Tags:
Node Thumbnail

บทความโดย ประวิทย์ ลี่สถาพรวงศา กรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ ด้านการคุ้มครองผู้บริโภคและการส่งเสริมสิทธิเสรีภาพประชาชน

ข่าวมิจฉาชีพขโมยเงินเกือบล้านบาทออกจากบัญชีธนาคารของร้านขายอุปกรณ์ประดับยนต์ โดยการหลอกขอสำเนาบัตรประชาชนเจ้าของร้าน แล้วไปติดต่อขอออกซิมการ์ดมือถือเลขหมายของเจ้าของร้าน เพื่อใช้มือถือไปสวมรอยขอรหัสเข้าระบบอินเทอร์เน็ตแบงก์กิ้งหรือธนาคารออนไลน์ของเจ้าของร้านอีกต่อหนึ่ง แล้วโอนเงินเกือบล้านบาทออกไปในเวลาอันรวดเร็ว เป็นข่าวที่สะเทือนขวัญและสร้างความกังวลแก่ผู้ใช้ระบบธนาคารออนไลน์ หรือผู้ที่กำลังจะขอใช้บริการอย่างหลีกเลี่ยงไม่ได้

No Description

ภาพประกอบจาก Pixabay

หากไล่เรียงเหตุการณ์ตามข่าว เราจะพบประเด็นน่าสนใจซึ่งผู้บริโภคควรเท่าทันเพื่อป้องกันภัยจากมิจฉาชีพ ได้แก่

1) สำเนาหรือภาพถ่ายบัตรประชาชน แม้เราจะปกปิดเลขประจำตัวประชาชน 13 หลักไว้แล้ว แต่หากไม่ปกปิดบาร์โค้ดทางซ้ายของบัตรก็ไม่มีประโยชน์ เพราะบาร์โค้ดนั้นสามารถใช้อุปกรณ์หรือโปรแกรมอ่านบาร์โค้ดเพื่อบอกเลขประจำตัว 13 หลักได้อยู่ดี และในกรณีทั่วไป สำเนาหรือภาพถ่ายบัตรประชาชนควรมีการขีดฆ่าและเขียนวัตถุประสงค์กำกับไว้ เช่น ใช้เพื่อเปิดบัญชีธนาคาร ใช้เพื่อสมัครบริการอะไร เป็นต้น โดยเขียนทับบนตำแหน่งของบัตร หากมีการทำสำเนาซ้ำ ก็จะปรากฏรอยขีดฆ่าและวัตถุประสงค์กำกับไปด้วย ทำให้การปลอมแปลงทำได้ยากขึ้น

2) การรับโอนเงินไม่จำเป็นต้องสมัครอินเทอร์เน็ตแบงก์กิ้ง เพราะบริการดังกล่าวใช้ตรวจสอบยอดและนำเงินออกจากบัญชีทางออนไลน์ เช่น โอนออก หรือชำระค่าบริการต่างๆ หากเราเปิดบัญชีเพื่อฝากถอนเงินตามปกติ ไม่ประสงค์จะถอนเงินทางออนไลน์ก็ไม่จำเป็นต้องสมัคร โดยลูกค้าที่สั่งซื้อออนไลน์ก็สามารถโอนเงินออนไลน์เข้าบัญชีเราได้อยู่ดี แต่หากเราจะสมัครอินเทอร์เน็ตแบงก์กิ้ง มีคำแนะนำให้สมัครเฉพาะบัญชีที่มีวงเงินไม่สูงนัก หากเกิดปัญหาจะได้ไม่กระทบรุนแรง ส่วนบัญชีที่มีเงินจำนวนมาก หากไม่จำเป็นก็อย่านำไปผูกกับอินเทอร์เน็ตแบงก์กิ้ง

ในส่วนการสมัครพร้อมเพย์เพื่อความสะดวกในการรับเงินเข้าบัญชี หากเราไม่สมัครอินเทอร์เน็ตแบงก์กิ้ง มิจฉาชีพก็ไม่สามารถขโมยเงินเราทางออนไลน์ได้ กรณีที่เกิดนี้ จึงไม่เกี่ยวอะไรกับความน่าเชื่อถือของพร้อมเพย์

