นายอาร์ม ยื่นมือช่วย ‘อานนท์ นำภา’ หลังบัญชีเงินบริจาคจากแสนบาทเหลือ 0 เผย 3 ทางเป็นไปได้ ล่าสุดแบงก์ติดต่อขอพูดคุยแล้ว
จากกรณีเพจ อานนท์ นำภา ของ นายอานนท์ นำภา ทนายความด้านสิทธิมนุษยชน ซึ่งขณะนี้รับโทษและถูกคุมขังอยู่ในเรือนจำพิเศษกรุงเทพฯ ระบุว่าบัญชีระดมทุนซื้ออาหารถูกแฮก ทำให้กว่า 40 ชีวิตเดือดร้อน ช่วยแชร์และยกเลิกการโอนเงินเข้าบัญชีธนาคารดังกล่าว เมื่อเดินทางไปธนาคารเพื่ออัพบุ๊กแบงก์พบว่า เงินทั้งบัญชีเหลือ 0 บาท จากยอด 144,695 บาท ด้านแบงก์แจงว่า เจ้าตัวต้องมาติดต่อเองในทุกๆ เรื่อง แม้จะมีใบมอบอำนาจมาจัดการบัญชีก็ตาม ต่อมา เพจอานนท์ชี้แจงลำดับขั้นตอนที่ “มิจฉาชีพ” เข้าถึงโมบายแบงกิ้ง พร้อมตั้งข้อสังเกตถึงการทราบรหัส OTP รวมถึงผ่านขั้นตอน “สแกนใบหน้า” เพื่อยืนยันตัวตนไปได้อย่างไรนั้น
เกี่ยวกับเรื่องนี้ นายอาร์ม อินฟลูเอนเซอร์ชื่อดังด้านไอที เข้ามาคอมเมนต์เพื่อหวังช่วยเหลือนายอานนท์ โดยระบุเมื่อวันที่ 14 มีนาคมที่ผ่านมาว่า “ยังไงลองติดต่อมานะครับ ผมสนใจกรณีสามารถเอา OTP เราไปได้ คิดว่ามีแอพพ์แปลกปลอมครับ อยากลองดูในมือถือหน่อย เบื้องต้น อย่าให้พูด ระบบสแกนหน้าธนาคารเมืองไทยมันไม่ได้ดีขนาดนั้นครับ” โดยผู้ดูแลเพจอานนท์กล่าวว่า “หลังไมค์ไปแล้ว”
ภายหลังการตรวจสอบกับผู้ดูแลโทรศัพท์นายอานนท์เรียบร้อยแล้ว นายอาร์ม เปิดเผยถึงความเป็นไปได้ ดังนี้
เคสล่าสุด บช เงินบริจาคอานนท์ นำภา โดนมิจฉาชีพขอผูกแอพพ์ธนาคารกับเครื่องใหม่ โดนดูดเงินออกไปแสนกว่าบาท เจ้าตัวยังอยู่ในเรือนจำ แต่มือถือบริหารโดยแอดมินเพจเพื่อใช้รับบริจาค เคสนี้น่าสนใจเพราะอาจเกิดได้กับทุกคน
โดยขั้นตอนการผูกแอพพ์ใหม่ของธนาคารกรุงศรีจะต้องมีข้อมูลดังนี้ จากคลิป คลิก
1.ชื่อ นามสกุล เลขบัตร ปชช. (ซึ่ง public อยู่แล้ว)
2.เลขบัญชีธนาคาร (public เพราะเป็น บช บริจาค)
3.เบอร์โทรที่ลงทะเบียนไว้ สำหรับส่ง OTP (มีคนทราบจำนวนหนึ่ง)
4.ระบบสแกนหน้า (เจ้าตัวไม่สามารถสแกนได้แน่นอน)
5.PIN
6.ปิด wifi คอนเฟิร์มเบอร์โทรศัพท์ด้วย 5G
ข้อ 4 ระบบสแกนหน้า ต้องบอกว่าจริงๆ การ implement ของแต่ละธนาคารมันไม่เหมือนกัน และมีความผิดพลาดได้ระดับหนึ่ง (เดี๋ยวมีโอกาสจะเล่าให้ฟัง) ดังนั้น ให้ตัดไปก่อน คิดว่าพอมีวิธีข้ามได้
ก็จะกลับมาที่คำถามว่า โจรได้ OTP ไปได้ยังไง?
