ขโมยเงินออนไลน์ ภัยร้ายยุคดิจิทัล
อะไรที่มีคุณประโยชน์ก็อาจมีอันตรายแฝงอยู่ อย่างเทคโนโลยีทางการเงินที่ทำให้การใช้ชีวิตของเราสะดวกสบายก็มาพร้อมกับมิจฉาชีพออนไลน์ที่มากขึ้นทุกวัน แล้วโจรพวกนี้ก็ขยันสรรหาสารพัดวิธีที่จะมาขโมยเงิน หลอกลวง และต้มตุ๋นจนหลาย ๆ คนตกเป็นเหยื่อ มาดูกันว่าภัยทางการเงินในยุคดิจิทัลที่พบบ่อย ๆ มีอะไรบ้าง
Phishing คือ การแอบอ้างว่าตนเองเป็นผู้ให้บริการ เพื่อหลอกให้เรากรอกข้อมูลส่วนตัว เช่น ข้อมูลบัตรเครดิต เลขที่บัญชีธนาคาร ชื่อผู้ใช้งาน หรือรหัสผ่าน เพื่อให้มิจฉาชีพสามารถนำข้อมูลเหล่านั้นไปสวมรอยทำธุรกรรมต่อไป
โดยทั่วไป มิจฉาชีพจะวางเหยื่อล่อโดยการส่ง SMS หรืออีเมลปลอมที่ออกแบบให้ดูคล้ายกับอีเมลของผู้ให้บริการที่เราใช้บริการอยู่ โดยมิจฉาชีพมักใช้ความตกใจของเราเป็นเครื่องมือ เช่น อ้างว่าเราถูกอายัดบัญชี หรือข้อมูลถูกแฮก และขอให้เราเข้าไปกรอกข้อมูลที่เว็บไซต์ที่มิจฉาชีพสร้างขึ้นให้ดูคล้ายกับเว็บไซต์จริงของผู้ให้บริการ เมื่อเราหลงเชื่อกรอกข้อมูลไป ข้อมูลดังกล่าวจะถูกส่งต่อไปยังมิจฉาชีพทันที
การรับมือภัย Phishing ง่ายมาก แค่เพิ่มความระมัดระวังให้มากขึ้น เช่น เมื่อได้รับอีเมลหรือ SMS ที่อ้างว่าเป็นผู้ให้บริการ ควรดูว่ามาจากผู้ให้บริการจริงหรือไม่ และไม่คลิกลิงก์ที่แนบมากับอีเมลหรือ SMS ที่เราไม่รู้จัก เก็บข้อมูลส่วนตัวไว้เป็นความลับ หรือหากไม่แน่ใจให้โทรศัพท์สอบถามผู้ให้บริการโดยตรง
ช่วงที่ผ่านมามีข่าวหลายคนโดนดูดเงินจากบัตรเครดิตหรือบัญชีธนาคาร เหตุการณ์นี้ไม่ได้เกิดจากการที่สถาบันการเงินถูกเจาะระบบหรืออะไร จริง ๆ แล้วเป็นการโกงผ่านบัตรจ่ายเงิน ไม่ว่าจะเป็นบัตรเครดิตหรือบัตรเดบิต แต่ที่หลายคนคิดว่าบัญชีถูก "ดูดเงิน" เพราะตามธรรมชาติของบัตรเดบิต เวลาจ่ายแล้วก็จะมาหักเงินในบัญชีเราทันที
สิ่งแรกที่ทำให้หลายคนสับสน คือ "ฉันไม่เคยมีบัตรพวกนี้" ซึ่งก็ต้องบอกว่า เวลาเราไปเปิดบัญชีธนาคาร ถ้าเราได้บัตร ATM มาด้วย บัตรพวกนั้นส่วนใหญ่จะเป็นบัตรเดบิต และบัตรของเราอาจโดนผู้อื่นนำไปใช้ได้หลายทาง ดังนี้
เอาบัตรไปให้พนักงานรูดแล้วพนักงานจดข้อมูลบัตรไว้ เอาไปใช้เองภายหลัง
โดนหลอกให้คลิกลิงก์ SMS หรืออีเมลปลอม แล้วให้กรอกข้อมูลส่วนตัว
