ตีแผ่เบื้องหลัง "แฮ็กตู้เอทีเอ็ม" กรณีศึกษา 12 ล้านธนาคารออมสิน
กรณีศึกษากลโกงของโจรไฮเทค "เเฮ็กตู้เอทีเอ็มธนาคารออมสิน" จากมุมมองของผู้เชี่ยวชาญด้านความมั่นคงทางไซเบอร์ "ดร.โกเมน พิบูลย์โรจน์"
โดย...วรรณโชค ไชยสะอาด
เหตุการณ์โจรไฮเทคปล่อยโปรแกรมมัลแวร์เเฮ็กตู้เอทีเอ็มธนาคารออมสิน จำนวน 21 ตู้ กวาดเงินไปกว่า 12 ล้านบาท ปรากฎเป็นข่าวใหญ่ขึ้นหน้าหนึ่งหนังสือพิมพ์ทุกฉบับ แม้ว่าการก่ออาชญากรรมครั้งนี้จะไม่ส่งผลกระทบกับเงินในบัญชีลูกค้า แต่ก็สร้างความหวาดวิตกต่อระบบความปลอดภัยของธนาคารของเมืองไทยอยู่ไม่น้อย
ดร.โกเมน พิบูลย์โรจน์ ผู้ก่อตั้งเเละกรรมการผู้จัดการบริษัท T-NET ภายใต้การกำกับดูแลของศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (สวทช.) ในฐานะนักวิชาการผู้เชี่ยวชาญด้านความมั่นคงทางเทคโนโลยี อธิบายว่า การยึดตู้เอทีเอ็มด้วยโปรเเกรมมัลแวร์ที่คนร้ายใช้นั้น ทำได้ 3 วิธี ดังนี้
1.ปล่อยมัลแวร์ผ่านช่องเสียบยูเอสบีที่ตู้เอทีเอ็ม
“การติดตั้งตู้เอทีเอ็มมี 2 ลักษณะคือ แบบที่ติดอยู่กับผนังภายในสถานที่ และแบบที่ติดตั้งนอกสถานที่ (Stand Alone) ซึ่งตำแหน่งของอุปกรณ์ควบคุมหรือสิ่งต่างๆภายในตู้นั้นมีโมเดลที่สามารถค้นหาได้ไม่ยากอยู่แล้ว ด้านล่างเป็นเซฟเก็บเงิน คอมพิวเตอร์อยู่ด้านบน เอทีเอ็มบางตู้หากเป็นรุ่นเก่าเป็นไปได้ว่าไม่มีระบบป้องกันที่แน่นหนา หรือส่งสัญญาณเตือนภัยอย่างมีประสิทธิภาพ ถ้าคนร้ายสามารถเปิดได้ก็จะทำการเสียบยูเอสบีและปล่อยมัลแวร์เพื่อควบคุมตู้ในที่สุด”
2.ปล่อยมัลแวร์ผ่านระบบเน็ตเวิร์ก
“ตู้เอทีเอ็มนั้นมีการอัพเดทซอฟต์แวร์อยู่แล้ว ซึ่งซอฟต์แวร์จะถูกส่งมาจากสำนักงานใหญ่ วิธีการของแฮ็กเกอร์คือ แฮ็กเข้าไปที่สำนักงานใหญ่ของธนาคาร หรือแฮ็กเข้าไปยังแอ็คเคาท์ของผู้ดูแลระบบ ซึ่งอาจมีจำนวน 10 คนหรือ 20 คน สุ่มหาช่องโหว่หรือความผิดพลาดจากคนๆ หนึ่ง ก่อนจัดการฝังมัลแวร์เข้าไปกับตัวซอฟต์แวร์ที่จะอัพเกรดเพื่อพัฒนา หรือแก้ไขปัญหาที่ตู้เอทีเอ็ม
วิธีการนี้เคยเกิดขึ้นมาแล้วที่ไต้หวัน หลังจากฝังมัลแวร์เข้าระบบมาสักระยะ คนร้ายได้ลงมือโดยใช้อุปกรณ์เชื่อมต่อไร้สาย สั่งการให้ตู้เอทีเอ็มปล่อยเงินไหลออกมาตามที่ควบคุม โดยมีทีมอาชญากรไปรอรับ อย่างไรก็ตามวิธีการนี้ไม่น่าเป็นไปได้กับเหตุการณ์ที่เกิดขึ้นล่าสุดกับธนาคารออมสิน เนื่องจากเป็นลักษณะของทีมแฮ็กเกอร์ระดับโลก”
3.ฝังมัลแวร์ ในช่วงที่มีการปรับปรุงระบบตู้เอทีเอ็ม
“ตู้เอทีเอ็มต้องมีการ Maintenance ซ่อมบำรุงดูแลรักษาหรือปรับปรุงอยู่แล้ว ยิ่งปัจจุบันธนาคารหลายแห่งกำลังอยู่ในช่วงเปลี่ยนแปลงปรับระบบเอทีเอ็มจากบัตรแถบแม่เหล็กเป็นชิปการ์ด ซึ่งคาดว่าต้องมีการอัพเกรดระบบซอฟต์แวร์กันจำนวนมาก
