xs
xsm
sm
md
lg

แฉ! กลโกงดูดเงินผ่าน “บัตรตื๊ด” บัตรอยู่ในกระเป๋าก็แฮกข้อมูลได้

เผยแพร่:   ปรับปรุง:   โดย: ผู้จัดการออนไลน์



“อ.ฝน-นรินทร์ฤทธิ์” กูรูด้านอาชญากรรมไซเบอร์ แฉวิธี “ดูดเงิน” ของมิจฉาชีพ ชี้ บัตรเครดิต-เดบิตชนิด NFC ซึ่งใช้วิธีแตะบัตรในการชำระเงินมีความเสี่ยงสูง คนร้ายสามารถแฮกข้อมูลและสั่งตัดเงินผ่าน WiFi ขณะเจ้าของพกพาบัตรไปในที่สาธารณะ แนะเจ้าของบัญชีผูกการแจ้งเตือนผ่าน SMS ตั้งวงเงินจำกัด และเก็บบัตรในกระเป๋านิรภัย ป้องกันการโจรกรรมข้อมูล ชี้ตามเงินคืนยาก เหตุร้านค้าและเซิร์ฟเวอร์ที่ใช้ก่อเหตุอยู่ในต่างประเทศ

ประเด็นซึ่งนับว่าเป็นภัยสังคมที่สร้างความหวั่นวิตกให้แก่คนไทยอย่างมากในขณะนี้คงหนีไม่พ้นกรณีการดูดเงินจากบัตรเครดิตและบัตรเดบิต ซึ่งล่าสุดมีผู้เสียหายถึง 40,000 คน โดยยอดเงินมากสุดที่ถูกดูดไปนั้นสูงถึง 200,000 บาทเลยทีเดียว ทำให้หลายคนสงสัยว่าคนร้ายดูดเงินจากบัตรออกไปได้อย่างไร? และมีวิธีการใดบ้าง? รวมถึงผู้ถือบัตรจะสามารถป้องกันไม่ให้ตนเองตกเป็นเหยื่อได้หรือไม่ อย่างไร?

“อาจารย์ฝน” นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล อุปนายกสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA)
อาจารย์ฝน” นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล อุปนายกสมาคมความมั่นคงปลอดภัยสารสนเทศ (TISA) ซึ่งเป็นหนึ่งในกูรูด้านอาชญากรรมไซเบอร์ เปิดเผยข้อมูลที่น่าสนใจว่า จากการตรวจสอบกรณีการดูดเงินจากบัญชีในปัจจุบันพบว่ามีลักษณะการก่อเหตุรูปแบบหนึ่งที่น่ากลัวมาก คือ การนำเทคโนโลยีในการชำระเงินแบบ “คอนแทกต์เลส” (Contactless) ซึ่งใช้กับบัตรเครดิตและบัตรเดบิตแบบ NFC (Near Field Communication) มาเป็นเครื่องมือในการก่อเหตุ ทั้งโดยการแอบสแกนบัตรตัดยอดเงินในขณะที่เจ้าของบัตรพกพาบัตรไปในที่สาธารณะ และการแฮกข้อมูลบัตรแล้วส่งข้อมูลดังกล่าวไปตัดยอดชำระเงินให้ร้านค้าในต่างประเทศ
 
โดย อ.นรินทร์ฤทธิ์ อธิบายวิธีการในการดูดเงินของมิจฉาชีพกลุ่มนี้ว่า เนื่องจากบัตรเครดิตและบัตรเดบิตแบบ NFC (Near Field Communication) เป็นบัตรที่มีวิธีจ่ายเงินแบบ “ไร้สัมผัส” หรือ “คอนแทกต์เลส” (Contactless) โดยทำธุรกรรมผ่านระบบ WiFi ซึ่งบัตรเครดิตและบัตรเดบิตรุ่นใหม่ที่ใช้อยู่ในปัจจุบันนั้นส่วนใหญ่เป็นแบบ NFC ทั้งสิ้น โดยการชำระเงินแบบ “คอนแทกต์เลส” (Contactless) นั้นผู้ใช้สามารถนำบัตรไปแตะที่เครื่องรูดบัตร EDC แล้วอนุมัติรายการได้เลย ไม่ต้องรูดหรือเสียบบัตร และไม่ต้องกดรหัส PIN 6 หลัก เหมือนบัตรเครดิตรุ่นเก่า

