กำลังชั่งใจในตอนแรกว่าจะเขียนบอกเล่าเรื่องของตัวเองดีรึป่าวโดย ตลอดระยะเวลาที่ผ่านมานับ10ปี+    ที่ผมใช้งานเน็ตและใช้งานอินเตอร์เนตแบงค์กิ้งได้อ่านเรื่องราวของคนอื่นๆผ่านตามามากมายที่โดนแฮกขโมยเงินจากบัตรเครดิต  ตัวผมระมัดระวังในการใช้งานพอสมควร ไม่คิดว่าวันนึงจะมาโดนเข้ากับตัวเอง      ข้อมูลด้านล่างผมจำเป็นต้องเซนเซอร์บางอย่าง และไม่สามารถเล่าเรื่องราวอย่างละเอียดได้ทุกขั้นตอน เพราะถ้ามิจฉาชีพคือ คนไทยแล้วเข้ามาอ่านกระทู้นี้ มันจะกลายเป็นนำข้อมูลไปติ๊ต่างแก้ ตัวในกระบวนการที่ผมโปรเซสเพื่อ refund ได้

                 ตัวผมจะแบ่งประเภทของบัญชีในการใช้งานแยกไว้เลย
1.บัตรเดบิต อีกธนาคารนึง กับ บัตรเครดิต อีกธนาคารนึง ผมจะแยกไว้ไม่เอามายุ่งกับการทำธุรกรรมเวบต่างประเทศ หรือการชำระซื้อสินค้าต่างๆ

2.บัตรเดบิต SCB  ใบที่มีปัญหา ที่ผมได้ผูกบัญชีกับ Paypal เป็นบัตรที่ผมใช้ ช้อปปิ้งเวบต่างประเทศและชำระค่าบริการ เช่น Aliexpres , Ebay และเวบออนไลน์ทั่วโลกที่รับ Paypal ซึ่งผมก็มักจะฝากเงินสดทิ้งไว้ในบัตรเดบิต scb ใบนี้ตลอด  บางทีก็หลักหมื่น บางทีก็หลักพัน   ด้วยความที่ใช้บัตรเดบิตใบนี้มานานตั้งแต่ปี 2545 และไม่เคยมีปัญหา

         เรื่องมาเกิดขึ้นเมื่อตอนวันที่ 7 ธค 61 วันนั้นผมกำลังจะโอนเงินจาก บัตรเดบิตscb  ไปให้เพื่อนแต่แล้วก็ต้องตกใจที่เงินในบัญชีหายเกลี้ยงทั้งๆที่จำได้ว่ามีเงินเหลือในบัญชีประมาณ 2-3 พันบาท เมื่อผมมีเวลาว่างจึงไปตรวจดูใน SCB internet banking พบว่าเงินผมถูกถอนออกจากบัญชีเกลี้ยง โดยโชว์การตัดเงิน4รายการโดย PayPal ในวันที่ 1 ธค 2561  ซึ่ง4รายการนี้ผมไม่ได้เป็นคนทำรายการ เวลานั้นจึงรู้ตัวแล้วว่าตัวเองโดน Hack บัญชี

รายการที่1 Time19.50  = ชำระค่าใช้จ่ายส่วนตัว -9xxบาท ไปยัง Phodchaxxxx Wongsaxxx
รายการที่2 Time20.00  = -2X USD  ชำระเงินไปยังเวบ Rixty Topup     เวบแนวๆเติมเกมส์
รายการที่3 Time20.19  = ชำระค่าใช้จ่ายส่วนตัว –5xxบาท ไปยัง hassn ali
รายการที่4 Time20.22  = ชำระสินค้าและบริการ  -4 USD  ไปยัง   hassn ali  ทำเป็นตีเนียนทำเป็นว่าผมซื้อของ แล้วเลือกที่อยู่ร้านผมในการจัดส่งสินค้า
** โปรแกรม AnyDesk ถูกสร้างขึ้นในวันเดียวกัน เวลาไล่เลี่ยกัน กับ ตอนเกิดการขโมยทำธุรกรรมสวมรอย **

