xs
xsm
sm
md
lg

แก๊งดูดเงินบัตรเครดิต จ้างสาวไลฟ์ส่งไอเทม ใช้ช่องโหว่เงินออกน้อยไม่แจ้งเตือน

เผยแพร่:   ปรับปรุง:   โดย: ผู้จัดการออนไลน์



เผยรูปแบบ “แก๊งดูดเงินจากบัตรเครดิต” จ้างสาวไลฟ์ส่งไอเทม อาศัยช่องโหว่ “เงินออกน้อยไม่ต้องแจ้งเตือนเจ้าของบัญชี” ก่อนขายต่อกลุ่มยิงโฆษณาลงเฟซบุ๊ก


รายงานพิเศษ

“เขาใช้วิธีเปิดช่อง จ้างผู้หญิงมาไลฟ์ในเชิงเซ็กซี่ให้ลูกค้าซื้อไอเทม แต่จริงๆ แล้วคนที่ส่งไปก็คือคนในแก๊งเอง โดยใช้วิธีดูดเงินออกจากบัตรเครดิตของเหยื่อเพื่อส่งดาวไปในไลฟ์ โดยจะส่งแค่ครั้งละ 1 ดอลลาร์ บวกกับค่าบริการที่จ่ายให้เจ้าของแพลตฟอร์ม จึงเป็นที่มาที่เห็นว่า มีเงินออกไปครั้งละ 37 บาท เมื่อดูดเงินจนเต็มวงเงินใน 1 วันที่รูดบัตรได้ คนกลุ่มนี้ก็นำข้อมูลบัตรไปขายในดาร์คเว็บ (Dark Web) เพื่อส่งต่อความผิดไปให้กลุ่มอื่น”

นี่เป็นข้อมูลที่แหล่งข่าวในวงการซื้อขายออนไลน์ ซึ่งไม่สามารถเปิดเผยตัวตนได้ เปิดเผยต่อทีมข่าว หลังจากที่เขาพยายามค้นหาเบื้องหลังของขบวนการดูดเงินออกจากบัตรเครดิตในประเทศไทยล็อตใหญ่ ในช่วงไม่กี่วันที่ผ่านมา จนมีผู้ตกเป็นเหยื่อมากกว่า 4-5 หมื่นราย

แหล่งข่าว ระบุว่า รูปแบบการก่ออาชญากรรมทางไซเบอร์เช่นนี้มีมานานแล้ว แต่ที่ผ่านมากลุ่มคนร้ายไม่เคยก่อเหตุพร้อมกันกับเหยื่อจำนวนหลายหมื่นคน จึงไม่กลายเป็นข่าว เพราะต้องยอมรับว่า ระบบการทำงานของกฎหมายไทย ยากที่จะติดตามคนร้ายมาดำเนินคดีได้ และยังยากที่จะได้เงินคืน

ส่วนเหตุการณ์นี้ เขาชี้เป้าไปที่ ดาร์คเว็บ ชื่อ “Raid Forum” ซึ่งถูกพบว่า นำข้อมูลบัตรเครดิตของคนไทยจำนวนนับกว่า 10 ล้านบัญชีมาขายในเว็บตั้งแต่เดือนสิงหาคม 2564 ที่ผ่านมา โดยใช้วิธีการซื้อขายผ่านสกุลเงินดิจิทัลในราคาประมาณชุดละ 3 หมื่นบาท

โดยกลุ่มคนร้ายได้ข้อมูลบัตรเครดิตชุดนี้มาจากการเข้าไปแฮกระบบข้อมูลฐานลูกค้าของร้านค้าขนาดใหญ่ร้านหนึ่งที่เปิดให้บริการอยู่ในห้างสรรพสินค้า เพราะร้านค้ามีข้อมูลที่จำเป็นในการใช้บัตรเครดิตของลูกค้าเชื่อมโยงกับหมายเลขโทรศัพท์ เพื่อใช้สำหรับงานด้านการตลาด


“ข้อมูลที่สำคัญบนบัตรเครดิตมี 3 ชุด คือ เลขบัตร 16 หลัก, วันหมดอายุ และเลขหลังบัตรที่มีแค่ 2-3 หลัก เวลาที่เราไปรูดบัตร หรือเราซื้อของบนออนไลน์ คนขายจะบันทึกข้อมูลเลข 16 หลัก และวันหมดอายุของบัตรเอาไว้ เพื่อเก็บไว้เป็นฐานข้อมูลพฤติกรรมการซื้อของลูกค้า ที่เรียกว่า POS (Point Of Sale) และนำข้อมูลไปติดต่อกับลูกค้าต่อไป ผ่านระบบที่เรียกว่า API (Application Programming Interface) ซึ่งช่วยในการขยายฐานลูกค้า มีข้อมูลว่า แฮกเกอร์กลุ่มนี้ได้เข้าไปแฮกระบบ API ของร้านค้าขนาดใหญ่ที่มีสาขาในห้างสรรพสินค้ามาได้ จนได้ข้อมูลบัตรเครดิตมาเป็นจำนวนนับสิบล้านราย”

