ขอมาเขียนเร็ว ๆ เรื่องการถูก "ดูดเงิน" ที่มีคนร้องเรียนกันเยอะในช่วงนี้ เพราะข้อมูลอาจจะซับซ้อนนิดนึง
สิ่งที่รู้แน่ ๆ คือ การกระทำ "อาชญากรรมทางคอมพิวเตอร์" ที่เกิดขึ้นตามข่าว ไม่ได้เป็นการที่สถาบันการเงินถูกเจาะระบบหรืออะไร จริง ๆ แล้วเป็นการโกงผ่านบัตรจ่ายเงิน ไม่ว่าจะเป็นบัตรเครดิตหรือบัตรเดบิตนั่นเอง แต่ที่หลายคนคิดว่าบัญชีถูก "ดูดเงิน" เพราะตามธรรมชาติของบัตรเดบิต เวลาจ่ายแล้วก็จะมาหักเงินในบัญชีเราทันทีครับ
คิดว่าสิ่งแรกที่ทำให้หลายคนสับสน คือ "ผมไม่เคยมีบัตรพวกนี้ อย่ามาแถ" ซึ่งก็ต้องบอกว่า เวลาเราไปเปิดบัญชีธนาคาร ถ้าเราได้บัตร ATM มาด้วย บัตรพวกนั้นส่วนใหญ่จะเป็นบัตรเดบิตครับ (เช็คง่าย ๆ เช่น มีเครื่องหมาย Visa หรือ MasterCard อยู่ หรือเขียนว่า DEBIT อยู่)
ก่อนอื่นต้องเข้าใจก่อนว่าการที่บัตรถูกเอาไปใช้ (ขอเรียกว่า payment card fraud) นั้นมีได้หลายทางมาก ไม่ว่าจะเป็น
ซึ่งข้อ 1 กับ 2 นี่เกิดขึ้นเรียกว่าเป็นประจำ พอคนร้องเรียน สถาบันการเงินก็ไปจัดการตรวจสอบ คืนเงินให้ ฯลฯ (หลายคนสงสัยว่า expense ของบริษัทบัตรเครดิตคืออะไร พวกนี้ก็เป็นส่วนนึงในนั้นครับ)
ถ้าเราคิดว่าบัตรจะถูกนำไปใช้โดยคนอื่นได้โดยมีความเป็นไปได้สามแบบนี้เท่านั้น และเราไม่เคยเอาบัตรไปใช้เลยไม่ว่าจะเป็นออนไลน์หรือต่อหน้า ความเป็นไปได้เดียวที่เหลืออยู่ก็คือข้อ 3 และนั่นก็คือเหตุผลว่าทำไมคนส่วนใหญ่ถึงออกมาแสดงความวิตกกังวล และถ้าเกิดขึ้นจริงก็จะเป็นเรื่องใหญ่มาก โดยความเป็นไปได้นี้ สมาคมธนาคารไทยก็ได้ออกมายืนยันแล้วว่าไม่มี
ก่อนจะไปดูสาเหตุ เราไปดูข้อมูลกันก่อนว่าเรารู้อะไรบ้าง (ข้อมูลมาจากการแถลงข่าวร่วมกันของธนาคารแห่งประเทศไทยกับสมาคมธนาคารไทยเมื่อเช้าวันนี้)
จริง ๆ แล้วมิจฉาชีพมีอีกวิธี คือการทำ BIN attack ไปดูกันว่ามันคืออะไร
เวลาจะใช้บัตรต่าง ๆ สิ่งที่ต้องใช้แน่ ๆ คือ เลขหน้าบัตร กับ วันหมดอายุ ข้อมูลอื่น ๆ นอกจากนั้น (เช่น ชื่อเจ้าของบัตร รหัสไปรษณีย์ ประเทศ รหัส 3 ตัวหลังบัตร (CVV/CVC) หรือ OTP) เป็นสิ่งที่จะมีหรือไม่มีก็ได้ แล้วแต่ร้านค้าจะเลือก ซึ่งโดยทั่วไป ถ้าธุรกรรมนั้นมีมูลค่ามาก ๆ ร้านค้าก็จะต้องการข้อมูลมากขึ้นไปเรื่อย ๆ เพื่อให้มั่นใจว่าเป็นธุรกรรมโดยเจ้าของบัตรจริง ๆ แต่ถ้าเป็นธุรกรรมที่มีมูลค่าน้อย ๆ สถาบันการเงินหรือร้านค้าโดยทั่วไปก็จะคำนึงถึงความสะดวกสบายของลูกค้ามากกว่า เราคงไม่อยากไปรูดจ่ายของ 20 บาทแล้วต้องมายืนยันตัวตนอะไรวุ่นวาย ถึงแม้จะโดนโกง ความเสียหายที่เกิดกับร้านค้าก็นิดเดียว