เอาข้อมูลบัตรไปใส่ในร้านค้าออนไลน์ (ผูกบัตร) แล้วร้านค้าถูกเจาะระบบ ข้อมูลรั่ว ถูกเอาข้อมูลบัตรเหล่านี้ออกไป หรือร้านค้าทุจริตโดยการนำข้อมูลบัตรเหล่านี้ไปขาย
ฐานข้อมูลของธนาคารถูกเจาะ
วิธีการที่พบได้บ่อยคือ ข้อ 1 ถึง 3 ซึ่งพอผู้เสียหายร้องเรียน ธนาคารก็ไปจัดการตรวจสอบและคืนเงินให้ ส่วนข้อ 4 สมาคมธนาคารไทยได้ออกมายืนยันแล้วว่าไม่มี แล้วที่เป็นข่าวในช่วงที่ผ่านมานั้นเกิดอะไรขึ้น? จริง ๆ แล้วมิจฉาชีพมีอีกวิธี คือการทำ BIN attack
BIN attack ก็คือการที่มิจฉาชีพใช้โปรแกรมสุ่มเลขบัตรไปเรื่อย ๆ แล้วลองกดซื้อของดู ถ้าไม่ได้ก็ลองเลขใหม่ ถ้าได้ก็เก็บข้อมูลบัตรนั้นไว้ เพราะสามารถเอาไปใช้ได้อีกหลายรอบจนกว่าเจ้าของหรือสถาบันการเงินจะรู้ตัว
การทำ BIN attack นี้ ไม่ซับซ้อนเหมือนที่หลายคนเข้าใจ (ว่าต้องทราบทั้งเลขบัตร ชื่อผู้ถือบัตร วันหมดอายุ รหัสหลังบัตร และมี OTP) เพราะข้อมูลที่จำเป็นจริง ๆ คือเลขบัตรและวันหมดอายุเท่านั้น ข้อมูลเพื่อตรวจสอบอื่น ๆ เป็นส่วนที่ร้านค้าสามารถเลือกได้เองว่าจะใช้หรือไม่ (เพราะร้านค้าเป็นคนรับความเสี่ยงในกรณีที่เกิดการสวมรอยใช้บัตร)
ร้านค้าส่วนหนึ่งไม่ได้ให้ลูกค้ากรอกข้อมูลอื่น ๆ โดยเฉพาะกรณีที่ธุรกรรมมีมูลค่าไม่มากเพื่อความสะดวกของลูกค้า เมื่อมิจฉาชีพพบร้านค้าออนไลน์ที่ระบบการตรวจสอบไม่เข้มงวดมากนัก ก็สามารถลองสุ่มเลขบัตรเพื่อใช้งานได้ หากสำเร็จก็จะทำต่อไปเรื่อย ๆ
หลายธนาคารมีการป้องกัน BIN attack คือเมื่อพบรายการชำระเงินที่ถูกปฏิเสธหลายครั้งติดต่อกันจากร้านค้า (เพราะมิจฉาชีพสุ่มเลขแล้วผิด) ระบบเตือนจะทำงาน และอาจจะหยุดการให้บริการร้านค้านั้นชั่วคราวเพื่อตรวจสอบเพิ่มเติม โดยสถาบันการเงินหรือผู้ให้บริการแต่ละรายสามารถปรับการตั้งค่าได้ เช่น ตั้งค่าจำนวนการกรอกข้อมูลของบัตรผิด หากเกินกี่ครั้งต่อนาทีจะหยุดให้บริการร้านค้านั้นชั่วคราว หรือถ้ามีการใช้บัตรซ้ำ ๆ ถี่ ๆ เกินกี่ครั้ง จะระงับการใช้บัตรนั้นไปก่อน
หลังจากเกิดเหตุการณ์ในช่วงที่ผ่านมา สถาบันการเงินบางแห่งที่ยังตั้งค่าไว้ไม่เข้มงวดพอก็ได้ปรับการตั้งค่าต่าง ๆ ข้างต้นให้มีความเข้มงวดมากขึ้น และเพิ่มการแจ้งเตือนลูกค้าผ่านช่องทางต่าง ๆ หากพบธุรกรรมผิดปกติ สถาบันการเงินจะคืนเงินให้ผู้ที่ได้รับความเสียหายในกรณีนี้ภายใน 5 วัน รวมถึงเร่งหารือกับผู้ให้บริการเครือข่ายบัตรในการพัฒนาระบบการป้องกันที่มีประสิทธิภาพมากขึ้นต่อไป
