อะไรที่มีคุณประโยชน์ก็อาจมีอันตรายแฝงอยู่ อย่างเทคโนโลยีทางการเงินที่ทำให้การใช้ชีวิตของเราสะดวกสบายก็มาพร้อมกับมิจฉาชีพออนไลน์ที่มากขึ้นทุกวัน แล้วโจรพวกนี้ก็ขยันสรรหาสารพัดวิธีที่จะมาขโมยเงิน หลอกลวง และต้มตุ๋นจนหลาย ๆ คนตกเป็นเหยื่อ มาดูกันว่าภัยทางการเงินในยุคดิจิทัลที่พบบ่อย ๆ มีอะไรบ้าง

รับมือ Phishing ของปลอมก๊อปเกรดเอ

Phishing คือ การแอบอ้างว่าตนเองเป็นผู้ให้บริการ เพื่อหลอกให้เรากรอกข้อมูลส่วนตัว เช่น ข้อมูลบัตรเครดิต เลขที่บัญชีธนาคาร ชื่อผู้ใช้งาน หรือรหัสผ่าน เพื่อให้มิจฉาชีพสามารถนำข้อมูลเหล่านั้นไปสวมรอยทำธุรกรรมต่อไป

          โดยทั่วไป มิจฉาชีพจะวางเหยื่อล่อโดยการส่ง SMS หรืออีเมลปลอมที่ออกแบบให้ดูคล้ายกับอีเมลของผู้ให้บริการที่เราใช้บริการอยู่ โดยมิจฉาชีพมักใช้ความตกใจของเราเป็นเครื่องมือ เช่น อ้างว่าเราถูกอายัดบัญชี หรือข้อมูลถูกแฮก และขอให้เราเข้าไปกรอกข้อมูลที่เว็บไซต์ที่มิจฉาชีพสร้างขึ้นให้ดูคล้ายกับเว็บไซต์จริงของผู้ให้บริการ เมื่อเราหลงเชื่อกรอกข้อมูลไป ข้อมูลดังกล่าวจะถูกส่งต่อไปยังมิจฉาชีพทันที

          การรับมือภัย Phishing ง่ายมาก แค่เพิ่มความระมัดระวังให้มากขึ้น เช่น เมื่อได้รับอีเมลหรือ SMS ที่อ้างว่าเป็นผู้ให้บริการ ควรดูว่ามาจากผู้ให้บริการจริงหรือไม่ และไม่คลิกลิงก์ที่แนบมากับอีเมลหรือ SMS ที่เราไม่รู้จัก เก็บข้อมูลส่วนตัวไว้เป็นความลับ หรือหากไม่แน่ใจให้โทรศัพท์สอบถามผู้ให้บริการโดยตรง

ข้อเท็จจริงเกี่ยวกับการโดน "ดูดเงิน"

ช่วงที่ผ่านมามีข่าวหลายคนโดนดูดเงินจากบัตรเครดิตหรือบัญชีธนาคาร เหตุการณ์นี้ไม่ได้เกิดจากการที่สถาบันการเงินถูกเจาะระบบหรืออะไร จริง ๆ แล้วเป็นการโกงผ่านบัตรจ่ายเงิน ไม่ว่าจะเป็นบัตรเครดิตหรือบัตรเดบิต แต่ที่หลายคนคิดว่าบัญชีถูก "ดูดเงิน" เพราะตามธรรมชาติของบัตรเดบิต เวลาจ่ายแล้วก็จะมาหักเงินในบัญชีเราทันที

          สิ่งแรกที่ทำให้หลายคนสับสน คือ "ฉันไม่เคยมีบัตรพวกนี้" ซึ่งก็ต้องบอกว่า เวลาเราไปเปิดบัญชีธนาคาร ถ้าเราได้บัตร ATM มาด้วย บัตรพวกนั้นส่วนใหญ่จะเป็นบัตรเดบิต และบัตรของเราอาจโดนผู้อื่นนำไปใช้ได้หลายทาง ดังนี้

1. เอาบัตรไปให้พนักงานรูดแล้วพนักงานจดข้อมูลบัตรไว้ เอาไปใช้เองภายหลัง

2. โดนหลอกให้คลิกลิงก์ SMS หรืออีเมลปลอม แล้วให้กรอกข้อมูลส่วนตัว

3. เอาข้อมูลบัตรไปใส่ในร้านค้าออนไลน์ (ผูกบัตร) แล้วร้านค้าถูกเจาะระบบ ข้อมูลรั่ว ถูกเอาข้อมูลบัตรเหล่านี้ออกไป หรือร้านค้าทุจริตโดยการนำข้อมูลบัตรเหล่านี้ไปขาย

4. ฐานข้อมูลของธนาคารถูกเจาะ

          วิธีการที่พบได้บ่อยคือ ข้อ 1 ถึง 3 ซึ่งพอผู้เสียหายร้องเรียน ธนาคารก็ไปจัดการตรวจสอบและคืนเงินให้ ส่วนข้อ 4 สมาคมธนาคารไทยได้ออกมายืนยันแล้วว่าไม่มี แล้วที่เป็นข่าวในช่วงที่ผ่านมานั้นเกิดอะไรขึ้น? จริง ๆ แล้วมิจฉาชีพมีอีกวิธี คือการทำ BIN attack

