ไขปริศนา “มัลแวร์” ตัวร้าย ดูดเงิน “เอทีเอ็ม”

กรณีที่คนร้ายโจรกรรมข้อมูลระบบของธนาคารออมสินสามารถนำเงินออกจากตู้เอทีเอ็มไปได้รวมกว่า 12 ล้านบาท

ซึ่งทางออมสินแจ้งว่าคนร้ายได้ใช้โปรแกรมมัลแวร์โจรกรรมเงินในตู้เอทีเอ็มไป หลายคนสงสัยว่ามัลแวร์คืออะไร

ข้อมูลจากไทยเซิร์ต (Thaicert) ศูนย์ประสานงานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย ระบุไว้ว่า มัลแวร์ย่อมาจากคำว่า Malicious Software หมายถึงซอฟต์แวร์ไม่พึงประสงค์ เป็นโปรแกรมที่ถูกเขียนขึ้นมาเพื่อทำอันตรายกับระบบ เช่น ทำให้คอมพิวเตอร์ทำงานผิดปกติ หรือเปิดช่องทางให้ผู้ไม่หวังดีเข้ามาควบคุมเครื่องคอมพิวเตอร์ได้ เป็นต้น

ประเภทของมัลแวร์แบ่งตามพฤติกรรมของการทำงาน เช่น ไวรัส (Virus) จะแพร่กระจายไปยังเครื่องอื่นๆ ผ่านไฟล์, เวิร์ม (Worm) จะแพร่กระจายไปยังเครื่องอื่นๆ ผ่านระบบเครือข่าย, โทรจัน (Trojan) จะหลอกว่าเป็นโปรแกรมที่ปลอดภัยแล้วให้ผู้ใช้หลงเชื่อนำไปติดตั้ง, แบ๊กดอร์ (Backdoor) เปิดช่องทางให้ผู้ไม่หวังดีเข้ามาควบคุมเครื่อง, รูทคิท (Rootkit) เปิดช่องทางให้ผู้ไม่หวังดีเข้ามาควบคุมเครื่อง พร้อมได้สิทธิของผู้ดูแลระบบ และสปายแวร์ (Spyware) แอบดูพฤติกรรมการใช้งานของผู้ใช้ และอาจขโมยข้อมูลส่วนตัวด้วย

มีรายงานว่าธนาคารเฟิร์สต์แบงก์ในไต้หวันถูกจารกรรมเงินสดออกจากตู้เอทีเอ็ม 41 แห่ง เป็นเงินราว 81 ล้านเหรียญไต้หวัน หรือราว 88.5 ล้านบาท เป็นลักษณะการใช้มัลแวร์เจาะระบบของตู้เอทีเอ็มเพื่อทำให้สามารถถอนเงินสดออกจากตู้ได้

ตำรวจไต้หวันจับกุมตัวผู้ต้องสงสัยก่อเหตุ เป็นชาวโรมาเนียและชาวมอลโดวาได้ เมื่อวันที่ 17 กรกฎาคม ที่โรงแรมแห่งหนึ่งในกรุงไทเป และเชื่อว่าการจารกรรมเงินสดจากตู้เอทีเอ็มในไต้หวันมีผู้เกี่ยวข้องกว่าสิบคน มีชาวรัสเซียต้องสงสัย 5 คน เดินทางออกจากไต้หวันไปหลังก่อเหตุ

เมื่อเดือนพฤษภาคม บริษัท แคสเปอร์สกี้ แลป หนึ่งในบริษัทเชี่ยวชาญด้านความปลอดภัยบนโลกไซเบอร์ เปิดเผยว่า กลุ่มแฮกเกอร์ที่ชื่อว่า “สกิเมอร์” (skimer) นำมัลแวร์ “สกิเมอร์” เวอร์ชั่นใหม่กลับมาใช้อีกครั้งกับตู้เอทีเอ็มเพื่อขโมยเงินของลูกค้าธนาคาร โดยเพิ่มความร้ายกาจและก่อภัยคุกคามรุนแรงต่อธนาคารและลูกค้าทั่วโลก และพบร่องรอยมัลแวร์เวอร์ชั่นที่ปรับปรุงแก้ไขใหม่ที่แอบฝังตัวอยู่ที่ตู้เอทีเอ็มที่รอยคอยคำสั่ง 21 รายการจากโจรไซเบอร์

