อาจารย์ปริญญา หอมเอนก ได้คุยกับ อาจารย์นิพนธ์ นาชิน จาก ACIS Research LAB ได้กล่าวสรุป จากเหตุการณ์คนร้าย แฮค ATM ที่เกิดขึ้น ณ ตู้ ATM ย่าน All Season Place ถนน วิทยุ เมื่อวานนี้ว่า เกิดจากคนร้ายนำอุปกรณ์ Skimming มาติดที่ตู้ ATM บริเวณช่องเสียบบัตรเพื่ออ่านบัตรของเหยื่อ ซึ่งหลายๆธนาคารมีระบบติดตามตรวจพบว่า ได้มีการกดเงินไปยังประเทศรัสเซียและยูเครนหลายครั้ง
ทางธนาคารได้ติดต่อไปยังลูกค้าตาม กระบวนการ incident response แต่ติดต่อได้ไม่ทั้งหมดจึงเกิดปัญหาดังกล่าว ในกรณีนี้ ทางธนาคารจะชดใช้เงินให้ทั้งหมด เนื่องจากเป็นลักษณะของแก็งค์อาชญากร
การป้องกันในปัจจุบันของธนาคาร
ระบบที่ใช้ป้องกันอยู่ของธนาคารทุกธนาคาร เรียกว่า Anti-Skim ซึ่งปัจจุบันเป็น version 3 เป็นอุปกรณ์ที่บีบให้ช่อง access แคบที่สุด เพื่อป้องกันการ copy ข้อมูลในแถบแม่เหล็ก แต่ก็โดนเทคนิค Skim ใหม่ๆมาโดยตลอด
(ภาพซ้ายมือ กล้องติดบริเวณเพดาน หรือผนังตู้ ATM เพื่อส่องไปที่ปุ่ม Keypad ที่ผู้ใช้กดรหัส 4 ตัว ภาพด้านขวาคือ Keypad ปลอม ที่สวมกับปุ่ม Keypad จริง เพื่อดักการกดรหัส)
นอกจากนั้น รหัส ATM จะถูกส่องโดยกล้องรูเข็มขนาดเล็กทำสีให้กลมกลืนกับสีตู้ ATM ดังนั้นตอนกดเงินควรเอาป้องกันไว้ แต่ก็ยังอาจโดน Keypad ของปลอมได้เช่นกัน
ปกติธนาคารมีมาตรการป้องกันโดยการให้พนักงานเติมเงินตู้ตรวจเช็คทุกครั้งที่เข้าไปเติมเงิน แต่รอบการเติมมากกว่า 24 ชั่วโมง ดังนั้นโจรเลยเอา Skimmer ไปติดแล้วยืนเฝ้า แล้วถอดออก ก่อนครบรอบ 24 ชั่วโมง หลังจากที่โจรได้ข้อมูลก็ส่งอีเมลข้อมูลไปขายที่รัสเซียและยูเครน
การป้องกันในอนาคต
ทางธนาคารในประเทศไทย ประกาศให้ ธนาคารพาณิชย์เปลี่ยนบัตรแบบแถบแม่เหล็กเป็นแบบ Chip EMV (Europay, MaterCard, VISA) แทน ภายในปี 2558 ปัจจุบันมีธนาคารที่ใช้ Chip EMV แล้วแต่ก็ยังโดนอยู่ดีเพราะใช้แถบแม่เหล็กควบคู่ไปด้วย
อีกกรณีหนึ่ง คือการปลอมหลักฐานเพื่อแจ้งอายัติ SIM เพื่อขโมย SMS-OTP โจรจะปล่อยโทรจันไปยังเครื่องเหยื่อ จากนั้นโจรจะได้ Username และ Password แล้วโจรก็จะไปแจ้งความว่าโทรศัพท์หาย จากนั้นขั้นตอนต่อไปโจรเอาบันทึกของตำรวจและเอาสำเนาบัตรปลอมของเหยื่อไปแจ้ง Operator ตาม SHOP เล็กๆ ออก SIM ใหม่ ทำให้ SIM เก่าของเหยื่อถูกอายัติไม่มีสัญญาณ หลังจากนั้นโจรจะได้ Username + Password + OTP และโอนเงินเข้าบัญชีตัวเอง
ในกรณีเหตุการณ์ที่เกิดขึ้นเมื่อวานนี้ ธนาคารจะช่วยเหลือเงินให้เหยื่อ แม้ว่า ธนาคารเองจะไม่ผิดก็ตามที
ข้อมูลจาก อ.ปริญญา หอมเอนก , ภาพจาก Thaicert