ข้อเท็จจริงเกี่ยวกับการโดน "ดูดเงิน"

ขอมาเขียนเร็ว ๆ เรื่องการถูก “ดูดเงิน” ที่มีคนร้องเรียนกันเยอะในช่วงนี้ เพราะข้อมูลอาจจะซับซ้อนนิดนึง

พื้นฐานความเข้าใจ

สิ่งที่รู้แน่ ๆ คือ การกระทำ “อาชญากรรมทางคอมพิวเตอร์” ที่เกิดขึ้นตามข่าว ไม่ได้เป็นการที่สถาบันการเงินถูกเจาะระบบหรืออะไร จริง ๆ แล้วเป็นการโกงผ่านบัตรจ่ายเงิน ไม่ว่าจะเป็นบัตรเครดิตหรือบัตรเดบิตนั่นเอง แต่ที่หลายคนคิดว่าบัญชีถูก “ดูดเงิน” เพราะตามธรรมชาติของบัตรเดบิต เวลาจ่ายแล้วก็จะมาหักเงินในบัญชีเราทันทีครับ

แต่ผมไม่เคยมีบัตรพวกนี้

คิดว่าสิ่งแรกที่ทำให้หลายคนสับสน คือ “ผมไม่เคยมีบัตรพวกนี้ อย่ามาแถ” ซึ่งก็ต้องบอกว่า เวลาเราไปเปิดบัญชีธนาคาร ถ้าเราได้บัตร ATM มาด้วย บัตรพวกนั้นส่วนใหญ่จะเป็นบัตรเดบิตครับ (เช็คง่าย ๆ เช่น มีเครื่องหมาย Visa หรือ MasterCard อยู่ หรือเขียนว่า DEBIT อยู่)

ก่อนอื่นต้องเข้าใจก่อนว่าการที่บัตรถูกเอาไปใช้ (ขอเรียกว่า payment card fraud) นั้นมีได้หลายทางมาก ไม่ว่าจะเป็น

1. เอาบัตรไปให้พนักงานรูดแล้วพนักงานจดข้อมูลบัตรไว้ เอาไปใช้เองภายหลัง (เช่นข่าวนี้หรือข่าวนี้)
2. เอาข้อมูลบัตรไปใส่ในร้านค้าออนไลน์ (ที่ชอบเรียกกันว่า “ผูกบัตร”) แล้วร้านค้า
   • ถูกเจาะระบบ ข้อมูลรั่ว ถูกเอาข้อมูลบัตรเหล่านี้ออกไป
   • ทุจริต โดยการนำข้อมูลบัตรเหล่านี้ไปขาย
3. ฐานข้อมูลของธนาคารถูกเจาะ

ซึ่งข้อ 1 กับ 2 นี่เกิดขึ้นเรียกว่าเป็นประจำ พอคนร้องเรียน สถาบันการเงินก็ไปจัดการตรวจสอบ คืนเงินให้ ฯลฯ (หลายคนสงสัยว่า expense ของบริษัทบัตรเครดิตคืออะไร พวกนี้ก็เป็นส่วนนึงในนั้นครับ)

ถ้าเราคิดว่าบัตรจะถูกนำไปใช้โดยคนอื่นได้โดยมีความเป็นไปได้สามแบบนี้เท่านั้น และเราไม่เคยเอาบัตรไปใช้เลยไม่ว่าจะเป็นออนไลน์หรือต่อหน้า ความเป็นไปได้เดียวที่เหลืออยู่ก็คือข้อ 3 และนั่นก็คือเหตุผลว่าทำไมคนส่วนใหญ่ถึงออกมาแสดงความวิตกกังวล และถ้าเกิดขึ้นจริงก็จะเป็นเรื่องใหญ่มาก โดยความเป็นไปได้นี้ สมาคมธนาคารไทยก็ได้ออกมายืนยันแล้วว่าไม่มี

Facts: เกิดอะไรขึ้น

ก่อนจะไปดูสาเหตุ เราไปดูข้อมูลกันก่อนว่าเรารู้อะไรบ้าง (ข้อมูลมาจากการแถลงข่าวร่วมกันของธนาคารแห่งประเทศไทยกับสมาคมธนาคารไทยเมื่อเช้าวันนี้)

