"สรุป" กรณีแฮกเงิน ธ. ออมสินจากการวิเคราะห์:-

(ขอบคุณ คุณนฤดม รุ่งศิริวงศ์ Narudom Roongsiriwong Vice President, IT Security ธนาคารเกียรตินาคิน จำกัด (มหาชน) ที่ให้ความกรุณาตรวจทานความถูกต้อง)

"สรุป" กรณีแฮกเงิน ธ. ออมสินจากการวิเคราะห์:-

#ปฏิบัติการปล้นเงินตู้เอทีเอ็ม ที่แฮกกันจริงอะไรจริง มันทำกันได้จริงเหรอ แล้วสลากออมสินเราจะปลอดภัยมั้ย ว่ากันใน #สรุปเดียว

1. คืองี้... เมื่อวานนี้มีข่าวว่าธนาคารออมสินสั่งปิดตู้เอทีเอ็มสามพันกว่าเครื่องทั่วประเทศ เพราะตรวจเจอว่ามีหัวขโมยมาดึงเงินสดๆ จากตู้ของธนาคารไป 12 ล้านกว่า จาก 21 ตู้เอทีเอ็ม แถมเงินที่ถูกเอาไปไม่ได้ดึงจากเงินในบัญชีลูกค้าเหมือนเคสก่อนๆ ด้วยเงินที่โดนไปเป็นเงินของธนาคารเองเลย โอ้ ล้ำมาก นี่มันหนังฮอลลีวูดชัดๆ

2. เคสก่อนๆนี้ที่ไทยเราเจอบ่อยๆจะเป็นว่าเราไปกดเงินจากตู้แล้วเจอก๊อปปี้ข้อมูลในบัตรเอทีเอ็มไป แล้วคนร้ายก็เอาไปทำบัตรปลอมของเรา แล้วไปกดเงินออกจากบัญชีของเรา

อันนั้นใช้วิธีติดตั้งเครื่องอ่านบัตรไว้ที่ตู้เลย หรือที่เรียกกันว่า Skimming แต่วิธีนี้มันได้เงินน้อย ชาวบ้านเดินมากดเอทีเอ็มคงมีไม่กี่คนหรอกที่มีเงินหลักสิบล้าน แถมต้องเดินไล่กดทีละเครื่อง เจอลิมิตห้ามถอนเกินเท่าไหร่ๆ เข้าไปอีก ยังงี้เมื่อไหร่จะรวย หลังๆ มานี้เลยมีการคิดค้นวิธีใหม่โดยใช้ “มัลแวร์” ขึ้นมาแทน

3. เอาล่ะ ก่อนจะไปดูว่าแฮกด้วยมัลแวร์เป็นยังไง จะขอเล่าก่อนว่าข้างในตู้เอทีเอ็มมันมีอะไรอยู่ คือพวกเครื่องเอทีเอ็มส่วนใหญ่ที่ใช้กันในโลกมันก็รันด้วยเครื่องคอมพิวเตอร์คล้ายๆที่เราใช้ตามบ้านนี่แหละ ใช้วินโดวส์ ใช้ DOS หรือโอเอสของตัวเอง แล้วลงโปรแกรมเฉพาะที่เอาไว้ควบคุมกลไกการจ่ายเงินอีกที เพราะงั้นถ้าเปิดตู้มาดูก็จะเห็นเครื่องคล้ายๆ พีซี มีพอร์ตมาตรฐานต่างๆ อย่างพอร์ต USB, COM หรือแม้แต่ CD-ROM (ซึ่งในการใช้งานจริง ก่อนเอาไปใช้งานเครื่องจะต้องตั้งค่าปิดพอร์ตพวกนี้ตั้งแต่ระดับ BIOS, ล๊อกห้ามลงโปรแกรมเพิ่ม, ซิงค์ NTP, ปิด TCP/UDP portที่ไม่ได้ใช้งาน หรืออื่นๆที่จะทำให้เจาะเครื่องได้ยากขึ้นอีกขั้น เรียกว่าการทำ hardening)