ซึ่งช่วงหลายปีที่ผ่านมา ธนาคารต่างๆ ได้ปรับวิธีการชำระเงินของบัตรเครดิตจากบัตรรูดหรือบัตรเสียบ มาเป็นบัตรแตะแบบ NFC รวมทั้งเพิ่มคุณสมบัติของบัตรเดบิตจากเดิมที่เป็นบัตรเอทีเอ็มสำหรับกดเงินสดอย่างเดียว มาเป็นบัตร NFC ที่สามารถใช้ชำระเงินในการซื้อสินค้าได้ด้วย โดยวิธีการใช้เหมือนกับการใช้บัตรแตะซื้อของในร้านเซเว่น อีเลฟเว่น หรือแตะบัตรขึ้นรถไฟฟ้า

สัญลักษณ์ Contactless เพื่อแสดงว่าเป็นบัตรแบบ NFC
ปัญหาก็คือ ความเสี่ยงจากการเป็นบัตรที่ทำธุรกรรมแบบไร้สัมผัสนั้น แม้จะออกแบบมาให้การทำธุรกรรมแต่ละครั้งบัตรกับเครื่องรูดบัตร mPOS ต้องห่างกันไม่เกิน 10 เซนติเมตร แต่เนื่องจากปัจจุบันเครื่องรูดบัตรถูกออกแบบมาให้มีขนาดเล็ก ใกล้เคียงกับมือถือ เป็นเครื่องรูดบัตรแบบพกพา สามารถถือไปไหนก็ได้ มิจฉาชีพจึงสามารถนำเครื่องรูดบัตรไปใช้ก่อเหตุในที่สาธารณะได้ เช่น เจ้าของบัตรที่เก็บบัตรเครดิตหรือบัตรเดบิตไว้ในกระเป๋าถือ กระเป๋าสตางค์ มิจฉาชีพสามารถนำเครื่องรูดบัตรที่เซ็ตข้อมูลการตัดเงินไว้มาแตะใกล้ๆ กระเป๋าเพื่อตัดยอดเงินออกไปได้ หรืออีกวิธีหนึ่งที่น่ากลัวมากคือการใช้เครื่องมือชนิดพิเศษสแกนเพื่อขโมยข้อมูลในบัตรขณะเจ้าของพกพาบัตรไปในที่สาธารณะ จากนั้นมิจฉาชีพจะนำข้อมูลที่ได้ไปใช้ทำรายการหักเงินซื้อสินค้า ซึ่งสามารถดำเนินการได้ตลอดเวลา โดยส่วนใหญ่ร้านค้าที่ตัดยอดเงินจะเป็นร้านค้าที่อยู่คนละประเทศกับผู้ถือบัตร ทำให้การติดตามตรวจสอบว่ามีการหักเงินได้อย่างไร ร้านค้ามีส่วนรู้เห็นด้วยหรือไม่ รวมถึงการเรียกเงินคืนล้วนเป็นไปได้ยาก

“ถ้าเจ้าของบัตรเครดิตหรือบัตรเดบิตเอาบัตรใส่กระเป๋าถือขึ้นรถไฟฟ้า หรือนั่งกินอาหารในฟูดคอร์ท แล้วมีคนถือเครื่อง mPOS อันเล็กๆมาเฉียดใกล้ๆ กระเป๋าในระยะ 10 เซนติเมตร เขาสามารถสแกนตัดยอดเงินจากบัตรตามจำนวนที่เขาตั้งไว้ได้เลย อีกกรณีที่อันตรายกว่าคือใช้เครื่องอ่านข้อมูลจากบัตรในลักษณะเดียวกับ mPOS แต่อ่านข้อมูลอย่างเดียว พออ่านข้อมูลเสร็จปุ๊บเครื่องสามารถส่งข้อมูลตัดยอดการชำระเงินไปที่ไหนก็ได้ในโลก และทำได้ตลอดเวลาเหมือนกับว่าบัตรนี้เป็นของเขา ในต่างประเทศพบเคสแบบนี้เยอะมาก และไม่มีใครยืนยันได้ว่าวิธีนี้จะไม่ถูกใช้ในประเทศไทย” อ.นรินทร์ฤทธิ์ กล่าว


