ขอมาเขียนเร็ว ๆ เรื่องการถูก “ดูดเงิน” ที่มีคนร้องเรียนกันเยอะในช่วงนี้ เพราะข้อมูลอาจจะซับซ้อนนิดนึง
พื้นฐานความเข้าใจ
สิ่งที่รู้แน่ ๆ คือ การกระทำ “อาชญากรรมทางคอมพิวเตอร์” ที่เกิดขึ้นตามข่าว ไม่ได้เป็นการที่สถาบันการเงินถูกเจาะระบบหรืออะไร จริง ๆ แล้วเป็นการโกงผ่านบัตรจ่ายเงิน ไม่ว่าจะเป็นบัตรเครดิตหรือบัตรเดบิตนั่นเอง แต่ที่หลายคนคิดว่าบัญชีถูก “ดูดเงิน” เพราะตามธรรมชาติของบัตรเดบิต เวลาจ่ายแล้วก็จะมาหักเงินในบัญชีเราทันทีครับ
แต่ผมไม่เคยมีบัตรพวกนี้คิดว่าสิ่งแรกที่ทำให้หลายคนสับสน คือ “ผมไม่เคยมีบัตรพวกนี้ อย่ามาแถ” ซึ่งก็ต้องบอกว่า เวลาเราไปเปิดบัญชีธนาคาร ถ้าเราได้บัตร ATM มาด้วย บัตรพวกนั้นส่วนใหญ่จะเป็นบัตรเดบิตครับ (เช็คง่าย ๆ เช่น มีเครื่องหมาย Visa หรือ MasterCard อยู่ หรือเขียนว่า DEBIT อยู่)
ก่อนอื่นต้องเข้าใจก่อนว่าการที่บัตรถูกเอาไปใช้ (ขอเรียกว่า payment card fraud) นั้นมีได้หลายทางมาก ไม่ว่าจะเป็น
- เอาบัตรไปให้พนักงานรูดแล้วพนักงานจดข้อมูลบัตรไว้ เอาไปใช้เองภายหลัง (เช่นข่าวนี้หรือข่าวนี้)
- เอาข้อมูลบัตรไปใส่ในร้านค้าออนไลน์ (ที่ชอบเรียกกันว่า “ผูกบัตร”) แล้วร้านค้า
- ถูกเจาะระบบ ข้อมูลรั่ว ถูกเอาข้อมูลบัตรเหล่านี้ออกไป
- ทุจริต โดยการนำข้อมูลบัตรเหล่านี้ไปขาย
- ฐานข้อมูลของธนาคารถูกเจาะ
ซึ่งข้อ 1 กับ 2 นี่เกิดขึ้นเรียกว่าเป็นประจำ พอคนร้องเรียน สถาบันการเงินก็ไปจัดการตรวจสอบ คืนเงินให้ ฯลฯ (หลายคนสงสัยว่า expense ของบริษัทบัตรเครดิตคืออะไร พวกนี้ก็เป็นส่วนนึงในนั้นครับ)
ถ้าเราคิดว่าบัตรจะถูกนำไปใช้โดยคนอื่นได้โดยมีความเป็นไปได้สามแบบนี้เท่านั้น และเราไม่เคยเอาบัตรไปใช้เลยไม่ว่าจะเป็นออนไลน์หรือต่อหน้า ความเป็นไปได้เดียวที่เหลืออยู่ก็คือข้อ 3 และนั่นก็คือเหตุผลว่าทำไมคนส่วนใหญ่ถึงออกมาแสดงความวิตกกังวล และถ้าเกิดขึ้นจริงก็จะเป็นเรื่องใหญ่มาก โดยความเป็นไปได้นี้ สมาคมธนาคารไทยก็ได้ออกมายืนยันแล้วว่าไม่มี
Facts: เกิดอะไรขึ้น
ก่อนจะไปดูสาเหตุ เราไปดูข้อมูลกันก่อนว่าเรารู้อะไรบ้าง (ข้อมูลมาจากการแถลงข่าวร่วมกันของธนาคารแห่งประเทศไทยกับสมาคมธนาคารไทยเมื่อเช้าวันนี้)
- ระหว่างวันที่ 1–17 ตุลาคม 2564 มี payment card fraud อยู่ 10,700 เคส รวมวงเงินที่เสียหาย 130 ล้านบาท
- ใน 130 ล้านบาทนี้ เป็นบัตรเครดิต 100 ล้านบาท บัตรเดบิต 30 ล้านบาท (โดยประมาณ)
