TOP

ขโมยเงินออนไลน์ ภัยร้ายยุคดิจิทัล

อะไรที่มีคุณประโยชน์ก็อาจมีอันตรายแฝงอยู่ อย่างเทคโนโลยีทางการเงิน ที่ทำให้การใช้ชีวิตของเราสะดวกสบายก็มาพร้อมกับมิจฉาชีพออนไลน์ที่มากขึ้นทุกวัน แล้วโจรพวกนี้ก็ขยันสรรหาสารพัดวิธีที่จะมาขโมยเงิน หลอกลวง และต้มตุ๋นจนหลายๆ คนตกเป็นเหยื่อ มาดูกันว่าภัยทางการเงินในยุคดิจิทัลที่พบบ่อยๆ มีอะไรบ้าง

 

รับมือ Phishing ของปลอมก๊อปเกรดเอ

Phishing คือ การแอบอ้างว่าตนเองเป็นผู้ให้บริการ เพื่อหลอกให้เรากรอกข้อมูลส่วนตัว เช่น ข้อมูลบัตรเครดิต เลขที่บัญชีธนาคาร ชื่อผู้ใช้งาน หรือรหัสผ่าน เพื่อให้มิจฉาชีพสามารถนำข้อมูลเหล่านั้นไปสวมรอยทำธุรกรรมต่อไป โดยทั่วไป มิจฉาชีพจะวางเหยื่อล่อโดยการส่ง SMS หรืออีเมลปลอมที่ออกแบบให้ดูคล้ายกับอีเมลของผู้ให้บริการที่เราใช้บริการอยู่ โดยมิจฉาชีพมักใช้ความตกใจของเราเป็นเครื่องมือ เช่น อ้างว่าเราถูกอายัดบัญชี หรือข้อมูลถูกแฮก และขอให้เราเข้าไปกรอกข้อมูลที่เว็บไซต์ที่มิจฉาชีพสร้างขึ้น ให้ดูคล้ายกับเว็บไซต์จริงของผู้ให้บริการ เมื่อเราหลงเชื่อกรอกข้อมูลไป ข้อมูลดังกล่าวจะถูกส่งต่อไปยังมิจฉาชีพทันที การรับมือภัย Phishing ง่ายมาก แค่เพิ่มความระมัดระวังให้มากขึ้น เช่น เมื่อได้รับอีเมลหรือ SMS ที่อ้างว่าเป็นผู้ให้บริการ ควรดูว่ามาจากผู้ให้บริการจริงหรือไม่ และไม่คลิกลิงก์ที่แนบมากับอีเมลหรือ SMS ที่เราไม่รู้จัก เก็บข้อมูลส่วนตัวไว้เป็นความลับ หรือหากไม่แน่ใจให้โทรศัพท์สอบถามผู้ให้บริการโดยตรง

รู้ทันของปลอม

SMS ปลอม

วิธีสังเกตง่ายๆ คือข้อความที่ส่งมาส่วนใหญ่จะเน้นทำให้ผู้อ่านวิตกกังวล ตื่นเต้น หรือเร่งให้ทำอะไรบางอย่าง เช่น บัญชีทำธุรกรรมไม่ได้ต้องกรอกข้อมูลทันที หรือรีบกรอกข้อมูลเพื่อรับรางวัลหรือดอกเบี้ยพิเศษด่วน โดยจะขอข้อมูลเชิงลึกมากผิดปกติ เช่น เลขบัตรประชาชน เลขบัตรเครดิต วันเดือนปีเกิด และรหัสผ่านต่างๆ

 

LINE ปลอม
วิธีสังเกตคือ Line ของธนาคารจริงๆ ต้องมีโล่สีเขียวหรือสีน้ำเงินอยู่ข้างหน้าและจะไม่ทักมาหาเราก่อน หากไม่มีโล่หรือเป็นสีเทา หรือมีไลน์ทักมาหาเราก่อนนั้นเป็นของปลอมแน่นอน และไลน์ปลอมส่วนใหญ่จะสอบถามข้อมูลส่วนตัวเชิงลึก รวมถึงข้อมูลของธนาคารอื่นๆ ที่เราใช้บริการอยู่ หรือส่งลิงก์ให้เข้ากรอกข้อมูลส่วนตัวเชิงลึก

 

Facebook ปลอม
Facebook ของแท้ให้สังเกตเครื่องหมาย verified badge หรือเครื่องหมายถูกสีน้ำเงินหลังชื่อ และชื่อเพจต้องสะกดถูกต้องทั้งหมด เพจปลอมจะตั้งชื่อเลียนแบบให้ใกล้เคียงมากแต่จะไม่เหมือนทั้งหมด รวมถึงเราสามารถดูยอด follow และยอด like ได้ด้วย เพจจริงของธนาคารส่วนใหญ่ยอด follow จะเป็นหลักล้าน และยอด like ต่อโพสต์ส่วนใหญ่จะมีจำนวนเยอะและมี comment จำนวนหนึ่ง