สำหรับประชาชนก็สามารถดูแลความปลอดภัยให้ตัวเองเพิ่มขึ้นได้อีก โดยหมั่นตรวจสอบความเคลื่อนไหวของรายการในบัตร เพื่อดูว่ามีรายการผิดปกติบ้างหรือไม่ และอาจกำหนดวงเงินของบัตรให้ไม่สูงมาก หากต้องใช้จ่ายรายการใหญ่ ๆ ก็สามารถโทรไปหาธนาคารเจ้าของบัตรเพื่อขอเพิ่มวงเงินชั่วคราวได้ รวมถึงอาจกำหนดให้บัตรบางใบใช้จ่ายออนไลน์ไม่ได้ นอกจากนี้ ไม่ควรผูกบัญชีบัตรกับร้านค้าออนไลน์ เพื่อลดความเสี่ยงที่ข้อมูลบัตรจะรั่วไหลผ่านร้านค้าเหล่านั้น
การกู้เงินในยุคปัจจุบันทำได้ง่ายและรวดเร็วผ่านสมาร์ทโฟนโดยไม่ต้องออกจากบ้านให้ยุ่งยาก แต่สิ่งที่ยากสำหรับผู้กู้คือ จะรู้ได้อย่างไรว่าใครคือผู้ให้กู้ที่ไม่คิดดอกเบี้ยหรือทวงถามหนี้โหด หรือไม่ใช่มิจฉาชีพที่จะมาหลอกเอาเงินเราไป ยิ่งหากได้รับ SMS หรือมีคนโทรศัพท์ หรือแอดไลน์มาแล้วอ้างว่าเป็นเจ้าหน้าที่ธนาคาร หรือหน่วยงานภาครัฐ หรือบริษัทที่จะให้เงินกู้หรือให้เงินช่วยเหลือ อย่ารีบกดลิงก์หรือกรอกข้อมูลเด็ดขาด ควรเช็กให้แน่ใจก่อน จะได้ไม่ถูกเอาเปรียบหรือหลอกลวง สิ่งที่ทำให้เรารู้ทันและไม่หลงเชื่อมีง่าย ๆ 4 ข้อ ดังนี้
1. แยกแยะผู้ให้เงินกู้
2. ไม่แน่ใจ อย่าเพิ่งคลิก
ควรตรวจสอบรายชื่อแอปฯ และชื่อผู้ให้บริการก่อนตัดสินใจ โดยสามารถหาข้อมูลได้จากเว็บไซต์ ธปท. ในหัวข้อ "เช็กแอปเงินกู้" ที่รวบรวมรายชื่อผู้ให้บริการที่ได้รับอนุญาตในส่วนที่ ธปท. กำกับดูแล และมีลิงก์ไปยังเว็บไซต์กระทรวงการคลัง ซึ่งรวบรวมรายชื่อผู้ให้บริการสินเชื่อพิโกไฟแนนซ์ไว้ในที่เดียว หรือควรสอบถามหรือหาข้อมูลด้วยตัวเองจากแหล่งข้อมูลที่น่าเชื่อถือว่าเป็นแอปฯ ของผู้ให้บริการจริงหรือไม่
3. เลือกแหล่งดาวน์โหลดแอปฯ ดาวน์โหลดจากแหล่งที่ปลอดภัย เชื่อถือได้
4. อย่าลืมอ่านเงื่อนไขก่อนกู้ ไม่ต้องรีบกู้จนลืมดูรายละเอียดที่จำเป็น เช่น อัตราดอกเบี้ย ระยะเวลา และจำนวนเงินที่ต้องจ่ายคืน ที่สำคัญ ต้องคำนึงถึงความสามารถในการผ่อนชำระของเราโดยควรกู้เท่าที่จำเป็น
ที่มาของข้อมูล
https://www.scb.co.th/th/personal-banking/stories/tips-for-you/fake-sms.html
ข้อเท็จจริงเกี่ยวกับการโดน "ดูดเงิน" | ART's Random Thoughts (artt.dev)