เมื่อเจ้าของบัตรติดต่อผู้ออกบัตรว่ามีรายการ fraud อยู่ หลังจากอายัดบัตรแล้ว ผู้ออกบัตรก็จะตรวจสอบว่าเป็นรายการ fraud จริงหรือไม่ หากเป็นจริง ผู้ออกบัตรก็จะคืนเงินให้เจ้าของบัตร จากนั้นก็จะเรียกเงินคืนจากร้านค้านั้น ๆ
โดยสรุปแล้ว ร้านค้าจะตกเป็นผู้เสียหาย ต้องไปแจ้งความดำเนินคดีกับคนที่เอาบัตรนั้นมาใช้ต่อ
แต่หากร้านค้านั้นสมรู้ร่วมคิดด้วย โดยปกติก็จะรีบปิดร้านค้าหนีเพื่อไม่ให้ผู้ออกบัตรเรียกเงินคืนได้ ผู้ออกบัตรก็จะตกเป็นผู้เสียหาย นี่เป็นเหตุผลที่มีการผลักดันให้เกิดการยืนยันตัวตนร้านค้า (know your merchant: KYM) ก่อนรับเข้ามาใช้ระบบบัตร
ข้อมูลคร่าว ๆ คือ เลขบัตรเครดิตหรือเดบิตส่วนใหญ่ จะมี 16 ตัว (ถ้าเป็น Visa หรือ MasterCard)
BIN attack ก็คือการใช้โปรแกรมสุ่มเลขบัตรไปเรื่อย ๆ แล้วลองกดซื้อของดู ถ้าไม่ได้ ก็ลองเลขใหม่ ถ้าได้ ก็เก็บข้อมูลบัตรนั้นไว้ (เพราะเอาไปใช้ได้อีกหลายรอบ จนกว่าเจ้าของหรือสถาบันการเงินจะรู้ตัว) ถ้าเราดูจากด้านบน ก็จะเห็นว่ามีเลขที่ต้องสุ่มอยู่มากที่สุดแค่ 1e9 (เลขบัตรที่เหลือ) x 12 (เดือนหมดอายุ) x … (ปีที่หมดอายุ) สมมติเราจะยิงบัตรที่จะหมดอายุในอีก 3 ปีข้างหน้าพอ ก็จะมี 36e9 ความเป็นไปได้ ซึ่งจริง ๆ ก็ไม่ต้องสุ่มทั้งหมดก็ได้ เพราะนี่คือเลขที่เป็นไปได้ทั้งหมดของ BIN นี้ (สถาบันการเงินนึงก็ออกบัตรเป็นหมื่น ๆ ใบ)
เท่าที่อ่านมาจากเว็บนี้ BIN attack ทำได้ง่ายกว่านี้มาก ถ้ามิจฉาชีพมีเลขบัตรที่ใช้ได้อยู่หนึ่งใบ (สมัยนี้ ใคร ๆ ก็มีบัตรกัน) มิจฉาชีพก็สามารถ generate เลขบัตรอื่น ๆ จากการเปลี่ยนเลขบัตรตัวหลัง ๆ เท่านั้น นอกจากนี้ เลขบัตรใกล้ ๆ กัน ก็มักจะแปลว่าบัตรถูกออกในเวลาใกล้ ๆ กัน ทำให้มีวันหมดอายุใกล้ ๆ กันด้วย
BIN attack นี่ เกิดขึ้นกับบัตรเดบิตง่ายกว่าบัตรเครดิตมาก เพราะว่าบัตรเดบิตส่วนหนึ่งจะไม่มีเลข CVV/CVC อยู่ ก็แปลว่ามิจฉาชีพลดจำนวนเลขที่ต้องทดลองลงไปอีก 1,000 เท่า
โดยส่วนใหญ่ BIN attack จะเกิดขึ้นผ่านธุรกรรมที่มีมูลค่าไม่มาก (ตามที่กล่าวไปข้างต้น ว่าจะเป็นธุรกรรมที่คนไม่ค่อยสนใจจะป้องกัน เพราะไม่คุ้มกับความไม่สะดวกสบาย) โดยมิจฉาชีพจะไปหาร้านค้าออนไลน์ที่ระบบการตรวจสอบไม่เข้มงวดมากนัก ไม่มี captcha ไม่ต้องใช้ OTP ฯลฯ แล้วลองยิงในนั้นดู