• ระหว่างวันที่ 1–17 ตุลาคม 2564 มี payment card fraud อยู่ 10,700 เคส รวมวงเงินที่เสียหาย 130 ล้านบาท
• ใน 130 ล้านบาทนี้ เป็นบัตรเครดิต 100 ล้านบาท บัตรเดบิต 30 ล้านบาท (โดยประมาณ)
• ช่วงวันที่ 14–17 ตุลาคม เป็นช่วงที่มีเคสเพิ่มขึ้นมามาก โดยจาก 10,700 เคสในช่วง 1–17 ตุลาคม เป็นเคสที่เกิดในช่วงนี้อยู่ครึ่งหนึ่ง (สมมติว่า 5,350 เคส) และบัตรที่โดนในช่วงนี้ 80–90% เป็นบัตรเดบิต
• บัตรเดบิตส่วนใหญ่ที่โดน จะเป็นการทำรายการน้อย ๆ (ไม่เกิน 40 บาท) ซ้ำกันหลาย ๆ ครั้ง

ข้อสังเกต

• อย่างที่เขียนไปข้างต้นว่าเคส fraud พวกนี้เกิดขึ้นเรื่อย ๆ อยู่แล้ว ซึ่งช่วงก่อนวันที่ 14 ตุลาคม ก็ไม่ได้พบว่ามีมากผิดปกติ (คิดคร่าว ๆ คือเกิดขึ้น 5,350 เคสใน 13 วัน เฉลี่ยวันละ 412 เคส) แต่ช่วงวันที่ 14–17 นี่มีเฉลี่ยถึงวันละ 1,338 เคส เรียกว่าพุ่งขึ้น 3 เท่าเลย
• ความเสียหายที่เป็นจำนวนเงินเกิดขึ้นกับบัตรเครดิตมากกว่า นั่นก็เพราะบัตรเดบิตที่โดนเป็นการทำรายการน้อย ๆ เทียบกับกรณีอื่น ๆ เช่น กรณีข้อมูลบัตรเครดิตรั่ว มิจฉาชีพจะเอาไปซื้อของราคาแพงได้มากกว่า

ถ้าไม่ใช่ข้อมูลรั่วแล้วเกิดจากอะไร

จริง ๆ แล้วมิจฉาชีพมีอีกวิธี คือการทำ BIN attack ไปดูกันว่ามันคืออะไร

ข้อมูลที่มิจฉาชีพต้องมีในการใช้บัตรเรา

เวลาจะใช้บัตรต่าง ๆ สิ่งที่ต้องใช้แน่ ๆ คือ เลขหน้าบัตร กับ วันหมดอายุ ข้อมูลอื่น ๆ นอกจากนั้น (เช่น ชื่อเจ้าของบัตร รหัสไปรษณีย์ ประเทศ รหัส 3 ตัวหลังบัตร (CVV/CVC) หรือ OTP) เป็นสิ่งที่จะมีหรือไม่มีก็ได้ แล้วแต่ร้านค้าจะเลือก ซึ่งโดยทั่วไป ถ้าธุรกรรมนั้นมีมูลค่ามาก ๆ ร้านค้าก็จะต้องการข้อมูลมากขึ้นไปเรื่อย ๆ เพื่อให้มั่นใจว่าเป็นธุรกรรมโดยเจ้าของบัตรจริง ๆ แต่ถ้าเป็นธุรกรรมที่มีมูลค่าน้อย ๆ สถาบันการเงินหรือร้านค้าโดยทั่วไปก็จะคำนึงถึงความสะดวกสบายของลูกค้ามากกว่า เราคงไม่อยากไปรูดจ่ายของ 20 บาทแล้วต้องมายืนยันตัวตนอะไรวุ่นวาย ถึงแม้จะโดนโกง ความเสียหายที่เกิดกับร้านค้าก็นิดเดียว

เกิดอะไรขึ้นเมื่อมี fraud”

