เพจ อานนท์ นำภา หวังได้คำตอบแอพ์ธนาคารถูกแฮก ผ่านขั้นตอน ‘สแกนใบหน้า’ ได้ไง ทั้งที่คนอยู่ในรือนจำ สุดคาดเดาได้เงินแสนคืน ชี้ถ้ารัฐคุกคาม คงไม่ติดตั้งแอพพ์แล้วโอนเงินออก
จากกรณีที่เพจ อานนท์ นำภา ของ นายอานนท์ นำภา ทนายความด้านสิทธิมนุษยชน ซึ่งขณะนี้รับโทษและถูกคุมขังอยู่ในเรือนจำพิเศษกรุงเทพฯ ระบุว่า บัญชีระดมทุนซื้ออาหารถูกแฮก ทำให้กว่า 40 ชีวิตเดือดร้อน ช่วยแชร์และยกเลิกการโอนเงินเข้าบัญชีธนาคารดังกล่าว เมื่อเดินทางไปธนาคารเพื่ออัพบุ๊กแบงก์พบว่า เงินทั้งบัญชีเหลือ 0 บาท จากยอด 144,695 บาท ขณะที่แบงก์แจงว่า เจ้าตัวต้องมาติดต่อเองในทุกๆ เรื่อง แม้จะมีใบมอบอำนาจมาจัดการบัญชีก็ตาม
ล่าสุด คือวันที่ 14 มีนาคม เฟซบุ๊ก อานนท์ นำภา ชี้แจงต่อเรื่องที่เกิดขึ้นโดยละเอียด ดังนี้
To be clear อธิบายเรื่อง app ธนาคารกรุงศรีถูกแฮกอีกรอบ เพื่อคนที่ไม่เข้าใจ เข้าใจผิด ไม่ได้อ่านแต่ต้น ขอให้เข้าใจตรงกันก่อน
📌มัน “เรียกว่าดูดเงินไม่ได้” มันไม่ใช่การมี sms แจ้งเตือนว่าเงินคุณโดนโอนออกไปหา xx แต่มันคือ “การลงแอพพ์ธนาคารในอีกอุปกรณ์หนึ่งและโอนเงินเข้าบัญชีอื่น” หากดูในสมุดก็จะเห็นว่าเหมือนการโอนเงินให้ใครบางคนทั่วๆ ไป ไม่ได้มีพิรุธอะไร แต่! หากไปดูเส้นทางการเงินในเชิงเทคนิค ทั้งการเข้าใช้แอพพ์ การล็อกอิน อุปกรณ์ที่ใช้ บัญชีที่ถูกโอนไป ก็จะกระจ่างมากขึ้น แต่แอดทำเช่นนั้นไม่ได้ เพราะไม่มีสิทธิอะไรเลย ธนาคารยืนยันจะให้ข้อมูลกับเจ้าของบัญชีเท่านั้น แม้มีใบมอบอำนาจมาก็ไม่ได้ เราได้มาเพียงการอัพเดตสมุดให้ ทำให้รู้ว่าเงินถูกโอนออกไปหมดแล้ว เราจึงต้องแจ้งความเพื่อให้ตำรวจออกหมายเรียกเอกสารเหล่านั้น โดยตำรวจแจ้งว่าอาจใช้เวลา 1 เดือน-1 เดือนครึ่ง
📌เรื่องที่เกิดขึ้นคือ มิจฉาชีพลงทะเบียนเข้าแอพพ์ธนาคารได้สำเร็จ ทำให้เจ้าของเดิมเข้าใช้งานไม่ได้อีกต่อไป (เพราะลงทะเบียนได้ทีละเครื่อง) แอดใช้คำว่าสำเร็จเพราะมีการเปลี่ยน pin 6 หลัก พอเขาเป็นเจ้าของแอพพ์แล้ว เขาจะทำอะไรกับบัญชีก็ได้เลย เสมือนเป็นเจ้าของบัญชี แอดเข้าถึงแอพพ์ทั้งแอพ์ที่เป็นชื่อ อานนท์ นำภา ไม่ได้อีกต่อไป (แม้ตอนนี้จะอายัดไปตั้งแต่เมื่อคืน 13 มี.ค. มันก็ไม่ทันแล้ว)
📌ทั้งนี้ การลงทะเบียนแอพพ์ธนาคารอย่างที่ทุกคนที่ใช้งานกันทราบ มันต้องใช้รายละเอียดตามบัตรประชาชน เลขบัตร วันเกิด เบอร์โทรที่ผูกกับบัญชีไว้เพื่อรับ otp และสุดท้าย สแกนใบหน้าผู้ใช้
