ล่าทรชน 3 ตัวการใหญ่ ขายข้อมูล 15 ล้านรายชื่อ พัฒนาโปรแกรมโอนเงิน เขียนโค้ดยกเลิกสแกนใบหน้า

ตำรวจไซเบอร์จับแก๊งลักลอบขายข้อมูลส่วนบุคคล  3 ราย โบรเกอร์-โปรแกรมเมอร์-แอดมิน ขบวนการขายข้อมูลส่วนบุคคลให้กลุ่มมิจฉาชีพกว่า 15 ล้านรายชื่อ

วานนี้ (6 พ.ย. 66) กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) (ตำรวจไซเบอร์) มีการแถลงข่าวการจับกุมปฏิบัติการ Data Guardians Operation 'ล่าทรชน คนค้าข้อมูล' โดยมีการจับกุมผู้ต้องหารวม 3 ราย ที่มีส่วนเกี่ยวข้องกับขบวนการขายข้อมูลส่วนบุคคลให้กลุ่มมิจฉาชีพกว่า 15 ล้านรายชื่อ

พลตำรวจโทธนา ชูวงศ์ ผู้ช่วยผู้บัญชาการตำรวจแห่งชาติ รักษาราชการแทนรองผู้บัญชาการตำรวจแห่งชาติ กล่าวว่า

ปัจจุบันกลุ่มมิจฉาชีพ มีขั้นตอนในการสื่อสารหลอกลวงประชาชน ไปจนถึงขั้นตอนการโอนเงินได้อย่างรวดเร็วมากขึ้น

ซึ่งตำรวจได้มีการปฎิบัติการ เพื่อรวบรวมข้อมูลมาโดยตลอด นำมาสู่การเปิดปฏิบัติการเข้าจับกุมในครั้งนี้ ซึ่งมีการนำข้อมูลส่วนบุคคลของประชาชน ไปใช้ในเชิงลึกลงเรื่อย ๆ ทำให้เจ้าของข้อมูลหลงเชื่อได้ง่ายขึ้น นำไปสู่การโอนเงินให้กลุ่มมิจฉาชีพ

รวมไปถึง ยังมีการพัฒนาโปรแกรม ที่ทำให้สามารถโอนเงินจำนวนมากได้โดยไม่ต้องสแกนใบหน้า ตามมาตรฐานการรักษาความปลอดภัยของธนาคาร

ซึ่งจากการจับกุมผู้ต้องทำให้ทราบว่า งานแบบนี้เป็นงานที่ทำง่าย ทำที่บ้าน และผู้ต้องหาแต่ละคน มีรายได้เดือนละหลักแสน จึงยั่วยวนให้มากระทำผิด

-------------

พลตำรวจโทวรวัฒน์ วัฒน์นครบัญชา ผู้บัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี กล่าวว่า

การเข้าจับกุมผู้ต้องหาในครั้งนี้ เป็นการขยายผลมาจากกรณีที่ ตำรวจไซเบอร์ได้เคยเข้าจับกุมผู้ต้องหาวิศวกรหนุ่ม ที่จังหวัดภูเก็ต เมื่อเดือนกรกฎาคมที่ผ่านมา

โดยผู้ต้องหามีการนำข้อมูลส่วนบุคคลไปขายต่อให้ธุรกิจสีเทากว่า 2 ล้านรายชื่อ

และเมื่อขยายผลต่อ ก็นำไปสู่การเข้าจับกุมผู้ต้องหาที่เป็นพ่อค้าคนกลาง รับซื้อข้อมูลจากธุรกิจขายอาหารเสริม ไปขายต่อให้กับวิศวกรหนุ่ม

โดยผู้ต้องหารายนี้อ้างว่า ได้ซื้อข้อมูลมากกว่า 15 ล้านรายชื่อ แล้วนำมาแบ่งขายให้กับกลุ่มที่สนใจในดาร์กเว็บ ทำรายได้กว่า 4 แสนบาทต่อเดือน

-------------

จากปฏิบัติการทั้ง 2 ครั้ง ตำรวจไซเบอร์ได้ทำการขยายผล จนพบความเชื่อมโยง นำกำลังเข้าตรวจค้น และจับกุมผู้ต้องหาที่มีส่วนเกี่ยวข้องได้เพิ่มเติมอีก 3 ราย

