“สังคมไร้เงินสด” เปิดช่องมิจฉาชีพ ภัยแฝงยุคไซเบอร์

ปัจจุบัน “สังคมไร้เงินสด” กำลังถูกคุกคามจากภัยไซเบอร์อย่างหนัก ทำให้ประชาชนที่ผูกบัญชีไว้กับแอปฯ ธนาคารต่างๆ หวาดผวาไปตามๆ กัน ซึ่งกลุ่มมิจฉาชีพตัวแสบเหล่านี้ จะมีเทคนิคหลากหลายวิธีในการหลอกลวงผู้เสียหาย ซึ่งจากเดิมคนร้ายจะหลอกให้เหยื่อโอนเงินโดยตรง เปลี่ยนมาเป็นการหลอกกดลิงก์ ติดตั้งโปรแกรมควบคุมโทรศัพท์มือถือ เพื่อล้วงข้อมูลของเหยื่อหลอก “ดูดเงิน” จากแอปฯ ธนาคาร ซึ่งส่งผลกระทบต่อความเชื่อมั่นของประชาชน ที่มีต่อสถาบันการเงินเป็นอย่างมาก!!! 

ธนาคารเร่งอุดช่อง ฟื้นความเชื่อมั่น ผุดศูนย์ตรวจเช็กฯ ยับยั่งมิจฉาชีพ

นายผยง ศรีวณิช กรรมการผู้จัดการใหญ่ ธนาคารกรุงไทย และในฐานะประธานสมาคมธนาคารไทย (TBA) กล่าวถึงผลกระทบดังกล่าวและมาตรการป้องกันว่า ธนาคารยอมรับว่าการหลอกลวงโอนเงินผ่านแอปพลิเคชันโมบายแบงกิ้ง ส่งผลกระทบต่อความเชื่อมั่นของประชาชนต่อสถาบันการเงิน ซึ่งมาตรการป้องกันมิจฉาชีพนั้น จะต้องป้องกันตั้งแต่ต้นทางหรือตั้งแต่ระบบสื่อสาร/อินเทอร์เน็ตไปจนถึงการโอนเงินข้ามธนาคารผ่านบัญชีม้า และการสร้างความรู้ความเข้าใจ โดยต้องดูทั้งระบบนิเวศแบบ end to end เช่น การตรวจจับการเปิดเบอร์มือถือในจำนวนมากและผิดสังเกต ซึ่งเป็นเรื่องต้องประสานงานระหว่างกันเพื่อยับยั้งให้ทัน

ทั้งนี้ มาตรการจะแบ่งเป็น 2 ส่วนด้วยกัน คือ 1. ภายในธนาคารเอง ปัจจุบันจะเห็นว่าทุกธนาคารอยู่ระหว่างการลงทุนพัฒนาเทคโนโลยีและการใช้ปัญญาประดิษฐ์ (AI) ในการตรวจจับธุรกรรมน่าสงสัยที่มีลักษณะเดียวกันและเป็นธุรกรรมที่ต้องระวัง และ 2. ข้ามธนาคาร โดยกรณีที่ธนาคารใดธนาคารหนึ่งเจอธุรกรรมน่าสงสัย จะมีการแจ้งให้ธนาคารอื่นพึงระมัดระวังร่วมกัน ซึ่งทุกธนาคารจำเป็นต้องเร่งพัฒนาการตรวจจับโดยใช้ระบบเทคโนโลยี AI เข้ามาช่วยตรวจจับธุรกรรมที่มีจำนวนมาก

นอกจากนี้ เพื่อเป็นการป้องกันเพิ่มเติม สมาคมธนาคารไทย ร่วมกับสมาชิกธนาคาร และหน่วยงานที่เกี่ยวข้อง ทั้งในส่วนของธนาคารแห่งประเทศไทย (ธปท.) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) สำนักงานตำรวจแห่งชาติ และศูนย์ประสานงานการรักษาความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศภาคธนาคาร (TB-CERT)

จัดทำระบบติดตามความเสี่ยงผ่านการจัดตั้ง ศูนย์ตรวจเช็กธุรกรรมที่มีความเสี่ยงทุจริตหรือต้องสงสัย หรือเรียกว่า central fraud registry โดยดำเนินการผ่านบริษัท เนชั่นแนล ไอทีเอ็มเอ๊กซ์ จำกัด (ITMX) ซึ่งจะเป็นตัวกลางคอยตรวจจับและยับยั้งธุรกรรมต้องสงสัยแบบตลอดเส้นทาง (end to end)