จริง ๆ แล้วหลายธนาคารออกมา claim ว่าตัวเองมีการป้องกันที่ดีอยู่แล้ว คือเมื่อพบรายการชำระเงินที่ถูกปฏิเสธหลายครั้งติดต่อกันจากร้านค้า (เพราะมิจฉาชีพสุ่มเลขแล้วผิด) ก็จะไปทำให้ระบบเตือนทำงาน อาจจะหยุดการให้บริการร้านค้านั้นชั่วคราวเพื่อตรวจสอบเพิ่มเติม โดยผู้ให้บริการแต่ละรายก็สามารถปรับค่า parameter ต่าง ๆ ได้ โดยมี tradeoff ระหว่างความสามารถในการป้องกัน (true positive) กับการที่ไป decline transaction ที่เจ้าของบัตรต้องการทำจริง ๆ แบบผิด ๆ (false positive) เช่น สามารถตั้งได้ว่า ถ้ามีการใช้บัตรแบบกรอกข้อมูลผิดมาเกินกี่ครั้งต่อนาทีจะหยุดให้บริการร้านค้านั้นชั่วคราว หรือถ้ามีการใช้บัตรซ้ำ ๆ กันถี่ ๆ เกินกี่ครั้ง จะระงับการใช้บัตรนั้นไปก่อน
อันนี้ก็คงต้องดูข้อมูลต่อไป ว่าเคสที่เกิดขึ้นระหว่างวันที่ 14–17 นี่ เกิดขึ้นกับสถาบันการเงินไหนมากเป็นพิเศษมั้ย
ตามแถลงข่าวร่วมฯ เมื่อเช้า มาตรการที่ทำคือ
เนื่องจาก BIN attack เกิดจากการสุ่มเลข แปลว่าใคร ๆ ก็มีโอกาสโดนได้ทั้งสิ้น นอกจากมาตรการที่ผู้ให้บริการมีแล้ว เราก็ยังสามารถดูแลตัวเองให้มีความปลอดภัยเพิ่มขึ้นได้อีก
สามอย่างนี้เป็นสิ่งที่จะทำให้คุณปลอดภัยมากขึ้นจาก BIN attack และ payment card fraud อื่น ๆ แต่นอกจากนั้นแล้ว ก็ยังมีสิ่งที่ทำได้เพื่อให้ปลอดภัยจาก payment card fraud ทั่วไปอีก เช่น ไม่ผูกบัญชีบัตรกับร้านค้าออนไลน์ เพื่อลดความเสี่ยงที่ข้อมูลบัตรจะรั่วไหลผ่านร้านค้าเหล่านั้น
BIN attack (หรือ payment card fraud อื่น ๆ) เกิดขึ้นมาต่อเนื่อง แล้วผู้ให้บริการบัตรหรือผู้ให้บริการเครือข่ายบัตร ก็เป็นผู้รับความเสี่ยงส่วนหนึ่งในการดูแลลูกค้า ชดเชยเงินหรือรายการต่าง ๆ ที่เป็น fraud แต่ที่มาเป็นที่สนใจในช่วงนี้ ก็เพราะมีการทำอย่างเป็นระบบมากขึ้น ทำให้มีผู้ได้รับผลกระทบจำนวนมาก
มีครับ ลอง search หาคำว่า BIN attack ก็จะเจอข่าวอยู่
อ่านไปอ่านมาก็รู้มาอีกว่า ศัพท์ที่ใช้กันคือ "carding" (คือการลองข้อมูลบัตรที่ได้มาผ่านทางต่าง ๆ เช่น BIN attack) ว่าบัตรนั้นใช้ได้มั้ย พอ search ว่า carding software ก็เจอเพียบเลย
การสวมรอยใช้บัตรคนอื่นเป็นความผิดอาญานะจ๊ะ
มีข้อมูลเต็มไปหมด นอกจากที่ link ไว้ข้างบน