- ช่วงวันที่ 14–17 ตุลาคม เป็นช่วงที่มีเคสเพิ่มขึ้นมามาก โดยจาก 10,700 เคสในช่วง 1–17 ตุลาคม เป็นเคสที่เกิดในช่วงนี้อยู่ครึ่งหนึ่ง (สมมติว่า 5,350 เคส) และบัตรที่โดนในช่วงนี้ 80–90% เป็นบัตรเดบิต
- บัตรเดบิตส่วนใหญ่ที่โดน จะเป็นการทำรายการน้อย ๆ (ไม่เกิน 40 บาท) ซ้ำกันหลาย ๆ ครั้ง
ข้อสังเกต
- อย่างที่เขียนไปข้างต้นว่าเคส fraud พวกนี้เกิดขึ้นเรื่อย ๆ อยู่แล้ว ซึ่งช่วงก่อนวันที่ 14 ตุลาคม ก็ไม่ได้พบว่ามีมากผิดปกติ (คิดคร่าว ๆ คือเกิดขึ้น 5,350 เคสใน 13 วัน เฉลี่ยวันละ 412 เคส) แต่ช่วงวันที่ 14–17 นี่มีเฉลี่ยถึงวันละ 1,338 เคส เรียกว่าพุ่งขึ้น 3 เท่าเลย
- ความเสียหายที่เป็นจำนวนเงินเกิดขึ้นกับบัตรเครดิตมากกว่า นั่นก็เพราะบัตรเดบิตที่โดนเป็นการทำรายการน้อย ๆ เทียบกับกรณีอื่น ๆ เช่น กรณีข้อมูลบัตรเครดิตรั่ว มิจฉาชีพจะเอาไปซื้อของราคาแพงได้มากกว่า
ถ้าไม่ใช่ข้อมูลรั่วแล้วเกิดจากอะไร
จริง ๆ แล้วมิจฉาชีพมีอีกวิธี คือการทำ BIN attack ไปดูกันว่ามันคืออะไร
ข้อมูลที่มิจฉาชีพต้องมีในการใช้บัตรเรา
เวลาจะใช้บัตรต่าง ๆ สิ่งที่ต้องใช้แน่ ๆ คือ เลขหน้าบัตร กับ วันหมดอายุ ข้อมูลอื่น ๆ นอกจากนั้น (เช่น ชื่อเจ้าของบัตร รหัสไปรษณีย์ ประเทศ รหัส 3 ตัวหลังบัตร (CVV/CVC) หรือ OTP) เป็นสิ่งที่จะมีหรือไม่มีก็ได้ แล้วแต่ร้านค้าจะเลือก ซึ่งโดยทั่วไป ถ้าธุรกรรมนั้นมีมูลค่ามาก ๆ ร้านค้าก็จะต้องการข้อมูลมากขึ้นไปเรื่อย ๆ เพื่อให้มั่นใจว่าเป็นธุรกรรมโดยเจ้าของบัตรจริง ๆ แต่ถ้าเป็นธุรกรรมที่มีมูลค่าน้อย ๆ สถาบันการเงินหรือร้านค้าโดยทั่วไปก็จะคำนึงถึงความสะดวกสบายของลูกค้ามากกว่า เราคงไม่อยากไปรูดจ่ายของ 20 บาทแล้วต้องมายืนยันตัวตนอะไรวุ่นวาย ถึงแม้จะโดนโกง ความเสียหายที่เกิดกับร้านค้าก็นิดเดียว
เกิดอะไรขึ้นเมื่อมี fraud”เมื่อเจ้าของบัตรติดต่อผู้ออกบัตรว่ามีรายการ fraud อยู่ หลังจากอายัดบัตรแล้ว ผู้ออกบัตรก็จะตรวจสอบว่าเป็นรายการ fraud จริงหรือไม่ หากเป็นจริง ผู้ออกบัตรก็จะคืนเงินให้เจ้าของบัตร จากนั้นก็จะเรียกเงินคืนจากร้านค้านั้น ๆ
โดยสรุปแล้ว ร้านค้าจะตกเป็นผู้เสียหาย ต้องไปแจ้งความดำเนินคดีกับคนที่เอาบัตรนั้นมาใช้ต่อ
แต่หากร้านค้านั้นสมรู้ร่วมคิดด้วย โดยปกติก็จะรีบปิดร้านค้าหนีเพื่อไม่ให้ผู้ออกบัตรเรียกเงินคืนได้ ผู้ออกบัตรก็จะตกเป็นผู้เสียหาย นี่เป็นเหตุผลที่มีการผลักดันให้เกิดการยืนยันตัวตนร้านค้า (know your merchant: KYM) ก่อนรับเข้ามาใช้ระบบบัตร