กลุ่มสกิเมอร์เริ่มกระบวนการโจมตีโดยหาช่องทางเข้าระบบเอทีเอ็ม ไม่ว่าจะเป็นทางกายภาพ หรือการแฮกผ่านเครือข่ายภายในธนาคาร จากนั้นติดตั้งแบ๊กดอร์ Backdoor.Win32.Skimer ในระบบ แพร่กระจายสู่คอร์ของตู้เอทีเอ็ม ซึ่งเป็นส่วนสั่งการและสื่อสารกับโครงสร้างของระบบธนาคาร การเบิกจ่ายเงิน และบัตรเครดิต ทำให้โจรไซเบอร์สามารถถอนเงินจากตู้เอทีเอ็ม และขโมยข้อมูลต่างๆ จากบัตรทุกประเภทที่เสียบใช้ที่ตู้นี้ รวมถึงเลขบัญชีธนาคารและรหัสผ่าน ซึ่งมัลแวร์สกิเมอร์จะแตกต่างไปจากอุปกรณ์สกิมเมอร์ทั่วไปตรงที่ ผู้ใช้งานทั่วไปจะตรวจจับมัลแวร์เองไม่ได้ เพราะไม่มีลักษณะทางกายภาพให้เห็นว่าตู้เอทีเอ็มถูกตัดแปลง

กลุ่มโจรไซเบอร์มักวางแผนให้มัลแวร์ทำงานเก็บข้อมูลจากบัตรต่างๆ อย่างเงียบๆ นานหลายเดือน เมื่อถึงเวลาที่ต้องการ โจรไซเบอร์จะสอดบัตรแถบแม่เหล็กพิเศษที่ตู้เอทีเอ็ม และใช้คอมมานด์สั่งการที่มีทั้งหมด 21 คำสั่ง ไม่ว่าจะเป็นการกดเงินสด การเก็บข้อมูลจากบัตรของลูกค้าธนาคาร การลบมัลแวร์ และการอัพเดตมัลแวร์ เป็นต้น

ส่วนใหญ่แล้ว ข้อมูลบัญชีธนาคารและรหัสผ่านที่รวบรวมได้จากบัตรต่างๆ จะถูกคัดลอกใส่บัตรใหม่และนำไปใช้กดเงินสดที่ตู้เอทีเอ็มเครื่องอื่น เพื่อไม่ให้ธนาคารจับได้ว่า ตู้เอทีเอ็มเครื่องไหนที่มีมัลแวร์ เพื่อเก็บไว้แฮกข้อมูลได้ต่อไป

ทั้งนี้พบการระบาดของมัลแวร์สกิเมอร์ในวงกว้างที่ประเทศสหรัฐอาหรับเอมิเรตส์ ฝรั่งเศส สหรัฐอเมริกา รัสเซีย เขตปกครองพิเศษมาเก๊า จีน ฟิลิปปินส์ สเปน เยอรมนี จอร์เจีย โปแลนด์ บราซิล และสาธารณรัฐเช็ก

ขณะที่เมืองไทย การโจรกรรมเงินกว่า 12 ล้านบาท จากตู้เอทีเอ็ม ธนาคารออมสิน ในพื้นที่ 6 จังหวัด ประกอบด้วย จ.ภูเก็ต สุราษฎร์ธานี ชุมพร ประจวบคีรีขันธ์ เพชรบุรี และกรุงเทพฯ