ผู้ต้องหารายที่ 1 คือ นายพศิน อายุ 41 ปี เป็นโบรกเกอร์ของบริษัทประกันภัยชื่อดัง

ลักลอบนำข้อมูลส่วนบุคคลของลูกค้าประกันนับล้านรายชื่อ ไปขายให้กับกลุ่มมิจฉาชีพ ซึ่งข้อมูลของลูกค้าประกัน ถือว่าเป็นข้อมูลเกรด A เป็นข้อมูลในเชิงลึก ที่มีมากกว่าแค่ชื่อ-นามสกุล / เลขบัตรประชาชน 13 หลัก / และเบอร์โทร แต่มีข้อมูลเกี่ยวกับบัญชีธนาคารด้วย โดยจากการสืบสวนพบว่า นายพศินเป็นผู้ขายข้อมูลเหล่านี้ ให้กับผู้ต้องหาที่ถูกจับกุมได้ก่อนหน้านี้

ผู้ต้องหารายที่ 2 คือ นายณัฐพงษ์ อายุ 28 ปี เป็นโปรแกรมเมอร์ ที่ได้ทำการพัฒนาโปรแกรม API Bypass Face Scan

และนำโปรแกรมนี้ไปขายให้กลุ่มมิจฉาชีพ โดยเป็นโปรแกรมที่สามารถเข้าไปแก้ไขโค้ดของแอปพลิเคชั่นธนาคาร ให้ยกเลิกเงื่อนไขการสแกนใบหน้า เมื่อมีการโอนเงินจำนวนมากกว่า 5 หมื่นบาท สร้างความสะดวกให้กลุ่มมิจฉาชีพมากยิ่งขึ้น

ผู้ต้องหารายที่ 3 คือ นายยอดชาย อายุ 24 ปี ทำหน้าที่เป็นแอดมินกลุ่มเฟซบุ๊ก ซื้อขายข้อมูลส่วนบุคคล

โดยมีข้อมูลที่ใช้ซื้อขายมากกว่า 15 ล้านรายชื่อ ซึ่งนายยอดชายรับทำหน้าที่ไลฟ์สดให้แก่เว็บไซต์พนันออนไลน์ และได้นำข้อมูลมาจากฐานข้อมูลของเว็บพนันออนไลน์ มาขายในกลุ่มดาร์กเว็บ

ตำรวจได้ดำเนินคดีกับผู้ต้องหาทั้ง 3 รายในความผิดเกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และ พ.ร.บ.คอมพิวเตอร์ ซึ่งหลังจากนี้ จะมีการขยายผลไปยังผู้ที่มีส่วนเกี่ยวข้องเพิ่มเติมต่อไป

-------------

พลตำรวจตรีวรวัฒน์ กล่าวอีกว่า ในจำนวนข้อมูลทั้งกว่า 15 ล้านรายชื่อ ที่ผู้ต้องหาทั้ง 3 ราย นำมาซื้อ-ขายนี้

จากการตรวจสอบพบว่า บางส่วนก็เป็นข้อมูลที่ซ้ำกัน และส่วนใหญ่จะเป็นเพียงข้อมูลพื้นฐาน มีแค่บางส่วนที่เป็นข้อมูลในเชิงลึก

อย่างไรก็ตาม ในส่วนของโบรกเกอร์ประกันภัยนั้น จะต้องขยายผลต่อไปว่า มีการนำข้อมูลออกมาได้อย่างไร และมีใครเกี่ยวข้องอีกบ้าง

แต่ในส่วนของพฤติการณ์ ขอให้เป็นรายละเอียดในสำนวน เพราะยังต้องขยายผลเพิ่มเติม โดยโบรกเกอร์ที่มีพฤติกรรมแบบนี้ ก็อาจจะเพียงแค่บางส่วน ไม่ใช่ทุกคน

-------------

ในการแถลงข่าว ตำรวจยังได้เปิดคลิปวิดีโอ ขณะที่ให้ นายณัฐพงษ์ ผู้ต้องหาที่พัฒนาโปรแกรม API Bypass สาธิตวิธีการใช้โปรแกรมด้วย