3) กรณีมีการสวมรอยขอซิมการ์ดเลขหมายมือถือของเราสำเร็จ มือถือเราจะถูกระงับสัญญาณอัตโนมัติ ดังนั้น หากมือถือถูกระงับบริการ ให้สอบถามผู้ให้บริการในทันทีว่าเกิดจากสาเหตุใด อย่านิ่งนอนใจ เพราะหากปล่อยผ่านไป แม้เวลาไม่นานนัก ก็อาจเกิดการสวมรอยทำธุรกรรมผ่านมือถือได้ แต่โดยปกติหากผู้ให้บริการรอบคอบ การสวมรอยขอซิมใหม่ โดยใช้เพียงสำเนาบัตรประชาชนที่ปลอมแปลงมาจะทำไม่สำเร็จ เพราะในการขอซิมการ์ดจะต้องแสดงบัตรประจำตัวประชาชนเพื่อตรวจสอบด้วยเสมอ การปลอมแปลงบัตรนั้นทำได้ แต่ไม่ง่ายนัก และหากใช้เครื่องอ่านสมาร์ทการ์ด ก็สามารถตรวจสอบการปลอมแปลงบัตรได้ ในเบื้องต้น

4) โดยปกติ การทำธุรกรรมอินเทอร์เน็ตแบงก์กิ้ง ธนาคารจะส่งรหัส OTP (One Time Password) ทาง SMS ซึ่งการจะเข้าใช้งานระบบได้ต้องมีทั้งชื่อผู้ใช้งานและรหัสผ่านด้วย การขโมยเงินออนไลน์จึงต้องรู้ข้อมูลทั้งหมด ในกรณีนี้มิจฉาชีพได้ขอตั้งรหัสผ่านใหม่ผ่าน call center และรู้ข้อมูลอื่นๆ ตามบัตรประชาชน รู้เลขบัญชีธนาคาร และรู้เลขหมายมือถือ ทำให้สวมรอยขอรหัสผ่านได้ แต่โดยปกติธนาคารมักจะไม่ส่งรหัสผ่านใหม่ทาง SMS เพราะจะเป็นช่องทางเดียวกันกับ OTP ทำให้คนที่ไม่ใช่เจ้าของบัญชีตัวจริง แต่เข้าถึงมือถือของเจ้าของบัญชีสามารถขโมยเงินได้โดยง่าย ธนาคารจึงมักส่งรหัสผ่านใหม่ผ่านทางอีเมล

ดังนั้นหากมิจฉาชีพไม่รู้บัญชีอีเมลและรหัสผ่านเข้าอีเมลของเรา ก็ไม่สามารถเข้าใช้งานอินเทอร์เน็ตแบงก์กิ้งได้ จึงสันนิษฐานได้ว่ามิจฉาชีพรายนี้อาจรู้ชื่อบัญชีอีเมลและรหัสผ่านอยู่ก่อนแล้ว เนื่องจากในปัจจุบันผู้ให้บริการอีเมลมักจะขอให้เราลงทะเบียนเลขหมายมือถือในการกู้บัญชีกรณีถูกแฮ็กบัญชีอีเมลด้วย ดังนั้นมิจฉาชีพที่มีซิมมือถือของเรา ก็สามารถขอรีเซตรหัสผ่านอีเมลได้เช่นกัน แล้วจึงไปขอรีเซ็ตรหัสอินเทอร์เน็ตแบงก์กิ้งกับทางธนาคารซึ่งส่งมาทางอีเมลนี้ในภายหลังอีกทอดหนึ่ง ดังนั้น ถ้าเป็นไปได้ เราจึงควรใช้เลขหมายมือถือคนละเลขหมายกัน ในการรีเซ็ตรหัสผ่านเข้าอีเมล และในการรีเซ็ตรหัสผ่านอินเทอร์เน็ตแบงก์กิ้ง

5) หากเราเปิดบริการอินเทอร์เน็ตแบงก์กิ้ง ก็ควรตรวจสอบยอดเงินในบัญชีอย่างสม่ำเสมอ หากมีการเคลื่อนไหวของบัญชีผิดปกติ เราจะรู้ปัญหาและแก้ไขได้โดยเร็ว