แก้ ก.ม. ให้อำนาจแบงก์ มีสิทธิบล็อกธุรกรรมทันที พร้อมเพิ่มมาตรการยืนยันตัวตน

นายผยง กล่าวเพิ่มเติมว่า อย่างไรก็ดี จากพระราชบัญญัติ (พ.ร.บ.) ข้อมูลส่วนบุคคล (PDPA) ทำให้กลไกการยับยั้งธุรกรรมน่าสงสัยทำได้ไม่รวดเร็ว โดยเฉพาะอาชญกรรมข้ามธนาคาร จึงต้องมีการยกร่างพระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี ซึ่งร่าง พ.ร.ก. ดังกล่าว จะให้สิทธิธนาคารสามารถบล็อกธุรกรรมได้ทันที ไม่ต้องรอแจ้งความ รวมถึงกำหนดให้สถาบันการเงินและผู้ประกอบธุรกิจสามารถแลกเปลี่ยนข้อมูลเกี่ยวกับบัญชีและธุรกรรมของลูกค้าที่ต้องสงสัยได้ โดยไม่ขัดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ ในส่วนของ ธปท. นั้น จะมีมาตรการป้องกันเพิ่มเติม โดยจะให้ธนาคารเพิ่มกระบวนการยืนยันตัวตนด้วย biometric comparison บนโมบายแบงกิ้ง หากเข้าเงื่อนไขที่กำหนดโดยแบงก์ชาติจะมีการกำหนดเงื่อนไข เช่น จำนวนเงินและความถี่ในการโอนเป็นต้น ซึ่งในรายละเอียดอาจจะต้องรอ ธปท. เป็นผู้กำหนดและประกาศอีกครั้ง

“การยืนยันตัวตนด้วย biometric จะเป็นวิธีเพิ่มเติม จากเดิมที่สามารถโอนเงินได้ทันที แต่ต่อไปก่อนจะโอนเงินจะต้องมีการสแกนใบหน้ายืนยันตัวตน เพื่อแสดงให้เห็นว่าเป็นเจ้าของบัญชีตัวจริงถึงจะสามารถโอนเงินได้ ซึ่งแน่นอนว่ามาตรการเพิ่มเติมจะมาพร้อมความไม่สะดวกสบายของลูกค้า ส่วนจะมีเกณฑ์หรือรายละเอียดยังไงคงต้องรอให้ ธปท. แถลงอีกครั้ง”

สำหรับศูนย์ตรวจธุรกรรมเสี่ยง ที่จะมีการจัดตั้งผ่านระบบกลาง ITMX ก็จะต้องเร่งสปีด ซึ่งหาก พ.ร.ก. สามารถออกมาได้เร็ว จะทำให้เราสามารถบล็อกธุรกรรมได้เลยทันที ไม่ต้องรอผู้เสียหายไปแจ้งความ ซึ่งจะทำให้การจัดการบัญชีม้าหรือยับยั้งธุรกรรมต้องสงสัยทำได้รวดเร็ว และมีประสิทธิภาพมากยิ่งขึ้น 

เปิดฮอตไลน์รับเรื่อง 24 ชั่วโมง ให้ลูกค้าแจ้งเหตุได้โดยตรง

ด้าน น.ส.สิริธิดา พนมวัน ณ อยุธยา ผู้ช่วยผู้ว่าการ สายนโยบายระบบการชำระเงินและเทคโนโลยีทางการเงิน ธปท. เปิดเผยว่า ขณะนี้ ธปท. และสถาบันการเงินอยู่ระหว่างเตรียมการ เพื่อให้มีการแลกเปลี่ยนข้อมูลการทุจริตและบัญชีม้าระหว่างกัน โดยจะสามารถเริ่มดำเนินการได้หลังจากร่าง พ.ร.ก.มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยีมีผลบังคับใช้

นอกจากนี้ ธปท. ยังมีมาตรการป้องกันเพิ่มเติม โดยจะให้ธนาคารเพิ่มกระบวนการยืนยันตัวตนด้วย biometric comparison บนโมบายแบงกิ้งเมื่อเข้าเงื่อนไขที่กำหนด เช่น การโอนเงินจำนวนมาก ทั้งจำนวนเงินและความถี่ รวมถึงการปรับเพิ่มวงเงินต่อวัน โดยกำหนดตามพฤติกรรมหรือระดับความเสี่ยงของลูกค้าของธนาคาร รวมทั้งให้มีฮอตไลน์อย่างเพียงพอ ตลอด 24 ชม. ให้ลูกค้าสามารถแจ้งเหตุหลอกลวงได้โดยตรง

