กรณีปลดล็อกสแกนหน้าดูดเงิน หรือเกณฑ์แบงก์ชาติ จับไม่ได้ ไล่ไม่ทัน มิจฉาชีพ?

เมื่อช่วงต้นเดือนพฤศจิกายนที่ผ่านมา ตำรวจไซเบอร์ตามรวบโบรกเกอร์ประกันภัยชื่อดัง ขายข้อมูลลูกค้านับล้านรายชื่อให้แก่ มิจฉาชีพ กรณีนี้ได้ถูกนำมาขยายผลตามจับโปรแกรมเมอร์ขายโปรแกรมสแกนใบหน้าด้วย ซึ่งประเด็นที่ปรากฏในข่าวที่ทำเอาหลายคนกังวล คือ 

ใครๆ ก็โดนดูดเงินได้ โดยไม่ต้องสแกนใบหน้า ต้องบอกว่า จริงๆ แล้วไม่ใช่อย่างนั้น และมีสิ่งที่น่าตั้งข้อสังเกต ทั้งกับธนาคาร และหน่วยงานที่เกี่ยวข้องถึงเรื่องราวที่เกิดขึ้นด้วย ซึ่งเราจะมีมาดูเรื่องราวที่แท้จริง และพูดคุยกันในบทความนี้ครับ 

อย่างแรกก็มารู้จักบัญชีม้ากันก่อน ...

บัญชีม้า คือ บัญชีที่มิจฉาชีพไปจ้างใครสักคนนึงมาเปิดบัญชีให้ และทำธุรกรรมออนไลน์ พร้อมกับเบอร์โทรศัพท์ประจำบัญชี 

บัญชีม้าส่วนหนึ่งใช้รับเงินจากคนที่เล่นการพนันออนไลน์ คนที่จะเล่นจะต้องโอนเงินเข้ามาที่บัญชีม้า แล้วมิจฉาชีพที่ทำงานให้บ่อนการพนันก็จะโอนเงินเข้าบัญชีจริงของบ่อนอีกทีนึง อีกกรณีนึงคือใช้รับเงินจากเหยื่อที่โอนเงินมาให้แก๊งต้มตุ๋น call center

ทีนี้คนที่ต้องโอนเงินจากบัญชีม้า ไปบัญชีบ่อน มักจะใช้ 2 วิธีหลักในการโอนเงิน คือโอนจาก app บนมือถือ หรือโอนโดยใช้ browser หรือที่เรียกว่าอินเทอร์เน็ตแบงก์กิ้ง การใช้ app บนโทรศัพท์ก็ต้องสแกนใบหน้า ซึ่งจะให้เจ้าของบัญชีม้าตัวจริงมาคอยสแกนให้ก็ไม่ไหว ก็ต้องไปใช้ browser 

เมื่อเป็นเช่นนี้ คนทำบ่อนพนันออนไลน์ก็ต้องการเพิ่มประสิทธิภาพของการโอนเงิน จึงไปจ้างคนเขียนโปรแกรมมา เพื่อทำให้ระบบการโอนเงินค่อนข้างอัตโนมัติ 

ซึ่งผมขอเรียกโปรแกรมพวกนี้ว่าสคริปต์ (script)

สคริปต์ ใช้วิธี login ด้วยชื่อและ password ของเจ้าของบัญชีม้า หลังจากนั้นก็สั่งโอนเงิน ถ้ามี OTP  ก็ตอบไป แล้วก็สั่งโอนผ่านระบบ API อินเทอร์เน็ตแบงก์กิ้ง ซึ่งทั้งหมดนี้สามารถทำได้โดยไม่ต้องใช้คน 

แต่การที่จะทำแบบนี้ได้ คนเปิดบัญชีม้าต้องให้ความร่วมมือ โดยเอา username และ password รวมทั้งโทรศัพท์ให้ผู้ร้าย เพื่อไว้รับ OTP และอีกอย่างระบบธนาคารต้องมีช่องโหว่จากสคริปต์ด้วย

ซึ่งโดยปกติแล้วระบบของธนาคารจะมีการป้องกันการใช้ สคริปต์อยู่แล้ว เช่น การ login จะทำได้โดยคนเท่านั้น 