เมื่อเจ้าของบัตรติดต่อผู้ออกบัตรว่ามีรายการ fraud อยู่ หลังจากอายัดบัตรแล้ว ผู้ออกบัตรก็จะตรวจสอบว่าเป็นรายการ fraud จริงหรือไม่ หากเป็นจริง ผู้ออกบัตรก็จะคืนเงินให้เจ้าของบัตร จากนั้นก็จะเรียกเงินคืนจากร้านค้านั้น ๆ

โดยสรุปแล้ว ร้านค้าจะตกเป็นผู้เสียหาย ต้องไปแจ้งความดำเนินคดีกับคนที่เอาบัตรนั้นมาใช้ต่อ

แต่หากร้านค้านั้นสมรู้ร่วมคิดด้วย โดยปกติก็จะรีบปิดร้านค้าหนีเพื่อไม่ให้ผู้ออกบัตรเรียกเงินคืนได้ ผู้ออกบัตรก็จะตกเป็นผู้เสียหาย นี่เป็นเหตุผลที่มีการผลักดันให้เกิดการยืนยันตัวตนร้านค้า (know your merchant: KYM) ก่อนรับเข้ามาใช้ระบบบัตร

เลขหน้าบัตร ประกอบด้วยอะไรบ้าง

ข้อมูลคร่าว ๆ คือ เลขบัตรเครดิตหรือเดบิตส่วนใหญ่ จะมี 16 ตัว (ถ้าเป็น Visa หรือ MasterCard)

• เลข 6 ตัวแรก จะเป็นเลข bank identification number (BIN) ที่ว่านี้ คือ ถ้าบัตรออกโดยสถาบันการเงินนี้ ก็จะขึ้นต้นด้วยเลข 6 ตัวนี้แหละ เลขนี้ไม่ใช่ความลับอะไร เพราะถ้าคุณมีบัตรอยู่หนึ่งใบ คุณก็รู้ BIN แล้วอย่างน้อย 1 ตัว หรือจะไปหา BIN online ก็ไม่ใช่เรื่องยากเลย (ลองดูที่เว็บ FreeBINChecker)¹
• เลข 9 ตัวต่อมา เป็นเลขบัตรจริง ๆ
• เลขหลักสุดท้าย เป็น checksum คล้าย ๆ กับที่มีในบัตรประชาชน โดยใช้ Luhn algorithm คือถ้ารู้เลข 15 ตัวแรก ก็สามารถคำนวณเลขตัวนี้ได้เลย

BIN attack

BIN attack ก็คือการใช้โปรแกรมสุ่มเลขบัตรไปเรื่อย ๆ แล้วลองกดซื้อของดู ถ้าไม่ได้ ก็ลองเลขใหม่ ถ้าได้ ก็เก็บข้อมูลบัตรนั้นไว้ (เพราะเอาไปใช้ได้อีกหลายรอบ จนกว่าเจ้าของหรือสถาบันการเงินจะรู้ตัว) ถ้าเราดูจากด้านบน ก็จะเห็นว่ามีเลขที่ต้องสุ่มอยู่มากที่สุดแค่ 1e9 (เลขบัตรที่เหลือ) x 12 (เดือนหมดอายุ) x … (ปีที่หมดอายุ) สมมติเราจะยิงบัตรที่จะหมดอายุในอีก 3 ปีข้างหน้าพอ ก็จะมี 36e9 ความเป็นไปได้ ซึ่งจริง ๆ ก็ไม่ต้องสุ่มทั้งหมดก็ได้ เพราะนี่คือเลขที่เป็นไปได้ทั้งหมดของ BIN นี้ (สถาบันการเงินนึงก็ออกบัตรเป็นหมื่น ๆ ใบ)

เท่าที่อ่านมาจากเว็บนี้ BIN attack ทำได้ง่ายกว่านี้มาก ถ้ามิจฉาชีพมีเลขบัตรที่ใช้ได้อยู่หนึ่งใบ (สมัยนี้ ใคร ๆ ก็มีบัตรกัน) มิจฉาชีพก็สามารถ generate เลขบัตรอื่น ๆ จากการเปลี่ยนเลขบัตรตัวหลัง ๆ เท่านั้น นอกจากนี้ เลขบัตรใกล้ ๆ กัน ก็มักจะแปลว่าบัตรถูกออกในเวลาใกล้ ๆ กัน ทำให้มีวันหมดอายุใกล้ ๆ กันด้วย

