ตำรวจไซเบอร์จับกุมโปรแกรมเมอร์ขายโปรแกรมข้ามการสแกนใบหน้าแอปธนาคาร

By: lew

on 6 November 2023 - 20:18 Tags:

Topics:

Thailand

Crime

วันนี้กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (ตำรวจไซเบอร์) แถลงข่าวการจับกุมอาชญากรที่เกี่ยวข้องกับกลุ่มอาชญากร 3 กลุ่ม เป็นการจับกุมผู้นำข้อมูลส่วนบุคคลไปขายใน Dark Web สองกลุ่ม แต่รายหนึ่งคือนายณัฐพงษ์ อายุ 28 ปี ขายโปรแกรม API Bypass Face Scan ที่เปิดทางให้คนร้ายสามารถโอนเงินออกจากเครื่องของเหยื่อได้ แม้มีรายการโอนเงินเกิน 50,000 บาทโดยไม่ต้องสแกนใบหน้า

API Bypass Face Scan ต้องการเพียง PIN ของเหยื่อและหมายเลข OTP จากโทรศัพท์เท่านั้น ไม่จำเป็นต้องเปิดแอปพลิเคชั่นธนาคารแต่อย่างใด แต่สามารถโอนเงินเกิน 50,000 บาทได้ทันที แนวทางนี้น่าจะเกิดจากความผิดพลาดของการออกแบบระบบธนาคารเองที่ API server ไม่ได้ตรวจสอบว่า client ยืนยันใบหน้าแล้วจริง แต่กลับไปล็อกการทำงานด้วย แอปพลิเคชั่นไม่ให้กดโอนเงินได้เท่านั้น

ตำรวจตั้งข้อหานายณัฐพงษ์ 5 ข้อหา ตามมาตรา 6, 7, 8, 9, และ 12 ของพรบ.คอมพิวเตอร์ฯ

ที่มา - Facebook: ตำรวจไซเบอร์ – บช.สอท.

No Description

ภาพคนร้ายกำลังสาธิตการโอนเงินผ่านเบราว์เซอร์

Hiring! บริษัทที่น่าสนใจ

Bangmod Enterprise

The leader in Cloud Server and Hosting in Thailand.

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

CIMB THAI Bank

MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank

Comments

By: mrBrightside

on 6 November 2023 - 20:31 #1298435

ธนาคารไหนนะ

By: man2454 on 7 November 2023 - 09:42 #1298469 Reply to:1298435

ฟังคลิปข่าวตัวอย่างที่เอามาโชว์เป็น ธ.สีม่วง

By: Jirawat

on 7 November 2023 - 20:11 #1298523 Reply to:1298469

โอเคเกต😂 ดีนะไม่ใช้

By: specimen

on 6 November 2023 - 20:36 #1298438

ธนาคารที่ผมใช้..ยากถ้าจะโอนเงิน
เพราะเจ้าของบัญชีเองสแกนหน้าร้อยครั้งผ่านแค่ครั้งเดียวเองมั้ง
ระบบสแกนหน้าเจ้าไหนบริษัทไหนผมก็ไม่เคยผ่านมีปัญหาตลอด
แต่ไหงโจรไม่ต้องสแกนหน้าโอนได้เลยเอาเปรียบกันนี่หว่า

By: Fourpoint

on 6 November 2023 - 21:03 #1298439

วิธีการนี้ต้องเข้าถึงเครื่อง+เบอร์เหยื่อโดยตรงหรือเปล่า?

จริงๆในข่าวต้นทาง มีอีกวิธีที่ใช้ internet banking ผ่านเวบ แล้วใช้แค่ OTP (น่าจะต้องมี user+pass ของเหยื่อด้วย) จริงๆ internet banking แบบเก่าวิธียืนยันตัวตนมันด้อยกว่า app อยู่แล้ว เพราะไม่บังคับใช้ biometrics ยืนยันตัว หลายเจ้าก็เลิกไปเกือบหมดแล้วมั๊ง?

