โจรไฮเทคแฮ็กตู้ ATM ( กรณีศึกษา )
การปฏิบัติการปล้นเงิน ATM ที่หลายคนอยากรู้ว่ามันเป็นอย่างไร?
พลตรี ฤทธี อินทราวุธ
ผู้อำนวยการศูนย์เทคโนโลยีทางทหาร
การปฏิบัติการปล้นเงิน ATM ที่หลายคนอยากรู้ว่ามันเป็นอย่างไร?
ประเด็นที่ 1 ตู้ ATM ส่วนใหญ่ทำงานด้วยเครื่องคอมพิวเตอร์ มีส่วน Input , Process และ Output ใช้ระบบปฏิบัติการ Windows , Unix
, Linux , DOS หรือ OS ของตัวเอง แล้วลง Applications
โปรแกรมเฉพาะสำหรับควบคุมกลไก
การจ่ายเงิน เครื่องคล้ายๆ PC มี Port มาตรฐานต่างๆ เช่น USB, COM และ CD-ROM สำหรับ Upgrade Software ก่อนเอาไปติดตั้งใช้งานจริง เครื่องจะต้องตั้งค่าปิด Port พวกนี้ ตั้งแต่ระดับ BIOS, ล๊อกห้ามลงโปรแกรมเพิ่ม,
ห้ามซิงค์ NTP, ปิด TCP/UDP port ที่ไม่ได้ใช้งาน หรืออื่นๆ เพื่อป้องกันการเจาะระบบ เรียกว่าการทำ hardening
เปิดใช้งาน Input สำหรับผู้ใช้บริการ เฉพาะ
ช่องสอดบัตร และแป้นคีย์บอร์ด และ Output จะมีหน้าจอ ,
ช่องสลิปรายการ และช่องจ่ายเงิน ดูแล้วก็น่าจะปลอดภัยดี
แต่ถ้าเครื่องดังกล่าวไม่ได้ทำ hardening หรือทำมาแบบไม่ครบถ้วน
ก็จะเป็นช่องโหว่สำหรับการโจมตีของพวกแฮกเกอร์ เพราะเขาสามารถใช้วิธีฝังโปรแกรมคอมพิวเตอร์ที่เรียกว่า
มัลแวร์ (malware) ลงไปในเครื่องคอมพิวเตอร์ของตู้ ATM
แล้วโปรแกรมจะคอยรับคำสั่งให้ดึงเงินออกมาได้
ซึ่งกรณีนี้จะแตกต่างจาก Skimming อุปกรณ์ Copy ข้อมูลบัตร ATM ที่คนร้าย Copy ข้อมูลบัตร ATM เอาไปทำบัตรปลอม
แล้วไปกดเงินออกจากบัญชีของเรา
ประเด็นที่ 2 วิธีเจาะระบบและฝังโปรแกรมมัลแวร์
(malware) ลงไปในเครื่องคอมพิวเตอร์ของตู้ ATM เขาทำกันอย่างไร? กรณีที่ตู้ ATM ดังกล่าวไม่ได้ทำ hardening หรือทำมาแบบไม่ครบถ้วน
ก็จะเกิดช่องโหว่ดังกล่าว ที่พวกแฮกเกอร์สามารถตรวจพบเจอ
และเขียนโปรแกรมมัลแวร์พวกนี้ขึ้นมาเอาไปฝังไว้ในระบบ ก็เหมือนพวกแฮกเกอร์ทั่วๆ
ไปที่อาศัยช่องโหว่ของโปรแกรม หรือ OS เจาะระบบเข้าไป
ส่วนในกรณีระบบตู้ ATM มันจะไม่ใช่ OS ปกติธรรมดา
แต่จะมีโปรแกรมเฉพาะที่ออกแบบมาสำหรับเครื่อง ATM ไม่ค่อยมีคนรู้
ไม่มีวางขายทั่วไป แฮกเกอร์มันจะรู้ได้ไงว่าต้องเขียนเจาะช่องโหว่ไหน
หรือต้องใช้คำสั่งอะไรยังไง แต่จริงๆ แล้วมีข้อมูลมาว่า
สำหรับแฮกเกอร์สามารถค้นหาได้ใน Google ทั้ง
คู่มือการเขียนโปรแกรม (Programmer's Reference Manual) คู่มือการใช้งาน
(Operation Manual) มีของตู้เอทีเอ็มแทบทุกยี่ห้อ