จะเห็นได้ว่ากรณีที่เป็นข่าว บางแง่มุมอาจเกิดจากการรู้ไม่เท่าทันของผู้บริโภค แต่หากธนาคารและค่ายมือถือมีระบบที่รัดกุม กรณีนี้ก็จะไม่เกิดขึ้นเช่นกัน เราจึงควรหามาตรการจัดการปัญหาเชิงระบบด้วย ซึ่งกรณีนี้ได้ชี้ให้เห็นช่องโหว่ของระบบบริการได้เป็นอย่างดี

อย่างไรก็ตาม การกำหนดมาตรการใหม่ควรจะมีการหารือร่วมกันจากทุกฝ่าย เพื่อประเมินความเป็นไปได้และภาระในการดำเนินการ เช่น กรณีการใช้ลายนิ้วมือในการลงทะเบียนซิมและขอซิมใหม่นั้น หากผู้ให้บริการไม่มีระบบตรวจสอบลายนิ้วมือออนไลน์ตามสาขาต่างๆ ก็ไม่สามารถป้องกันปัญหาการสวมรอยได้อยู่ดี แต่หากจะมีระบบตรวจสอบลายนิ้วมือออนไลน์ก็ต้องคำนึงถึงต้นทุนในการวางระบบให้ทั่วถึงด้วย และหากเกิดการแฮ็กฐานข้อมูลลายนิ้วมือจะแก้ไขอย่างไร เพราะแม้แต่ภายหลังการลงประชามติที่ผ่านมา เมื่อมีการโพสต์ภาพถ่ายนิ้วมือเปื้อนหมึกก็มีคำเตือนว่ามิจฉาชีพอาจปลอมแปลงลายนิ้วมือได้ แต่นี่คือลายนิ้วมือที่จัดเก็บทางอิเล็กทรอนิกส์ ยิ่งสะดวกต่อการนำไปก่อเหตุต่างๆ

นอกจากนี้ ในกรณีเกิดการแฮ็กเลขบัตรเครดิต แฮ็ครหัสผ่านต่างๆ เราสามารถออกเลขบัตรเครดิตหรือรหัสผ่านใหม่ แต่คนเราไม่สามารถออกลายนิ้วมือใหม่ได้ แม้ในต่างประเทศก็พัฒนาเทคโนโลยี Biometrics ต่างๆ มาทดแทนลายนิ้วมือ เช่น Finger Vein Recognition เนื่องจากขบวนการมิจฉาชีพสามารถเจาะระบบความปลอดภัยของลายนิ้วมือได้แล้ว จึงควรต้องมีการหารือเกี่ยวกับข้อเสนอต่างๆ อย่างรอบคอบ ไม่เต้นไปตามกระแส

อย่างไรก็ตาม จุดที่ควรมีการปรับปรุง เพื่อให้ผู้บริโภคเกิดความมั่นใจ ได้แก่

1) การกำหนด Security Standard ของโครงข่ายบริการและมีกระบวนการ Security Audit ทั้งของฝั่งธนาคารและฝั่งค่ายมือถือ เพื่อปิดช่องโหว่ของระบบบริการ

2) การปรับปรุงขั้นตอนการออกซิมใหม่ และการขอรหัสผ่านอินเทอร์เน็ตแบงก์กิ้งใหม่ให้รัดกุมยิ่งขึ้น โดยต้องระลึกเสมอว่าผู้บริโภคมักเก็บข้อมูลทุกอย่างในโทรศัพท์มือถือ เราจึงต้องออกแบบระบบที่ป้องกันไม่ให้ใครก็ตามที่เข้าถึงหรือเก็บโทรศัพท์มือถือได้ สามารถเข้าถึงบริการต่างๆ ได้โดยที่เจ้าตัวมิได้รับรู้หรือยินยอม

