เครื่องฝากถอนเงินสดอัตโนมัติหรือที่รู้จักกันดีในนาม “เครื่องเอทีเอ็ม” เข้ามามีบทบาทในชีวิตประจำวันของเราตั้งแต่วันที่ 27 มิถุนายน ค.ศ. 1967 (ก่อนผู้เขียนจะเกิดเสียอีก) โดยเครื่องเอทีเอ็มเครื่องแรกตั้งอยู่ที่มหานครลอนดอน เป็นของธนาคาร Barclays จากนั้นก็เริ่มนิยมกันอย่างแพร่หลายทั่วโลก
จากความนิยมการใช้งานเครื่องเอทีเอ็มที่เพิ่มขึ้น การโจมตีสถาบันการเงินที่มุ่งการโจมตีไปที่เครื่องเอทีเอ็มก็กำลังเพิ่มขึ้นทั่วโลกเช่นกัน การถอนเงินจากเครื่องเอทีเอ็มอย่างผิดกฎหมายของกลุ่มแฮกเกอร์ได้สร้างความเดือดร้อนต่อธนาคารและลูกค้าของธนาคารต่าง ๆ ทั่วโลกในเวลานี้
มาทำความเข้าใจองค์ประกอบของเครื่องเอทีเอ็มกันก่อน
องค์ประกอบของเครื่องเอทีเอ็มทุกตู้ในโลกนี้ประกอบด้วยส่วนของ Hardware และ Software ที่ต่อเชื่อมกับระบบเครือข่ายภายในของธนาคาร เริ่มจากส่วนของ Hardware ของผู้ผลิตแต่ละรายจะมีลักษณะที่แตกต่างกัน ยี่ห้อยอดนิยมที่เราเห็นกันบ่อย ๆ ได้แก่ Diebold, Wincor Nixdorf และ NCR แต่ละยี่ห้อมีการออกแบบที่ไม่เหมือนกัน การทำงานภายในตู้ก็มีความแตกต่างกันในแต่ละยี่ห้อ ภายในเครื่องเอทีเอ็มประกอบไปด้วย ส่วนของเครื่องคอมพิวเตอร์ที่ส่วนใหญ่ทำงานด้วยระบบปฏิบัติการ Windows และส่วนของตู้เซฟที่ใช้เก็บเงินที่มีความมั่นคงปลอดภัยสูงกว่าตัวเครื่องคอมพิวเตอร์ที่ภายในเครื่องเอทีเอ็ม
จุดอ่อนของระบบที่พบเป็นประจำได้แก่ ช่องโหว่ของระบบปฏิบัติการ Windows ที่เกิดขึ้นในเครื่องคอมพิวเตอร์ตามสำนักงานหรือตามบ้านทั่วไปก็ไม่ต่างกับกับช่องโหว่ของระบบปฏิบัติการ Windows ของเครื่องคอมพิวเตอร์ที่อยู่ในเครื่องเอทีเอ็ม ดังนั้นเครื่องเอทีเอ็มก็มีโอกาสในการติดไวรัสคอมพิวเตอร์หรือถูกโจมตีด้วยมัลแวร์เช่นกัน เพียงแต่ที่เครื่องเอทีเอ็มไม่ค่อยมีปัญหานี้มาก่อน เนื่องจากเครื่องเอทีเอ็มอยู่ในเครือข่ายปิดของธนาคารมาโดยตลอด
จนเมื่อปี ค.ศ. 2010 แฮกเกอร์หนุ่มชาวนิวซีแลนด์ Mr. Barnaby Jack ได้แสดงการเจาะระบบเครื่องเอทีเอ็มบนเวทีงาน Black Hat Computer Security Conference 2010 ที่ลาสเวกัส การเจาะระบบในครั้งนั้นเป็นที่โด่งดังไปทั่วโลกในหัวข้อการบรรยายที่รู้จักกันทั่วไปในชื่อ “ATM Jackpotting” (ดูรูปที่ 1) ทำให้ชาวโลกได้เรียนรู้ว่าเครื่องเอทีเอ็มไม่ปลอดภัยจากแฮกเกอร์อีกต่อไป (ปัจจุบัน Mr. Barnaby Jack ได้เสียชีวิตไปแล้ว ณ กรุงซานฟรานซิสโก เมื่อปี ค.ศ. 2013)