ที่น่าสนอย่างยิ่งคือ วิธีการที่ อ.นรินทร์ฤทธิ์ระบุนั้นสอดคล้องกับผลการตรวจสอบล่าสุดของธนาคารแห่งประเทศไทยที่ระบุว่า การดูดเงินผ่านบัตร 90% เป็นรายการที่เกิดจากการทำธุรกรรมผ่านบัตรเดบิตเพื่อชำระค่าสินค้าและบริการกับร้านค้าออนไลน์ที่จดทะเบียนในต่างประเทศ และผลการตรวจสอบของ พล.ต.ต.นิเวศน์ อาภาวศิน ผู้บังคับการตรวจสอบและวิเคราะห์อาชญากรรมทางเทคโนโลยี (ผบก.ตอท.) กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) ซึ่งระบุว่า คนร้ายที่ก่อเหตุมีข้อมูลหน้าบัตรและหลังบัตร รวมถึงวันหมดอายุของบัตรด้วย

ดังนั้น จึงมีความเป็นไปได้ที่กลโกงในการดูดเงินจากบัญชีซึ่งนับเป็นอาชญากรรมไซเบอร์ครั้งใหญ่ของไทยที่เกิดขึ้นในขณะนี้นั้น มิจฉาชีพอาจจะใช้วิธีนำอุปกรณ์พิเศษมาสแกนเพื่อแฮกข้อมูลในบัตรเดบิตแบบ NFC แล้วนำข้อมูลไปทำรายการซื้อสินค้าจากต่างประเทศเพื่อดูดเงินจากบัตร โดยใช้กลไกการชำระเงินแบบ “คอนแทกต์เลส” ที่เชื่อมต่อข้อมูลด้วย WiFi เป็นเครื่องมือในการก่อเหตุ

หรือใช้วิธีที่ถูกพูดถึงมาก่อนหน้านี้คือนำข้อมูลสำคัญที่ผู้ถือบัตรกรอกเพื่อยืนยันตัวตนในการชำระเงินผ่านบัตรในการซื้อสินค้าออนไลน์ ได้แก่ หมายเลขบัตรเครดิต/เดบิต หมายเลข CVV (Card Verification Value) ซึ่งเป็นรหัส 3 ตัวด้านหลังบัตร ชื่อผู้ถือบัตร วันหมดอายุของบัตรไปใช้ในการปลอมแปลงตัวตนเป็นผู้ใช้บัตรแทน หรืออีกวิธีคือข้อมูลดังกล่าวถูกคัดลอกไปขณะที่ให้พนักงานนำบัตรไปสแกนเพื่อชำระเงินในการซื้อสินค้าหรือบริการจากร้านค้า และขายให้แก่กลุ่มมิจฉาชีพที่นำไปใช้ก่อเหตุ


สำหรับการป้องกันการดูดเงินจากบัตรเครดิตและบัตรเดบิตแบบ NFC นั้น อ.นรินทร์ฤทธิ์ แนะนำว่าควรดำเนินการดังนี้

1) ลงทะเบียนแจ้งเตือนความเคลื่อนไหวในการทำธุรกรรมผ่าน SMS
2) ตั้งค่าจำกัดวงเงินการใช้งานของบัตร หากมีความจำเป็นต้องใช้จ่ายในวงเงินที่สูงกว่าที่ตั้งไว้ก็แจ้งขยายวงเงินเป็นครั้งคราวไป
3) เก็บบัตรไว้ในกระเป๋าสตางค์นิรภัย ซึ่งผลิตด้วยเส้นใยผ้าแบบพิเศษสามารถป้องกันการจารกรรมข้อมูลบัตรเครดิต/เดบิต ซึ่งปัจจุบันสามารถหาซื้อได้ในร้านค้าออนไลน์เจ้าใหญ่ที่มีความน่าเชื่อถือ

