ตำรวจไซเบอร์จับกุมโปรแกรมเมอร์ขายโปรแกรมข้ามการสแกนใบหน้าแอปธนาคาร

By lew Founder on Tag: Thailand, Crime
Thailand

วันนี้กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (ตำรวจไซเบอร์) แถลงข่าวการจับกุมอาชญากรที่เกี่ยวข้องกับกลุ่มอาชญากร 3 กลุ่ม เป็นการจับกุมผู้นำข้อมูลส่วนบุคคลไปขายใน Dark Web สองกลุ่ม แต่รายหนึ่งคือนายณัฐพงษ์ อายุ 28 ปี ขายโปรแกรม API Bypass Face Scan ที่เปิดทางให้คนร้ายสามารถโอนเงินออกจากเครื่องของเหยื่อได้ แม้มีรายการโอนเงินเกิน 50,000 บาทโดยไม่ต้องสแกนใบหน้า

API Bypass Face Scan ต้องการเพียง PIN ของเหยื่อและหมายเลข OTP จากโทรศัพท์เท่านั้น ไม่จำเป็นต้องเปิดแอปพลิเคชั่นธนาคารแต่อย่างใด แต่สามารถโอนเงินเกิน 50,000 บาทได้ทันที แนวทางนี้น่าจะเกิดจากความผิดพลาดของการออกแบบระบบธนาคารเองที่ API server ไม่ได้ตรวจสอบว่า client ยืนยันใบหน้าแล้วจริง แต่กลับไปล็อกการทำงานด้วย แอปพลิเคชั่นไม่ให้กดโอนเงินได้เท่านั้น

ตำรวจตั้งข้อหานายณัฐพงษ์ 5 ข้อหา ตามมาตรา 6, 7, 8, 9, และ 12 ของพรบ.คอมพิวเตอร์ฯ

ที่มา - Facebook: ตำรวจไซเบอร์ – บช.สอท.

ภาพคนร้ายกำลังสาธิตการโอนเงินผ่านเบราว์เซอร์

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

specimen Mon, 06/11/2023 - 20:36

ธนาคารที่ผมใช้..ยากถ้าจะโอนเงิน
เพราะเจ้าของบัญชีเองสแกนหน้าร้อยครั้งผ่านแค่ครั้งเดียวเองมั้ง
ระบบสแกนหน้าเจ้าไหนบริษัทไหนผมก็ไม่เคยผ่านมีปัญหาตลอด
แต่ไหงโจรไม่ต้องสแกนหน้าโอนได้เลยเอาเปรียบกันนี่หว่า

Fourpoint Mon, 06/11/2023 - 21:03

วิธีการนี้ต้องเข้าถึงเครื่อง+เบอร์เหยื่อโดยตรงหรือเปล่า?

จริงๆในข่าวต้นทาง มีอีกวิธีที่ใช้ internet banking ผ่านเวบ แล้วใช้แค่ OTP (น่าจะต้องมี user+pass ของเหยื่อด้วย) จริงๆ internet banking แบบเก่าวิธียืนยันตัวตนมันด้อยกว่า app อยู่แล้ว เพราะไม่บังคับใช้ biometrics ยืนยันตัว หลายเจ้าก็เลิกไปเกือบหมดแล้วมั๊ง?

แต่ทั้งสองวิธีต้องเข้าถึงเครื่องเหยื่อ(ผ่านการหลอกให้ลง malware?) หรือขโมยเบอร์มาได้ เพราะต้องใช้ OTP ?

Fourpoint Mon, 06/11/2023 - 22:01

เข้าใจว่าเคสในข่าวคนซื้อคือพวกบริหารบัญชีม้า แค่ไม่ต้องการ scan หน้าเฉยๆ กดโอนเงินออกง่ายๆไวๆ?

ผมมองว่าวิธีโจมตีแบบนี้คนทั่วไปโอกาสโดนน้อย เพราะต้องเข้าถึงเครื่อง รู้ pin มีOTP และต้องลงappธนาคารเรียบร้อย(แม้จะไม่ต้องเปิดตอนโอน แต่คิดว่าต้องลงทะเบียนเครื่องนี้ก่อน) ไม่ใช่ว่า malware จากไหนไม่รู้เข้ามาเอง ขโมย pin ขโมย sms แล้วสมัคร app ธนาคารโอนออกให้เองได้หมด?