หลังจากผมรู้ตัวว่าตัวเองโดนHackแน่นอนแล้ว ผมมานั่งทบทวนถึงช่วงเวลาที่ผมใช้งานที่ผ่านมา  ตั้งประเด็นต่างๆที่น่าจะมีโอกาสเกิดปัญหานี้ขึ้นได้
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้
0.  ตัว Software ในตัวเครื่อง Pc ของผมต้องยอมรับครับว่าผมใช้โปรแกรมเถื่อน100% มาตั้งแต่win311>win98>winXp>win7>win8.1>windows10 ตั้งแต่ยุคแรกก็แผ่นเถื่อนตามพันทิพย์ทีมีแครก จนมาถึงยุคปัจจุบันตั้งแต่วินxp ที่เริ่มมีบิททอเร้นท์มา ผมก็เลือกโหลดโปรแกรมจากในบิทมาใช้งานตลอด โปรแกรมที่ลงก็ไม่ซับซ้อนอะไร ทุกๆGen ของวินโดวส์ มีใช้หลักๆ  แค่ ชุดOffice / OS windows /  MalwareByte / P้hotoshop / PremiePro  ตัววินโดวส์ผมมีการกดอัพเดทแพทบ่อยๆ  ซึ่งAntiVirus หรือ AntiMalware จะบล๊อคไว้เป็นไวรัสหรือมัลแวร์ แต่ผม Allow ให้bypass การตรวจจับแครกพวกนี้มาโดยตลอด และผมเชื่อโดยลึกๆว่าโปรแกรมพวกนี้ไม่น่าใช่ต้นเหตุที่ผมโดนโจมตีในครั้งนี้  เพราะผมใช้งานการผูก paypal และธุรกรรมออนไลน์มานานแล้ว ในอดีตยอดเงินในบัญชี scb debit ที่ผูกไว้กับPaypalผมทิ้งไว้หลายหมื่นบาท ถ้ามันโดนแฮก จากโปรแกรมพวกนี้ คงโดนไปนานแล้วพวก Auto-KMS พวก Auto T-nod สำหรับผมผมค่อนข้างไว้วางใจเพราะคนใช้เยอาะและตัวมันทำหน้าที่แค่หาคีย์มาคอย Activate โปรแกรม ถ้าโดนจากแครกพวกนี้คงโดนกันเยอาะมาก เพราะคนใช้เถื่อนส่วนมากจะผ่านแครกพวกนี้ทั้งนั้น ถ้าไม่นับพวกใช้ key MSDN , DreamSpark  Os+office ที่ใช้คีย์ที่แจกตามสถานศึกษาแล้วมาขายในเนตถูกๆน่ะ(เพราะพวก key mdsn ไม่ต้องใช้แครกเถื่อน)

1. ผมเข้าทำรายการ Paypal ครั้งสุดท้ายด้วยตัวผมเอง โดยการสั่งซื้อ เคสโทรศัพท์ UAG จากเวบ https://urbanarmorgear.com   เมื่อวันที่ 22 พย 61 ซึ่งปัจจุบันผมได้รับเคสโทรศัพท์เรียบร้อย เรื่องเวบนี้จะดักพาส ตัดประเด็นนี้ไปได้เลย

2.  ประเด็นการแอบเข้าใช้งานคอมพิวเตอร์ของผมจากบุคคลอื่นภายในบ้าน  บ้านผมมีแค่พ่อ-แม่ และผม มีผมเป็นคนใช้งานคอมพิวเตอร์ส่วนตัวเครื่องนี้คนเดียว   ตัดประเด็นนี้ได้เลย

3.  ประเด็นการถูก Hack จากการดัก Packket ที่ส่งผ่านสัญญาณไวไฟ แล้วนำไปแกะรหัส หรือ การแอบเข้ามาในเราเตอร์ของผม   Pcที่ผมใช้งานส่วนตัวเชื่อมผ่านสายตลอด และเราเตอร์ผมfix ip และจำกัดการใช้งาน ตามจำนวน Device ของอุปกรณ์มือถือ แลปทอป และ คอมในบ้าน และAllow เฉพาะ Mac Address ของอุปกรณ์คนในบ้าน   ตัดประเด็นนี้ได้เลย