ทั้งนี้ บางคนอาจไม่แน่ใจว่าบัตรเครดิตหรือบัตรเดบิตที่ตนเองใช้เป็นแบบ NFC หรือไม่ ข้อสังเกตง่ายๆ คือดูได้จากสัญลักษณ์ Contactless ซึ่งมีลักษณะเหมือนสัญญาณ WiFi ที่ปรากฏอยู่บนบัตร หากเป็นบัตรแบบ NFC ซึ่งความเสียงต่อการโจรกรรมนข้อมูลก็ให้ดำเนินการป้องกันตามวิธีที่กล่าว

เครื่องรูดบัตร mPOS ที่ใช้วิธีแตะบัตรในการชำระเงิน
ในส่วนของการติดตามเงินที่ถูกดูดไปจากบัญชีและการดำเนินการกับผู้กระทำผิดนั้น อ.นรินทร์ฤทธิ์ ชี้แจงว่า กรณีนี้ร้านค้าถือเป็นจำเลยที่ 1 เนื่องจากเป็นผู้รับโอนเงินจากบัญชีที่ถูกดูด ซึ่งธนาคารเจ้าของบัตรสามารถตรวจสอบได้ว่าร้านค้าใดที่เป็นผู้ตัดบัญชีไปเพราะการจะตัดเงินจากบัตรเครดิตหรือบัตรเดบิตของผู้ซื้อได้ ร้านค้าต้องมีการลงทะเบียนบัตรวีซ่า หรือมาสเตอร์ก่อน นอกจากนั้น ธนาคารจะต้องตรวจสอบต่อไปว่าร้านค้าดังกล่าวสมรู้ร่วมคิดกับมิจฉาชีพด้วยหรือไม่ หรือร้านค้าโดนแฮกบัญชีเพื่อใช้รับโอนเงินเหมือนกัน หลังจากดูดเงินจากบัตรไปเข้าบัญชีของร้านค้าแล้วมีการโอนเงินต่อไปยังบัญชีอื่นหรือเปล่า หากมีการโอนต่อก็มีความเป็นไปได้ที่ร้านจะถูกแฮกบัญชีหรือรู้เห็นกับแฮกเกอร์ โดยในการตรวจสอบบัญชีที่อยู่ในต่างประเทศนั้นธนาคารแห่งประเทศไทย และธนาคารพาณิชย์ของไทยก็มีเครือข่ายในการตรวจสอบการทำธุรกรรมที่ทุจริต ทั้งสถาบันการเงินและหน่วยงานของตำรวจสากล

“ต้องยอมรับว่าการจะติดตามเอาเงินที่ถูกดูดไปคืนจากร้านค้าในต่างประเทศ รวมถึงการดำเนินคดีกับกลุ่มมิจฉาชีพนั้นเป็นเรื่องยาก เนื่องจากกฎหมายต่างๆ ที่เรามีอยู่ เช่น พ.ร.บ.ธุรกรรมทางอิเล็กทรอนิกส์นั้นสามารถบังคับใช้ได้เฉพาะภายในประเทศไทยเท่านั้น แต่อินเทอร์เน็ตมันไม่มีพรมแดน มิจฉาชีพกับเหยื่อไม่จำเป็นต้องอยู่ที่เดียวกันก็สามารถก่อเหตุได้ เช่น เหยื่ออยู่เมืองไทย แต่อาชญากรอยู่ซาอุฯ เซิร์ฟเวอร์อยู่ในต่างประเทศ จะใช้กฎหมายของประเทศไหนบังคับ ดังนั้นวิธีที่ดีที่สุดคือการป้องกันตัวเองไม่ให้ตกเป็นเหยื่อ" อ.นรินทร์ฤทธิ์ กูรูด้านอาชญากรรมไซเบอร์ กล่าว




กำลังโหลดความคิดเห็น