ธปท.เร่งตรวจสอบโจรกรรม “Bin Attack” ย้ำระบบธนาคารมีการพัฒนาต่อเนื่อง หากพบระบบบกพร่องแบงก์ต้องรับผิดชอบ
นางสาวสุวรรณี เจษฎาศักดิ์ ผู้ช่วยผู้ว่าการ สายกำกับสถาบันการเงิน ธนาคารแห่งประเทศไทย (ธปท.) กล่าวว่า สำหรับกรณีการโจรกรรมข้อมูลผ่านวิธี Bin Attack ที่เกิดขึ้นเมื่อค่ำวันที่ 18 กุมภาพันธ์ที่ผ่านมา ตอนนี้ ธปท.อยู่ระหว่างการตรวจสอบ
ซึ่งหากพบว่าเป็นการบกพร่องของระบบธนาคาร ธนาคารจะต้องเป็นผู้ดูแล อย่างไรก็ดี การพัฒนาทางด้านระบบไอที และระบบการป้องกันการทุจริต (Fraud) ของระบบธนาคารมีการพัฒนาต่อเนื่อง ซึ่งหากพบว่ามีจุดโหว่ตรงไหนจะรีบเร่งดำเนินการ เนื่องจากภัยไซเบอร์ก็มีการพัฒนาเช่นเดียวกัน
“เคสกรณีการโจมตีผ่านวิธีการ Bin Attack คล้ายกับที่เกิดขึ้นในช่วง 1-2 ปีที่ผ่านมา ซึ่งตอนนี้ฝ่ายที่เกี่ยวข้องกำลังเร่งตรวจสอบและดำเนินการติดตามอย่างใกล้ชิด” นางสาวสุวรรณี กล่าว
นางสาวสุวรรณี กล่าวว่า ส่วนกรณีที่มีพนักงานสินเชื่อของธนาคารขายข้อมูลลูกค้านั้น ปัจจุบันธนาคารกำลังอยู่ระหว่างการตรวจสอบ ซึ่งหากพิจารณาจะแยกเป็น 2 กรณี คือ 1. ข้อมูลที่หลุดเป็นการหลุดจากระบบธนาคารหรือไม่ เนื่องจากโดยปกติข้อมูลลูกค้าจะได้รับการดูแลป้องกันสูงสุด มีการกำหนดสิทธิ์ผู้ที่สามารถเข้าถึงข้อมูล จึงต้องมีการตรวจสอบร่วมกับธนาคารว่าสิ่งที่รั่วเกิดจากสาเหตุใด
และ 2. การรั่วไหลเกิดจากพนักงานทุจริต เป็นการจดชื่อและข้อมูลของลูกค้าจากการไปออกงานนอกสถานที่หรือตามการออกบูท ซึ่งที่ผ่านมาธนาคารได้ดำเนินการไปแล้วส่วนหนึ่งโดยให้ออกจากงานและดำเนินคดีทางกฎหมาย
“ธปท.ได้เข้าไปดูว่าข้อมูลที่หลุดมาจากระบบบกพร่องหรือไม่ หากเป็นการบกพร่องของระบบอันนี้ธนาคารจะต้องรับผิดชอบเต็ม ๆ แต่หากเกิดจากพนักงานที่ตั้งใจเข้ามาทุจริต จะต้องดูว่าธนาคารจะดำเนินการอย่างไร แต่จะต้องมีการจัดการและมีบทลงโทษเด็ดขาด เพื่อให้เห็นว่าทำแล้วได้ไม่คุ้มเสีย และเป็นคดีร้ายแรง” นางสาวสุวรรณี กล่าว
BIN attack คืออะไร
BIN attack ก็คือการที่มิจฉาชีพใช้โปรแกรมสุ่มเลขบัตรไปเรื่อย ๆ แล้วลองกดซื้อของดู ถ้าไม่ได้ก็ลองเลขใหม่ ถ้าได้ก็เก็บข้อมูลบัตรนั้นไว้ เพราะสามารถเอาไปใช้ได้อีกหลายรอบจนกว่าเจ้าของหรือสถาบันการเงินจะรู้ตัว
การทำ BIN attack นี้ ไม่ซับซ้อนเหมือนที่หลายคนเข้าใจ (ว่าต้องทราบทั้งเลขบัตร ชื่อผู้ถือบัตร วันหมดอายุ รหัสหลังบัตร และมี OTP) เพราะข้อมูลที่จำเป็นจริง ๆ คือเลขบัตรและวันหมดอายุเท่านั้น ข้อมูลเพื่อตรวจสอบอื่น ๆ เป็นส่วนที่ร้านค้าสามารถเลือกได้เองว่าจะใช้หรือไม่ (เพราะร้านค้าเป็นคนรับความเสี่ยงในกรณีที่เกิดการสวมรอยใช้บัตร)
ร้านค้าส่วนหนึ่งไม่ได้ให้ลูกค้ากรอกข้อมูลอื่น ๆ โดยเฉพาะกรณีที่ธุรกรรมมีมูลค่าไม่มากเพื่อความสะดวกของลูกค้า เมื่อมิจฉาชีพพบร้านค้าออนไลน์ที่ระบบการตรวจสอบไม่เข้มงวดมากนัก ก็สามารถลองสุ่มเลขบัตรเพื่อใช้งานได้ หากสำเร็จก็จะทำต่อไปเรื่อยๆ
อ่านข่าวเพิ่มเติม
- แบงก์ชาติ เร่งตรวจสอบ เจ้าหน้าที่แบงก์ ‘ขายข้อมูลลูกค้า’ พร้อมตรวจสอบธนาคารบกพร่องหรือไม่ หาทางอุดรอยรั่ว
- ตร.ไซเบอร์ จับ ‘หัวหน้าฝ่ายสินเชื่อ’ ลักลอบขายข้อมูลลูกค้า ชื่อละ 1 บาท
- ‘ประเสริฐ’งัด 4 มาตรการปราบแก๊งคอลเซ็นเตอร์ เพิ่มโทษซื้อขายข้อมูล
ติดตามเราได้ที่
- เว็บไซต์: https://www.thebangkokinsight.com/
- Facebook: https://www.facebook.com/TheBangkokInsight
- Twitter: https://twitter.com/BangkokInsight
- Instagram: https://www.instagram.com/thebangkokinsight/
- Youtube: https://www.youtube.com/channel/UCYmFfMznVRzgh5ntwCz2Yx