– เบื้องต้นตรวจสอบจากมือถือแล้วไม่มีการ install MDM เพื่อฝังแอพพ์โจร (เขาถ่ายภาพมา) แต่ MDM สามารถถอนการติดตั้งตัวเองได้แบบ remote โจรอาจจะถอดออกหลังจบงานได้ รวมถึงตอนนี้รายชื่อแอพพ์ในเครื่องไม่มีอะไรน่าสงสัย (เพราะเป็นเครื่องของอานนท์ที่ใช้แค่ติดต่องาน)
– ถึงแม้ว่าจะติดตั้ง MDM แล้วฝังแอพพ์โจรมา ก็ยังคิดว่าไม่สามารถที่จะ remote มาอ่าน/บันทึกหน้าจอแอพพ์อื่นๆ ได้ (เพราะเป็น iOS แอพพ์โจรจะไม่มีพลังมากมายเท่า Android)
– ข้อความอาจจะถูกอ่านโดย iMessage ที่ล็อกอินในเครื่องอื่นๆ หรือโดน hack ไป ในกรณีนี้ไม่มีการแจ้งเตือน Login Apple ID ใหม่เลย และเครื่องอื่นๆ ของอานนท์ไม่ได้มีการใช้งานมาหลายเดือนแล้ว (เพราะเจ้าตัวไม่อยู่และไม่ได้ชาร์จแบต)
และการที่ผ่านข้อ 5/6 ได้ จำเป็นต้องมีแอพพ์โจรในเครื่องครับ เพื่อหลอกเอา PIN และใช้เบอร์คุณในการติดต่อกับธนาคาร ดังนั้น มี 3 ทางที่เป็นไปได้
1.โดนแอพพ์โจรจริงๆ แต่ผมตรวจสอบพลาดอะไรไป
2.คนในทำกันเอง
3.ระบบของธนาคารมีช่องโหว่
เรื่องนี้ไม่ make sense เท่าไรครับ แต่ไม่ว่าจะกรณีไหน เราก็อยากรู้คำตอบ เพื่อจะได้ระวังกันครับ
ขณะที่ผู้ดูแลเพจ อานนท์ นำภา อัพเดตเมื่อวันที่ 15 มีนาคมว่า ล่าสุดธนาคารสาขาใหญ่ติดต่อมาว่าจะขอเข้ามาพูดคุย เรื่องเป็นยังไง เดี๋ยวหลังการพูดคุยจะมาอัพเดตอีกที แต่คนที่มาบอกว่าแอดมินโกงเงิน กูแคปไว้แล้ว พูดแค่นีั
อ่านข่าวที่เกี่ยวข้อง
- เพจ ‘อานนท์ นำภา’ โพสต์ บัญชีระดมทุนซื้ออาหารถูกแฮก ทำ 40 ชีวิตเดือดร้อน จี้ ธนาคารแจงด่วน
- เพจ ‘อานนท์ นำภา’ โพสต์คืบหน้าเงินเหลือ 0 บาทในบัญชี ธนาคารบอกเจ้าของเรื่องต้องติดต่อเอง
- เพจอานนท์รอคำตอบ โมบายแบงกิ้งถูกแฮกได้? งงสแกนใบหน้ายังไง ทั้งที่คนอยู่ในคุก
- เช็กเลย! แบงก์ไหนปรับแอพพ์ แจ้งลูกค้ายืนยันตัวตน สแกนใบหน้า เริ่มวันนี้
- ส.ธนาคารไทย ยันแอพพ์ทุกแบงก์ปลอดภัย โปรแกรมแฮกสแกนหน้า ‘ใช้ไม่ได้’ แจงเหตุผล
