"สังคมไร้เงินสด" เปิดช่องมิจฉาชีพ ภัยแฝงยุคไซเบอร์ แบงก์เร่งล้อมคอก
- สมาคมธนาคารเร่งฟื้นความเชื่อมั่นผู้ใช้บริการ ระดมมาตรการป้องกันมิจฉาชีพ "บัญชีม้า-แอปดูดเงิน" เร่งแก้ ก.ม. ให้อำนาจแบงก์มีสิทธิบล็อกธุรกรรมทันที-ปรับระบบเพิ่มมาตรการยืนยันตัวตน
- สมาคมธนาคารไทย เผยข้อมูลกลโกงมิจฉาชีพใช้แอปดูดเงินสร้างความเสียหายต่อประชาชน แนะวิธีสังเกต-ตรวจสอบความผิดปกติ เพื่อไม่ให้ตกเป็นเหยื่อมิจฉาชีพ
- เผยวิธีแก๊งมิจฉาชีพ หลอก "ดูดเงิน" ในบัญชีผ่านแอปฯ พัฒนาจากวิธีควบคุมเครื่องระยะไกล แอบดูรหัสผ่าน เป็นเขียนแอปฯ เอง
ปัจจุบัน "สังคมไร้เงินสด"
กำลังถูกคุกคามจากภัยไซเบอร์อย่างหนัก
ทำให้ประชาชนที่ผูกบัญชีไว้กับแอปฯ ธนาคารต่างๆ หวาดผวาไปตามๆ กัน
ซึ่งกลุ่มมิจฉาชีพตัวแสบเหล่านี้
จะมีเทคนิคหลากหลายวิธีในการหลอกลวงผู้เสียหาย
ซึ่งจากเดิมคนร้ายจะหลอกให้เหยื่อโอนเงินโดยตรง
เปลี่ยนมาเป็นการหลอกกดลิงก์ ติดตั้งโปรแกรมควบคุมโทรศัพท์มือถือ
เพื่อล้วงข้อมูลของเหยื่อหลอก "ดูดเงิน" จากแอปฯ
ธนาคาร ซึ่งส่งผลกระทบต่อความเชื่อมั่นของประชาชน
ที่มีต่อสถาบันการเงินเป็นอย่างมาก!!!
ธนาคารเร่งอุดช่อง ฟื้นความเชื่อมั่น ผุดศูนย์ตรวจเช็กฯ ยับยั่งมิจฉาชีพ
นายผยง ศรีวณิช กรรมการผู้จัดการใหญ่ ธนาคารกรุงไทย และในฐานะประธานสมาคมธนาคารไทย (TBA) กล่าวถึงผลกระทบดังกล่าวและมาตรการป้องกันว่า ธนาคารยอมรับว่าการหลอกลวงโอนเงินผ่านแอปพลิเคชันโมบายแบงกิ้ง ส่งผลกระทบต่อความเชื่อมั่นของประชาชนต่อสถาบันการเงิน ซึ่งมาตรการป้องกันมิจฉาชีพนั้น จะต้องป้องกันตั้งแต่ต้นทางหรือตั้งแต่ระบบสื่อสาร/อินเทอร์เน็ตไปจนถึงการโอนเงินข้ามธนาคารผ่านบัญชีม้า และการสร้างความรู้ความเข้าใจ โดยต้องดูทั้งระบบนิเวศแบบ end to end เช่น การตรวจจับการเปิดเบอร์มือถือในจำนวนมากและผิดสังเกต ซึ่งเป็นเรื่องต้องประสานงานระหว่างกันเพื่อยับยั้งให้ทัน
ทั้งนี้ มาตรการจะแบ่งเป็น 2 ส่วนด้วยกัน คือ 1. ภายในธนาคารเอง ปัจจุบันจะเห็นว่าทุกธนาคารอยู่ระหว่างการลงทุนพัฒนาเทคโนโลยีและการใช้ปัญญาประดิษฐ์ (AI) ในการตรวจจับธุรกรรมน่าสงสัยที่มีลักษณะเดียวกันและเป็นธุรกรรมที่ต้องระวัง และ 2. ข้ามธนาคาร โดยกรณีที่ธนาคารใดธนาคารหนึ่งเจอธุรกรรมน่าสงสัย จะมีการแจ้งให้ธนาคารอื่นพึงระมัดระวังร่วมกัน ซึ่งทุกธนาคารจำเป็นต้องเร่งพัฒนาการตรวจจับโดยใช้ระบบเทคโนโลยี AI เข้ามาช่วยตรวจจับธุรกรรมที่มีจำนวนมาก