การ maintenance มี 2 แนวทางคือ ธนาคารดูแลจัดการเองหรือจ้างบริษัทเอ้าท์ซอร์สดูแล คดีนี้เป็นไปได้ว่า คนร้ายอาจมีความผูกโยงกับเจ้าหน้าที่ธนาคารหรือเอ้าท์ซอร์ส เพื่อหาทางฝังมัลแวร์เข้าไปเพื่อยึดตู้ในที่สุด”
เมื่อสามารถฝังมัลแวร์เข้าไปที่ตู้เอทีเอ็มอันเปรียบเสมือนกับการยึดตู้ได้สำเร็จ ขั้นตอนต่อมาคือ วิธี"นำเงินออกมา"
ดร.โกเมน บอกว่า โดยทั่วไปทุกครั้งที่มีซ่อมบำรุง ปรับปรุง หรือแม้กระทั่งเติมเงินในตู้เอทีเอ็ม จำเป็นต้องการทดลองระบบเพื่อตรวจดูความถูกต้องเสมอ
“เวลาพนักงานนำเงินจากธนาคารไปใส่ในตู้จำนวน 2 ล้านบาท ก็ต้องมีการเทสระบบ ใส่เงิน เบิกเงิน เพื่อดูว่าระบบใช้งานอย่างถูกต้องและมีประสิทธิภาพหรือไม่ ซึ่งการเทสระบบเช่นนี้เป็นเรื่องระหว่างคนกับตู้เท่านั้น ไม่ได้ติดต่อกับธนาคาร ธนาคารรับรู้เพียงว่า ถ้าเติมเงินครบ 2 ล้านก็จบ ฟังก์ชั่นทดสอบพวกนี้ ปัญหาคือ หลังจากโจรยึดตู้ได้แล้ว มันก็จดจำรหัสโค้ดจากบัตรซึ่งเป็นฟังก์ชันพิเศษสำหรับพนักงานผู้เทสระบบ ก่อนจะกดโค้ดใส่ตู้เอทีเอ็มเพื่อให้เงินไหลออกมาตามใบสั่ง
พฤติกรรมของมิจฉาชีพที่ทำกับธนาคารออมสินนั้น สังเกตได้ว่า คนร้ายจะค่อยๆ ทยอยกดเงินจำนวนไม่มากนักต่อตู้ ส่วนใหญ่เกิดในพื้นที่ต่างจังหวัด เเละก่อเหตุเฉพาะเครื่องที่ติดตั้งนอกสถานที่ หรือ Stand Alone เท่านั้น"
ผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ บอกว่า ธนาคารจะทราบว่าตัวเองกำลังตกเป็นเหยื่อก็ต่อเมื่อจับสังเกตได้ว่าจำนวนเงินภายในตู้นั้นหมดลงอย่างรวดเร็วผิดปกติ
“ทยอยกดทีละ 2 หมื่น 4 หมื่น แบงค์ไม่รู้หรอก เพราะไม่มีประชาชนเสียหาย จะรู้ก็ต่อเมื่อ มีคนไปกดแล้วเงินไม่พอ ตู้ส่งสัญญาณเตือนไปยังแบงค์ ถ้าแบงค์เห็นว่า เฮ้ย...เพิ่งเติมเงินไปไม่นานนี้เอง จะหมดได้อย่างไร แล้วมีการตรวจสอบจริงจังนั่นแหละถึงทราบว่าตัวเองโดนเข้าให้แล้ว สาเหตุที่เลือกต่างจังหวัดก็เพราะตู้ไม่ได้เติมเงินบ่อย กว่าจะจับสังเกตได้ก็ใช้เวลา ผิดกับตู้เอทีเอ็มในกทม. ที่มีการใช้งานอย่างเป็นประจำ เรื่องมันจะแดงไว งานนี้เหมือนโจรปล้นแบงค์ เพราะประชาชนไม่ได้เดือดร้อน”
ดร.โกเมน ทิ้งท้ายว่า คดีนี้ต้องรู้ให้ชัดก่อนว่าคนร้ายใช้ช่องทางใด เพื่อหาแนวทางป้องกันที่แน่ชัด ซึ่งต้องทำการอัพเกรดซอฟท์แวร์ทางด้านความปลอดภัยและจัดการกับไวรัสมัลแวร์ทุกตู้เอทีเอ็ม นอกจากนั้นก็จำเป็นต้องพยายามปิดจุดอ่อน ช่องโหว่ และพัฒนาประสิทธิภาพความปลอดภัยของระบบอย่างต่อเนื่องและเข้มงวดต่อไป
“ภัยพวกนี้เกิดขึ้นมาแล้วในหลากประเทศ ทั้ง ไต้หวัน มาเลเซีย ญี่ปุ่น ซึ่งถือว่า เป็นเรื่องน่ากลัวสำหรับโลกอนาคต อย่างไรก็ตาม นับว่าโชคดีที่ไทยเราโดนไปแค่ 21 ตู้ 12 ล้านบาทเท่านั้น”
เหตุการณ์ดังกล่าวสะท้อนให้เห็นว่า วันที่เทคโนโลยีกำลังก้าวหน้าอย่างไม่หยุดยั้ง ไม่ใช่แค่ความปลอดภัยเท่านั้นที่ถูกยกระดับ แต่กลวิธีการโจรกรรมก็ร้ายกาจมากขึ้นเช่นเดียวกัน
ดร.โกเมน พิบูลย์โรจน์