เหตุการณ์มัลแวร์ที่เกิดขึ้นกับเครื่องเอทีเอ็มเป็นครั้งแรกของโลก เกิดขึ้นในปี 2009 โดยได้รับชื่อว่า “Skimer” โดยมัลแวร์ “Skimer” มีการแพร่ในช่วงปี ค.ศ. 2010-2013 แฮกเกอร์ชาวรัสเซียได้นำมัลแวร์ “Skimer” กลับมาใช้อีกครั้งหนึ่ง ซึ่งถูกตรวจพบโดย Kaspersky LAB เป็นเวอร์ชันใหม่ของมัลแวร์ Skimer ที่เข้าถึงเครื่องเอทีเอ็มโดยการเปิดตู้โดยตรง และเข้าถึงโดยผ่านทางเครือข่ายปิดภายในธนาคาร จากนั้นก็สั่งให้เครื่องเอทีเอ็มจ่ายเงินออกมา แต่ต่างกันที่มัลแวร์ Skimer แอบดักข้อมูล Credit Card ของลูกค้าธนาคารอย่างเงียบ ๆ (หน้าตาจอของมัลแวร์ Skimer ดูได้ในรูปที่ 2) มัลแวร์สั่งให้เครื่องเอทีเอ็มจ่ายธนบัตรออกมาครั้งละ 40 ฉบับ และยังเก็บข้อมูลใน CHIP และ PIN ของลูกค้าที่มาใช้เครื่องเอทีเอ็มอีกด้วย
ข้อมูลเหล่านี้ถูกนำไปสร้างบัตรเครดิตปลอมไปกดเงินต่อได้อีก จะเห็นได้ว่า มัลแวร์ Skimer สามารถ Skim หรือดักข้อมูลลูกค้าของธนาคารได้โดยไม่ต้องติดตั้ง Hardware Skimmer แต่อย่างใด และมีการแพร่หลายไปยังผู้ผลิตเครื่องเอทีเอ็มหลาย ๆ ยี่ห้อทั่วโลก โดยพบที่ UAE, France, USA, Russia, Macao, China, Philippines, Spain, Germany, Georgia, Poland, Brazil และ Czech Republic
จากเหตุการณ์มัลแวร์ Skimer ช่วงปี ค.ศ. 2013-2014 ตามต่อมาด้วยการค้นพบมัลแวร์อีกตัวที่โจมตีเครื่องเอทีเอ็มเช่นกัน มัลแวร์ตัวนี้มีชื่อว่า Tyupkin ถูกค้นพบโดย Kaspersky LAB ในปี 2014 ในเครื่องเอทีเอ็มแถบยุโรปตะวันออก และยังแพร่ไปยังสหรัฐอเมริกา อินเดีย และจีนอีกด้วย (ดูรูปที่ 3) มัลแวร์จะทำงานบนระบบปฏิบัติการ Windows 32 บิต ในช่วงเวลากลางคืนเท่านั้น พบว่าแฮกเกอร์ใช้กุญแจผีไขเครื่องเอทีเอ็มและนำ CD-ROM ไปบูตเครื่องคอมพิวเตอร์ในตู้ โดยมัลแวร์จะทำให้เครื่องเอทีเอ็มจ่ายเงินออกมาเป็นธนบัตรครั้งละ 40 ฉบับเช่นกัน
มัลแวร์ Tyupkin เป็นต้นแบบของการโจมตีเครื่องเอทีเอ็มโดยไม่จำเป็นต้องโจมตีเครือข่ายของธนาคารหรือดักข้อมูลของลูกค้า แต่โจมตีไปที่ตัวเครื่องเอทีเอ็มโดยตรงเลย จากช่องโหว่ทางกายภาพของตัวตู้ และช่องโหว่ทางด้านระบบปฏิบัติการและการป้องกันการเข้าถึงเครื่องคอมพิวเตอร์ภายในตู้
นอกจากนี้ยังมีการค้นพบมัลแวร์ชื่อ PLOUTUS และ PADIN ค้นพบโดย Symantec แพร่ในประเทศเม็กซิโก และในโซนเอเชียของเราก็มีการตรวจพบมัลแวร์ในประเทศมาเลเซีย ถูกโจมตีไปมีมูลค่าความเสียหายกว่า 3 ล้านริงกิตโดยมัลแวร์ PADIN เช่นกัน และยังตรวจพบอีกว่า คู่มือของเครื่องเอทีเอ็มชื่อดังรวมถึงเครื่อง Point-of-Sales และ เครื่อง Self-Service Kiosk ถูกนำมาโพสต์ในเว็บไซต์ที่บริษัท Baidu เป็นเจ้าของ การโจมตีในลักษณะนี้ทำให้ธนาคารต้องให้ความสำคัญกับความปลอดภัยทางกายภาพ (Physical Security) ของเครื่องเอทีเอ็มมากขึ้น