ดังเช่นกรณีของประเทศเอสโตเนีย ซึ่งพัฒนาธุรกรรมอิเล็กทรอนิกส์ทดแทนธุรกรรมบนกระดาษ จนแม้แต่การเลือกตั้งก็สามารถทำผ่านมือถือได้ ยังออกแบบการทำธุรกรรมออนไลน์ให้มี 2 ขั้นตอน คือการ Verification และการ Authentication โดยทั้งสองขั้นตอนไม่สามารถใช้รหัสที่เซฟไว้ในมือถือ หรือเม็มไว้ในเครื่องได้ เหมือนที่ผู้บริโภคทั่วไปมักเม็มชื่อบัญชีออนไลน์และรหัสผ่านไว้ในเครื่อง เพื่อใช้งานอัตโนมัติโดยไม่ต้องคอยจดจำและกรอกข้อมูลใหม่ทุกครั้งที่จะใช้งาน แต่ระบบของเอสโตเนียบังคับให้เรากรอกข้อมูลใหม่ทุกครั้ง โดยขั้นตอนแรกจะส่งเป็น OTP ทาง SMS ทุกครั้งที่เราจะเข้าใช้งาน และในขั้นที่สอง หากตัดสินใจทำธุรกรรม เราจะต้องกรอกรหัส PIN เหมือนรหัสเอทีเอ็มที่เรารู้อยู่คนเดียวโดยไม่สามารถเม็มไว้ในเครื่องได้ เสมือนเป็นการลงลายมือชื่อบนกระดาษ จะเห็นได้ว่า นี่เป็นการออกแบบระบบที่ใช้ต้นทุนต่ำแต่มีความปลอดภัยในระดับที่ยอมรับได้

3) การกำหนดช่องทางรับแจ้งเหตุ และการกำหนดผู้รับผิดชอบและสัดส่วนความรับผิดชอบต่อความเสียหายที่เกิดกับผู้บริโภคอย่างชัดเจน ทั้งในฝั่งธนาคารและค่ายมือถือ โดยไม่จำเป็นต้องให้ผู้บริโภคเที่ยวตระเวนออกสื่อเพื่อกดดันหาผู้รับผิดชอบอย่างที่ปรากฏเป็นข่าว

4) การให้ความรู้ คำเตือน ข้อควรระวัง หรือข้อควรปฏิบัติแก่ผู้บริโภคอย่างเป็นระบบ เพื่อให้เท่าทันบริการและป้องกันเหตุร้ายที่อาจเกิดขึ้นได้

5) การฝึกให้พนักงานมีความเท่าทันและปฏิบัติตามแนวปฏิบัติเพื่อความปลอดภัย อย่างในกรณีนี้หากพนักงานค่ายมือถือจะโทรไปยังเลขหมายมือถือที่มิจฉาชีพอ้างว่าหาย ก็จะทราบความจริงได้ในทันที เหมือนกรณีการแฮ็กอีเมล แล้วหลอกขอให้โอนเงินโดยอ้างว่า เจ้าของอีเมลตกระกำลำบากในต่างประเทศ และโทรศัพท์หายไม่สามารถติดต่อได้ หากคนได้รับอีเมลเฉลียวใจ ลองโทรไปสอบถามข่าวคราว ก็จะไม่ตกเป็นเหยื่อของมิจฉาชีพที่ใช้มุกโทรศัพท์หายเพื่อสวมรอยผู้บริสุทธิ์ ซึ่งเป็นมุกเก่าที่ใช้กันอยู่บ่อยๆ

Get latest news from Blognone

Comments

By: Thai.hacker
ContributoriPhoneAndroidUbuntu
on 25 August 2016 - 12:17 #935216
Thai.hacker's picture

ตอนแรก อ่านหัวข้อแล้วเข้าใจว่าคนชื่อ ประวิทย์ เป็นชื่อโจรขโมยเงิน


ไม่มีลายเซ็น

By: Astral
iPhoneAndroidWindows
on 25 August 2016 - 12:35 #935221 Reply to:935216

เหมือนกันเลย
งี้ตอนหาใน google เจอแบบนี้คงคิดว่าคนนี้เป็นคนไม่ดี ถ้าไม่รู้จักมาก่อน

