ตอนนี้มีหลายประเด็นมาก กับการใช้งาน SCB Easy แล้วโดนขโมยเงินออกจากบัญชีของตัวเอง หลังจากนั้นก็เปลี่ยน Username กับ Password ก็แล้ว ก็ยังไม่วายโดนขโมยไปอีก ทำไม ทำไม ทำไม!!!!
ผมจะมาพูดถึง POC (Proof_of_concept) ในการขโมยข้อมูลครั้งนี้กันครับ ว่ามันเกิดขึ้นได้อย่างไร และทำยังไงถึงสำเร็จ
จากกระทู้ในพันทิปด้านล่าง ผมก็พอจะเดาวิธีการได้เลย ว่า POC เป็นยังไง
http://pantip.com/topic/31777748
http://pantip.com/topic/31787450
เรามาเริ่มกันเลยดีกว่าครับ
ทำไมถึงต้องเป็น SCB Easy
ผมจะยกตัวอย่าง Internet Banking ของธนาคารที่ผมใช้งานอยู่ จำนวน 3 ธนาคาร หนึ่งในนั้นมี SCB Easy อยู่ด้วยครับ เรามาดูรูปของ Internet Banking ทั้ง 3 ธนาคารกันเลยครับ
หน้าตาของเว็บไซต์ SCB Easy สำหรับทำธุรกรรมทางการเงินออนไลน์ ของธนาคารไทยพาณิชย์
http://kusumotolab.com/wp-content/uploads/2014/03/Untitled.png
หน้าตาของเว็บไซต์ Bualuang iBanking สำหรับทำธุรกรรมทางการเงินออนไลน์ ของธนาคารกรุงเทพ
http://kusumotolab.com/wp-content/uploads/2014/03/Untitled2.png
หน้าตาของเว็บไซต์ K-Cyber Banking สำหรับทำธุรกรรมทางการเงินออนไลน์ ของธนาคารกรุงเทพ
http://kusumotolab.com/wp-content/uploads/2014/03/Untitled3.png
อยากให้คุณลอกสังเกตดูดีๆนะครับ หน้าของ SCBEasy อนุญาตให้ผู้ใช้งานทั่วไป สามารถ Reset Password ด้วยตัวเองได้ด้วยครับ ในขณะที่ธนาคารอื่นๆ ไม่เปิดให้ Reset Password ด้วยตัวเอง โดยหายคุณต้องการ Reset Password คุณจะต้อง Login เข้าระบบไปก่อน หรือหายลืมรหัสผ่านจริงๆ คุณต้องติดต่อธนาคารต้นสังกัดของคุณเอาเอง
หน้าของ SCB Easy ลิงค์สำหรับ Reset Password ด้วยตัวเองได้ กรณีที่ลืมรหัสผ่านเข้าระบบ
http://kusumotolab.com/wp-content/uploads/2014/03/Untitled1.png
หลังจากที่คุณกดปุ่มนั้นเข้าไป ทางระบบจะให้คุณกรอกเลขบัญชีและ Username สำหรับเข้าระบบ แล้วให้กด Next เพื่อให้ดำเนินการต่อได้ ซึ่งข้อมูล 2 ช่องนี้ ในส่วนของ “เลขบัญชี” ปกติแล้ว ไม่ได้เป็นความลับเลย เพราะเวลาเราโอนเงินให้ใคร เราก็ต้องให้เลขบัญชีเขาไป ฉะนั้นแล้ว จึงไม่เหมาะมากๆ สำหรับการถาม เพราะการถามในหน้าฟอร์มแบบนี้ ควรจะถามข้อมูลที่เป็นความลับ
หน้าแรกของแบบฟอร์มขอ Reset Password ใหม่ กรณีลืมรหัสผ่านเข้าสู่ระบบ
http://kusumotolab.com/wp-content/uploads/2014/03/Untitled4.png
หลังจากที่เรา ได้เข้าไปยังหน้าสำหรับ Reset Password แล้ว จะมีหน้าให้คุณเลือก ว่าคุณต้องการที่จะ Reset Password ด้วยอะไร ระหว่าง คำถาม หรือ หมายเลขโทรศัพท์ การใช้คำถาม ก็จะถามคำถามที่เราตั้งเอาไว้ในตอนแรกี่สมัคร แต่ถ้าเป็นการ Reset Password ผ่านหมายเลขโทรศัพท์ ก็จะเป็นต้องใช้รหัสผ่านแบบครั้งเดียว (OTP) ที่จะส่งมายังโทรศัพท์มือถือของเรา โดย Hacker จะใช้ตัวเลือกนี้ในการกู้รหัสผ่านครับ แล้วเขาทำได้อย่างไรหล่ะ? เราจะไปดูในหัวข้อหน้าครับ
แบบฟอร์มสำหรับให้เราเลือกตัวเลือกในการ Reset Password
http://kusumotolab.com/wp-content/uploads/2014/03/Untitled5.png
Hacker เอาเบอร์โทรศัพท์ของเรามาใช้ได้อย่างไร?