นอกจากนี้ เพื่อเป็นการป้องกันเพิ่มเติม สมาคมธนาคารไทย ร่วมกับสมาชิกธนาคาร และหน่วยงานที่เกี่ยวข้อง ทั้งในส่วนของธนาคารแห่งประเทศไทย (ธปท.) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) สำนักงานตำรวจแห่งชาติ และศูนย์ประสานงานการรักษาความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศภาคธนาคาร (TB-CERT)
จัดทำระบบติดตามความเสี่ยงผ่านการจัดตั้ง ศูนย์ตรวจเช็กธุรกรรมที่มีความเสี่ยงทุจริตหรือต้องสงสัย หรือเรียกว่า central fraud registry โดยดำเนินการผ่านบริษัท เนชั่นแนล ไอทีเอ็มเอ๊กซ์ จำกัด (ITMX) ซึ่งจะเป็นตัวกลางคอยตรวจจับและยับยั้งธุรกรรมต้องสงสัยแบบตลอดเส้นทาง (end to end)
แก้ ก.ม. ให้อำนาจแบงก์ มีสิทธิบล็อกธุรกรรมทันที พร้อมเพิ่มมาตรการยืนยันตัวตน
นายผยง กล่าวเพิ่มเติมว่า อย่างไรก็ดี จากพระราชบัญญัติ (พ.ร.บ.) ข้อมูลส่วนบุคคล (PDPA) ทำให้กลไกการยับยั้งธุรกรรมน่าสงสัยทำได้ไม่รวดเร็ว โดยเฉพาะอาชญกรรมข้ามธนาคาร จึงต้องมีการยกร่างพระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี ซึ่งร่าง พ.ร.ก. ดังกล่าว จะให้สิทธิธนาคารสามารถบล็อกธุรกรรมได้ทันที ไม่ต้องรอแจ้งความ รวมถึงกำหนดให้สถาบันการเงินและผู้ประกอบธุรกิจสามารถแลกเปลี่ยนข้อมูลเกี่ยวกับบัญชีและธุรกรรมของลูกค้าที่ต้องสงสัยได้ โดยไม่ขัดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ ในส่วนของ ธปท. นั้น จะมีมาตรการป้องกันเพิ่มเติม โดยจะให้ธนาคารเพิ่มกระบวนการยืนยันตัวตนด้วย biometric comparison บนโมบายแบงกิ้ง หากเข้าเงื่อนไขที่กำหนดโดยแบงก์ชาติจะมีการกำหนดเงื่อนไข เช่น จำนวนเงินและความถี่ในการโอนเป็นต้น ซึ่งในรายละเอียดอาจจะต้องรอ ธปท. เป็นผู้กำหนดและประกาศอีกครั้ง
"การยืนยันตัวตนด้วย biometric จะเป็นวิธีเพิ่มเติม จากเดิมที่สามารถโอนเงินได้ทันที แต่ต่อไปก่อนจะโอนเงินจะต้องมีการสแกนใบหน้ายืนยันตัวตน เพื่อแสดงให้เห็นว่าเป็นเจ้าของบัญชีตัวจริงถึงจะสามารถโอนเงินได้ ซึ่งแน่นอนว่ามาตรการเพิ่มเติมจะมาพร้อมความไม่สะดวกสบายของลูกค้า ส่วนจะมีเกณฑ์หรือรายละเอียดยังไงคงต้องรอให้ ธปท. แถลงอีกครั้ง"