4. เจ้าพวกเครื่องที่ไม่ได้ hardening หรือทำมาแบบไม่ครบถ้วนนี่แหละ เป็นขนมกรุบสำหรับพวกแฮกเกอร์เลย เพราะสามารถใช้วิธีฝังโปรแกรมคอมพิวเตอร์แปลกปลอม หรือที่เรียกว่า มัลแวร์ (malware) ลงไปในเครื่องคอมพิวเตอร์ของเอทีเอ็ม แล้วโปรแกรมจะคอยรับคำสั่งคนร้ายให้ดึงเงินออกมาได้ ซึ่งเป็นวิธีที่หลายประเทศก็โดนกันไปในช่วงไม่กี่ปีนี้ ทั้งรัสเซีย เม็กซิโก มาเลเซีย ไต้หวัน และรอบล่าสุดก็ที่ไทยนี่แหละ

5. ส่วนวิธีโหลดมัลแวร์เข้าไปก็มีหลายแบบ แบบต่อตรงๆ ก็ไปหากุญแจไขเปิดหลังตู้ซะ หรือถึกหน่อยก็เจาะฝาตู้เลย แล้วเข้าไปโหลดมัลแวร์เข้าเครื่องพีซีตรงๆ ซึ่งถ้าคนร้ายมีกุญแจดอกมาสเตอร์ที่ไขได้ทุกตู้อยู่แล้วก็สบาย พอเปิดได้แล้วจะโหลดผ่าน USB หรือยัดแผ่นซีดีก็ลุยได้ทุกท่า

6. อย่างเช่นมัลแวร์ที่ชื่อ Backdoor.Ploutus.B ที่มีการตรวจเจอปี 2013 จะใช้วิธีเอามือถือต่อผ่านพอร์ต USB แล้วโหลดมัลแวร์ไปฝังไว้ แล้วส่ง SMS เข้าไปสั่งงานได้เลย จะให้ปล่อยเงินออกออกมาเท่าไหร่ก็สั่งได้สบายละ

7. หรือมัลแวร์อีกตัวที่ชื่อ Tyupkin ที่แล็บของ Kaspersky ตรวจเจอเมื่อปี 2014 นี่ใช้วิธีลงผ่านแผ่นซีดีแล้วสั่งบูตให้โหลดมัลแวร์ไปฝังไว้ก่อน เสร็จแล้วเอทีเอ็มก็ยังทำงานได้ปกติทุกอย่าง แต่พอเวลาคนร้ายเดินมากดกดรหัสพิเศษที่ตั้งเองตั้งไว้เองบนเครื่องเอทีเอ็มไม่กี่จึ๊ก ก็ดึงเงินออกมาเกลี้ยงตู้ได้เลย นอกจากนี้ก็ยังมีมัลแวร์ตัวอื่นอีกอย่าง Backdoor.Pinpad ก็ให้โหลดผ่านซีดีเหมือนกัน

8. แล้วยังมีเทคนิคที่ซับซ้อนอื่นๆ ที่ผู้เชี่ยวชาญเคยเจอกันมา ก็อย่างเช่น แฝงติดไปกับช่างตอนเอา USB Drive ไปอัพเดทซอฟแวร์หรือไปทำการซ่อมบำรุงที่ตู้ กับอีกวิธีคือไปเจาะระบบ Server ที่ควบคุมระบบ ATM ผ่านทางเนตเวิร์ก ซึ่งปกติระบบนี้จะไม่ได้เชื่อมต่อกับเครือข่ายอื่นโดยตรง แต่ก็ไม่ได้แยกขาดกันซะทีเดียว จะเข้าถึงได้จากเครื่องเฉพาะที่กำหนดเท่านั้น แฮกเกอร์ก็จะใช้วิธีเจาะผ่านเครื่องที่สามารถเข้าถึงเซิร์ฟเวอร์พวกนี้ได้อีกที

9. ส่วนวิธีที่พวกแฮกเกอร์เขียนมัลแวร์พวกนี้ขึ้นมาเนี่ย ก็เหมือนพวกแฮกเกอร์อื่นๆ ที่อาศัยช่องโหว่ของโปรแกรมหรือของโอเอสเจาะเข้าไป ซึ่งถ้าเป็นคอมตามบ้านหรือเซิฟร์เวอร์ที่คนใช้กันทั่วไปก็ไม่ยากอะไร เพราะเครื่องไหนก็ไม่ต่างกันมากนัก แต่ในเคสของระบบตู้เอทีเอ็มมันจะไม่ใช่ Windows ปกติธรรมดา แต่จะมีโปรแกรมเฉพาะที่ออกแบบมาสำหรับเครื่องเอทีเอ็ม คนก็จะชอบคิดไปว่ามันก็ปลอดภัยชัวร์ เพราะเป็นระบบเฉพาะ ไม่ค่อยมีคนรู้ ไม่มีวางขายทั่วไป แฮกเกอร์มันจะรู้ได้ไงเล่าว่าต้องเขียนเจาะช่องโหว่ไหน หรือต้องใช้คำสั่งอะไรยังไง บ้านพวกมันมีเครื่องเอทีเอ็มให้หัดเจาะเล่นเหรอไง