เลขหน้าบัตร ประกอบด้วยอะไรบ้าง
ข้อมูลคร่าว ๆ คือ เลขบัตรเครดิตหรือเดบิตส่วนใหญ่ จะมี 16 ตัว (ถ้าเป็น Visa หรือ MasterCard)
- เลข 6 ตัวแรก จะเป็นเลข bank identification number (BIN) ที่ว่านี้ คือ ถ้าบัตรออกโดยสถาบันการเงินนี้ ก็จะขึ้นต้นด้วยเลข 6 ตัวนี้แหละ เลขนี้ไม่ใช่ความลับอะไร เพราะถ้าคุณมีบัตรอยู่หนึ่งใบ คุณก็รู้ BIN แล้วอย่างน้อย 1 ตัว หรือจะไปหา BIN online ก็ไม่ใช่เรื่องยากเลย (ลองดูที่เว็บ FreeBINChecker)1
- เลข 9 ตัวต่อมา เป็นเลขบัตรจริง ๆ
- เลขหลักสุดท้าย เป็น checksum คล้าย ๆ กับที่มีในบัตรประชาชน โดยใช้ Luhn algorithm คือถ้ารู้เลข 15 ตัวแรก ก็สามารถคำนวณเลขตัวนี้ได้เลย
BIN attack
BIN attack ก็คือการใช้โปรแกรมสุ่มเลขบัตรไปเรื่อย ๆ แล้วลองกดซื้อของดู ถ้าไม่ได้ ก็ลองเลขใหม่ ถ้าได้ ก็เก็บข้อมูลบัตรนั้นไว้ (เพราะเอาไปใช้ได้อีกหลายรอบ จนกว่าเจ้าของหรือสถาบันการเงินจะรู้ตัว) ถ้าเราดูจากด้านบน ก็จะเห็นว่ามีเลขที่ต้องสุ่มอยู่มากที่สุดแค่ 1e9 (เลขบัตรที่เหลือ) x 12 (เดือนหมดอายุ) x … (ปีที่หมดอายุ) สมมติเราจะยิงบัตรที่จะหมดอายุในอีก 3 ปีข้างหน้าพอ ก็จะมี 36e9 ความเป็นไปได้ ซึ่งจริง ๆ ก็ไม่ต้องสุ่มทั้งหมดก็ได้ เพราะนี่คือเลขที่เป็นไปได้ทั้งหมดของ BIN นี้ (สถาบันการเงินนึงก็ออกบัตรเป็นหมื่น ๆ ใบ)
เท่าที่อ่านมาจากเว็บนี้ BIN attack ทำได้ง่ายกว่านี้มาก ถ้ามิจฉาชีพมีเลขบัตรที่ใช้ได้อยู่หนึ่งใบ (สมัยนี้ ใคร ๆ ก็มีบัตรกัน) มิจฉาชีพก็สามารถ generate เลขบัตรอื่น ๆ จากการเปลี่ยนเลขบัตรตัวหลัง ๆ เท่านั้น นอกจากนี้ เลขบัตรใกล้ ๆ กัน ก็มักจะแปลว่าบัตรถูกออกในเวลาใกล้ ๆ กัน ทำให้มีวันหมดอายุใกล้ ๆ กันด้วย
BIN attack นี่ เกิดขึ้นกับบัตรเดบิตง่ายกว่าบัตรเครดิตมาก เพราะว่าบัตรเดบิตส่วนหนึ่งจะไม่มีเลข CVV/CVC อยู่ ก็แปลว่ามิจฉาชีพลดจำนวนเลขที่ต้องทดลองลงไปอีก 1,000 เท่า
โดยส่วนใหญ่ BIN attack จะเกิดขึ้นผ่านธุรกรรมที่มีมูลค่าไม่มาก (ตามที่กล่าวไปข้างต้น ว่าจะเป็นธุรกรรมที่คนไม่ค่อยสนใจจะป้องกัน เพราะไม่คุ้มกับความไม่สะดวกสบาย) โดยมิจฉาชีพจะไปหาร้านค้าออนไลน์ที่ระบบการตรวจสอบไม่เข้มงวดมากนัก ไม่มี captcha ไม่ต้องใช้ OTP ฯลฯ แล้วลองยิงในนั้นดู
ทำไมไม่มีการป้องกัน?
