คดีการแฮกเอทีเอ็มในไต้หวันตั้งแต่เดือนกรกฎาคม ด้วยการวางมัลแวร์นับเป็นคดีที่มีความเสียหายมูลค่าสูง มีเงินถูกดึงออกไปจากตู้ถึง 80 ล้านบาท เครือข่ายบัตรรับจ่ายอย่างวีซ่าก็ออกรายงานวิเคราะห์เหตุการณ์ครั้งนี้

รายงานของวีซ่าไม่ได้ระบุว่าเป็นไต้หวันโดยตรงแต่ระบุเพียงว่าเป็นเหตุการณ์ในเอเชียแปซิฟิก อย่างไรก็ดีค่าแฮชของไฟล์ที่ระบุในรายงานตรงกับค่าแฮชของคดีในไต้หวัน

รายงานระบุถึงขั้นตอนการเจาะระบบเอทีเอ็ม ว่าคนร้ายเจาะระบบ "บันทึกโทรศัพท์" ของธนาคาร เพื่อเข้าถึงเครือข่ายของธนาคาร จากนั้นจึงเริ่มยิงระบบอัพเดตเข้าไปยังเซิร์ฟเวอร์ต่างๆ รวมถึงเครื่องเอทีเอ็ม

เมื่อเครื่องเอทีเอ็มติดมัลแวร์แล้ว คนร้ายจะ telnet เข้าไปสั่งให้เอทีเอ็มจ่ายเงินออกจากเครื่อง โดยมีคนร้ายยืนรออยู่หน้าเครื่องแต่ไม่ต้องทำอะไรกับเครื่องโดยตรง เมื่อได้เงินแล้วคนร้ายจึงสั่งให้มัลแวร์ลบตัวเองออกไป

รายงานของ VISA ระบุว่าตู้เอทีเอ็มทั้งหมดที่เป็นเหยื่อ ใช้ Windows XP หรือ Windows NT ที่หมดอายุซัพพอร์ตไปแล้วทั้งสิ้น และแนะนำให้

1. ตรวจสอบการโจมตีแบบเดียวกัน
2. ตรวจสอบความเข้ากันได้กับมาตรฐาน PCI-DSS เพราะมาตรฐานระบุว่าซอฟต์แวร์ต้องได้รับอัพเดตอุดช่องโหว่ที่รู้กันโดยทั่วไป
3. มอนิเตอร์พฤติกรรมผิดปกติสม่ำเสมอ
4. อัพเดตระบบป้องกัน (Intrusion Detection Systems - IDS) ให้สามารถตรวจสอบพฤติกรรมแบบเดียวกับครั้งนี้ได้
5. ทำตามแนวทางที่ดีในการรักษาความปลอดภัย เช่น อัพเดตซอฟต์แวร์สม่ำเสมอ, ทำงานร่วมกับผู้ผลิตและติดตั้งซอฟต์แวร์ที่ผู้ผลิตแนะนำว่าไม่มีช่องโหว่ความปลอดภัย

ขณะที่หนังสือพิมพ์ Strait Times รายงานว่าพล.ต.อ.ปัญญา มาเม่น ระบุว่ามีหลักฐานที่ทำให้แน่ใจว่ากลุ่มอาชญากรในไต้หวันเป็นกลุ่มเดียวกับที่แฮกตู้เอทีเอ็มของธนาคารออมสิน โดยมีผู้ต้องสงสัยห้าคนที่เดินทางจากไต้หวันเข้ามาในประเทศไทย และคาดว่าทั้งห้าคนน่าจะเดินทางออกจากประเทศไทยไปแล้ว โดยระบุว่าทางธนาคารตรวจพบการโจรกรรมภายหลังการโจรกรรมไปแล้วนะระหนึ่ง

ที่มา - VISA, Strait Times

notice: ในข่าวเวอร์ชั่นแรก ผมอ่านที่มาและเข้าใจผิดพลาดว่ามีการระบุว่าธนาคารไม่ได้แจ้งตำรวจทันที ได้แก้ไขในเนื้อข่าวแล้ว