ตำรวจไซเบอร์เผยจับกุมวิศวกรขายซอฟต์แวร์โอนเงินโดยไม่ต้องพึ่งแอปธนาคาร
กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (ตำรวจไซเบอร์) เผยผลการจับกุมนายณัฐพงษ์ วิศวกรวัย 28 ปี ผู้ต้องหาในจังหวัดกาฬสินธุ์ที่ขายซอฟต์แวร์ API Bypass Face Scan ที่สามารถนำไปใช้ถอนเงินจากบัญชีธนาคารแห่งหนึ่งโดยไม่ต้องใช้แอปธนาคาร
จากการสาธิตของนายณัฐพงษ์ให้กับตำรวจไซเบอร์พบว่า การทำงานของ API Bypass Face Scan จะลอดผ่าน Application Programming Interface (API) ที่เป็นฟังก์ชันในการเชื่อมต่อกับแพลตฟอร์มการทำธุรกรรมของธนาคาร โดยจะสามารถใช้เว็บเบราว์เซอร์แทนแอปธนาคารได้
แค่มี OTP ก็โอนได้
สำหรับการทำงานของ API Bypass Face Scan จะแบ่งเป็น 2 รูปแบบ รูปแบบแรกคือการยกเลิกระบบสแกนใบหน้าเมื่อต้องการโอนเงินมากกว่า 50,000 บาท
ขณะที่ รูปแบบหลังซึ่งอันตรายกว่ามาก คือการอนุญาตให้ผู้ใช้ซอฟต์แวร์ตัวนี้กรอกข้อมูลบัญชีธนาคารเป้าหมาย โดยป้อนข้อมูลเลขบัญชีใดก็ได้ จำนวนเงินที่ต้องการโอน และเลขบัญชีปลายทาง จากนั้นระบบจะส่งหมายเลข OTP (One-Time Password) ไปยังโทรศัพท์ของเจ้าของบัญชี เมื่อกรอกเรียบร้อยก็เท่ากับการทำธุรกรรมเสร็จสิ้น
หมายความว่าหากมี API Bypass Face Scan อยู่ในมือ และมีช่องทางในการเข้าไปอ่าน SMS เพื่อดู OTP ของเป้าหมายก็จะสามารถดูดเงินจากบัญชีไปได้โดยง่าย
นายณัฐพงษ์ชี้ว่าเครื่องมือนี้เป็นที่สนใจของกลุ่มมิจฉาชีพที่ต้องการโอนเงินทีละมาก ๆ ไปยังบัญชีอื่นอย่างรวดเร็วและรอดพ้นจากการตรวจสอบของธนาคาร
ทำไม KYC จึงสำคัญ
ธนาคารแห่งประเทศไทย (ธปท.) ระบุไว้ในประกาศที่มีผลใช้บังคับเมื่อปี 2562 ว่า KYC (หรือที่ ธปท. เรียกว่ากระบวนการรู้จักลูกค้า) ที่บังคับให้ทุกธนาคารต้องมีนั้น เป็นมาตรการป้องกันการปลอมแปลงการทำธุรกรรมโดยใช้บัญชีของคนอื่น และยังเป็นมาตรการป้องกันการฟอกเงินด้วย
เนื่องจากการมีระบบที่ตรวจสอบการทำโอนเงินจำนวนมาก ๆ จะช่วยให้ธนาคารตรวจพบการเคลื่อนย้ายเงินที่มากผิดปกติได้ทันที แต่หากมีระบบที่ยกเลิกหรือลอดผ่าน KYC แล้ว เหล่าอาชญากรก็จะสามารถเคลื่อนย้ายเงินเพื่อสนับสนุนการกระทำผิดโดยสะดวก
ทั้งนี้ ยังไม่มีข้อมูลว่า API Bypass Face Scanner ใช้ช่องโหว่จากระบบของธนาคารใด หรือแท้จริงแล้วอาจมีมากกว่า 1 ธนาคาร ก็คงต้องรอคำชี้แจงจากธนาคารต่าง ๆ ต่อไป
ราชกิจจานุเบกษา, ตำรวจไซเบอร์, ข่าวสด, IBM
The post ตำรวจไซเบอร์เผยจับกุมวิศวกรขายซอฟต์แวร์โอนเงินโดยไม่ต้องพึ่งแอปธนาคาร appeared first on #beartai.