4.  ประเด็นการโดนดักรหัส จาก Phishing Mail หรือ เวบปลอม  ปกติแล้วการใช้งานอีเมล์ตลอดที่ผ่านมาต้องบอกว่าไม่เคยเข้าลิงค์เวบจากในเมล์ เพื่อไปlog-in website ใดๆเลย จะใช้แค่ยืนยันการสมัครสมาชิกที่ต้องกดConfirm การสมัครสมาชิกใหม่เวบทั่วๆไปเท่านั้น  และปกติเวลาต้องใช้คอมทำธุรกรรมออนไลน์ ผมจะดูตลอดว่าเป็นเวบที่มี SSL (Secure Sockets Laye) มีการทดลองใส่พาสที่ผิดครั้งแรก เพื่อทดสอบก่อน Log-in เสมอ  และที่สำคัญผมไม่เคยล๊อคอินเข้าทำธุรกรรมออนไลน์จากคอมพิวเตอร์สาธารณะนอกบ้าน จะใช้ Pc ของตัวเองและ มือถือตัวเอง เท่านั้น  

5 เบราเซอร์ที่ใช้งาน ผมก็ไม่เคยตั้งให้มันบันทึก รหัสของแต่ละเวบไว้  ประเด็นนี้ผมก็ตัดทิ้ง