By: Bigkung
iPhoneWindows Phone
on 25 August 2016 - 12:21 #935217
Bigkung's picture

การขอกู้คืนรหัสผ่าน email มันก็จะส่งรหัสผ่านอีเมลไปที่อีเมลสำรองอีกทีนิครับแถมโชว์ชื่อไม่หมดด้วย จะ Hack email นี่ยากสุดๆเลยนะ ยกเว้นเจ้าของ email ไม่ตั้งการป้องกันไว้เอง

By: rattananen
AndroidWindows
on 25 August 2016 - 12:43 #935224 Reply to:935217

ที่โดน hack คือ k-mobilebanking ครับไม่ใช่ k-cyberbanking
k-mobile ใช้แค่เบอร์โทรอย่างเดียวครับ

By: Bigkung
iPhoneWindows Phone
on 25 August 2016 - 12:58 #935231 Reply to:935224
Bigkung's picture

ผมหมายถึงข้อนี้ครับ

4) โดยปกติ การทำธุรกรรมอินเทอร์เน็ตแบงก์กิ้ง ธนาคารจะส่งรหัส OTP (One Time Password) ทาง SMS ซึ่งการจะเข้าใช้งานระบบได้ต้องมีทั้งชื่อผู้ใช้งานและรหัสผ่านด้วย การขโมยเงินออนไลน์จึงต้องรู้ข้อมูลทั้งหมด ในกรณีนี้มิจฉาชีพได้ขอตั้งรหัสผ่านใหม่ผ่าน call center และรู้ข้อมูลอื่นๆ ตามบัตรประชาชน รู้เลขบัญชีธนาคาร และรู้เลขหมายมือถือ ทำให้สวมรอยขอรหัสผ่านได้ แต่โดยปกติธนาคารมักจะไม่ส่งรหัสผ่านใหม่ทาง SMS เพราะจะเป็นช่องทางเดียวกันกับ OTP ทำให้คนที่ไม่ใช่เจ้าของบัญชีตัวจริง แต่เข้าถึงมือถือของเจ้าของบัญชีสามารถขโมยเงินได้โดยง่าย ธนาคารจึงมักส่งรหัสผ่านใหม่ผ่านทางอีเมล
ดังนั้นหากมิจฉาชีพไม่รู้บัญชีอีเมลและรหัสผ่านเข้าอีเมลของเรา ก็ไม่สามารถเข้าใช้งานอินเทอร์เน็ตแบงก์กิ้งได้ จึงสันนิษฐานได้ว่ามิจฉาชีพรายนี้อาจรู้ชื่อบัญชีอีเมลและรหัสผ่านอยู่ก่อนแล้ว เนื่องจากในปัจจุบันผู้ให้บริการอีเมลมักจะขอให้เราลงทะเบียนเลขหมายมือถือในการกู้บัญชีกรณีถูกแฮ็กบัญชีอีเมลด้วย ดังนั้นมิจฉาชีพที่มีซิมมือถือของเรา ก็สามารถขอรีเซตรหัสผ่านอีเมลได้เช่นกัน แล้วจึงไปขอรีเซ็ตรหัสอินเทอร์เน็ตแบงก์กิ้งกับทางธนาคารซึ่งส่งมาทางอีเมลนี้ในภายหลังอีกทอดหนึ่ง ดังนั้น ถ้าเป็นไปได้ เราจึงควรใช้เลขหมายมือถือคนละเลขหมายกัน ในการรีเซ็ตรหัสผ่านเข้าอีเมล และในการรีเซ็ตรหัสผ่านอินเทอร์เน็ตแบงก์กิ้ง

By: Wai on 25 August 2016 - 13:04 #935235 Reply to:935224

ที่โดนคือ K-Cyber Banking ครับ คนร้ายติดต่อธนาคารทางโทรศัพท์เพื่อขอทั้ง User ID และ Password ครับ

คำอธิบายแบบเต็มๆ
https://www.facebook.com/MooNoiKonDee/posts/10207144029664014

By: KuroNeko_Hiki
AndroidUbuntuWindows
on 25 August 2016 - 14:45 #935270 Reply to:935235
KuroNeko_Hiki's picture

กระบวนการปกติ ถ้าลืมรหัสผ่านก็โทรไปบอกว่าลืมรหัสผ่าน เขาก็ถามข้อมูลส่วนตัวแถมอีเมล์ที่ใช้รีเซ็ตอีกเขาถึงจะรีเซ็ตให้

ถ้าเขาแฮคผ่าน Cyber Banking จริงๆ แสดงว่า เขาต้องแฮกอีเมล์ไว้เรียบร้อยแล้ว...