แต่ทั้งสองวิธีต้องเข้าถึงเครื่องเหยื่อ(ผ่านการหลอกให้ลง malware?) หรือขโมยเบอร์มาได้ เพราะต้องใช้ OTP ?

By: lew

on 6 November 2023 - 21:12 #1298441 Reply to:1298439

malware ขโมย SMS นี่เก่ามากแล้วครับ มีตั้งแต่สมัย internet banking กันเลย

ถ้าใช้แค่ OTP นี่คนร้ายสบายไปเยอะ

lewcpe.com, @wasonliw

By: Fourpoint

on 6 November 2023 - 22:01 #1298444 Reply to:1298441

เข้าใจว่าเคสในข่าวคนซื้อคือพวกบริหารบัญชีม้า แค่ไม่ต้องการ scan หน้าเฉยๆ กดโอนเงินออกง่ายๆไวๆ?

ผมมองว่าวิธีโจมตีแบบนี้คนทั่วไปโอกาสโดนน้อย เพราะต้องเข้าถึงเครื่อง รู้ pin มีOTP และต้องลงappธนาคารเรียบร้อย(แม้จะไม่ต้องเปิดตอนโอน แต่คิดว่าต้องลงทะเบียนเครื่องนี้ก่อน) ไม่ใช่ว่า malware จากไหนไม่รู้เข้ามาเอง ขโมย pin ขโมย sms แล้วสมัคร app ธนาคารโอนออกให้เองได้หมด?

ส่วน internet banking ก็เลิกใช้กันเกือบหมดแล้วมั๊ง?และน่าจะต้องมี user+passด้วย

คงไม่ใช่ว่าได้ sms OTPอันเดียวแล้วทำได้ทุกอย่าง

By: lew

on 6 November 2023 - 22:20 #1298445 Reply to:1298444

การสแกนใบหน้าทำขึ้นมาเพื่อป้องกันแอปดูดเงินที่คนร้าย เข้าถึงเครื่อง, รู้ PIN, มี OTP, และลง App ธนาคารเรียบร้อยครับ

มันเป็น line of defense ที่เติมขึ้นมาจากเดิมที่คนร้ายได้ทุกอย่างตามที่คุณว่ามาเลยครับ

lewcpe.com, @wasonliw

By: Fourpoint

on 6 November 2023 - 22:43 #1298446 Reply to:1298445

ไม่แย้งครับ ว่าbypass scan ใบหน้าได้ยังไง เป็นเรื่องต้องไปตรวจสอบ

แต่ตอนนี้ตามเพจข่าว โดยเฉพาะที่ไม่เกี่ยวกับเทคโนโลยีไปตีโพยตีพายว่า โดน hack ง่ายๆแค่ sms otp อันเดียว ทั้งๆที่ความจริงเนื้อหาข่าว คือใช้กับบัญชีม้า มีข้อมูลครบทุกอย่าง ทั้งเครื่อง บัญชี เบอร์โทร(และน่าจะลงทะเบียนใบหน้าตอนลงแอพครั้งแรกด้วยม้าตัวจริงไปแล้วด้วย) แค่ไม่อยาก scan หน้าตอนโอนยอดเยอะเกินห้าหมื่นเฉยๆเลยใช้โปรแกรมนี้ช่วย

ซึ่งถ้ามองในกรณีคนทั่วไป ยังโจมตีได้ยากมากๆ เพราะถ้าจะหลอกคนให้ทั้งลงmalware ให้ กดหรือบอก pin ให้เองรวมถึงข้อมูลอื่นๆที่ครบถ้วน เสมือนนั่งจับมือทำอยู่ข้างๆ

By: icez

on 7 November 2023 - 01:54 #1298453 Reply to:1298446

ไม่ได้ bypass ครับ แต่มี api เส้นนึงที่ "ไม่มี" การสแกนหน้าเลย (ธ.สีม่วง กดเมนู โอนหลายรายการ)