โดยโปรแกรมที่พัฒนาขึ้นมาจะมี 2 รูปแบบ ดังนี้

รูปแบบที่ 1 คือ ใช้วิธีการโอนเงินได้ผ่านระบบเบราว์เซอร์ได้เลย โดยไม่จำเป็นต้องเข้าแอปพลิเคชั่นธนาคาร

ซึ่งหากกลุ่มมิจฉาชีพรู้ข้อมูลบัญชีธนาคาร ก็สามารถกรอกเข้าไปได้เลย ระบบก็จะส่งหมายเลข OTP ไปยังเบอร์โทรศัพท์เจ้าของบัญชี และเพียงแค่กรอก OTP ก็สามารถกดโอนเงินจำนวนมากผ่านระบบเบราเซอร์ที่ควบคุมโดยมิจฉาชีพได้ทันที

รูปแบบที่ 2 คือ การเขียนโค้ดยกเลิกการสแกนใบหน้า กรณีที่มีการโอนเงินจำนวนมากกว่า 5 หมื่นบาท

โดยต้องทำผ่านเครื่องโทรศัพท์ระบบแอนดรอยด์ เป็นการสร้างความสะดวกให้กลุ่มมิจฉาชีพ กลุ่มเว็บพนันออนไลน์ หรือกลุ่มที่ใช้บัญชีม้าในการดำเนินกิจการ

ซึ่งการสร้างโปรแกรมดังกล่าว เพื่อนำไปขายให้แก๊งคอลเซ็นเตอร์ นำไปใช้ให้เกิดความรวดเร็ว ในการยักย้ายถ่ายเทเงินที่ถูกโอนเข้ามาสู่บัญชีม้า

โดยคนร้ายเขียนโปรแกรม API Bypass ขึ้น เป็นการเขียนโปรแกรมดักข้อมูลจากแอฟพลิเคชั่นโมบายแบงก์กิ้งของธนาคาร  และนำมาแก้ไขโค้ด เพื่อลดขั้นตอนการโอนเงินของมิจฉาชีพ และช่วยให้การยักย้ายถ่ายเทเงินให้รวดเร็วขึ้น ทำให้ขั้นตอนการโอนเงินไม่ต้องผ่านแอปพลิเคชั่นของธนาคาร แต่ใช้เบราว์เซอร์ในการโอนเงิน

รวมถึงแก้โค้ดในขั้นตอนการสแกนใบหน้า โดยแอดรูปใส่ในโค้ด โดยเจ้าของบัญชีไม่จำเป็นต้องมาสแกนใบหน้าเพื่อให้สามารถโอนเงินได้เกิน 5 หมื่นบาท โดยนำโปรแกรมนี้ขายในกลุ่มดาร์กเว็บ ซึ่งตำรวจไซเบอร์จะขยายผลหลักการทำงานในรูปแบบนี้ต่อไป

-------------

ด้านพันตำรวจเอก ฐาปกรณ์ หนุมาศ ผกก.3 สอท. เปิดเผยว่า

จากการสอบสวนผู้ต้องหา บอกว่า โปรแกรมที่เขียนขึ้นมาทำได้หลายธนาคารแต่ไม่ใช่ทุกธนาคาร วิธีการมีสองรูปแบบคือ โปรแกรม API ทำผ่านเว็บเบราว์เซอร์ (ที่ทดลองทำ) และ Bypass Face Scan

จากการตรวจสอบพบว่า โปรแกรมที่เขียนขึ้นมา สามารถใช้ได้ในโทรศัพท์ระบบแอนดรอย์บางรุ่น เท่านั้น ส่วนระบบ ios ยังไม่พบว่าสามารถทำได้ ผู้ต้องหาก็เป็นโปรแกรมเมอร์ที่เชี่ยวชาญระดับหนึ่ง

จากาารตรวจสอบ ยังไม่พบว่ามีผู้เสียหายเรื่องนี้ ตำรวจยอมรับว่า แม้ว่าจะมีการป้องกัน หรือปราบปรามแค่ไหน ผู้ต้องหาก็พัฒนาระบบไปเพื่อหลอกลวงประชาชน ทางธนาคารก็พัฒนาระบบป้องกันคู่ขนานกันไป ซึ่งกรณีนี้ เจ้าหน้าที่ตรวจสอบ และจับกุมได้ก่อน จึงยังไม่มีผู้เสียหาย

