บทเรียนจาก NTT Docomo ทำบริการ e-Money อย่างไรให้สูญเงิน 28 ล้านเยน

ปฏิเสธไม่ได้ว่า การใช้จ่ายในยุคปัจจุบัน นอกจากเงินสดแล้ว เราอาจมีตัวกลางอื่น ๆ เพิ่มขึ้นมาอย่างที่นับนิ้วไม่หมด ทั้งการใช้บัตรเครดิต การสแกน QR Code การจ่ายผ่านแอปพลิเคชันต่าง ๆ ฯลฯ แต่ท่ามกลางการทำงานอย่างสุจริตของตัวกลางเหล่านั้น ก็มีเหตุที่นำไปสู่การก่ออาชญากรรมทางการเงินได้เช่นกัน แถมเป็นกรณีที่นำไปสู่ความเสียหายหลายสิบล้านบาทเลยทีเดียว

- Advertisement -

อาชญากรรมดังกล่าวเกิดขึ้นที่ญี่ปุ่นเมื่อช่วงต้นเดือนกันยายนที่ผ่านมา เมื่อผู้ให้บริการโทรคมนาคมยักษ์ใหญ่อย่าง NTT Docomo ออกมาประกาศยุติการเชื่อมต่อบริการ e-Money ของบริษัทกับธนาคารทั้งหลายอย่างปัจจุบันทันด่วน หลังมีรายงานว่า มีการใช้บริการ e-Money ของบริษัท ยักย้ายถ่ายเทเงินจากบัญชีธนาคารออกไปอย่างผิดสังเกต

โดยสถาบันการเงินที่ออกมาแจ้งมูลค่าความเสียหายมีตั้งแต่ SBI Securities Co. ที่พบว่ามีเงิน 99 ล้านเยน (ประมาณ 29.6 ล้านบาท) ของลูกค้า 6 รายถูกโอนไปยังบริการ e-Money ของ NTT Docomo เช่นเดียวกับ Japan Post Bank ที่ออกมาบอกว่ามีเงินของลูกค้าราว 60 ล้านเยน (ประมาณ 18 ล้านบาท) ถูกโอนออกไปอย่างผิดกฎหมายไปเข้าบัญชี e-Money ของ NTT Docomo รวมถึงบริการ e-Money เจ้าอื่น ๆ อย่าง PayPay, LINE Pay และบัตรเดบิท Mijica ก่อนจะนำไปโอนให้กับผู้อื่น หรือนำไปใช้จับจ่าย

ที่น่าสนใจก็คือ ผู้เสียหายที่ถูกถอนเงินออกไปจากบัญชีธนาคารเหล่านี้ไม่รู้ตัวมาก่อนเลยว่าตนเองมีบัญชี e-Money อยู่กับ NTT Docomo

e-Money ของ NTT Docomo ทำงานอย่างไร

ในส่วนนี้มันคือการเชื่อมต่อข้อมูลระหว่างบัญชีธนาคารของเราเข้ากับแพลตฟอร์ม e-Money ของทางบริษัท เพื่อความสะดวกในการใช้จ่าย

อย่างไรก็ดี การให้บริการทางการเงินที่ไม่มีระบบยืนยันตัวตนที่เคร่งครัดมากพอ ก็อาจทำให้แฮกเกอร์อาศัยช่องโหว่นี้ ก่ออาชญากรรมได้ ซึ่งรายงานจาก Japantimes ระบุว่า แฮกเกอร์ได้มีการเก็บข้อมูลส่วนตัวของเจ้าของบัญชีเอาไว้ก่อนแล้ว จากนั้นก็อาศัยจุดอ่อนเรื่องระบบยืนยันตัวตนที่ไม่เคร่งครัดนี้ เข้ามาเปิดแอคเคาน์ e-Money กับ NTT Docomo และใช้ช่องทางดังกล่าวยักย้ายถ่ายเทเงินออกจากบัญชีธนาคาร

โดยการยืนยันตัวตนที่ไม่รัดกุมเพียงพอของบริการ e-Money ที่ NTT Docomo ให้บริการนั้น Japantimes พบว่าใช้แค่เลขที่บัญชี พาสเวิร์ด และ PIN ก็สามารถล็อกอินเข้าไปโอนเงินได้แล้ว