แต่ประเด็นมันอยู่ตรงที่ว่า ทางฝ่ายผู้ร้ายพบว่า มีอยู่ธนาคารนึงทำระบบ Internet banking แบบมีช่องโหว่ที่ทำให้สั่งโอนเงินโดยใช้สคริปต์ได้ แบบไม่ต้องมีคนเกี่ยวข้อง ก็เลยใช้การเปิดบัญชีม้าที่ธนาคารนี้ แต่ปัจจุบันช่องโหว่นี้ได้ปิดไปแล้ว

ส่วนธนาคารอื่นไม่ได้มีช่องโหว่ สำหรับการใช้สคริปต์โอนเงินแบบนี้

สรุปกรณีนี้ คือ ความปลอดภัยของคนใช้ยังมีอยู่ในระดับที่ดี ผู้ร้ายไม่สามารถโอนเงินจากบัญชีของเหยื่อได้ ถ้าเหยื่อไม่ให้ความร่วมมือ 

ต่อมาจะเป็นเรื่องที่น่าตั้งข้อสังเกตสำหรับประเด็นนี้ คือ

1. ธนาคารต้นเรื่อง ลืมปิดช่องโหว่ทั้งๆ ที่จ้างบริษัทที่ปรึกษาต่างชาติเป็นพันล้านบาท

2. การเปิดบัญชีม้าทำได้ง่ายเกินไป ธนาคารแทบทุกธนาคาร ควรจะต้องแก้ไขตรงนี้ 

3. ธนาคารไม่ต้องมีความรับผิดชอบ กับการตรวจสอบเรื่องโอนเงินเข้าออกที่บัญชีม้า ถ้าเมื่อไหร่ธนาคารต้องจ่ายเงินชดเชย ก็จะเอาเทคโนโลยีมาป้องกันเรื่องนี้เอง  เทคโนโลยีพวกนี้สามารถตรวจจับ รูปแบบการโอนเงินเข้าออกบัญชีม้าได้ จะใช้ AI ก็ได้ AI สามารถเตือนพนักงานธนาคาร ให้โทรไปหาเจ้าของบัญชีม้าหรือเหยื่อได้ หรือชะลอความเร็วในการโอนเงิน หรือให้เจ้าของบัญชีม้าหรือเหยื่อต้องโทรกลับมาหาธนาคาร เอาเทคโนโลยีที่ชอบใช้ขายของกับเรามาเตือนคนที่ถูกหลอกให้โอนเงินนั่นแหละ

ดังนั้นธนาคารแห่งประเทศไทยควรมีนโยบายไปเลยว่าให้ธนาคารต่างๆ ต้องรับผิดชอบ ความเสียหายส่วนหนึ่ง

4. ที่สำคัญที่สุดคือผู้รักษากฎหมายที่ไม่ทำหน้าที่ ตำรวจไซเบอร์ฝ่ายเดียวไม่มีทางทำงานทัน ผู้รักษากฎหมายรู้อยู่นานแล้วว่าใครเป็นตัวร้าย แต่ไม่ได้สนใจจะจับ ส่วนใหญ่ทำตามฤดูกาลที่ต้องการโชว์ผลงาน จับเป็นพิธี แล้วแถมบางกรณียังมีส่วนร่วมในการทำบ่อนการพนันออนไลน์ด้วย ตรงนี้แหละที่เป็นตัวปล่อยขยะเข้ามาในระบบการเงิน แทนที่จะเป็นตัวกรองขยะไม่ให้เข้ามา

พอเป็นข่าว ธนาคารดังกล่าวได้ปิดช่องโหว่เรียบร้อยแล้ว ดังนั้น การโอนเงินจากบัญชีม้าไปบัญชีเจ้าของบ่อนตัวจริงจะทำได้ยากขึ้น รวมทั้งเจ้าของบัญชีที่เก็บรักษาพาสเวิร์ดและ OTP จากโทรศัพท์เป็นอย่างดี ไม่ควรต้องกังวลว่าบัญชีของตนจะถูกโอนเงินโดยไม่รู้ตัวครับ