-------------

ด้าน พันตำรวจเอก ภูมิพัฒน์ ภัทรศรีวงษ์ รักษาการ ผู้บังคับการสอท 5

เปิดเผยว่า กรณีการขายข้อมูลนี้ ไม่ใช่การจับครั้งแรก "ซึ่งตัวการหลักคือ พนักงานที่สามารถเข้าถึงฐานข้อมูลของลูกค้า" เช่นนายเอ เป็นโบรกเกอร์ประกันภัย // นายบี เป็นตัวแทนขายอสังหาริมทรัพย์

ทั้งสองคน ก็จะมีข้อมูลลูกค้าเกรดเอ แล้วก็เอาข้อมูลมาแลกกัน  และนำข้อมูลลูกค้าไปขายในกลุ่มดาร์กเว็บให้กับมิจฉาชีพ เพื่อนำไปก่อเหตุ โทรหลอกลวงประชาชน

ซึ่งปัจจุบันจะเห็นว่า กลุ่มมิจฉาชีพมีข้อมูลส่วนบุคคลมากขึ้น ทำให้เกิดการหลงเชื่อง่ายขึ้น ดังนั้น พนักงานที่มีข้อมูลลูกค้าถือเป็นส่วนสำคัญที่จะนำข้อมูลออกไปขาย

โดยในวงการรับซื้อข้อมูลจะมีเรทราคาขาย เช่น

• 1 แสนรายชื่อ ขายราคา 500 บาท 
• 5 แสนรายชื่อ ขายราคา 1,500 บาท
• 1 ล้านรายชื่อ ขายราคา 2,500 บาท
• 2 ล้านรายชื่อ ขายราคา 3,500 บาท

และมีพนักงานที่มีข้อมูลลูกค้าที่สำคัญ ขายข้อมูลจำนวนมาก  ทำให้ราคาการขายข้อมูลลูกค้านั้น มีตั้งแต่ 8 หมื่น - หลักแสนต่อเดือน

--------------

ทั้งนี้ ทางทีม technical (แบงก์แห่งหนึ่ง) สันนิษฐานว่า โปรแกรมดังกล่าว น่าจะทำมาสำหรับพวกบัญชีม้า ให้เวลาโอนเงินออกตั้งแต่ 5 หมื่นบาท ไม่ต้องทำสแกนใบหน้า และคนที่พัฒนาโปรแกรมอาจจะเป็นมิจฉาชีพ มาหลอกขายโปรแกรมให้พวกบัญชีม้าเองอีกที เพราะโดยมาตรฐานแล้ว แอปแต่ละธนาคาร มี security สูง ไม่น่าจะทำได้

ขณะที่ มีข้อมูลจากธนาคารแห่งประเทศไทย เปิดเผยสั้น ๆ ว่า กรณีที่เกิดขึ้นเป็นเรื่องเก่า ล่าสุด ได้มีการแก้ไขแล้ว มิจฉาชีพไม่สามารถเจาะระบบได้ แต่ที่เจ้าหน้าที่ได้มีการแถลงข่าวเมื่อวานนี้ (6 พ.ย.) นั้น เนื่องจากมีการขยายผลจับกุม เลยมีการแถลงข่าวเกิดขึ้น

ขณะที่ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPC ระบุว่า กรณีแบบนี้ผู้ที่นำข้อมูลไปขาย ถือว่ามีความผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

ขณะเดียวกัน ผู้ซื้อเองก็เข้าข่ายมีความผิดฐานเก็บรวบรวมข้อมูลจากแหล่งอื่นซึ่งไม่ใช่เจ้าของ และความผิดตาม พ.ร.บ.คอมพิวเตอร์

ส่วนหน่วยงานที่เป็นต้นเหตุที่ทำให้ข้อมูลรั่วไหล ก็จะต้องมีการเข้าไปตรวจสอบเกี่ยวกับมาตรการการรักษาความมั่นคงปลอดภัยต่อไปว่า รัดกุมเพียงพอหรือไม่

--------------

รับชมผ่านยูทูปได้ที่ : https://youtu.be/Bx2rHJtRSYw