          เมื่อนั่งทบทวนถึงประเด็นข้อสงสัย 1-5 ข้อแล้ว มาถึงข้อสุดท้ายที่ผมนึกขึ้นได้และสงสัยมากที่สุด
6. โดยปกติคอมผมนอกจากมีโปรแกรมข้างต้นที่ได้กล่าวไปแล้ว จะมีโปรแกรม Steam และ Garena ที่เล่นเกม Dota2 และ Fifa online4 มีอยู่วันนึงช่วงวันที่ 24 พย 2561 เป็นวันที่ผมได้ติดต่อเวบไซต์นึงเพื่อติดตั้ง GCAเถื่อน ในคอมของผม ซึ่งครั้งนี้เป็นการติดตั้งGCA เถื่อนที่แปลกหูแปลกตาผมไปจากตอน Fifaonline3 มาก แต่ผมก็ยังเลอาะเลือนปล่อยให้บุคคลแปลกหน้า Teamview รีโมทเข้ามาติดตั้งไฟล์แปลกๆวิธีการแปลกๆในคอมผม เอาเท่าที่ผมนั่งมองดูหน้าจอแล้วพอจำได้ตอนเค้ารีโมทเข้ามาน่ะครับ
      6.1  เมื่อเค้าเข้ามาในคอมผม เค้าส่งไฟล์.zip ไฟล์นึงมาแตกในนั้น มี 3 ไฟล์  ไฟล์ที่1 เป็น .Bat File ซึ่งเมื่อเค้ากดติดตั้งมันก็รันหน้าต่าง Command Promt รัวๆ ซึ่ง Effect ที่เกิดขึ้นที่ผมเห็นหลังจากการรัน Bat File ใน windows10 ของผมคือ มีการแก้ชื่อเจ้าของคอมพิวเตอร์เป็นชื่อไอดี ที่เค้าตั้งให้ดูแลจัดการง่ายเพื่อให้เชื่อมต่อ vpn เข้า server gca ที่เค้าทำขึ้น รวมไปถึงการปิด windows security และ firewall ของวิน10ทิ้ง และยังไม่รุ้ว่าbat file ตัวนั้น แก้ค่า Registry อะไรของระบบวินโดว์อีกบ้างที่ผมไม่รู้ และได้แอบฝังโปรแกรมอะไรหรือป่าวลงไปในระบบวินโดว์ผม
     6.2 เค้าทำการติดตั้งไฟล์ Client GCA  แบบที่ร้านเนตคาเฟ่ติดตั้ง
     6.3 เค้าทำการ Add VPN ใส่การเข้ารหัสพาสเวิด เชื่อมต่อไปยัง Server ที่เค้าทำขึ้นเพื่อแชร์ GCA ให้ผมเวลาผมใช้งาน GCA ที่บ้านก็เหมือน บ้านผมเป็นเนตคาเฟ่ที่มีการได้รับสิทธิ์ประโยชน์ GCA Gold ในเครื่อง
     6.4  เค้าทิ้งไฟล์ StartGca ไว้ให้ใช้งานต้องกดใหม่ทุกครั้งเมื่อเปิดคอมใหม่ ซึ่งเท่าที่ผมสังเกต มันเป็น bat file ที่รัน cmd ในการออโต้ แล้วลอคอินเข้า VPN server gca เถื่อนของเค้าเพื่อให้คอมผมได้รับการแชร์ GCA
         ผมใช้บริการGCA เถื่อนเจ้านี้อยู่ 3 วัน 24-27 พย61 พอหมดระยะเวลาการใช้บริการผมได้ทำการลบค่า VPN ทิ้งก็ไม่ได้ระมัดระวังตัวอะไร เพราะเคยใช้ การวิธีการทีมวิวมาติดตั้งไฟล์GCA ในฟีฟ่าภาคออนไลน์3 มาก่อนแล้ว จนมาถึงความผิดปกติ ที่พบเจอ ครั้งแรกหลังจากหมดระยะเวลาใช้บริการ Gca เถื่อนไปไม่กี่วัน โดยปกติผมเลิกงานแล้ว ช่วงเวลา 19.00 -23.59 ทุกวันผมจะเปิดคอมทิ้งไว้ รันบอทเกมฟีฟ่าออนไลน์4  รันบอทRo-Mทิ้งไว้  เพื่อเก็บเควส หรือบางทีก็นั่งเล่นหน้าคอมเองบ้าง หรือบางที เปิดบอททิ้งไว้ สตรีมหนังจากคอมไปดูบนทีวีบ้าง หรือบางทีมีเปิดบอททิ้งไว้ปิดหน้าจอมอนิเตอร์ หายขึ้นไปอาบน้ำ ดูแลต้นไม้ เล่นน้องหมา ที่ห้องนอนแม่ หายไปทีนึง 1-2ชม แล้วค่อยลงมาที่ห้องตัวเอง ปรากฏว่าบังเอิญมีอยู่วันนึงผมเปิดหน้าจอพอดี ผมไปพบเจอโปรแกรม AnyDesk รันทิ้งไว้ที่ Task bar ด้านขวาล่างมุมจอ ณ เวลานั้นผมไม่รุ้จักว่ามันคือโปรแกรมอะไร เปิดโปรแกรมจากที่รันทิ้งไว้ขึ้นมาดู เห็นตัวเลข หลายๆตัวในตัวโปรแกรม  ก็พอจะเดาออกว่าคือโปรแกรมรีโมท  แต่ ณ เวลานั้น ผมแค่คลิกขวาปิดโปรแกรมทิ้ง ไม่ได้สงสัยว่ามีปัญหาเกิดขึ้นที่คอมผมแล้ว   จนมาถึงวันที่ 7 ธันวาคม ที่ผมรู้ตัวว่าถูกHack บัญชีpaypalแล้ว  ผมได้ทำการค้นหาเบาะแสในเครื่องเท่าที่จะหาได้ และปะติดปะต่อกับเหตุการณ์บังเอิญที่ผมเปิดหน้าจอคอมแล้วเจอ AnyDesk รันอยู่แบบเพิ่งตัดการเชื่อมต่อไปหมาดๆ โดยเบาะแสทีพบในคอมผม
      -AnyDesk แอบติดตั้งในคอมผมเมื่อวันที่ 1 ธค 2018  Time 19.47 ไปซ่อนตัวไว้ใน Appdata\Local\Temp   แถมพลางตัวชื่อไฟล์ในชื่อ tmp8125tmp.exe  ผมถึงว่าทำไมวันที่ผมบังเอิญเปิดหน้าจอแล้วเจอการทำงานของเจ้าAny desk ตัวนี้แล้วผมถึงหา ไดเรคทอรี่ ที่ติดตั้งไฟล์นี้ในคอมผมไม่เจอ
     - windows defender firewall with Advanced Security ในส่วนของ Inbound มีการAllow ให้ Anydesk สามารถรีโมทเข้ามาได้
      -ตัวไฟล์ติดตั้ง GCA เถื่อน และ ไฟล์ในไดเรคทอรี่ที่ติดตั้งGCA ถูกมัลแวรไบสท์มองว่าเป็นไวรัส Trojan.injector และ Trojan.BetLoad
     - Windows Security Service ทั้งหมดของwindows10 ของผมถูกแก้ค่าใน Registry เพื่อปิดระบบถาวรทั้งหมด