จากที่ผมคาดการ ผมว่าจะต้องมีคนในเข้ามาเกี่ยวข้อง อย่างน้อย 1 ที่ ไม่ว่าจะเป็นทาง Operator ที่ให้บริการเครือข่ายโทรศัพท์มือถือ หรือจะทาง ธนาคารไทยพาณิชย์เอง เพราะว่าการกระทำดังกล่าวจะต้องมี “เป้าหมาย” ที่จะถูกโจมตี การโจมตีแบบนี้มีความเสี่ยงสูง และลงทุนสูงเช่นกัน ฉะนั้นผลตอบแทนที่จะได้มา จะต้องคุ้มค่าต่อการทำ Hacker จะต้องหาเป้าหมาย และจะต้องศึกษาเป้าหมายว่า มีเงินอยู่ในบัญชีหรือจะหน่วยธุรกิจอะไรก็ตามมากพอที่จะเสี่ยงจัดการมัน (เพราะคงไม่มีใครที่จะเสี่ยงลงทุนขนาดนี้ เพื่อแลกกับเงินพันสองพันหรอกครับ) ฉะนั้นแล้ว หากไม่มีคนในอยู่ ยากมากๆที่จะได้ข้อมูลเกี่ยวกับธุรกรรมทางการเงิน (แต่ก็ไม่ได้หมายความว่าจะทำไม่ได้ แค่เสียเวลามากกว่าเท่านั้นเอง) หลังจากที่ Hacker รู้ถึงเบอร์โทรศัพท์และ Username สำหรับการเข้าระบบแล้ว สิ่งที่ Hacker ต้องทำต่อไปคือ “ได้เบอร์โทรศัพท์มาไว้ครอบครอง”
การได้เบอร์โทรศัพท์เอาไว้ครอบครองที่ง่ายที่สุดคือ “การขอซิมใหม่เบอร์เดิม” หลายคนมองว่าเป็นวิธีที่ไม่ง่าย เพราะมีการตรวจหลักฐาน อะไรต่อมิอะไรมากมาย จากประสบการณ์ที่ตัวเองไปเปลี่ยนซิมแบบไม่มีซิมต้นขั้วแบบเติมเงินมา (เพราะหลงผิด คิดว่าตัวเองจะตัด Micro Sim เองได้) อยากจะบอกว่า เป็นเรื่องไม่ยากครับ เพราะว่าจะมีการขอแค่สำเนาบัตรประชาชนที่เราลงทะเบียนซิมไว้ ถามว่าเติมเงินครั้งล่าสุดเท่าไหร่ แค่นั้นเองครับ (ของหลายคนอาจจะมากกว่านี้ แต่ผมว่ามันคงไม่เกินนี้หรอกครับ) หลายจากนั้น รอประมาณ 10 นาที คุณก็ได้ซิมใหม่เบอร์เดิมมาครอบครอง หลังจากนั้นรอประมาณ 24 ซม. (อาจจะไม่ถึง) เพื่อให้ระบบ Active สัญญาณใหม่ ก็สามารถใช้งานได้ครับ
หลังจากนั้น Hacker ก็ใช้วิธีขอรหัสผ่านใหม่จากด้านบน เพื่อทำการตั้งรหัสผ่านที่ตัวเองต้องการ แล้วก็โอนเงินไป กว่าเป้าหมายจะรู้ตัว ก็สายไปซะแล้ว
ใครผิด?
วิธีนี้ เป็นช่องโหว่แบบร้ายแรง ซึ่งเป็นมานานแล้ว และควรจะแก้ไขปัญหานี้ได้แล้ว ผมมองว่าเกิดจาก User Error ซะ 70% และ System Error 30% เพราะว่าหากมีการตรวจสอบข้อมูลที่เข็มงวด รัดกุมมากกว่านี้ ก็ไม่มีเรี่องนี้เกิดขึ้น ระบบนี้ก็จะ Easy and Safety มากเลยทีเดียว
ป้องกันยังไงหล่ะทีนี้
หลายคนอ่านมาแล้ว คงอยากรู้วิธีป้องกันหล่ะสิ วิธีการป้องกันง่ายๆ คือ ให้คุณเปิดบัญชีแยกเอาไว้เลยครับ ระหว่างเงินเก็บกับเงินใช้งาน บัญชีใช้งาน จะทำอะไรก็ทำไป แต่อย่าเผลอฝากเงินไว้เยอะๆเป็นพอ ส่วนอีกบัญชี ให้คุณทำแค่บัตร ATM ก็พอ ห้ามทำธุรกรรมออนไลน์ใดๆ เด็ดขาด และที่สำคัญ หมั่นเปลี่ยนรหัสผ่านของ Internet Banking ของคุณบ่อยๆ (ผมไม่อาจจะแนะนำให้คุณ เปลี่ยนเบอร์โทรศัพท์ทุกเดือนได้)
สุดท้ายนี้ ผมขอฝากให้กับพวกคุณๆ ท่านๆ ได้รับรู้ไว้นะครับ อะไรที่อยู่บนโลกออนไลน์ ไม่มีอะไรที่เป็นความลับ อยากฝากความลับและของมีค่า ไว้บนโลกออนไลน์ แล้วคุณจะอยู่บนโลกออนไลน์ได้อย่างมีความสุข