สำหรับศูนย์ตรวจธุรกรรมเสี่ยง ที่จะมีการจัดตั้งผ่านระบบกลาง ITMX ก็จะต้องเร่งสปีด ซึ่งหาก พ.ร.ก. สามารถออกมาได้เร็ว จะทำให้เราสามารถบล็อกธุรกรรมได้เลยทันที ไม่ต้องรอผู้เสียหายไปแจ้งความ ซึ่งจะทำให้การจัดการบัญชีม้าหรือยับยั้งธุรกรรมต้องสงสัยทำได้รวดเร็ว และมีประสิทธิภาพมากยิ่งขึ้น
เปิดฮอตไลน์รับเรื่อง 24 ชั่วโมง ให้ลูกค้าแจ้งเหตุได้โดยตรง
ด้าน น.ส.สิริธิดา พนมวัน ณ อยุธยา ผู้ช่วยผู้ว่าการ สายนโยบายระบบการชำระเงินและเทคโนโลยีทางการเงิน ธปท. เปิดเผยว่า ขณะนี้ ธปท. และสถาบันการเงินอยู่ระหว่างเตรียมการ เพื่อให้มีการแลกเปลี่ยนข้อมูลการทุจริตและบัญชีม้าระหว่างกัน โดยจะสามารถเริ่มดำเนินการได้หลังจากร่าง พ.ร.ก.มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยีมีผลบังคับใช้
นอกจากนี้ ธปท. ยังมีมาตรการป้องกันเพิ่มเติม โดยจะให้ธนาคารเพิ่มกระบวนการยืนยันตัวตนด้วย biometric comparison บนโมบายแบงกิ้งเมื่อเข้าเงื่อนไขที่กำหนด เช่น การโอนเงินจำนวนมาก ทั้งจำนวนเงินและความถี่ รวมถึงการปรับเพิ่มวงเงินต่อวัน โดยกำหนดตามพฤติกรรมหรือระดับความเสี่ยงของลูกค้าของธนาคาร รวมทั้งให้มีฮอตไลน์อย่างเพียงพอ ตลอด 24 ชม. ให้ลูกค้าสามารถแจ้งเหตุหลอกลวงได้โดยตรง
ปอท. เผยมิจฉาชีพเขียนแอปฯ เอง เลียนแบบหน่วยงานราชการ สร้างความน่าเชื่อถือ
ขณะที่ พ.ต.อ.ศิริวัฒน์ ดีพอ รองผู้บังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (รอง ผบก.ปอท.) ในฐานะโฆษกกองบัญชาการตำรวจสอบสวนกลาง เปิดเผยถึงวิธีการคนร้ายในปัจุจบันว่า คนร้ายจะใช้แอปพลิเคชันในรูปแบบของโปรแกรมการควบคุมเครื่องระยะไกล หรือที่เรียกว่า Remote Desktop Software ซึ่งในช่วงแรกนั้นคนร้ายจะใช้แอปพลิเคชันที่ใช้งานกันโดยทั่วไป เช่น TeamViewer หรือ AnyDesk ต่อมาเมื่อมีผู้เสียหายเพิ่มมากขึ้น และมีการแจ้งเตือนทางสื่อต่างๆ ทำให้ผู้ใช้มีความระมัดระวังในการใช้งานแอปพลิเคชันดังกล่าว อีกทั้งหลายธนาคารยังทำการแก้ไขแอปพลิเคชันธนาคาร เพื่อป้องกันไม่ให้คนร้ายใช้โปรแกรม Remote Desktop เพื่อใช้งานแอปพลิเคชันธนาคารได้ โดยการตรวจสอบว่าขณะใช้งานมีการแชร์ภาพหน้าจออยู่หรือไม่ หากมีการใช้งานอยู่จะทำให้ไม่สามารถใช้แอปพลิเคชันธนาคารได้