พล.ต.อ.ปัญญา มาเม่น ที่ปรึกษา สบ10 ระบุว่า คนร้ายเป็นชาวยุโรปตะวันออกเป็นผู้ก่อเหตุ ใช้บัตรปลอมผลิตในประเทศยูเครน เสียบเข้าไปในตู้ก่อนจะถูกควบคุมด้วยไวรัสมัลแวร์ที่ถูกปล่อยมาก่อนหน้านี้ ทำให้เงินที่มีอยู่ในตู้ไหลออกมา ซึ่งตรวจสอบพบว่าไวรัสมัลแวร์ถูกส่งไปยังตู้เอทีเอ็มที่ใช้เป็นตู้ควบคุม 3 ตู้ใน จ.ภูเก็ต ก่อนกระจายไปอีก 21 ตู้ ใน 6 จังหวัด คนร้ายแบ่งหน้าที่กันอย่างชัดเจน และบางคนหลบหนีออกนอกประเทศแล้ว ตรวจสอบพบพฤติกรรมของคนร้ายเชื่อมโยงกับการก่อเหตุในประเทศไต้หวัน

เจ้าหน้าที่ตำรวจพบว่ากลุ่มโจรไฮเทคลอบแฮกเข้าระบบตั้งแต่เดือนมีนาคมถึงเมษายน เริ่มจากตู้เอทีเอ็มธนาคารออมสินที่ จ.พังงา ใช้คีย์บอร์ดและอุปกรณ์อิเล็กทรอนิกส์แฮก ส่งข้อมูลโปรแกรมมัลแวร์ (เป็นไวรัสชนิดหนึ่ง) เข้าไปในระบบของธนาคารออมสิน แม้ว่าขณะแฮกเข้าระบบ มีสัญญาณแจ้งเตือนไปยังตำรวจและธนาคาร แต่เจ้าหน้าที่ไม่เอะใจ เนื่องจากก่อนหน้านั้นคนร้ายใช้วิธีกระตุ้นให้สัญญาณเตือนภัยดังหลายครั้ง จนทำให้เจ้าหน้าที่คิดว่า ระบบสัญญาณแจ้งเตือนเสีย หรือเออเร่อร์ จากนั้นคนร้ายจะทอดระยะเวลาไปประมาณ 3 เดือน เพื่อให้ระบบและโปรแกรมฝังตัวในเซิร์ฟเวอร์ และเริ่มทำงาน ก่อนจะเริ่มลงมือ ใช้บัตรอิเล็กทรอนิกส์แบบชิปการ์ดตระเวนกดเงิน ตั้งแต่ภูเก็ตจนถึงกรุงเทพฯ

เมื่อคนร้ายเสียบบัตรตั้งโปรแกรมเอาไว้เข้าไปในเครื่องเอทีเอ็ม ตู้จะปล่อยธนบัตรออกมาโดยอัตโนมัติ 40 ฉบับ ทั้งที่โดยปกติตู้เอทีเอ็มจะจำกัดการกดเงินเพียง 20 ฉบับเท่านั้น กรณีที่ตู้เอทีเอ็มบางจุดมีเงินออกมาเพียงหลักแสน เนื่องจากเงินในตู้หมดก่อน

อย่างไรก็ดีมัลแวร์ตัวฉกาจนี้ บริษัทผลิตตู้เอทีเอ็มและธนาคารออมสินยังไม่ทราบชนิดแน่ชัด จึงส่งฮาร์ดดิสก์จากเครื่องที่ถูกแฮกเข้าระบบ ส่งไปให้บริษัทมีความเชี่ยวชาญตรวจที่สกอตแลนด์