BIN attack คืออะไร

BIN attack ก็คือการที่มิจฉาชีพใช้โปรแกรมสุ่มเลขบัตรไปเรื่อย ๆ แล้วลองกดซื้อของดู ถ้าไม่ได้ก็ลองเลขใหม่ ถ้าได้ก็เก็บข้อมูลบัตรนั้นไว้ เพราะสามารถเอาไปใช้ได้อีกหลายรอบจนกว่าเจ้าของหรือสถาบันการเงินจะรู้ตัว

การทำ BIN attack นี้ ไม่ซับซ้อนเหมือนที่หลายคนเข้าใจ (ว่าต้องทราบทั้งเลขบัตร ชื่อผู้ถือบัตร วันหมดอายุ รหัสหลังบัตร และมี OTP) เพราะข้อมูลที่จำเป็นจริง ๆ คือเลขบัตรและวันหมดอายุเท่านั้น ข้อมูลเพื่อตรวจสอบอื่น ๆ เป็นส่วนที่ร้านค้าสามารถเลือกได้เองว่าจะใช้หรือไม่ (เพราะร้านค้าเป็นคนรับความเสี่ยงในกรณีที่เกิดการสวมรอยใช้บัตร)

          ร้านค้าส่วนหนึ่งไม่ได้ให้ลูกค้ากรอกข้อมูลอื่น ๆ โดยเฉพาะกรณีที่ธุรกรรมมีมูลค่าไม่มากเพื่อความสะดวกของลูกค้า เมื่อมิจฉาชีพพบร้านค้าออนไลน์ที่ระบบการตรวจสอบไม่เข้มงวดมากนัก ก็สามารถลองสุ่มเลขบัตรเพื่อใช้งานได้ หากสำเร็จก็จะทำต่อไปเรื่อย ๆ

การป้องกัน BIN attack

หลายธนาคารมีการป้องกัน BIN attack คือเมื่อพบรายการชำระเงินที่ถูกปฏิเสธหลายครั้งติดต่อกันจากร้านค้า (เพราะมิจฉาชีพสุ่มเลขแล้วผิด) ระบบเตือนจะทำงาน และอาจจะหยุดการให้บริการร้านค้านั้นชั่วคราวเพื่อตรวจสอบเพิ่มเติม โดยสถาบันการเงินหรือผู้ให้บริการแต่ละรายสามารถปรับการตั้งค่าได้ เช่น ตั้งค่าจำนวนการกรอกข้อมูลของบัตรผิด หากเกินกี่ครั้งต่อนาทีจะหยุดให้บริการร้านค้านั้นชั่วคราว หรือถ้ามีการใช้บัตรซ้ำ ๆ ถี่ ๆ เกินกี่ครั้ง จะระงับการใช้บัตรนั้นไปก่อน

          หลังจากเกิดเหตุการณ์ในช่วงที่ผ่านมา สถาบันการเงินบางแห่งที่ยังตั้งค่าไว้ไม่เข้มงวดพอก็ได้ปรับการตั้งค่าต่าง ๆ ข้างต้นให้มีความเข้มงวดมากขึ้น และเพิ่มการแจ้งเตือนลูกค้าผ่านช่องทางต่าง ๆ หากพบธุรกรรมผิดปกติ สถาบันการเงินจะคืนเงินให้ผู้ที่ได้รับความเสียหายในกรณีนี้ภายใน 5 วัน รวมถึงเร่งหารือกับผู้ให้บริการเครือข่ายบัตรในการพัฒนาระบบการป้องกันที่มีประสิทธิภาพมากขึ้นต่อไป

          สำหรับประชาชนก็สามารถดูแลความปลอดภัยให้ตัวเองเพิ่มขึ้นได้อีก โดยหมั่นตรวจสอบความเคลื่อนไหวของรายการในบัตร เพื่อดูว่ามีรายการผิดปกติบ้างหรือไม่ และอาจกำหนดวงเงินของบัตรให้ไม่สูงมาก หากต้องใช้จ่ายรายการใหญ่ ๆ ก็สามารถโทรไปหาธนาคารเจ้าของบัตรเพื่อขอเพิ่มวงเงินชั่วคราวได้ รวมถึงอาจกำหนดให้บัตรบางใบใช้จ่ายออนไลน์ไม่ได้ นอกจากนี้ ไม่ควรผูกบัญชีบัตรกับร้านค้าออนไลน์ เพื่อลดความเสี่ยงที่ข้อมูลบัตรจะรั่วไหลผ่านร้านค้าเหล่านั้น