ทำให้ในปัจจุบันคนร้ายเลือกที่จะทำการเขียนแอปพลิเคชันขึ้นมาเอง ซึ่งคนร้ายจะสามารถทำแอปพลิเคชันให้มีลักษณะคล้ายกับของหน่วยงานราชการหรือองค์กรต่างๆ เพื่อสร้างความน่าเชื่อถือ และหลอกให้ผู้เสียหายยินยอมให้แอปพลิเคชันเข้าถึงข้อมูลด้วยวิธีการต่างๆ หรือใช้ช่องว่างของระบบปฏิบัติการในการข้ามขั้นตอนการกำหนดสิทธิการเข้าถึงข้อมูลของแอปพลิเคชันของคนร้ายได้
แฉขั้นตอนหลอกติดตั้งแอปฯ
สำหรับขั้นตอนการหลอกลวงของคนร้ายนั้น มักจะเริ่มต้นด้วยการแอบอ้างเป็นหน่วยงานรัฐหรือเอกชน หลอกให้ผู้เสียหายติดตั้งแอปพลิเคชันจากลิงก์ที่คนร้ายส่งให้ โดยอ้างว่าเพื่ออำนวยความสะดวกหรือเพื่อรับโปรโมชั่นพิเศษ อาจมีการทำหน้าเว็บไซต์ปลอมให้ดูน่าเชื่อถือ ซึ่งถ้าหากเหยื่อหลงเชื่อติดตั้งโปรแกรมของคนร้าย และกดอนุญาตให้คนร้ายควบคุมโทรศัพท์ของตน ก็จะทำให้คนร้ายสามารถมองเห็นหน้าจอ หรือควบคุมเครื่องของผู้เสียหายได้ เสมือนกับคนร้ายถือโทรศัพท์ของผู้เสียหายอยู่
จากนั้นคนร้ายจะใช้อุบายต่างๆ ในการหลอกเอาข้อมูลเพิ่มเติมจากผู้เสียหาย โดยเฉพาะรหัส PIN ในการเข้าใช้งานแอปพลิเคชันต่างๆ โดยหลอกให้ผู้เสียหายตั้งรหัส PIN ในแอปพลิเคชันของคนร้าย หรือหลอกให้ผู้เสียหายทำการชำระเงินจำนวนน้อยๆ ผ่านแอปพลิเคชันธนาคาร เพื่อดูว่าผู้เสียหายใช้รหัส PIN อะไร ในการทำการโอนเงิน (คนร้ายสามารถมองเห็นจากโทรศัพท์ของคนร้าย) เมื่อคนร้ายทราบรหัส PIN แล้ว จากนั้นจะบอกให้ผู้เสียหายคว่ำหน้าจอโทรศัพท์ไว้ หรือขึ้นป๊อปอัพจากแอปพลิเคชันของคนร้ายเพื่อบังหน้าจอไว้ หลังจากนั้นคนร้ายก็จะนำรหัส PIN ที่ได้ไปใช้งานกับแอปพลิเคชันธนาคารเพื่อถอนเงินออกจากบัญชีผู้เสียหายจนหมดบัญชี
แนวทางการป้องกัน 3 ส่วนหลักๆ คือ
1. ส่วนของผู้ใช้งาน
- หากท่านได้รับโทรศัพท์อ้างว่าเป็นเจ้าหน้าที่รัฐหรือธนาคาร แจ้งว่าให้ทำการแอดไลน์หรือส่งลิงก์เพื่อติดตั้งแอปพลิเคชันใดๆให้สันนิษฐานไว้ก่อนว่าอาจจะเป็นมิจฉาชีพ จะต้องทำการสอบถามชื่อ หน่วยงาน ก่อนที่จะวางสายเพื่อโทรศัพท์ไปสอบถามที่หน่วยงานว่าเป็นเจ้าหน้าที่จริงหรือไม่
- ให้ระมัดระวังในการกดลิงก์ใดๆ จากบุคคลที่อ้างว่าเป็นเจ้าหน้าที่รัฐหรือธนาคาร เพราะอาจเป็นลิงก์หลอกเอาข้อมูลส่วนบุคคลหรืออาจเป็นลิงก์หลอกให้ติดตั้งแอปพลิเคชันของมิจฉาชีพได้