จริง ๆ แล้วหลายธนาคารออกมา claim ว่าตัวเองมีการป้องกันที่ดีอยู่แล้ว คือเมื่อพบรายการชำระเงินที่ถูกปฏิเสธหลายครั้งติดต่อกันจากร้านค้า (เพราะมิจฉาชีพสุ่มเลขแล้วผิด) ก็จะไปทำให้ระบบเตือนทำงาน อาจจะหยุดการให้บริการร้านค้านั้นชั่วคราวเพื่อตรวจสอบเพิ่มเติม โดยผู้ให้บริการแต่ละรายก็สามารถปรับค่า parameter ต่าง ๆ ได้ โดยมี tradeoff ระหว่างความสามารถในการป้องกัน (true positive) กับการที่ไป decline transaction ที่เจ้าของบัตรต้องการทำจริง ๆ แบบผิด ๆ (false positive) เช่น สามารถตั้งได้ว่า ถ้ามีการใช้บัตรแบบกรอกข้อมูลผิดมาเกินกี่ครั้งต่อนาทีจะหยุดให้บริการร้านค้านั้นชั่วคราว หรือถ้ามีการใช้บัตรซ้ำ ๆ กันถี่ ๆ เกินกี่ครั้ง จะระงับการใช้บัตรนั้นไปก่อน
อันนี้ก็คงต้องดูข้อมูลต่อไป ว่าเคสที่เกิดขึ้นระหว่างวันที่ 14–17 นี่ เกิดขึ้นกับสถาบันการเงินไหนมากเป็นพิเศษมั้ย
แบงก์ชาติและสถาบันการเงินทำอะไร
ตามแถลงข่าวร่วมฯ เมื่อเช้า มาตรการที่ทำคือ
- ปรับ parameter ต่าง ๆ ข้างต้นให้มีความเข้มงวดมากขึ้น สมมติว่าแต่เดิมให้รูดได้ 5 ครั้งต่อนาที ก็เหลือ 1 ครั้งพอ
- เพิ่มการแจ้งเตือนลูกค้าผ่าน SMS หรือช่องทางของธนาคาร ถ้าพบธุรกรรมผิดปกติ
- สถาบันการเงินจะคืนเงินให้ลูกค้าที่ได้รับความเสียหายในกรณีนี้ใน 5 วัน (บัตรเครดิต ลูกค้ายังไม่จ่ายเงินตัวเองอยู่แล้ว ก็จะยกเลิกรายการพวกนั้น)
- เร่งหารือกับผู้ให้บริการเครือข่ายบัตร (เช่น Visa หรือ MasterCard) ว่าจะทำอย่างไรต่อไป
ประชาชนดูแลตัวเองยังไง
เนื่องจาก BIN attack เกิดจากการสุ่มเลข แปลว่าใคร ๆ ก็มีโอกาสโดนได้ทั้งสิ้น นอกจากมาตรการที่ผู้ให้บริการมีแล้ว เราก็ยังสามารถดูแลตัวเองให้มีความปลอดภัยเพิ่มขึ้นได้อีก
- หมั่นเช็ค card statement เพื่อดูว่ามีรายการผิดปกติบ้างหรือไม่
- กำหนดวงเงินของบัตร ให้ใช้ได้วันละไม่เกินเท่านั้นเท่านี้ ถ้าต้องใช้จ่ายรายการใหญ่ ๆ ก็สามารถโทรไปที่หมายเลขหลังบัตรเพื่อเพิ่มวงเงินชั่วคราวได้