“พอได้เลขบัตร 16 หลัก วันหมดอายุ และข้อมูลที่เชื่อมโยงกับหมายเลขโทรศัพท์มาแล้ว กลุ่มคนร้ายจะนำข้อมูลบัตรไปสมัครแอปฯ ที่ใช้ในการใช้จ่ายผ่านบัตรอย่าง Apple Pay และ Google Pay เพราะการสมัครเข้าไปใช้จ่ายเหล่านี้ ไม่จำเป็นต้องใช้บัตร ไม่สอบถามชื่อ-นามสกุลเจ้าของบัตร เพียงแค่กรอกข้อมูลตัวเลขทั้ง 3 ชุดให้ถูกต้องก็สามารถสมัครได้แล้ว

ซึ่งข้อมูลสุดท้ายที่กลุ่มคนร้ายังไม่มีคือ เลขหลังบัตร 3 หลัก ก็จะใช้วิธีใส่ตัวเลขลงไปในการสมัครตั้งแต่ 000-999 (แค่ 100 หมายเลข) กับข้อมูลบัตรทุกใบ ถึงแม้ว่าระบบจะกำหนดให้ใส่ผิดได้ไม่เกิน 3 ครั้ง แต่คนร้ายใช้คอมพิวเตอร์จำนวนมากผลัดกันสุ่ม และด้วยระบบในปัจจุบัน ก็จะใช้เวลาไม่กี่วินาที ได้ข้อมูลตัวเลขหลังบัตรที่ถูกต้องแล้ว จากนั้นก็นำบัตรไปจ่ายเงินในช่องไลฟ์ที่เปิดขึ้นมาเอง เพื่อฟอกเงินในบัตรให้กลายเป็นจริงๆ”

“คนร้ายที่แฮกระบบและสร้างซอฟท์แวร์มาล้วงข้อมูลให้เปิดใช้บัตรได้ เป็นกลุ่มชาวต่างชาติ แต่เมื่อแฮกไปแล้ว เขาทดลองดูดเงินจากบัตรไปบ้างแล้ว จะตีตราไว้ว่าข้อมูลเลขหมายไหนเป็นบัตรดี และนำข้อมูลบัตรมาขายต่อให้อาชญากรในไทย” แหล่งข่าวเปิดเผยที่มาของเหตุการณ์ดูดเงินครั้งใหญ่นี้

มีคำถามต่อมาว่า เมื่อคนร้ายได้ข้อมูลบัตรมาแล้ว นำไปใช้จ่ายโดยที่เจ้าของบัตรไม่รู้ได้อย่างไร เพราะโดยปกติทางธนาคารจะต้องส่งข้อมูลแจ้งเตือนการใช้จ่ายผ่านบัตรเครดิตให้กับลูกค้า หรือจะต้องให้ส่งหมายเลข OTP มาให้ลูกค้ายืนยันตัวตนก่อน แต่เหตุใดการใช้บัตรครั้งใหญ่รอบนี้จึงไม่มีการแจ้งเตือน

“ตรงนี้ถือเป็นช่องโหว่ที่เป็นหัวใจเลย มันสัมพันธ์กับเงิน 37 บาท ที่ถูกดูดออกไปแต่ละครั้ง” (1 ดอลลาร์สหรัฐ + บวกค่าบริการให้เจ้าของแพลตฟอร์ม) แหล่งข่าวกล่าว

“โดยปกติธนาคารจะมีระบบให้คนกลางมาให้บริการเรื่องความปลอดภัยกับลูกค้า เรียกว่า 3D Secure (D มาจากคำว่า Domain) เพื่อทำหน้าที่เป็นคนกลางคอยดูแลเรื่องความปลอดภัย เช่น การส่งหมายเลข OTP ให้ลูกค้ายืนยันตัวตนก่อนที่ธุรกรรมในโลกออนไลน์จะเกิดขึ้น

แต่มีสินค้าบางอย่างที่มีราคาต่ำ ไม่ถึง 100 บาท อย่างค่าบริการใช้แพลตฟอร์มต่างๆ เช่น แพลตฟอร์มดูหนัง ซึ่งหากส่งการแจ้งเตือนทุกครั้งเมื่อหักเงินจากบัตรเครดิตในราคาไม่กี่บาทจะสร้างความรำคาญ และทำให้ลูกค้าบางส่วนยกเลิกใช้บริการ จึงมีนโยบายใหม่ว่า จะไม่ส่งข้อความแจ้งเตือนและไม่ต้องใช้ OTP กับธุรกรรมทางออนไลน์ที่มีราคาถูกกลุ่มนี้