ส่วน internet banking ก็เลิกใช้กันเกือบหมดแล้วมั๊ง?และน่าจะต้องมี user+passด้วย

คงไม่ใช่ว่าได้ sms OTPอันเดียวแล้วทำได้ทุกอย่าง

lew Mon, 06/11/2023 - 22:20

การสแกนใบหน้าทำขึ้นมาเพื่อป้องกันแอปดูดเงินที่คนร้าย เข้าถึงเครื่อง, รู้ PIN, มี OTP, และลง App ธนาคารเรียบร้อยครับ

มันเป็น line of defense ที่เติมขึ้นมาจากเดิมที่คนร้ายได้ทุกอย่างตามที่คุณว่ามาเลยครับ

Fourpoint Mon, 06/11/2023 - 22:43

ไม่แย้งครับ ว่าbypass scan ใบหน้าได้ยังไง เป็นเรื่องต้องไปตรวจสอบ

แต่ตอนนี้ตามเพจข่าว โดยเฉพาะที่ไม่เกี่ยวกับเทคโนโลยีไปตีโพยตีพายว่า โดน hack ง่ายๆแค่ sms otp อันเดียว ทั้งๆที่ความจริงเนื้อหาข่าว คือใช้กับบัญชีม้า มีข้อมูลครบทุกอย่าง ทั้งเครื่อง บัญชี เบอร์โทร(และน่าจะลงทะเบียนใบหน้าตอนลงแอพครั้งแรกด้วยม้าตัวจริงไปแล้วด้วย) แค่ไม่อยาก scan หน้าตอนโอนยอดเยอะเกินห้าหมื่นเฉยๆเลยใช้โปรแกรมนี้ช่วย

ซึ่งถ้ามองในกรณีคนทั่วไป ยังโจมตีได้ยากมากๆ เพราะถ้าจะหลอกคนให้ทั้งลงmalware ให้ กดหรือบอก pin ให้เองรวมถึงข้อมูลอื่นๆที่ครบถ้วน เสมือนนั่งจับมือทำอยู่ข้างๆ

Aize Mon, 06/11/2023 - 21:07

validate แค่ที่ FE แต่ API ตัวโอนจริงกลับไม่ validate อีกรอบเหรอ สงสัยคิดว่า ยังไงก็ต้องมี OTP กับ PIN แล้วคงพอสินะ

Alysium Tue, 07/11/2023 - 09:42

ยังยืนยันคำเดิมว่าให้ใช้วิธีหน่วงเวลาการถอนอย่างน้อย 5-10 นาที ปรับได้ที่ธนาคารเท่านั้น เป็นประโยชน์แก่ผู้สูงวัยมาก ผู้สูงอายุเอาไปเลยขั้นต่ำ 30 นาที และแจ้งเตือนไปให้ผู้ดูแลหรือญาติทราบด้วย

Fourpoint Tue, 07/11/2023 - 12:35

ไม่มีประโยชน์ ถ้าscammerเข้าถึงทุกอย่างของเครื่องคุณได้ หลอกให้คุณลงapp apk หลอกให้คุณกด PIN เอง แค่หลอกให้กดลดเวลาโอนลงอีกจะยากตรงไหน? การเพิ่ม scanหน้าก็คือเพิ่มความยุ่งยากและถ่วงเวลาแบบหนึ่ง แต่ที่โดนลัดขั้นตอนได้ ก็ต้องสอบสวนกันไปว่าหลุดได้อย่างไรกันไป

และเอาตรงๆหลังมีข่าวกันมากมายคนก็รู้เรื่องเยอะขึ้น ตอนหลังๆการหลอกโอนเงินมันเป็นการข่มขู่ให้จ่ายสินบนเพื่อช่วยเหลือคดีความ(ปลอมๆ)ไปซะมากกว่าจะหลอกด้วยเรื่องง่ายๆแบบให้กดรับพัสดุแล้วล่ะครับ ล่าสุดมีคนรู้จักโดนหลอกให้ลงแอพปลอม อ้างเป็นจนท.สินเชื่อเจ้านึงที่เจ้าตัวเป็นลูกหนี้อยู่ ให้ลงแอพโดยขู่ว่าถ้าไม่ลงจะโดนฟ้องเรื่องหนี้หรือโดนปรับบลาๆ ก็ซื่อลงแอพปลอมไป เจ้าตัวกดปลดการป้องกันทุกอย่างด้วยตัวเองครับ แต่ยังดีที่ตอนจบไม่โดนอะไร เพราะบัญชีธนาคารในแอพไม่มีเงินเลยมั๊ง