10. แต่จริงๆแล้วสำหรับแฮกเกอร์ก็ลำบากเพียงแค่ยกมือ เพราะกูเกิลไปก็เจอแล้ว คู่มือการเขียนโปรแกรม (Programmer's Reference Manual) คู่มือการใช้งาน (Operation Manual) มีของตู้เอทีเอ็มแทบทุกยี่ห้อ ตำแหน่งรูกุญแจตำแหน่งตัวล๊อกอะไรก็มีบอกไว้หมด แถมพวกตู้เอทีเอ็มมือสองก็หาซื้อได้ง่ายๆ จากอาลีบาบาหรือเว็บขายของใต้ดิน ช้อปปิ้งเอามาเจาะเล่นได้เพลินๆ เลย อย่างยี่ห้อ NCR ผู้ผลิตตู้เอทีเอ็มเจ้าใหญ่ของสก๊อตแลนด์ ของธนาคารออมสินที่มีปัญหาอยู่นี่ ก็มีคู่มือแปะหราอยู่ในเว็บอีบุ๊คของจีนเลย (ใครสนใจลองหาคำว่า wosa_ncr ที่ baidu ได้นะจ๊ะ)

#สรุป 1 เรายังไม่รู้ชัดๆ ว่าคนร้ายใช้วิธีไหนในการฝังมัลแวร์ รวมถึงไม่รู้ว่าเป็นมัลแวร์ตัวไหน การแฮกตู้เริ่มมาตั้งแต่วันที่ 1 สิงหา ตอนนี้ทางออมสินส่งข้อมูลไปให้บริษัท NCR ที่เป็นผู้ผลิตตู้ให้วิเคราะห์ดูแล้ว ซึ่งเราคงได้รู้รายละเอียดในเร็ววัน แต่ไม่ว่าจะเป็นวิธีไหน ธนาคารไหนที่ใช้รู้ตัวว่าใช้ยี่ห้อนี้ก็คงระวังตัวอย่างเต็มที่ ใครไปกดเงินแล้วเจอเครื่องมันปิดปรับปรุงก็ทำใจหน่อยนะช่วงนี้ ชีวิตคงอยู่กันยากขึ้น เอ๊ะ...หรือเป็นกุศโลบายให้เราไปก้าวไปสู่สังคมไร้เงินสด #เอ้าสมัครพร้อมเพย์กันเลยพวกเรา

#สรุป 2 งานนี้ออมสินซวยหน่อยที่ตกเป็นเหยื่อแก๊งค์โจรปล้มเอทีเอ็มข้ามชาติ แต่โชคยังดีโดนไปนิดหน่อยแค่ 12ล้านกว่า เพราะประเทศอื่นๆ ที่เจอมีหนักกว่านี้เยอะ อย่างไต้หวันโดนไปเมื่อ ก.ค. ที่ผ่านมาเกือบ 70ล้านบาท หรือมาเลย์ก็เคยโดนไปเกือบ 30ล้านบาท แม้แต่ญี่ปุ่นก็เพิ่งโดนไปเมื่อไม่กี่เดือนก่อน เสียหายร่วมพันล้านเยน แต่วิธีการต่างกันนิดหน่อย อันนั้นคนร้ายใช้บัตรเครดิตปลอมที่ได้ข้อมูลจากการแฮคระบบออนไลน์ในแอฟริกา แต่เอามากดเงินที่ญี่ปุ่น ตอนนี้ก็ยังจับคนร้ายไม่ได้

#สรุป 3 เจอเคสนี้เข้าไป คดีโอนเงินพ่อค้าเกือบล้านบาทวันก่อนนี่ดูเด็กๆ ไปเลยจ้ะ เพราะรอบนี้เขาแอดวานซ์จริงอะไรจริง