- แอปพลิเคชันของหน่วยงานรัฐหรือเอกชนที่จะเปิดให้ประชาชนได้ใช้งาน มักจะมีให้ดาวน์โหลดผ่านทาง App Store หรือ Play Store
- ให้ระมัดระวังในการติดตั้งแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ โดยเฉพาะอย่างยิ่งแอปพลิเคชันที่ไม่ได้อยู่ใน App Store หรือ Play Store จะต้องให้ความระมัดระวังเป็นพิเศษ
- หมั่นอัปเดตระบบปฏิบัติการของโทรศัพท์มือถือ และแอปพลิเคชันธนาคารให้เป็นปัจจุบันเสมอ เพราะจะช่วยปิดช่องโหว่ของระบบ ไม่ให้คนร้ายนำมาใช้ประโยชน์ได้
- ไม่ควรตั้งรหัส PIN เหมือนกันในทุกแอปพลิเคชัน โดยเฉพาะอย่างยิ่งรหัส PIN ของแอปพลิเคชันธนาคารไม่ควรตรงกับรหัส PIN ในการปลดล็อคโทรศัพท์ และไม่ควรบันทึกรหัสผ่านใดๆ ไว้ในโทรศัพท์
- หากพลาดและดาวน์โหลดแอปพลิเคชันดังกล่าวมาติดตั้งแล้ว ให้ทำการเปิดโหมดเครื่องบิน และถอดซิมการ์ดออกจากโทรศัพท์มือถือ เพื่อไม่ให้คนร้ายทำการควบคุมเครื่องจากระยะไกล และทำการโอนเงินผ่านแอปพลิเคชันของธนาคารได้
2. ส่วนของผู้พัฒนาแอปพลิเคชัน
- ควรตัดฟังก์ชันการแสดงเครื่องหมายที่สามารถบ่งบอกได้ว่าผู้ใช้กำลังกดรหัส PIN หมายเลขใดออก เพื่อป้องกันไม่ให้คนร้ายสามารถมองเห็นรหัส PIN ผ่านการ Remote Desktop ได้
- ทุกแอปพลิเคชันที่มีการใส่รหัส PIN หรือแอปพลิเคชันที่มีความเกี่ยวข้องกับข้อมูลที่สำคัญ ควรจะมีฟังก์ชันการตรวจสอบว่ามีการเปิดโปรแกรมRemote Desktop อยู่ด้วยหรือไม่ และป้องกันไม่ให้ใช้งานได้ หรือให้ผู้ใช้ทำการกดยินยอมว่าจะใช้งานโปรแกรมดังกล่าวขณะใช้โปรแกรม Remote Desktop อยู่
3. ส่วนของหน่วยงานภาครัฐหรือเอกชน
- ควรมีการประชาสัมพันธ์ หรือช่องทางให้ประชาชนตรวจสอบข้อมูลได้ว่า ปัจจุบันหน่วยงานหรือองค์กรของท่าน มีการให้บริการประชาชนผ่านทางแอปพลิเคชันใดบ้าง และสามารถดาวน์โหลดได้จากช่องทางใด เพื่อให้ประชาชนไม่หลงเชื่อดาวน์โหลดแอปพลิเคชันปลอมของคนร้าย
แบงก์ปรับระบบวิธีเตือนธุรกรรม สกัดมิจฉาชีพสวมรอย
ส่วนปัญหามิจฉาชีพแอบอ้างใช้ชื่อและตราสัญลักษณ์ของสถาบันการเงินและหน่วยงานรัฐ หลอกลวงให้ประชาชนกดลิงก์และทำตามเงื่อนไขของกลุ่มมิจฉาชีพนั้น ล่าสุด ธนาคารกสิกรไทย ได้ประกาศยกเลิกการส่งข้อความสั้น หรือ SMS ที่มีการแนบลิงก์ข้อความประชาสัมพันธ์ผลิตภัณฑ์ บริการ การสื่อสารข่าวทั่วไป ตลอดจนข้อความแจ้งเตือนรายการบัตรเครดิต และความเคลื่อนไหวของบัญชี ตั้งแต่วันที่ 20 ก.พ. 2566 เป็นต้นไป ดังนั้น จึงเตือนประชาชนรับทราบว่า หากได้รับ SMS ที่ยังมีการแนบลิงก์จะไม่ใช่ข้อความที่มาจากธนาคาร ยกเว้นกรณีผู้ใช้บริการทางการเงินขอข้อมูลผ่านช่องทางของธนาคารโดยตรง