ปอท. เผยมิจฉาชีพเขียนแอปฯ เอง เลียนแบบหน่วยงานราชการ สร้างความน่าเชื่อถือ

ขณะที่ พ.ต.อ.ศิริวัฒน์ ดีพอ รองผู้บังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (รอง ผบก.ปอท.) ในฐานะโฆษกกองบัญชาการตำรวจสอบสวนกลาง เปิดเผยถึงวิธีการคนร้ายในปัจุจบันว่า คนร้ายจะใช้แอปพลิเคชันในรูปแบบของโปรแกรมการควบคุมเครื่องระยะไกล หรือที่เรียกว่า Remote Desktop Software ซึ่งในช่วงแรกนั้นคนร้ายจะใช้แอปพลิเคชันที่ใช้งานกันโดยทั่วไป เช่น TeamViewer หรือ AnyDesk ต่อมาเมื่อมีผู้เสียหายเพิ่มมากขึ้น และมีการแจ้งเตือนทางสื่อต่างๆ ทำให้ผู้ใช้มีความระมัดระวังในการใช้งานแอปพลิเคชันดังกล่าว อีกทั้งหลายธนาคารยังทำการแก้ไขแอปพลิเคชันธนาคาร เพื่อป้องกันไม่ให้คนร้ายใช้โปรแกรม Remote Desktop เพื่อใช้งานแอปพลิเคชันธนาคารได้ โดยการตรวจสอบว่าขณะใช้งานมีการแชร์ภาพหน้าจออยู่หรือไม่ หากมีการใช้งานอยู่จะทำให้ไม่สามารถใช้แอปพลิเคชันธนาคารได้ ทำให้ในปัจจุบันคนร้ายเลือกที่จะทำการเขียนแอปพลิเคชันขึ้นมาเอง ซึ่งคนร้ายจะสามารถทำแอปพลิเคชันให้มีลักษณะคล้ายกับของหน่วยงานราชการหรือองค์กรต่างๆ เพื่อสร้างความน่าเชื่อถือ และหลอกให้ผู้เสียหายยินยอมให้แอปพลิเคชันเข้าถึงข้อมูลด้วยวิธีการต่างๆ หรือใช้ช่องว่างของระบบปฏิบัติการในการข้ามขั้นตอนการกำหนดสิทธิการเข้าถึงข้อมูลของแอปพลิเคชันของคนร้ายได้ 

แฉขั้นตอนหลอกติดตั้งแอปฯ

สำหรับขั้นตอนการหลอกลวงของคนร้ายนั้น มักจะเริ่มต้นด้วยการแอบอ้างเป็นหน่วยงานรัฐหรือเอกชน หลอกให้ผู้เสียหายติดตั้งแอปพลิเคชันจากลิงก์ที่คนร้ายส่งให้ โดยอ้างว่าเพื่ออำนวยความสะดวกหรือเพื่อรับโปรโมชั่นพิเศษ อาจมีการทำหน้าเว็บไซต์ปลอมให้ดูน่าเชื่อถือ ซึ่งถ้าหากเหยื่อหลงเชื่อติดตั้งโปรแกรมของคนร้าย และกดอนุญาตให้คนร้ายควบคุมโทรศัพท์ของตน ก็จะทำให้คนร้ายสามารถมองเห็นหน้าจอ หรือควบคุมเครื่องของผู้เสียหายได้ เสมือนกับคนร้ายถือโทรศัพท์ของผู้เสียหายอยู่

จากนั้นคนร้ายจะใช้อุบายต่างๆ ในการหลอกเอาข้อมูลเพิ่มเติมจากผู้เสียหาย โดยเฉพาะรหัส PIN ในการเข้าใช้งานแอปพลิเคชันต่างๆ โดยหลอกให้ผู้เสียหายตั้งรหัส PIN ในแอปพลิเคชันของคนร้าย หรือหลอกให้ผู้เสียหายทำการชำระเงินจำนวนน้อยๆ ผ่านแอปพลิเคชันธนาคาร เพื่อดูว่าผู้เสียหายใช้รหัส PIN อะไร ในการทำการโอนเงิน (คนร้ายสามารถมองเห็นจากโทรศัพท์ของคนร้าย) เมื่อคนร้ายทราบรหัส PIN แล้ว จากนั้นจะบอกให้ผู้เสียหายคว่ำหน้าจอโทรศัพท์ไว้ หรือขึ้นป๊อปอัพจากแอปพลิเคชันของคนร้ายเพื่อบังหน้าจอไว้ หลังจากนั้นคนร้ายก็จะนำรหัส PIN ที่ได้ไปใช้งานกับแอปพลิเคชันธนาคารเพื่อถอนเงินออกจากบัญชีผู้เสียหายจนหมดบัญชี 

ขอขอบคุณผู้สนับสนุนเนื้อหา : thairath


ขอบคุณผู้สนับสนุนข้อมูลดีๆ จาก ALLSUREWIN

สนใจเข้ามาผ่อนคลายกับหลากหลายเกมส์มากมายให้เลือกเล่น ได้ที่ @ALLSUREWIN

เล่นที่นี่มีแต่วิน ต้องวินชัวร์ แอด @winsure

ใครปิด เราไม่ปิด สนใจเสี่ยงดวงติดต่อเราได้ที่ไลน์ @asw888 ตลอด 24 ชม.


เกมดี เกมมัน มากกว่า 1,000 เกม @gamewin


แค่คิดถึงเรา เงินก็อยู่ในบัญชี @asw168


เล่นได้ จ่ายชัวร์ @RT88