แอปฯ เงินกู้ปลอม

การกู้เงินในยุคปัจจุบันทำได้ง่ายและรวดเร็วผ่านสมาร์ทโฟนโดยไม่ต้องออกจากบ้านให้ยุ่งยาก แต่สิ่งที่ยากสำหรับผู้กู้คือ จะรู้ได้อย่างไรว่าใครคือผู้ให้กู้ที่ไม่คิดดอกเบี้ยหรือทวงถามหนี้โหด หรือไม่ใช่มิจฉาชีพที่จะมาหลอกเอาเงินเราไป ยิ่งหากได้รับ SMS หรือมีคนโทรศัพท์ หรือแอดไลน์มาแล้วอ้างว่าเป็นเจ้าหน้าที่ธนาคาร หรือหน่วยงานภาครัฐ หรือบริษัทที่จะให้เงินกู้หรือให้เงินช่วยเหลือ อย่ารีบกดลิงก์หรือกรอกข้อมูลเด็ดขาด ควรเช็กให้แน่ใจก่อน จะได้ไม่ถูกเอาเปรียบหรือหลอกลวง สิ่งที่ทำให้เรารู้ทันและไม่หลงเชื่อมีง่าย ๆ 4 ข้อ ดังนี้

1. แยกแยะผู้ให้เงินกู้

• ผู้ให้กู้ในระบบหรือผู้ให้บริการที่ได้รับอนุญาตจะให้เงินกู้เราเต็มจำนวน และอัตราดอกเบี้ยไม่เกินที่ทางการกำหนด
• ผู้ให้กู้นอกระบบส่วนใหญ่จะให้เงินกู้ไม่เต็มจำนวน และต้องจ่ายค่าธรรมเนียมก่อน แต่เมื่อคืนเงินกู้ต้องจ่ายเต็มจำนวนบวกกับดอกเบี้ยหรือค่าปรับที่สูงเกินกว่ากฎหมายกำหนด
• แอปฯ เงินกู้ปลอม จะใช้วิธีการต่าง ๆ เช่น โฆษณาบนเว็บไซต์ โซเชียลมีเดีย ส่ง SMS หรือแม้แต่โทรหาโดยตรง หากผู้ที่ได้รับการติดต่อสนใจ มิจฉาชีพก็จะส่ง SMS มาให้คลิกลิงก์เพื่อดาวน์โหลดแอปฯ หรือให้แอดไลน์คุยกัน จากนั้นจะสอบถามข้อมูลส่วนตัว ให้ทำสัญญาเงินกู้ และขอเอกสารต่าง ๆ คล้ายกับการขอกู้ที่ธนาคาร ทำให้เหยื่อเริ่มเชื่อใจ จากนั้นจะโน้มน้าวให้โอนเงินเป็นค่าค้ำประกัน โดยบอกว่าจะคืนให้พร้อมกับเงินกู้ หากหลงกลก็จะหลอกล่อให้โอนเพิ่มอีกเรื่อย ๆ เช่น อ้างว่าโอนเงินไม่ได้เพราะเหยื่อกรอกเลขที่บัญชีผิด มีค่าใช้จ่ายในการแก้ไขเอกสารเพื่อปลดล็อก หรือต้องจ่ายค่าลัดคิวจึงจะได้เงินเร็วขึ้น

 2.  ไม่แน่ใจ อย่าเพิ่งคลิก

   ควรตรวจสอบรายชื่อแอปฯ และชื่อผู้ให้บริการก่อนตัดสินใจ โดยสามารถหาข้อมูลได้จากเว็บไซต์ ธปท. ในหัวข้อ "เช็กแอปเงินกู้" ที่รวบรวมรายชื่อผู้ให้บริการที่ได้รับอนุญาตในส่วนที่ ธปท. กำกับดูแล และมีลิงก์ไปยังเว็บไซต์กระทรวงการคลัง ซึ่งรวบรวมรายชื่อผู้ให้บริการสินเชื่อพิโกไฟแนนซ์ไว้ในที่เดียว หรือควรสอบถามหรือหาข้อมูลด้วยตัวเองจากแหล่งข้อมูลที่น่าเชื่อถือว่าเป็นแอปฯ ของผู้ให้บริการจริงหรือไม่

3. เลือกแหล่งดาวน์โหลดแอปฯ ดาวน์โหลดจากแหล่งที่ปลอดภัย เชื่อถือได้

4. อย่าลืมอ่านเงื่อนไขก่อนกู้ ไม่ต้องรีบกู้จนลืมดูรายละเอียดที่จำเป็น เช่น อัตราดอกเบี้ย ระยะเวลา และจำนวนเงินที่ต้องจ่ายคืน ที่สำคัญ ต้องคำนึงถึงความสามารถในการผ่อนชำระของเราโดยควรกู้เท่าที่จำเป็น

ที่มาของข้อมูล

• https://www.1213.or.th/th/Article/KCL69FF25590919.pdf

• https://www.scb.co.th/th/personal-banking/stories/tips-for-you/fake-sms.html

• ข้อเท็จจริงเกี่ยวกับการโดน "ดูดเงิน" | ART's Random Thoughts (artt.dev)

• กู้ออนไลน์...ต้องรู้ทันโจร (1213.or.th)