ตำรวจไซเบอร์เผยจับกุมวิศวกรขายซอฟต์แวร์โอนเงินโดยไม่ต้องพึ่งแอปธนาคาร ด้านแบงก์ชาติบอกช่องโหว่เก่า

กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (ตำรวจไซเบอร์) เผยผลการจับกุมนายณัฐพงษ์ วิศวกรวัย 28 ปี ผู้ต้องหาในจังหวัดกาฬสินธุ์ที่ขายซอฟต์แวร์ API Bypass Face Scan ที่สามารถนำไปใช้ถอนเงินจากบัญชีธนาคารแห่งหนึ่งโดยไม่ต้องใช้แอปธนาคาร

จากการสาธิตของนายณัฐพงษ์ให้กับตำรวจไซเบอร์พบว่า การทำงานของ API Bypass Face Scan จะลอดผ่าน Application Programming Interface (API) ที่เป็นฟังก์ชันในการเชื่อมต่อกับแพลตฟอร์มการทำธุรกรรมของธนาคาร โดยจะสามารถใช้เว็บเบราว์เซอร์แทนแอปธนาคารได้

มี OTP กับ Pin ก็โอนได้

สำหรับการทำงานของ API Bypass Face Scan จะแบ่งเป็น 2 รูปแบบ รูปแบบแรกคือการยกเลิกระบบสแกนใบหน้าเมื่อต้องการโอนเงินมากกว่า 50,000 บาท

ขณะที่ รูปแบบหลังซึ่งอันตรายกว่ามาก คือการอนุญาตให้ผู้ใช้ซอฟต์แวร์ตัวนี้กรอกข้อมูลบัญชีธนาคารเป้าหมาย โดยป้อนข้อมูลเลขบัญชีใดก็ได้ ใส่ pin ของแอป ใส่จำนวนเงินที่ต้องการโอน และเลขบัญชีปลายทาง จากนั้นระบบจะส่งหมายเลข OTP (One-Time Password) ไปยังโทรศัพท์ของเจ้าของบัญชี เมื่อกรอกเรียบร้อยก็เท่ากับการทำธุรกรรมเสร็จสิ้น

หมายความว่าหากมี API Bypass Face Scan อยู่ในมือ และมีช่องทางในการเข้าไปอ่าน SMS เพื่อดู OTP ของเป้าหมาย และรู้ pin ล็อกก็จะสามารถดูดเงินจากบัญชีไปได้โดยง่าย

นายณัฐพงษ์ชี้ว่าเครื่องมือนี้เป็นที่สนใจของกลุ่มมิจฉาชีพที่ต้องการโอนเงินทีละมาก ๆ ไปยังบัญชีอื่นอย่างรวดเร็วและรอดพ้นจากการตรวจสอบของธนาคาร

ทำไม KYC จึงสำคัญ

ธนาคารแห่งประเทศไทย (ธปท.) ระบุไว้ในประกาศที่มีผลใช้บังคับเมื่อปี 2562 ว่า KYC (หรือที่ ธปท. เรียกว่ากระบวนการรู้จักลูกค้า) ที่บังคับให้ทุกธนาคารต้องมีนั้น เป็นมาตรการป้องกันการปลอมแปลงการทำธุรกรรมโดยใช้บัญชีของคนอื่น และยังเป็นมาตรการป้องกันการฟอกเงินด้วย

เนื่องจากการมีระบบที่ตรวจสอบการทำโอนเงินจำนวนมาก ๆ จะช่วยให้ธนาคารตรวจพบการเคลื่อนย้ายเงินที่มากผิดปกติได้ทันที  แต่หากมีระบบที่ยกเลิกหรือลอดผ่าน KYC แล้ว เหล่าอาชญากรก็จะสามารถเคลื่อนย้ายเงินเพื่อสนับสนุนการกระทำผิดโดยสะดวก

ทั้งนี้ ยังไม่มีข้อมูลว่า API Bypass Face Scanner ใช้ช่องโหว่จากระบบของธนาคารใด หรือแท้จริงแล้วอาจมีมากกว่า 1 ธนาคาร ก็คงต้องรอคำชี้แจงจากธนาคารต่าง ๆ ต่อไป

ซึ่งธนาคารแห่งประเทศไทยได้แจ้งเพิ่มเติมว่ากรณีนี้เป็นเคสเก่า ที่ถูกปิดรูรั่วแล้ว แต่ก็ยังมีข้อสงสัยว่าทำไมตอนแถลงข่าวถึงยังโชว์ว่าโอนได้อยู่

ราชกิจจานุเบกษา, ตำรวจไซเบอร์,  ข่าวสด, IBM

พิสูจน์อักษร : สุชยา เกษจำรัส