📌หลังไปแจ้งความมาแล้ว จะขออธิบายอีกรอบ รอบเดียวรอบสุดท้าย เข้าใจทุกๆ คนมีคำถามเยอะมากๆ อาจจะกังวลเกี่ยวกับบัญชีของตัวเองด้วย ซึ่งมันก็น่ากังวลจริงๆ นั่นแหละ แต่แอดเองไม่ใช่ผู้เชี่ยวชาญไอทีเลย ให้คำตอบไปไม่ได้มากกว่านี้ แชร์ได้แค่พฤติกรรมการใช้งาน แต่เรื่องทางเทคนิคควรเป็นหน้าที่ตำรวจและผู้เชี่ยวชาญว่า มิจฉาชีพลงแอพพ์ในเครื่องใหม่ได้อย่างไร ผ่านการสแกนใบหน้าได้อย่างไร อยากให้คนที่ทราบเชิงเทคนิคมาแชร์มากกว่าเราๆเดาๆ กันไปเรื่อยๆ ทำให้แตกตื่นและเข้าใจข้อมูลผิดกันเปล่าๆ
📌13 มี.ค. วันทั้งวัน ปกติแอดจะโอนเงินค่าซื้อของเข้าเรือนจำให้ญาติๆ และเพื่อนๆ ที่มาเบิกเงิน โดยจะโอนแบบนี้ทุกวัน เพราะมีการซื้อของทุกวัน เพื่อช่วยเหลือคนราว 30 คน ราวๆ 6-8 รายการโอนเงิน เวลาประมาณ 5 โมง มี sms จากธนาคารกรุงศรี ซึ่งเป็นธนาคารที่เราใช้ซื้อของ แจ้งขอ otp เข้ามาในข้อความมือถือ 2 ครั้ง
แอดเข้าใจว่ามันคือการพยามลงทะเบียนติดตั้งแอพพ์กรุงศรีในอุปกรณ์อีกเครื่อง โดยไม่ทราบเลยว่าใครทำ แต่แอดรู้ว่าการลงแอพพ์อีกเครื่องมันทำไม่ได้ เพราะมันลงได้ทีละเครื่อง และถ้าจะลงแอพพ์ใหม่ จำเป็นต้องมีเลขบัตร ปชช. วันเดือนปีเกิด รหัส otp และการสแกนใบหน้า แอดไม่เชื่อว่ามิจฉาชีพจะผ่านการสแกนใบหน้าได้
เวลาราว 4 ทุ่ม แอดจะเข้าแอพพ์เพื่อโอนเงินยอดสุดท้ายให้ญาติที่ส่งสลิปมาเบิกเงิน เมื่อกดเข้า pin 6 หลัก ขึ้นว่ารหัสผิด ก็คือมีการเปลี่ยนรหัสไปแล้วนั่นแหละ แอพพ์ถูกลงในเครื่องอื่นไปแล้ว และเมื่อเรากดรหัสครบ 3 ครั้งแล้วมันผิดทั้งที่เป็นรหัสเดิมของเราเอง มันก็จะดีดเราออกทันที ทำให้เราต้องลงทะเบียนเข้าใช้แอพพ์ใหม่อีกครั้ง ปัญหาคือแม้ว่าเราจะมีรายละเอียดส่วนตัวของอานนท์ แต่เมื่อถึงขั้นตอนการสแกนหน้า เราไม่มีทางผ่านขั้นตอนนี้ไปได้เพราะเราไม่ใช่อานนท์ กว่าจะติดต่อ call center เพื่ออายัดบัญชีได้ก็เกือบ 5 ทุ่มแล้ว
นี่คือเหตุการณ์ที่เกิดขึ้น มีแค่นี้เลย แอดเข้าแอพพ์ไม่ได้อีกต่อไป เพราะติดขั้นตอนการสแกนใบหน้า แต่มิจฉาชีพลงทะเบียนได้สำเร็จในอุปกรณ์ใด วิธีใดก็ไม่รู้แน่ชัด
📌คนถามกันเยอะและตั้งข้อสังเกตกันเยอะ แอดคิดว่ามันมีคำอธิบายทางไอทีในเชิงเทคนิคว่าทำได้อย่างไร โดยปกติแอดอ่านข่าวก็ยังไม่เคยเจอว่าจะสามารถลงทะเบียนใหม่โดยผ่านการสแกนใบหน้าไปได้ เพราะในทางกายภาพไม่มีทางทำได้ อานนท์อยู่ในเรือนจำ
📌มีคนบอกว่าใช้รูปภาพ คลิปวิดีโอแสกนหน้าได้มั้ย แอดคิดว่าไม่ได้ (รอผู้เชี่ยวชาญไอทีมาคอนเฟิร์มแล้วกัน) otp มิจฉาชีพทราบได้อย่างไร แอดกดลิงก์แปลกๆ ติดตั้งแอพพ์แปลกๆ มั้ย แอดไม่คิดว่าแอดได้ทำสิ่งนั้น เพราะแอดก็พยายามระวังมิจฉาชีพ เพราะเห็นข่าวลักษณะนี้มาตลอด และเรื่องนี้สามารถตรวจสอบได้ในภายหลังทางเทคนิคว่าแอดได้กดลิงก์ ลงแอพพ์มั้ย แต่แอดยืนยันเบื้องต้นว่า ไม่ได้กด หรือลงแอพพ์อะไร หรือ call center หลอกโอนเงินก็ไม่ใช่อีกเช่นกัน