BIN attack นี่ เกิดขึ้นกับบัตรเดบิตง่ายกว่าบัตรเครดิตมาก เพราะว่าบัตรเดบิตส่วนหนึ่งจะไม่มีเลข CVV/CVC อยู่ ก็แปลว่ามิจฉาชีพลดจำนวนเลขที่ต้องทดลองลงไปอีก 1,000 เท่า

โดยส่วนใหญ่ BIN attack จะเกิดขึ้นผ่านธุรกรรมที่มีมูลค่าไม่มาก (ตามที่กล่าวไปข้างต้น ว่าจะเป็นธุรกรรมที่คนไม่ค่อยสนใจจะป้องกัน เพราะไม่คุ้มกับความไม่สะดวกสบาย) โดยมิจฉาชีพจะไปหาร้านค้าออนไลน์ที่ระบบการตรวจสอบไม่เข้มงวดมากนัก ไม่มี captcha ไม่ต้องใช้ OTP ฯลฯ แล้วลองยิงในนั้นดู

ทำไมไม่มีการป้องกัน?

จริง ๆ แล้วหลายธนาคารออกมา claim ว่าตัวเองมีการป้องกันที่ดีอยู่แล้ว คือเมื่อพบรายการชำระเงินที่ถูกปฏิเสธหลายครั้งติดต่อกันจากร้านค้า (เพราะมิจฉาชีพสุ่มเลขแล้วผิด) ก็จะไปทำให้ระบบเตือนทำงาน อาจจะหยุดการให้บริการร้านค้านั้นชั่วคราวเพื่อตรวจสอบเพิ่มเติม โดยผู้ให้บริการแต่ละรายก็สามารถปรับค่า parameter ต่าง ๆ ได้ โดยมี tradeoff ระหว่างความสามารถในการป้องกัน (true positive) กับการที่ไป decline transaction ที่เจ้าของบัตรต้องการทำจริง ๆ แบบผิด ๆ (false positive) เช่น สามารถตั้งได้ว่า ถ้ามีการใช้บัตรแบบกรอกข้อมูลผิดมาเกินกี่ครั้งต่อนาทีจะหยุดให้บริการร้านค้านั้นชั่วคราว หรือถ้ามีการใช้บัตรซ้ำ ๆ กันถี่ ๆ เกินกี่ครั้ง จะระงับการใช้บัตรนั้นไปก่อน

อันนี้ก็คงต้องดูข้อมูลต่อไป ว่าเคสที่เกิดขึ้นระหว่างวันที่ 14–17 นี่ เกิดขึ้นกับสถาบันการเงินไหนมากเป็นพิเศษมั้ย

แบงก์ชาติและสถาบันการเงินทำอะไร

ตามแถลงข่าวร่วมฯ เมื่อเช้า มาตรการที่ทำคือ

1. ปรับ parameter ต่าง ๆ ข้างต้นให้มีความเข้มงวดมากขึ้น สมมติว่าแต่เดิมให้รูดได้ 5 ครั้งต่อนาที ก็เหลือ 1 ครั้งพอ
2. เพิ่มการแจ้งเตือนลูกค้าผ่าน SMS หรือช่องทางของธนาคาร ถ้าพบธุรกรรมผิดปกติ
3. สถาบันการเงินจะคืนเงินให้ลูกค้าที่ได้รับความเสียหายในกรณีนี้ใน 5 วัน (บัตรเครดิต ลูกค้ายังไม่จ่ายเงินตัวเองอยู่แล้ว ก็จะยกเลิกรายการพวกนั้น)
4. เร่งหารือกับผู้ให้บริการเครือข่ายบัตร (เช่น Visa หรือ MasterCard) ว่าจะทำอย่างไรต่อไป

ประชาชนดูแลตัวเองยังไง

เนื่องจาก BIN attack เกิดจากการสุ่มเลข แปลว่าใคร ๆ ก็มีโอกาสโดนได้ทั้งสิ้น นอกจากมาตรการที่ผู้ให้บริการมีแล้ว เราก็ยังสามารถดูแลตัวเองให้มีความปลอดภัยเพิ่มขึ้นได้อีก