สื่อญี่ปุ่นยังได้รายงานด้วยว่า สถาบันการเงินอย่าง Sumitomo Mitsui Banking รอดพ้นจากอาชญากรรมรอบนี้มาได้เพราะมีการยืนยันตัวตนที่แน่นหนากว่า เช่น มีการใช้ two-factor authentication หรือการส่งพาสเวิร์ดแบบใช้ครั้งเดียวมาให้ลูกค้าก่อนการทำธุรกรรม (one-time password) จึงไม่มีความเสียหายใด ๆ เกิดขึ้น

ผู้บริหารของ NTT Docomo จัดแถลงข่าวขอโทษต่อเหตุการณ์ที่เกิดขึ้น (ขอบคุณภาพจาก japantimes)

อีกข้อที่ NTT Docomo ถูกตั้งข้อสงสัยก็คือ ทำไมถึงเปิดให้คนที่ไม่ใช่ลูกค้าของทางค่ายเปิดแอคเคาน์ได้ ซึ่งหากบริการนี้จำกัดเฉพาะคนที่เป็นผู้ใช้งานเครือข่าย NTT ก็จะสามารถระบุตัวตน หรือจำกัดความเสี่ยงในการใช้บริการ e-Money ได้มากขึ้น ซึ่งทาง NTT Docomo ตอบในจุดนี้ว่า เพื่อเพิ่มจำนวนผู้ใช้งาน ซึ่งก็ไม่แปลกเพราะเป็นแนวทางที่ผู้ให้บริการ e-Payment ทั้งหลายพยายามใช้อยู่ในปัจจุบัน

คาซุโนริ ยามาโฮกะ ผู้เชี่ยวชาญด้านซีเคียวริตี้จาก TrendMicro ให้ความเห็นต่อกรณีนี้ว่า “ยังไม่มีความชัดเจนว่าแฮกเกอร์ได้ข้อมูลบัญชีธนาคารของผู้เสียหายมาได้อย่างไร แต่การหลุดรั่วของข้อมูลส่วนใหญ่มาจาก 3 ประการ นั่นคือการถูก Phishing หรือไม่ก็เป็นข้อมูลที่ซื้อมาจากตลาดมืด และข้อสุดท้ายคือ ตัวองค์กรที่เก็บข้อมูลเหล่านั้นทำข้อมูลรั่วเสียเอง”

โดย NTT Docomo ซึ่งมีการพาร์ทเนอร์กับธนาคารถึง 35 แห่ง ได้ออกมาชี้แจงอย่างเป็นทางการแล้วว่า มีการยักย้ายถ่ายเทเงินออกไปอย่างผิดกฎหมายผ่านบริการของบริษัททั้งสิ้น 189 ครั้ง คิดเป็นความเสียหายทั้งสิ้น 28 ล้านเยน (ประมาณ 8.4 ล้านบาท) พร้อมทั้งขอโทษผู้ที่เกี่ยวข้อง และบอกว่าจะรับผิดชอบชดใช้ค่าเสียหายทั้งหมดที่เกิดขึ้น

เหตุที่ความเสียหายไม่มากนักอาจมาจากการกำหนดวงเงินในการโอนที่ถูกแคปเอาไว้ไม่ให้เกิน 100,000 เยนต่อการทำธุรกรรมหนึ่งครั้ง และไม่เกิน 300,000 เยนต่อเดือน ซึ่งในบรรดาผู้เสียหายมีเพียงรายเดียวที่สูญเงิน 600,000 เยนไปในเวลา 2 เดือน

โดยปัจจุบัน ธนาคาร 29 จาก 35 แห่งได้ระงับไม่ให้ลูกค้าสามารถโอนเงินไปยังบัญชีของ NTT Docomo ได้แล้ว ส่วนทาง NTT Docomo เอง ก็ออกมาเผยว่าไม่ได้ยุติการให้บริการ e-Money ไปเสียทั้งหมด เพราะยังมีความต้องการใช้งานอยู่ แต่จะเพิ่มระบบรักษาความปลอดภัยให้เข้มแข็งขึ้น รวมถึงมีแผนจะนำ e-KYC (electronic know-your-customer) เข้ามาใช้ในการยืนยันตัวตนลูกค้าเพื่อเพิ่มความปลอดภัยให้มากขึ้นด้วย

ไม่เฉพาะญี่ปุ่น กรณีเหล่านี้สามารถเกิดขึ้นได้ทุกแห่งในโลก ตราบใดที่การยืนยันตัวตนเพื่อทำธุรกรรมเกิดขึ้นได้ง่ายเกินไป และนั่นคือสิ่งที่เราทุกคนต้องระวัง

Source

Source

Source

Source