เมื่อเดือนกรกฎาคม ค.ศ. 2016 ที่ผ่านมา เครื่องเอทีเอ็มในประเทศไต้หวันเพิ่งถูกแฮกไปทั่วประเทศเช่นกัน โดยมีความสูญเสียถึง 2.5 ล้านเหรียญสหรัฐ พบว่าเป็นฝีมือของแฮกเกอร์ชาวยุโรปตะวันออกและรัสเซีย ซึ่งเป็นครั้งแรกในประเทศไต้หวันที่มีเหตุการณ์โจมตีเครื่องเอทีเอ็มทั่วประเทศในลักษณะแบบนี้ ทำให้ธนาคารต้องหยุดให้บริการเอทีเอ็มกว่า 1,000 ตู้ สืบเนื่องกับเหตุการณ์ที่เกิดขึ้นในประเทศญี่ปุ่น ก็มีการโจมตีเครื่องเอทีเอ็มเช่นกัน แถมยังใช้เวลาแค่เพียง 3 ชั่วโมงแต่สร้างความเสียหายสูงถึง 1.4 พันล้านเยน (12.7 ล้านเหรียญสหรัฐ) เกิดขึ้นกับเครื่องเอทีเอ็มตามร้านสะดวกซื้อ 1,400 ตู้เมื่อวันที่ 15 พฤษภาคม ค.ศ. 2016 เวลา 05.00 AM-08.00 AM เพียง 3 ชั่วโมงเท่านั้น โดยมีการโจมตีด้วยวิธี Hardware Skimming รวมทั้งการปล่อยมัลแวร์เข้าโจมตีเครื่องเอทีเอ็ม และยังนำบัตรเครดิตปลอมที่แฮกได้จากแอฟริกาใต้มากดเงินอีกด้วย โดยจำนวนอาชญากรมีถึง 100 คน ร่วมกันถอนเงินครั้งใหญ่ ถือว่าเป็นครั้งแรกในญี่ปุ่นเช่นกันที่มีเหตุการณ์แบบนี้เกิดขึ้น
7 แนวทางในการลดความเสี่ยงของธนาคารจากการถูกโจมตีเครื่องเอทีเอ็มในอนาคต
1. ต้องตรวจสอบความปลอดภัยทางกายภาพ (Physical Security) ของเครื่องเอทีเอ็มทุกตู้ที่ธนาคารเปิดให้บริการอยู่ว่ามีความปลอดภัยเพียงพอหรือไม่ต่อการถูกโจมตีที่ตัวเครื่องเอทีเอ็มโดยตรง
2. ควรเปลี่ยนกุญแจเครื่องเอทีเอ็ม โดยไม่ใช้ Master Key ที่เตรียมให้โดยบริษัทผู้ผลิตเครื่องเอทีเอ็ม ควรติดตั้งระบบเตือนภัยที่เครื่องเอทีเอ็มให้แจ้งเตือนการบุกรุกโดยอัตโนมัติ
3. เฝ้าระวังการทำงานของเครื่องเอทีเอ็มผ่านเครือข่ายภายในของธนาคารแบบ 24 X 7 เพื่อที่จะสามารถตรวจสอบความผิดปกติทางเครือข่ายภายในได้ตลอดเวลา
4. ทำการ Harden ปิดช่องโหว่ เครื่องคอมพิวเตอร์ที่อยู่ในเครื่องเอทีเอ็มทุกเครื่องโดยทำตามมาตรฐานความมั่นคงปลอดภัยขั้นต่ำที่เป็นมาตรฐาน หรือทำตาม PCI DSS Security Guidelines
5. เครื่องเอทีเอ็มควรอยู่ในที่สว่าง มีกล้อง CCTV คอยบันทึกภาพตลอดเวลา เจ้าหน้าที่ธนาคารหมั่นตรวจสอบความผิดปกติของตู้อยู่เป็นระยะ ๆ
6. ธนาคารควรตรวจสอบเงินสดในเครื่องเอทีเอ็มควบคู่กับการทำ Reconcile กระทบยอดทุกวัน
7. ธนาคารควรทำ Security Audit ด้วยการทำ Penetration Testing ระบบเอทีเอ็มครั้งใหญ่อีกครั้ง เพื่อให้มั่นใจในความมั่นคงปลอดภัยของเครือข่ายภายในธนาคาร ทั้งนี้เป็นการสร้างความมั่นใจให้ลูกค้าของธนาคารอีกด้วย
กล่าวโดยสรุปจะเห็นว่าในปัจจุบันและอนาคตทิศทางในการเจาะและโจมตีเครื่องเอทีเอ็มของธนาคารนับวันจะเริ่มแพร่หลายและมีความสลับซับซ้อนมากขึ้น ทำให้ธนาคารทุกธนาคารต้องอยู่ในสภาวะเตรียมพร้อม ควรมี Security Operation Center และ Incident Response Plan/Incident Response Drill ให้พร้อมต่อการโจมตีอยู่เสมอ เพื่อสร้างความมั่นใจให้กับลูกค้าในที่สุด