เราว่า Mobile Banking มากกว่าอะ

เขาใช้วิธีเปิดบัญชีออนไลน์ผ่านโทรศัพท์เลยเหรอ หรือเขารู้ Username ไหนจะต้องแฮก Email อีก

หรือเขาถาม Username เรางงมาก คือมันต้องแฮก Email ก่อนที่จะได้รีเซ็ตไม่ใช่เหรอ

By: Wai on 25 August 2016 - 15:33 #935294 Reply to:935270

ผมเคยโทรไป Call Center เพื่อถาม Username ครับ สอบถามข้อมูลส่วนตัว+บัญชีธนาคาร ก็ได้แล้วครับ ส่วน Password ไม่แน่ใจว่ายังไง เห็นเค้าว่ามันส่งให้ผ่าน SMS ได้อะครับ

ในลิงค์ของ facebook

จากนั้นก็โทรไปขอปลดรหัส K-Cyber ผ่าน Call Center ของธนาคาร ซึ่งคนร้ายสามารถยืนยันตัวตนได้หมดเพราะมีข้อมูลบัตรประชาชน วันเดือนปีเกิด เลขบัญชี สาขาบัญชี ฯ ธนาคารจึงยอมออกรหัส K-Cyber ให้

แต่ธนาคารก็ไม่ได้ให้ง่ายๆ ธนาคารจะออกรหัส OTP(เป็นการยืนยันสองขั้นตอน) ส่งไปทาง SMS ไปยังหมายเลขโทรศัพท์ที่เจ้าของบัญชีเคยกรอกข้อมูลให้ไว้ที่สาขาของธนาคารเท่านั้น จะบอกให้ส่งไปเบอร์อื่น เบอร์ไหนๆก็ไม่ได้ แต่คนร้ายเตรียมซิมใหม่มาแล้วครับ จึงได้รหัส K-Cyber ไปครับ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 25 August 2016 - 16:37 #935316 Reply to:935217
lew's picture

อีเมลจำนวนมากใช้โทรศัพท์กู้คืนบัญชีได้ครับ


lewcpe.com, @wasonliw

By: ploy1375 on 25 August 2016 - 14:57 #935279
ploy1375's picture

อ่านๆดูแล้ว ตาสี ตาสา จะไหว รึเปล่า ต้องระวังโน่น ระวังนี้

สรุป
ยอมถือเงินสด ต่อไป จนกว่า จะ...โดนบังคับให้ใช่ โน่นแหละ

By: nblue
Android
on 25 August 2016 - 18:37 #935338
nblue's picture

ถ้าเป็นไปได้ เราจึงควรใช้เลขหมายมือถือคนละเลขหมายกัน ในการรีเซ็ตรหัสผ่านเข้าอีเมล และในการรีเซ็ตรหัสผ่านอินเทอร์เน็ตแบงก์กิ้ง

ถึงกับต้องมีเบอร์โทรหลายเบอร์เพื่อการนี้เลยทีเดียว ถ้าคนใช้หลายเบอร์อยู่แล้วน่าจะไม่มีปัญหา แต่ถ้าใช้เบอร์เดียวแล้วต้องไปเปิดอีกเบอร์ก็จะต้องคอยเติมเงินเพื่อรักษาเบอร์อีก

By: Knackii
ContributoriPhone
on 25 August 2016 - 19:00 #935349
Knackii's picture

เขาวิเคราะห์มาแล้วนี่ กลุ่ม baby boomer ถูกหลอกง่ายสุด เพราะรู้ไม่เท่าทันเทคโนโลยี ดังนั้น Gen X-Y-Z ไม่กระทบ...