และนั่นกลายเป็นช่องทางที่ทำให้กลุ่มคนร้าย ใช้วิธีซื้อ “ไอเทม” ในช่องทางไลฟ์ ซึ่งจ่ายเพียงครั้งละ 37 บาท และไม่มีการแจ้งเตือน แม้จะจ่ายติดต่อกันต่อเนื่องนับร้อยๆ ครั้งก็ตาม โดยคนร้ายใช้วิธีการกดซื้อไอเทมอย่างต่อเนื่องด้วยเครื่องมือง่ายๆ คือ เครื่องกดรับงานอัตโนมัติที่กลุ่มไรเดอร์ ใช้เพื่อรับออเดอร์สินค้าออนไลน์”


แหล่งข่าวยังระบุว่า ถือเป็นโชคดีที่ยังมีนโยบายจำกัดวงเงินการซื้ออนไลน์ในแต่ละวัน เพราะไทยใช้ระบบที่ให้รับเลข OTP แค่ครั้งเดียวก็สามารถซื้อเท่าไหร่ก็ได้ จนกระทั่งเกิดเหตุการณ์ที่เด็กประถมซื้อไอเทมในเกมไป 4 แสนกว่าบาท จึงมีระบบจำกัดยอดการใช้ในแต่ละวัน

ดังนั้น คนร้ายจึงดูดเงินออกไปครั้งละ 37 บาท จนเต็มวงเงินที่ใช้ได้ใน 1 วัน ของเจ้าของบัตร จากนั้นก็นำข้อมูลนี้ไปขายต่ออีกทอดหนึ่ง โดยขายเป็นบัตร Apple Pay ใบละ 1,500 บาท และขายเป็นบัตร Google Pay ใบละ 1,000 บาท เพื่อส่งร่องรอยการก่อเหตุออกไปให้ผู้เล่นกลุ่มอื่น เรียกว่า เป็นการโยนฟุตพรินต์ (footprint) ออกไปจากตัวเอง

เขาบอกด้วยว่า กลุ่มที่ซื้อต่อไปอีกทอด ส่วนใหญ่นำบัตรไปใช้สำหรับการยิงโฆษณาขายสินค้าจากเฟซบุ๊ก เชื่อมกับแพลตฟอร์มขายสินค้าออนไลน์ชื่อดัง ซึ่งทำให้คนกลุ่มนี้ลดต้นทุนค่าโฆษณาให้คนเห็นสินค้าไปได้มาก ซึ่งเป็นวิธีที่ทำกันมานานแล้ว

“นี่เป็นจุดที่ควรจะถูกสังเกตเห็นมาแล้ว เพราะปัจจุบันการค้าขายสินค้าทางออนไลน์ มีต้นทุนค่าโฆษณาสูงเกินกว่า 50% ของราคาสินค้าที่ขายอยู่ด้วยซ้ำ ดังนั้นการใช้บัตรคนอื่นที่ซื้อมาในราคาเพียง 1,000-1,500 บาท มาใช้ยิงโฆษณา จึงลดต้นทุนไปได้มาก และทำให้ผู้ค้าออนไลน์ที่ใช้บัตรของคนอื่นยิงโฆษณา สามารถตั้งราคาสินค้าได้ถูกกว่าคู่แข่ง ทำให้ขายดีกว่ามาก”

ข้อมูลเหล่านี้เป็นข้อมูลจากแหล่งข่าวที่มีความน่าเชื่อถือในวงการซื้อขายสินค้าออนไลน์ เขามีเจตนาเพื่อชี้ให้เห็นช่องโหว่หลายจุดที่ควรเร่งแก้ไข เช่น การตัดเงินออกที่ละน้อยๆ แต่สามารถทำต่อเนื่องได้จนกว่าจะเต็มวงเงิน การใช้ข้อมูลเลขบัตรเครดิตไปสมัครบัตรซื้อสินค้าออนไลน์ที่ทำได้ง่ายมากโดยไม่ต้องระบุตัวตน รวมทั้งยังต้องการชี้ให้เห็นว่า ทั้งระบบและกฎหมายไทย ยังเป็นปัญหาที่จะป้องกันอาชญากรรมรูปแบบนี้

“ถามว่า ตอนนี้ต้องแก้ยังไง? ที่คิดออกตอนนี้นะ ไปปิดบัตรเดิมและเปิดบัตรใหม่” แหล่งข่าว กล่าวทิ้งท้าย
กำลังโหลดความคิดเห็น