- กำหนดไม่ให้บัตรใช้จ่ายออนไลน์ได้ ผู้ให้บริการบัตรบางราย เปิดโอกาสให้ผู้ใช้บริการเลือกได้ว่าจะให้บัตรนั้นใช้ออนไลน์ได้ หรือว่าจะต้องรูดบัตรด้วยเครื่อง EDC เท่านั้น
สามอย่างนี้เป็นสิ่งที่จะทำให้คุณปลอดภัยมากขึ้นจาก BIN attack และ payment card fraud อื่น ๆ แต่นอกจากนั้นแล้ว ก็ยังมีสิ่งที่ทำได้เพื่อให้ปลอดภัยจาก payment card fraud ทั่วไปอีก เช่น ไม่ผูกบัญชีบัตรกับร้านค้าออนไลน์ เพื่อลดความเสี่ยงที่ข้อมูลบัตรจะรั่วไหลผ่านร้านค้าเหล่านั้น
คำถามอื่น ๆ ที่อาจจะยังไม่ได้ตอบ
ทำไมมาเกิดช่วงนี้
BIN attack (หรือ payment card fraud อื่น ๆ) เกิดขึ้นมาต่อเนื่อง แล้วผู้ให้บริการบัตรหรือผู้ให้บริการเครือข่ายบัตร ก็เป็นผู้รับความเสี่ยงส่วนหนึ่งในการดูแลลูกค้า ชดเชยเงินหรือรายการต่าง ๆ ที่เป็น fraud แต่ที่มาเป็นที่สนใจในช่วงนี้ ก็เพราะมีการทำอย่างเป็นระบบมากขึ้น ทำให้มีผู้ได้รับผลกระทบจำนวนมาก
ประเทศอื่นมีมั้ย
มีครับ ลอง search หาคำว่า BIN attack ก็จะเจอข่าวอยู่
- Visa Card scam was “brute force” attack by fraudsters – Republic Bank
- Citibank Korea ‘A+ Check Card’ Suffers from Illegal Payments in US
เค้าใช้โปรแกรมอะไร
อ่านไปอ่านมาก็รู้มาอีกว่า ศัพท์ที่ใช้กันคือ “carding” (คือการลองข้อมูลบัตรที่ได้มาผ่านทางต่าง ๆ เช่น BIN attack) ว่าบัตรนั้นใช้ได้มั้ย พอ search ว่า carding software ก็เจอเพียบเลย
Warningการสวมรอยใช้บัตรคนอื่นเป็นความผิดอาญานะจ๊ะ
อ่านเพิ่มเติม
มีข้อมูลเต็มไปหมด นอกจากที่ link ไว้ข้างบน
- Carding: What is it and how can you avoid it?
- Brute-Forced Bin Attacks: High-Volume Of Small Transactions
- เล่าเรื่องการสุ่มเลขบัตรเครดิต
Footnotes
-
ถ้าดูจาก FreeBINChecker จะเห็นว่าสามารถเลือก BIN ที่เป็นบัตรเดบิตอย่างเดียว ของธนาคารนั้นธนาคารนี้อย่างเดียวก็ยังได้ ดังนั้นถ้ามิจฉาชีพรู้ว่ามาตรการป้องกันของธนาคารไหนไม่เข้มงวด ก็สามารถเจาะจงไปได้เลย นอกจากนี้ BIN ส่วนใหญ่ของไทยยังมี 8 หลักอีกด้วย แปลว่าเหลือเลขแค่ 7 หลักที่ต้องเดา ↩