หรือถ้าจะปรับผ่านapp ไม่ได้อย่าลืมว่าจะผลักดันให้สังคมไทยไปเป็น cashless ก็ต้องเน้นความเร็วด้วย สมมติโอนเงินซื้อของ ผู้รับต้องรออีกสามสิบนาที แล้วคนขายก็บอกให้คนซื้อรอจนกว่าเงินจะเข้าจริงๆถึงจะได้ของ(เผื่อกรณีดึงเงินกลับแบบเคสโกงด้วยบัตรเดบิทตามเวบ) มันคงย้อนยุคน่าดู?

สิ่งสำคัญน่าจะเป็นการติดตามการโอนเงินให้ถึงปลายทางให้ได้ การจับบัญชีม้าแล้วลงโทษหนักๆ หรือการเพิ่มความคมชัดของกล้องที่ตู้ ATM เพื่อง่ายในการติดตามตัวคนกดเงินจากตู้จากบัญชีปลายทาง รวมถึงเพิ่มความเข้มงวดในการติดตามการซื้อขายข้อมูลส่วนบุคคล เพราะคนที่โดนหลอกนั้นเชื่อ เพราะมีข้อมูลตัวเองครบแม้กระทั่งเลขที่บัญชี/เลขเอกสารของหน่วยงาน จนหลงเชื่อว่ามาจากหน่วยงานนั้นจริงๆ(ก็น่าจะหลุดจากข้อมูลภายในจริงๆ)

Alysium Wed, 08/11/2023 - 20:09

จะแก้ได้ต้องไปธนาคารเท่านั้น ผมบอกตรงไหนว่าจากเครื่องได้ ถ้าขาดใครไร้สติปัญญาถึงขนาดยอมไปแก้ที่ธนาคารได้ก็เลิกใช้ไปเลยเถอะเงินดิจิตอล วิธีนี้รัดกุมสุดแล้ว จะรัดกุมยิ่งขึ้นถ้าต้องถามเหตุผลของการปรับแก้ด้วย ส่วนใครอยากใช้เร็วก็ไปปรับแล้วดูแลเอาเอง วิธีอื่นอย่างแก้ภาพจากกล้องวงจรปิด ถ้าคนทำไม่ได้อยู่ในไทยล่ะ ไม่ใช่ภาพจากกล้องวงจรปิด ถ้าเขาโอนโดยใช้swift paypal ถ้าอยู่ต่างประเทศแล้วจะตามอย่างไร ถ้ามีการโอนข้ามหลายประเทศล่ะเยอะแยะ แต่ถ้าหน่วงไว้ไม่จ่ายยังไงก็ไม่ได้

Fourpoint Wed, 08/11/2023 - 22:15

ก็ที่ผ่านมาก็เป็นแบบนั้นไงครับ เหยื่อทำทุกอย่างให้โจรอย่างเต็มใจ เพราะโดนหลอก โดนขู่ โดนกดดัน

และถ้าต้องไปแก้ที่ธนาคารเท่านั้น หน่วงเวลาโอนไปเรื่อยสังคมcashless ก็พังล่ะครับ ลองคิดง่ายๆคุณโอนเงินซื้อของ คนขายเขาจะยอมให้ของคุณไหม ถ้าเงินมันยังไม่เข้า ก็นั่งรอกันไป ไม่ต้องอ้างว่าเงินแค่หน่วงแต่ได้แน่ๆ เพราะถ้าคุณโกงคนขาย ไปแจ้งอายัดเงิน คนขายก็วุ่นวายอีกอยู่ดี

เรื่องจับปลายทางเป็นสิ่งที่ควรทำครับ ไม่แปลกใจหรือทำไมต้องไปกด ATM ไม่โอนออกไปตปท.ทันทีโดยไม่ต้องกดเงินสดออกมา? เพราะมันไม่ได้ง่ายขนาดนั้นไงครับ