By: deaknaew on 6 November 2023 - 21:30 #1298442 Reply to:1298439

เห็นมีคนแชร์ประมาณว่าได้ พวก ข้อมูล device เหยื่อมาด้วย ไม่ใช่แค่เลขบัญชีกับ otp

By: man2454 on 7 November 2023 - 09:44 #1298471 Reply to:1298439

ในข่าวเจ้าตัวบอกว่าสามารถแก้ไขเบอร์โทรที่ผูกกับแอปได้ด้วยครับเพื่อรับ OTP

By: Aize

on 6 November 2023 - 21:07 #1298440

validate แค่ที่ FE แต่ API ตัวโอนจริงกลับไม่ validate อีกรอบเหรอ สงสัยคิดว่า ยังไงก็ต้องมี OTP กับ PIN แล้วคงพอสินะ

The Dream hacker..

By: Alysium on 7 November 2023 - 09:42 #1298470

ยังยืนยันคำเดิมว่าให้ใช้วิธีหน่วงเวลาการถอนอย่างน้อย 5-10 นาที ปรับได้ที่ธนาคารเท่านั้น เป็นประโยชน์แก่ผู้สูงวัยมาก ผู้สูงอายุเอาไปเลยขั้นต่ำ 30 นาที และแจ้งเตือนไปให้ผู้ดูแลหรือญาติทราบด้วย

By: Fourpoint

on 7 November 2023 - 12:35 #1298486 Reply to:1298470

ไม่มีประโยชน์ ถ้าscammerเข้าถึงทุกอย่างของเครื่องคุณได้ หลอกให้คุณลงapp apk หลอกให้คุณกด PIN เอง แค่หลอกให้กดลดเวลาโอนลงอีกจะยากตรงไหน? การเพิ่ม scanหน้าก็คือเพิ่มความยุ่งยากและถ่วงเวลาแบบหนึ่ง แต่ที่โดนลัดขั้นตอนได้ ก็ต้องสอบสวนกันไปว่าหลุดได้อย่างไรกันไป

และเอาตรงๆหลังมีข่าวกันมากมายคนก็รู้เรื่องเยอะขึ้น ตอนหลังๆการหลอกโอนเงินมันเป็นการข่มขู่ให้จ่ายสินบนเพื่อช่วยเหลือคดีความ(ปลอมๆ)ไปซะมากกว่าจะหลอกด้วยเรื่องง่ายๆแบบให้กดรับพัสดุแล้วล่ะครับ ล่าสุดมีคนรู้จักโดนหลอกให้ลงแอพปลอม อ้างเป็นจนท.สินเชื่อเจ้านึงที่เจ้าตัวเป็นลูกหนี้อยู่ ให้ลงแอพโดยขู่ว่าถ้าไม่ลงจะโดนฟ้องเรื่องหนี้หรือโดนปรับบลาๆ ก็ซื่อลงแอพปลอมไป เจ้าตัวกดปลดการป้องกันทุกอย่างด้วยตัวเองครับ แต่ยังดีที่ตอนจบไม่โดนอะไร เพราะบัญชีธนาคารในแอพไม่มีเงินเลยมั๊ง

หรือถ้าจะปรับผ่านapp ไม่ได้อย่าลืมว่าจะผลักดันให้สังคมไทยไปเป็น cashless ก็ต้องเน้นความเร็วด้วย สมมติโอนเงินซื้อของ ผู้รับต้องรออีกสามสิบนาที แล้วคนขายก็บอกให้คนซื้อรอจนกว่าเงินจะเข้าจริงๆถึงจะได้ของ(เผื่อกรณีดึงเงินกลับแบบเคสโกงด้วยบัตรเดบิทตามเวบ) มันคงย้อนยุคน่าดู?