ขณะที่ ดร.สมนึก พ่วงพรพิทักษ์ หัวหน้ากลุ่มงานวิจัย อินฟอเมชั่น ซีเคียวริตี้ แอนด์ แอดวานซ์ เน็ตเวิร์คแลป หรือ Isan ภาควิชาการคอมพิวเตอร์ มหาวิทยาลัยมหาสารคาม ที่ศึกษาและหาการป้องกันการเจาะระบบคอมพิวเตอร์ กล่าวว่า เทคนิคที่กลุ่มคนร้ายลงมือก่อเหตุชื่อว่า แจ๊กพ็อตติ้ง เอทีเอ็ม (Jackpotting ATM) ค้นพบโดย Mr.Barnaby Michael Douglas Jack และสาธิตวิธีการทำในงานประชุมวิชาการ Black Hat ในประเทศสหรัฐอเมริกา เมื่อปี 2010 ที่กลุ่มนักวิชาการด้านคอมพิวเตอร์ (แฮกเกอร์ฝ่ายดี) รวมตัวกันศึกษาหาช่องโหว่ของระบบซอฟต์แวร์ต่างๆ นำมาแสดงในงานเพื่อจุดประสงค์ให้ผู้ผลิตหรือผู้ให้บริการซอฟต์แวร์นั้นๆ รู้ถึงช่องโหว่ของซอฟต์แวร์ตัวเอง เพื่อนำกลับไปแก้ไขหาทางป้องกันจากกลุ่มแฮกเกอร์มิจฉาชีพ

“ต่อมาพบว่าในประเทศยุโรปช่วงปี 2013 ธนาคารต่างๆ ถูกกลุ่มแฮกเกอร์โจรกรรมด้วยวิธีการนี้ ใช้วิธีเจาะตู้กดเงินสดเพื่อเชื่อมต่อสายยูเอสบี และติดตั้งมัลแวร์ไปยังเครื่องที่เป็นตัวควบคุมในพื้นที่ เพื่อกระจายมัลแวร์ไปยังอีกหลายตู้ในพื้นที่ ก่อนจะลงมือนำบัตรอิเล็กทรอนิกส์ ที่ใส่รหัสสั่งการให้มัลแวร์ทำงานเสียบเข้าไปในเครื่องและเครื่องจะทำการจ่ายเงินสดในตู้ตามจำนวนที่ได้มีการตั้งค่าไว้ในตัวมัลแวร์” ดร.สมนึกระบุ และว่า ในประเทศไทยควรจะมีหน่วยงานที่เป็นตัวกลางในการหาทางป้องกันการโจรกรรมต่างๆ ของกลุ่มแฮกเกอร์ที่เป็นรูปธรรมกว่านี้ เพราะวิธีการนี้เป็นวิธีการเก่า ค้นพบมานานกว่า 6 ปี ประเทศไทยยังไม่มีการหาทางป้องกัน และทราบว่าตู้เอทีเอ็มรุ่นที่มีปัญหา ติดตั้งให้บริการจากธนาคารต่างๆ ทั่วประเทศกว่า 10,000 ตู้ ถือว่าธนาคารทุกแห่งในไทยที่ใช้ตู้เอทีเอ็มรุ่นนี้ยังมีความเสี่ยงหากยังไม่แก้ไข

“ขอฝากถึงหน่วยงานรัฐหรือกลุ่มธุรกิจธนาคารว่าควรตั้งกลุ่มงานกลาง ดูแลความเคลื่อนไหวของกลุ่มแฮกเกอร์ เพื่อหาแนวทางป้องกัน เนื่องจากมีการพัฒนาเทคนิคการแฮกข้อมูลและแฮกเงินสด จากกลุ่มโจรไซเบอร์ตลอดเวลา” ดร.สมนึกกล่าวทิ้งท้าย

Rate this post

Check Also

สดร.ระบุ “ภาพหลุมดำ” ใช้พิสูจน์ทฤษฎีสัมพัทธภาพทั่วไปของไอน์สไตน์ได้

เชเพิร์ด โดเลแม ...

@ เว็ปไซต์ เพื่อข้อมูลข่าวสารทางด้านการศึกษา www.krupunmai.com @ ครูพันธุ์ใหม่ดอทคอม @