ตำแหน่งรูกุญแจตำแหน่งตัวล๊อกอะไรก็มีบอกไว้หมด แถมพวกตู้ ATM มือสองก็หาซื้อได้ง่ายๆ จาก อาลีบาบา หรือเว็บขายของใต้ดิน
เอามาศึกษาเจาะเล่นได้ อย่างยี่ห้อ NCR ผู้ผลิตตู้ ATM
เจ้าใหญ่ของสก๊อตแลนด์ ของธนาคารออมสินที่มีปัญหาอยู่นี่ ก็มีคู่มือ
Manual อยู่ในเว็บ e-Book ของจีน
เป็นต้น
ประเด็นที่ 3 วิธีเจาะระบบและฝังโปรแกรมมัลแวร์
(malware) ลงไปในเครื่องคอมพิวเตอร์ของตู้ ATM แบบต่อตรง ก็ไปหากุญแจไขเปิดหลังตู้ ATM หรือเจาะฝาตู้
แล้วเข้าไปโหลดมัลแวร์เข้าเครื่องตรงๆ ซึ่งถ้าคนร้ายมีกุญแจดอกมาสเตอร์ที่ไขได้ทุกตู้อยู่แล้ว
พอเปิดตู้ได้ก็จะสามารถโหลดโปรแกรมมัลแวร์ (malware) ผ่าน USB
หรือใส่แผ่น CD โหลดเข้าไปในระบบฯ
แบบเจ้าหน้าที่ฯ ที่มีหน้าที่ปรนนิบัตบำรุงระบบฯ ประจำเดือน หรือมา Upgrade
ระบบฯ
ประเด็นที่ 4 โปรแกรมมัลแวร์ (malware)
ที่ถูกฝังลงไปในเครื่องคอมพิวเตอร์ของตู้ ATM มันเป็นมัลแวร์ชนิดใด?
เช่น มัลแวร์ Backdoor.Ploutus.B ที่มีการตรวจเจอปี
2013 จะใช้วิธีเอามือถือต่อผ่านพอร์ต USB แล้วโหลดมัลแวร์ไปฝังไว้ แล้วส่ง SMS เข้าไปสั่งงานเพื่อให้ระบบฯ
ปล่อยเงินออกมาตามจำนวนที่สั่ง หรือ มัลแวร์ Tyupkin ที่แล็บของ
Kaspersky ตรวจเจอเมื่อปี 2014 ที่ใช้วิธีลงผ่านแผ่น
CD แล้วสั่งบูตให้โหลดมัลแวร์ไปฝังไว้ก่อน เสร็จแล้วตู้ ATM
ก็ยังทำงานได้ปกติทุกอย่าง
พอเวลาคนร้ายมากดรหัสพิเศษที่ตั้งไว้ก็สามารถดึงเงินออกมาได้
นอกจากนี้ก็ยังมีมัลแวร์ตัวอื่นอีกมากมาย เช่น Backdoor.Pinpad ก็สามารถโหลดผ่านซีดีได้ เป็นต้น
กรณีที่เกิดขึ้นดังกล่าว
เป็นเรื่องของกระบวนการพิสูจน์หลักฐานทางดิจิตัล ( Digital Forensic ) ซึ่งยังไม่มีเจ้าหน้าที่
หรือหน่วยงานดังกล่าว ออกมาให้ข้อมูลและข้อเท็จจริง
คงมีแต่คำสัมภาษณ์ของผู้ที่เกี่ยวข้อง นักวิชาการ และผู้เชี่ยวชาญต่างๆ
จากสื่อที่นำมาเสนอ จึงยังไม่ได้ข้อสรุปทางเทคนิดที่ชัดเจน
คงต้องให้เวลากับเจ้าหน้าที่ที่เกี่ยวข้องได้ทำงานอย่างเต็มที่ และคงมีข้อคิดเห็น
ข้อเสนอแนะต่อมาตรการรับมือและแนวทางการป้องกันไม่ให้เกิดความเสียหายในอนาคต
เพราะปัจจุบันประชาชนคนไทยส่วนใหญ่โดยเฉพาะมนุษย์เงินเดือนต่างฝากวิถีชีวิตอยู่กับตู้
ATM และประเทศไทยกำลังก้าวเข้าสู่ประเทศไทบยุคดิจิตัล ( Digital
Thailand ) จึงต้องมีความมั่นใจ เชื่อใจ
และมีความมั่นคงปลอดภัยด้านไซเบอร์
ปล. ข้อมูลบางส่วนนำมาจาก คุณนฤดม
รุ่งศิริวงศ์ Vice
President, IT Security ธนาคารเกียรตินาคิน จำกัด (มหาชน)
-------------------------------