สิ่งสำคัญน่าจะเป็นการติดตามการโอนเงินให้ถึงปลายทางให้ได้ การจับบัญชีม้าแล้วลงโทษหนักๆ หรือการเพิ่มความคมชัดของกล้องที่ตู้ ATM เพื่อง่ายในการติดตามตัวคนกดเงินจากตู้จากบัญชีปลายทาง รวมถึงเพิ่มความเข้มงวดในการติดตามการซื้อขายข้อมูลส่วนบุคคล เพราะคนที่โดนหลอกนั้นเชื่อ เพราะมีข้อมูลตัวเองครบแม้กระทั่งเลขที่บัญชี/เลขเอกสารของหน่วยงาน จนหลงเชื่อว่ามาจากหน่วยงานนั้นจริงๆ(ก็น่าจะหลุดจากข้อมูลภายในจริงๆ)

By: Alysium on 8 November 2023 - 20:09 #1298617 Reply to:1298486

จะแก้ได้ต้องไปธนาคารเท่านั้น ผมบอกตรงไหนว่าจากเครื่องได้ ถ้าขาดใครไร้สติปัญญาถึงขนาดยอมไปแก้ที่ธนาคารได้ก็เลิกใช้ไปเลยเถอะเงินดิจิตอล วิธีนี้รัดกุมสุดแล้ว จะรัดกุมยิ่งขึ้นถ้าต้องถามเหตุผลของการปรับแก้ด้วย ส่วนใครอยากใช้เร็วก็ไปปรับแล้วดูแลเอาเอง วิธีอื่นอย่างแก้ภาพจากกล้องวงจรปิด ถ้าคนทำไม่ได้อยู่ในไทยล่ะ ไม่ใช่ภาพจากกล้องวงจรปิด ถ้าเขาโอนโดยใช้swift paypal ถ้าอยู่ต่างประเทศแล้วจะตามอย่างไร ถ้ามีการโอนข้ามหลายประเทศล่ะเยอะแยะ แต่ถ้าหน่วงไว้ไม่จ่ายยังไงก็ไม่ได้

By: Fourpoint

on 8 November 2023 - 22:15 #1298621 Reply to:1298617

ก็ที่ผ่านมาก็เป็นแบบนั้นไงครับ เหยื่อทำทุกอย่างให้โจรอย่างเต็มใจ เพราะโดนหลอก โดนขู่ โดนกดดัน

และถ้าต้องไปแก้ที่ธนาคารเท่านั้น หน่วงเวลาโอนไปเรื่อยสังคมcashless ก็พังล่ะครับ ลองคิดง่ายๆคุณโอนเงินซื้อของ คนขายเขาจะยอมให้ของคุณไหม ถ้าเงินมันยังไม่เข้า ก็นั่งรอกันไป ไม่ต้องอ้างว่าเงินแค่หน่วงแต่ได้แน่ๆ เพราะถ้าคุณโกงคนขาย ไปแจ้งอายัดเงิน คนขายก็วุ่นวายอีกอยู่ดี

เรื่องจับปลายทางเป็นสิ่งที่ควรทำครับ ไม่แปลกใจหรือทำไมต้องไปกด ATM ไม่โอนออกไปตปท.ทันทีโดยไม่ต้องกดเงินสดออกมา? เพราะมันไม่ได้ง่ายขนาดนั้นไงครับ

ป.ล. ส่วนใหญ่กว่าเหยื่อจะรู้ตัวว่าโดนโกงจนไปแจ้งความก็ผ่านไปเป็นวันแล้วครับ การหน่วงเวลา 5-10นาทีแทบไม่มีประโยชน์ เพราะถ้ารู้ตัวไว ก็มักจะไม่โดนหลอกง่ายๆแต่แรกอยู่แล้ว

By: crucifier

on 7 November 2023 - 10:29 #1298476

เมื่อก่อนผมดูถูกระบบธนาคารของยุโรปมาก ที่โอนเงินแต่ละทีใช้เวลาหลายชั่วโมง หลงเข้าใจผิดว่าระบบไอทีบ้านเราก้าวหน้ากว่าฝรั่ง

ตอนนี้เริ่มคิดว่า เอ๊ะ หรือจริงๆ แล้วเค้านำหน้าเราไปด้วยการคิดเผื่อกรณีแบบนี้ ตั้งใจหน่วงเวลาเพื่อให้มั่นใจจริงๆ ว่าไม่ใช่สแกมเมอร์?