ส่วน ธนาคารกรุงไทย ได้ปรับปรุงการการส่งข้อความเตือนการเคลื่อนไหวของบัญชีรูปแบบใหม่ จากเดิมระบุเพียงวัน เวลา หมายเลขบัญชีที่ทำธุรกรรม จำนวนเงินโอนออกและยอดเงินคงเหลือ เปลี่ยนเป็นการแสดงรายละเอียดธุรกรรมมากขึ้น ทั้งชื่อบัญชีผู้รับ ประเภทธุรกรรม บัญชีที่ทำธุรกรรม และชื่อบัญชีปลายทาง เพื่อช่วยให้เจ้าของบัญชีรับทราบได้เร็วขึ้น หากเกิดความผิดปกติ
ย้ำเตือนอย่ากดลิงก์หรือกรอกรหัสใดๆ
ขณะที่ศูนย์ประสานงานด้านความมั่นคงปลอดภัย เทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) ย้ำเตือนประชาชนอย่าหลงเชื่อคำโฆษณาเชิญชวนในลักษณะหลอกให้รัก หลอกให้กลัว และหลอกว่าจะได้ส่วนลดหรือของฟรี ซึ่งล้วนเป็นกลอุบายของมิจฉาชีพ ทั้งนี้ สมาคมธนาคารไทยอยู่ระหว่างประสานการทำงานกับธนาคารแห่งประเทศไทย, กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม, กสทช. และหน่วยงานที่เกี่ยวข้อง เพื่อยกร่างระเบียบหลักเกณฑ์ หรือกฎหมายลูกภายใต้ พ.ร.ก.ป้องกันความปลอดภัยไซเบอร์ฯ แต่ในระหว่างที่ยังไม่บังคับใช้กฎหมาย ผู้ใช้งานต้องตรวจสอบสมาร์ทโฟนว่า มีการอนุญาตให้แอปพลิเคชันที่ไม่รู้จัก ขอสิทธิใช้งาน Accessibility Service หรือไม่ ซึ่งหากมีให้รีบปิดหรือยกเลิกสิทธิ เพื่อป้องกันการเข้าถึงและควบคุมการสั่งงานสมาร์ทโฟนแทนผู้ใช้งาน.
คุณกำลังดู: "สังคมไร้เงินสด" เปิดช่องมิจฉาชีพ ภัยแฝงยุคไซเบอร์ แบงก์เร่งล้อมคอก
หมวดหมู่: อาชญากรรม
บทความที่เกี่ยวข้อง:
- สกมช.จับมือพันธมิตร วางรากฐานความปลอดภัยไซเบอร์ รับมือภัยคุกคามในอนาคต
- สถานศึกษาและสาธารณสุขเหยื่อภัยไซเบอร์สูงสุด
- จับสาวมือทำเอกสารแก๊งคอลเซ็นเตอร์ หลอกเหยื่อโหลดแอปฯ ดูดเงินโดนไป 3.2 ล้าน
- แก๊งมิจฉาชีพระบาดหนัก อ้างชื่อบริษัทเอกชนหลอกปล่อยกู้ออนไลน์
- ร้อง ผบ.ตร.ถูกแก๊งคอลเซ็นเตอร์ หลอก 90 ล้าน ตั้งแต่ปลายปี 64 คดีไม่คืบ
- แก๊งคอลเซ็นเตอร์ระบาดหนัก ปลอมเป็นตำรวจ หลอกให้โอนเงิน-แสดงความบริสุทธิ์ใจ