาสตร์ชื่อดัง และผู้ทรงคุณวุฒิสหวิทยาการราชบัณฑิตยสภา ที่ออกมาคลี่คลายปมปัญหาที่เกิดขึ้น รวมทั้งแนวทางการแก้ไขและป้องกันในอนาคต
อาจารย์ลอย ระบุว่า กรณีนี้มี “5 ตัวละคร” ประกอบด้วย เจ้าของบัญชี หรือผู้เสียหาย - ร้านค้า - ธนาคารไทย - ธนาคารต่างประเทศ และบริษัทบัตรเครดิต (VISA-MASTERCARD)
วงจรความเสียหายที่เกิดขึ้นเริ่มจาก “เจ้าของบัญชี หรือผู้เสียหาย” ทำธุรกรรมออนไลน์ซื้อสินค้าจากต่างประเทศ โดยนำเลขบัตรเครดิตหรือเดบิตให้กับ “ร้านค้า” ที่ต้องแจ้งต่อไปยัง “ธนาคารต่างประเทศ” ว่ามีรายการเรียกเก็บเงิน
ธนาคารต่างประเทศก็จะส่งข้อมูลต่อไปยัง “บริษัทบัตรเครดิต” ก่อนที่จะส่งคำสั่งมายัง “ธนาคารไทย” ที่ผูกบัญชีกับบัตรเครดิตหรือเดบิต ว่ามีการเรียกเก็บเงินตามรายการดังกล่าว
ซึ่ง “ผู้ร้าย” ในวงจรนี้อยู่ระหว่างขั้นตอน “ร้านค้า” ที่ส่งข้อมูลไปที่ “ธนาคาร” ที่ต้องเรียกว่า “ร้านค้าโจร” ที่ได้เลขบัตรเครดิตหรือเดบิตไปจาก “ร้านค้าจริง” ที่อาจจะให้ความร่วมมือกับร้านค้าโจร หรืออาจไม่รู้เห็น แต่มีช่องโหว่ให้ถูกเจาะข้อมูล หรือแฮกข้อมูลไปก็เป็นได้
เมื่อได้ข้อมูลเหยื่อไปแล้ว “ร้านค้าโจร” ก็ไปเรียกเงินจากธนาคารในต่างประเทศ ที่ส่งรายการเรียกเก็บเงินไปที่บริษัทบัตรเครดิต และธนาคารไทย ตามวงจรปกติ
คำถามมีว่า นอกเหนือจาก “ร้านค้าโจร” ที่มีความผิดแน่ๆแล้ว ยังมีใครที่ต้องรับผิดชอบอีกหรือไม่
หนึ่งคือ ร้านค้าจริง ที่รู้เห็นหรือไม่รู้เห็นด้วย แต่เชื่อว่าต้องอ้างว่าถูกแฮกข้อมูลอย่างแน่นอน
สองคือ ธนาคารต่างประเทศ ที่ปล่อยให้ร้านค้าโจรเรียกเก็บเงิน โดยไม่ตรวจสอบก่อน ทั้งที่มีกลไกในการตรวจสอบ และระงับความเสียหาย
และสาม บทบาทของธนาคารไทย ที่มีหน้าที่ต้องปกป้องลูกค้า แต่ทำหน้าที่ได้ไม่สมบูรณ์ ปล่อยให้มีการตัดเงินจากบัญชีอย่างผิดปกติได้
ดังนั้นประชาชนผู้เสียหายไม่ต้องกังวล เพราะผู้ที่มีหน้าที่ในการรับผิดชอบความเสียหายที่เกิดขึ้น คือธนาคารที่ผู้เสียหายเป็นลูกค้าอยู่ โดยเงินที่ถูกดูดหายออกไปจากบัญชีจะไม่สูญเปล่า หากเกิดความเสียหายขึ้นธนาคารต้องรับผิดชอบ 100% รวมถึงดอกเบี้ยที่พึงได้ด้วย อย่างไม่มีข้อแม้
ทั้งนี้ กระบวนการตัดเงิน หรือหักบัญชีบัตรเครดิตหรือเดบิตเวลาทำธุรกรรมออนไลน์นั้นมี “กุญแจ” ในการทำธุรกรรมทุกครั้ง โดยที่ลูกค้าเป็นผู้ถือกุญแจเอง ซึ่งในประเทศไทยมีการใช้หลายระบบ หลักๆคือ
1.ใช้เลขหลังบัตรเครดิต หรือเดบิต หรือ CVV ซึ่งเป็นเลข 3 ตัวอยู่ด้านหลังบัตรแต่ละใบ
2. PIN หรือ Personal Identity Number ที่เป็นรหัสส่วนตัว 4 ตัว หรือ 6 ตัว ใช้เวลาที่เจ้าของบัตรนำบัตรไปใช้จ่ายตามร้านค้าด้วยตัวเอง
และ 3.OTP หรือ One-Time Password ที่ต้องใช้ร่วมกับ SMS ที่จะส่งหัส OTP เข้าโทรศัพท์ที่ผูกไว้กับบัญชี โดยเวลาทำธุรกรรมจะมีการส่งรหัส OTP ไปยังโทรศัพท์ เพื่อให้เจ้าของใช้รหัสนั้นมาเป็นกุญแจในการอนุมัติธุรกรรม และหักเงินจากบัตรทุกครั้ง
อย่างไรก็ตามระบบ OTP ที่ถือเป็นระบบที่ดี และนิยมใช้ในประเทศไทย ก็มี “ช่องโหว่” ที่ทำให้ “มิจฉาชีพ” สามารถข้ามขั้นตอนที่ต้องใช้ “กุญแจ” คือการที่บัตรทุกใบที่ตัดเงินต่ำกว่า 1 ดอลลาร์สหรัฐ หรือราว 33 บาทไทย มีข้อยกเว้นที่ไม่ต้องให้เจ้าของบัตรอนุมัติก่อน หรือบัตรบางใบนั้นเจ้าของบัตรเป็นผู้กำหนดวงเงินขั้นต่ำที่ไม่ต้องใช้ OTP เอง
ส่วนวิธีแก้ไขก็ทำไม่ยาก คล้ายกับ “ระบบตัดไฟ” ที่ใช้ทั่วไป ตามคอนเซปต์ “ตัดก่อนตาย เตือนก่อนวายวอด”
ซึ่งระบบการตัดเงินจาก “บริษัทบัตรเครดิต” ที่เชื่อมมาถึง “ธนาคารไทย” เพื่อหักเงินจากบัญชีผู้ใช้บริการ มีอัลกอริทึ่ม หรือ “A.I.” ควบคุมแทนมนุษย์นั้น เมื่อ A.I.ตรวจพบว่ามีการหักเงินจากบัญชีลูกค้าครั้งละ 1 ดอลลาร์สหรัฐ หรือราว 33 บาทไทย ถี่ๆหลายๆครั้ง ย่อมเป็นเรื่องผิดปกติ
ในความเป็นจริงเมื่อพบจุดผิดปกติ ระบบของธนาคารควรจะต้องตัดระบบทันที แต่พบว่าบางธนาคารของไทยกลับไม่ตัดระบบ และตรวจไม่พบความผิดปกติ เพราะระบบของธนาคารไทยเป็นไปลักษณะ “ลงทุนสูง ประสิทธิภาพต่ำ” ประสิทธิภาพของระบบตัดไฟของแต่ละธนาคารไม่เท่ากัน
ในขณะที่หน่วยงานของรัฐ ดูจะยังไม่เข้าใจปัญหาที่เกิดขึ้น ประชาชนตาดำๆก็ต้องดูแลตัวเอง