By: big50000

on 7 November 2023 - 13:33 #1298489 Reply to:1298476

มันได้อย่างเสียอย่าง ถ้าเร็วก็สะดวกดี ไว้จ่ายเงินประจำวัน แต่มันก็เป็นช่องว่างไว้ให้พวกมิจฉาชีพ

By: Alysium on 8 November 2023 - 20:16 #1298618 Reply to:1298476

ใช่ครับทุกอย่างมันมีเหตุผลทั้งนั้นเลย

By: big50000

on 7 November 2023 - 13:40 #1298490

ผมมีไอเดียแปลกๆ ถ้าเราหยุดโฟกัสกับคนที่ให้เงิน แล้วไปโฟกัสกับคนที่รับเงินแทน จะเกิดอะไรขึ้น

ทำระบบให้เป็นระบบยืนยันการรับเงิน ถ้าไม่ได้ลงทะเบียนร้านค้าอย่างเป็นทางการ การรับเงินเข้าจำนวนมากต้องไปยืนยันที่สาขาหรือตู้ ATM ก่อน พร้อมสแกนใบหน้า/เสียบบัตรประชาชน จึงจะยืนยันการรับเงินได้ แบบนี้อย่างน้อยๆ ก็จับคนถือบัญชีม้าได้ ถ้าทำระบบที่ผู้โอนสามารถบังคับให้เห็นหน้าคนรับเงินได้ด้วยยิ่งดีเลย

วิธีนี้จับม้าได้ไม่พอ ช่วยดึงคนที่ควรเข้าระบบภาษีมากขึ้นไปได้อีก

By: Azymik on 7 November 2023 - 14:01 #1298493 Reply to:1298490

+100 คิดอยู่ในหัวเหมือนกัน ว่ารัฐควรสร้าง platform กลางในการยืนยันตัวตนผู้รับเงิน โดยมี OTP ในการรับด้วย อย่างน้อยก็จะปรามพวกม้าได้บ้าง

ก่อนโอน ผู้จะโอนสามารถส่งเช็ค credentials ผู้รับ แล้วให้ผู้รับกด acknowledge พร้อม OTP ผ่านเบอร์ที่ลงทะเบียน ภายในเวลาที่กำหนด แล้วผู้จะโอนก็จะได้รับข้อความยืนยันตัวตนผู้รับ

By: Fourpoint

on 8 November 2023 - 22:17 #1298622 Reply to:1298493

ทุกวันนี้การเปิดบัญชีธนาคารก็ต้องยืนยันตัวตนด้วยบัตรประชาชนแบบ chip นะครับ (ใครใช้แบบเก่าหรือ chip เสียเขาไม่ยอมเปิดบัญชีให้นะ ไล่ไปทำบัตรใหม่) ยืนยันด้วยตัวเองที่สาขาขนาดนี้แล้วยังไม่เชื่ออีกหรือครับ?

แต่ปัญหาคือบัญชีม้าตะหาก ต่อให้ทำplatform ใหม่ก็มีบัญชีม้าลงทะเบียนมารับเงินแทนอยู่ดี วิธีที่คุณว่าให้อีกฝ่ายยืนยันตัวด้วย OTP ก็เบอร์ของม้าไงครับ บังคับให้ม้าไปเปิดบัญชี ยืนยันตัว และเปิดเบอร์เติมเงินด้วย

By: Azymik on 8 November 2023 - 23:03 #1298623 Reply to:1298622

งั้นเปลี่ยนจาก otp เป็น face scan ผู้รับก็น่าจะดีนะครับ

By: Jirawat

on 7 November 2023 - 20:16 #1298524

เดาว่า ใช้ ลักไก่ใช้ Local authen สแกนหน้า แทนที่จะเป็น server

Main menu