ป.ล. ส่วนใหญ่กว่าเหยื่อจะรู้ตัวว่าโดนโกงจนไปแจ้งความก็ผ่านไปเป็นวันแล้วครับ การหน่วงเวลา 5-10นาทีแทบไม่มีประโยชน์ เพราะถ้ารู้ตัวไว ก็มักจะไม่โดนหลอกง่ายๆแต่แรกอยู่แล้ว

crucifier Tue, 07/11/2023 - 10:29

เมื่อก่อนผมดูถูกระบบธนาคารของยุโรปมาก ที่โอนเงินแต่ละทีใช้เวลาหลายชั่วโมง หลงเข้าใจผิดว่าระบบไอทีบ้านเราก้าวหน้ากว่าฝรั่ง

ตอนนี้เริ่มคิดว่า เอ๊ะ หรือจริงๆ แล้วเค้านำหน้าเราไปด้วยการคิดเผื่อกรณีแบบนี้ ตั้งใจหน่วงเวลาเพื่อให้มั่นใจจริงๆ ว่าไม่ใช่สแกมเมอร์?

big50000 Tue, 07/11/2023 - 13:33

มันได้อย่างเสียอย่าง ถ้าเร็วก็สะดวกดี ไว้จ่ายเงินประจำวัน แต่มันก็เป็นช่องว่างไว้ให้พวกมิจฉาชีพ

big50000 Tue, 07/11/2023 - 13:40

ผมมีไอเดียแปลกๆ ถ้าเราหยุดโฟกัสกับคนที่ให้เงิน แล้วไปโฟกัสกับคนที่รับเงินแทน จะเกิดอะไรขึ้น

ทำระบบให้เป็นระบบยืนยันการรับเงิน ถ้าไม่ได้ลงทะเบียนร้านค้าอย่างเป็นทางการ การรับเงินเข้าจำนวนมากต้องไปยืนยันที่สาขาหรือตู้ ATM ก่อน พร้อมสแกนใบหน้า/เสียบบัตรประชาชน จึงจะยืนยันการรับเงินได้ แบบนี้อย่างน้อยๆ ก็จับคนถือบัญชีม้าได้ ถ้าทำระบบที่ผู้โอนสามารถบังคับให้เห็นหน้าคนรับเงินได้ด้วยยิ่งดีเลย

วิธีนี้จับม้าได้ไม่พอ ช่วยดึงคนที่ควรเข้าระบบภาษีมากขึ้นไปได้อีก

Azymik Tue, 07/11/2023 - 14:01

+100 คิดอยู่ในหัวเหมือนกัน ว่ารัฐควรสร้าง platform กลางในการยืนยันตัวตนผู้รับเงิน โดยมี OTP ในการรับด้วย อย่างน้อยก็จะปรามพวกม้าได้บ้าง

ก่อนโอน ผู้จะโอนสามารถส่งเช็ค credentials ผู้รับ แล้วให้ผู้รับกด acknowledge พร้อม OTP ผ่านเบอร์ที่ลงทะเบียน ภายในเวลาที่กำหนด แล้วผู้จะโอนก็จะได้รับข้อความยืนยันตัวตนผู้รับ

Fourpoint Wed, 08/11/2023 - 22:17

ทุกวันนี้การเปิดบัญชีธนาคารก็ต้องยืนยันตัวตนด้วยบัตรประชาชนแบบ chip นะครับ (ใครใช้แบบเก่าหรือ chip เสียเขาไม่ยอมเปิดบัญชีให้นะ ไล่ไปทำบัตรใหม่) ยืนยันด้วยตัวเองที่สาขาขนาดนี้แล้วยังไม่เชื่ออีกหรือครับ?

แต่ปัญหาคือบัญชีม้าตะหาก ต่อให้ทำplatform ใหม่ก็มีบัญชีม้าลงทะเบียนมารับเงินแทนอยู่ดี วิธีที่คุณว่าให้อีกฝ่ายยืนยันตัวด้วย OTP ก็เบอร์ของม้าไงครับ บังคับให้ม้าไปเปิดบัญชี ยืนยันตัว และเปิดเบอร์เติมเงินด้วย