📌ใช่ เพกาซัส มั้ย? แอดไม่ทราบต้องเอามือถือส่งตรวจอีกที แต่เพกาซัสไม่ได้เอาไว้ขโมยเงิน มันขโมยข้อมูลโดยรัฐ เน้นใช้โดยรัฐ สอดส่องการเคลื่อนไหวนักกิจกรรม ไม่ได้มายุ่งย่ามกับเงิน อานนท์เคยถูกโปรแกรมนี้สอดส่อง ในช่วงเวลาที่การชุมนุมอยู่ในกระแสสูง เราช่วยเหลือเพื่อนๆ ในเรือนจำจำนวนมาก มีเงินจำนวนมากในบัญชีมากกว่านี้หลายเท่า แต่เงินไม่หายสักบาทเดียว ถ้ารัฐจะคุกคามเรา แค่แจ้งอายัดบัญชีเราก็ทำอะไรไม่ได้แล้ว ไม่ต้องลงทุนมาติดตั้งแอพพ์ธนาคารในอุปกรณ์ใหม่และโอนเงินออก
สุดท้ายแล้ว บัญชีธนาคารนี้บังเอิญ หรือเป็นเป้าโจมตี แอดตอบไม่ได้และไม่อยากเดา เงินจะได้คืนมั้ย คิดว่ายากเพราะคดีลักษณะนี้มีเยอะมากๆ แค่ตอนไปรอแจ้งความก็มี 5-6 คนมาแจ้งความอยู่ก่อนแล้ว ด้วยพฤติการณ์ต่างๆ กันไป แล้วต่อวันตำรวจต้องรับแจ้งความกี่เคส ความเสียหายกี่บาท เดาว่ามหาศาลมากๆ
แอดคิดว่าแอดได้พยามปกป้องเงินที่ทุกคนช่วยกันหามาอย่างยากลำบาก ด้วยการพยามใช้จ่ายอย่างโปร่งใส แจกแจงได้ แต่การแฮกแอพพ์มันสุดวิสัยเกินไป การผ่านระบบยืนยันตัวตนของธนาคารได้ทุกระบบมันเป็นสิ่งที่ไม่น่าเกิดขึ้นได้
สำหรับคนที่มากล่าวหาว่าแอดเอาเงินไปเองมั้ย เส้นทางการเงินมันตรวจได้หมดอยู่แล้วว่าเงินที่หายไปหายไปไหน แต่แอดไม่มีสิทธิพิสูจน์เพราะเข้าถึงอะไรไม่ได้ทั้งนั้น แต่อะไรที่ไม่ใช่ความจริงก็คือไม่ใช่ แอดคงไม่ไปตอบ หรืออธิบาย เพราะที่พูดไปข้างต้นก็พอสมควรแล้ว
ในที่สุดถ้าการสอบสวนคืบหน้า แอดคงได้มารายงานต่อไป แต่คงใช้เวลานานมาก หากอานนท์ได้ประกันตัว เขาคงมาดำเนินการสอบถามธนาคารด้วยตัวเองได้ และคงมีความกระจ่างที่รวดเร็วกว่านีั แต่ขณะนี้ไม่มีท่าทีจะเป็นแบบนั้น เราจึงได้แต่รอให้ตำรวจทำงานเพราะประชาชนจำนวนมากกำลังเป็นเหยื่อมิจฉาชีพ และหากความจริงปรากฏว่าการแสกนหน้าสามารถทำได้แม้ไม่ใช่หน้าเจ้าตัวจริงๆ มันก็อันตรายสำหรับทุกแอพธนาคารและทุกคนในประเทศนี้
อ่านข่าวที่เกี่ยวข้อง
- เพจ ‘อานนท์ นำภา’ โพสต์ บัญชีระดมทุนซื้ออาหารถูกแฮก ทำ 40 ชีวิตเดือดร้อน จี้ ธนาคารแจงด่วน
- เพจ ‘อานนท์ นำภา’ โพสต์คืบหน้าเงินเหลือ 0 บาทในบัญชี ธนาคารบอกเจ้าของเรื่องต้องติดต่อเอง
- เช็กเลย! แบงก์ไหนปรับแอพพ์ แจ้งลูกค้ายืนยันตัวตน สแกนใบหน้า เริ่มวันนี้
- ส.ธนาคารไทย ยันแอพพ์ทุกแบงก์ปลอดภัย โปรแกรมแฮกสแกนหน้า ‘ใช้ไม่ได้’ แจงเหตุผล