วันนี้กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (ตำรวจไซเบอร์) แถลงข่าวการจับกุมอาชญากรที่เกี่ยวข้องกับกลุ่มอาชญากร 3 กลุ่ม เป็นการจับกุมผู้นำข้อมูลส่วนบุคคลไปขายใน Dark Web สองกลุ่ม แต่รายหนึ่งคือนายณัฐพงษ์ อายุ 28 ปี ขายโปรแกรม API Bypass Face Scan ที่เปิดทางให้คนร้ายสามารถโอนเงินออกจากเครื่องของเหยื่อได้ แม้มีรายการโอนเงินเกิน 50,000 บาทโดยไม่ต้องสแกนใบหน้า
API Bypass Face Scan ต้องการเพียง PIN ของเหยื่อและหมายเลข OTP จากโทรศัพท์เท่านั้น ไม่จำเป็นต้องเปิดแอปพลิเคชั่นธนาคารแต่อย่างใด แต่สามารถโอนเงินเกิน 50,000 บาทได้ทันที แนวทางนี้น่าจะเกิดจากความผิดพลาดของการออกแบบระบบธนาคารเองที่ API server ไม่ได้ตรวจสอบว่า client ยืนยันใบหน้าแล้วจริง แต่กลับไปล็อกการทำงานด้วย แอปพลิเคชั่นไม่ให้กดโอนเงินได้เท่านั้น
ตำรวจตั้งข้อหานายณัฐพงษ์ 5 ข้อหา ตามมาตรา 6, 7, 8, 9, และ 12 ของพรบ.คอมพิวเตอร์ฯ
ที่มา - Facebook: ตำรวจไซเบอร์ – บช.สอท.
ภาพคนร้ายกำลังสาธิตการโอนเงินผ่านเบราว์เซอร์