• หมั่นเช็ค card statement เพื่อดูว่ามีรายการผิดปกติบ้างหรือไม่
• กำหนดวงเงินของบัตร ให้ใช้ได้วันละไม่เกินเท่านั้นเท่านี้ ถ้าต้องใช้จ่ายรายการใหญ่ ๆ ก็สามารถโทรไปที่หมายเลขหลังบัตรเพื่อเพิ่มวงเงินชั่วคราวได้
• กำหนดไม่ให้บัตรใช้จ่ายออนไลน์ได้ ผู้ให้บริการบัตรบางราย เปิดโอกาสให้ผู้ใช้บริการเลือกได้ว่าจะให้บัตรนั้นใช้ออนไลน์ได้ หรือว่าจะต้องรูดบัตรด้วยเครื่อง EDC เท่านั้น

สามอย่างนี้เป็นสิ่งที่จะทำให้คุณปลอดภัยมากขึ้นจาก BIN attack และ payment card fraud อื่น ๆ แต่นอกจากนั้นแล้ว ก็ยังมีสิ่งที่ทำได้เพื่อให้ปลอดภัยจาก payment card fraud ทั่วไปอีก เช่น ไม่ผูกบัญชีบัตรกับร้านค้าออนไลน์ เพื่อลดความเสี่ยงที่ข้อมูลบัตรจะรั่วไหลผ่านร้านค้าเหล่านั้น

คำถามอื่น ๆ ที่อาจจะยังไม่ได้ตอบ

ทำไมมาเกิดช่วงนี้

BIN attack (หรือ payment card fraud อื่น ๆ) เกิดขึ้นมาต่อเนื่อง แล้วผู้ให้บริการบัตรหรือผู้ให้บริการเครือข่ายบัตร ก็เป็นผู้รับความเสี่ยงส่วนหนึ่งในการดูแลลูกค้า ชดเชยเงินหรือรายการต่าง ๆ ที่เป็น fraud แต่ที่มาเป็นที่สนใจในช่วงนี้ ก็เพราะมีการทำอย่างเป็นระบบมากขึ้น ทำให้มีผู้ได้รับผลกระทบจำนวนมาก

ประเทศอื่นมีมั้ย

มีครับ ลอง search หาคำว่า BIN attack ก็จะเจอข่าวอยู่

• Visa Card scam was “brute force” attack by fraudsters – Republic Bank
• Citibank Korea ‘A+ Check Card’ Suffers from Illegal Payments in US

เค้าใช้โปรแกรมอะไร

อ่านไปอ่านมาก็รู้มาอีกว่า ศัพท์ที่ใช้กันคือ “carding” (คือการลองข้อมูลบัตรที่ได้มาผ่านทางต่าง ๆ เช่น BIN attack) ว่าบัตรนั้นใช้ได้มั้ย พอ search ว่า carding software ก็เจอเพียบเลย

Warning

การสวมรอยใช้บัตรคนอื่นเป็นความผิดอาญานะจ๊ะ

อ่านเพิ่มเติม

มีข้อมูลเต็มไปหมด นอกจากที่ link ไว้ข้างบน

• Carding: What is it and how can you avoid it?
• Brute-Forced Bin Attacks: High-Volume Of Small Transactions
• เล่าเรื่องการสุ่มเลขบัตรเครดิต

Footnotes

1. ถ้าดูจาก FreeBINChecker จะเห็นว่าสามารถเลือก BIN ที่เป็นบัตรเดบิตอย่างเดียว ของธนาคารนั้นธนาคารนี้อย่างเดียวก็ยังได้ ดังนั้นถ้ามิจฉาชีพรู้ว่ามาตรการป้องกันของธนาคารไหนไม่เข้มงวด ก็สามารถเจาะจงไปได้เลย นอกจากนี้ BIN ส่วนใหญ่ของไทยยังมี 8 หลักอีกด้วย แปลว่าเหลือเลขแค่ 7 หลักที่ต้องเดา ↩