 

ข้อเท็จจริง เกี่ยวกับการโดน “ดูดเงิน”

ช่วงที่ผ่านมามีข่าวหลายคนโดนดูดเงินจากบัตรเครดิต หรือบัญชีธนาคาร เหตุการณ์นี้ไม่ได้เกิดจากการที่สถาบันการเงินถูกเจาะระบบหรืออะไร จริงๆ แล้วเป็นการโกงผ่านบัตรจ่ายเงิน ไม่ว่าจะเป็นบัตรเครดิตหรือบัตรเดบิต แต่ที่หลายคนคิดว่าบัญชีถูก “ดูดเงิน” เพราะตามธรรมชาติของบัตรเดบิต เวลาจ่ายแล้วก็จะมาหักเงินในบัญชีเราทันที สิ่งแรกที่ทำให้หลายคนสับสน คือ “ฉันไม่เคยมีบัตรพวกนี้” ซึ่งก็ต้องบอกว่า เวลาเราไปเปิดบัญชีธนาคาร ถ้าเราได้บัตร ATM มาด้วย บัตรพวกนั้นส่วนใหญ่จะเป็นบัตรเดบิต

และบัตรของเราอาจโดนผู้อื่นนำไปใช้ได้หลายทาง ดังนี้
1. เอาบัตรไปให้พนักงานรูด แล้วพนักงานจดข้อมูลบัตรไว้ เอาไปใช้เองภายหลัง
2. โดนหลอกให้คลิกลิงก์ SMS หรืออีเมลปลอม แล้วให้กรอกข้อมูลส่วนตัว
3. เอาข้อมูลบัตรไปใส่ในร้านค้าออนไลน์ (ผูกบัตร) แล้วร้านค้าถูกเจาะระบบ ข้อมูลรั่ว ถูกเอาข้อมูลบัตรเหล่านี้ออกไป หรือร้านค้าทุจริตโดยการนำข้อมูลบัตรเหล่านี้ไปขาย
4. ฐานข้อมูลของธนาคารถูกเจาะ วิธีการที่พบได้บ่อยคือ ข้อ 1 ถึง 3 ซึ่งพอผู้เสียหายร้องเรียน ธนาคารก็ไปจัดการตรวจสอบและคืนเงินให้ ส่วนข้อ 4 สมาคมธนาคารไทยได้ออกมายืนยันแล้วว่าไม่มี แล้วที่เป็นข่าวในช่วงที่ผ่านมานั้นเกิดอะไรขึ้น? จริงๆ แล้วมิจฉาชีพมีอีกวิธี คือการทำ BIN attack

 

BIN attack คืออะไร

BIN attack ก็คือการที่มิจฉาชีพใช้โปรแกรมสุ่มเลขบัตรไปเรื่อยๆ แล้วลองกดซื้อของดู ถ้าไม่ได้ก็ลองเลขใหม่ ถ้าได้ก็เก็บข้อมูลบัตรนั้นไว้ เพราะสามารถเอาไปใช้ได้อีกหลายรอบ จนกว่าเจ้าของหรือสถาบันการเงินจะรู้ตัว การทำ BIN attack นี้ ไม่ซับซ้อนเหมือนที่หลายคนเข้าใจ (ว่าต้องทราบทั้งเลขบัตร ชื่อผู้ถือบัตร วันหมดอายุ รหัสหลังบัตร และมี OTP) เพราะข้อมูลที่จำเป็นจริงๆ คือเลขบัตร และวันหมดอายุเท่านั้น ข้อมูลเพื่อตรวจสอบอื่นๆ เป็นส่วนที่ร้านค้าสามารถเลือกได้เอง ว่าจะใช้หรือไม่ (เพราะร้านค้าเป็นคนรับความเสี่ยงในกรณีที่เกิดการสวมรอยใช้บัตร) ร้านค้าส่วนหนึ่งไม่ได้ให้ลูกค้ากรอกข้อมูลอื่นๆ โดยเฉพาะกรณีที่ธุรกรรมมีมูลค่าไม่มาก เพื่อความสะดวกของลูกค้า เมื่อมิจฉาชีพพบร้านค้าออนไลน์ที่ระบบการตรวจสอบไม่เข้มงวดมากนัก ก็สามารถลองสุ่มเลขบัตรเพื่อใช้งานได้ หากสำเร็จก็จะทำต่อไปเรื่อยๆ

 

การป้องกัน BIN attack

หลายธนาคารมีการป้องกัน BIN attack คือเมื่อพบรายการชำระเงินที่ถูกปฏิเสธหลายครั้งติดต่อกันจากร้านค้า (เพราะมิจฉาชีพสุ่มเลขแล้วผิด) ระบบเตือนจะทำงาน และอาจจะหยุดการให้บริการร้านค้านั้นชั่วคราว เพื่อตรวจสอบเพิ่มเติม โดยสถาบันการเงิน หรือผู้ให้บริการแต่ละรายสามารถปรับการตั้งค่าได้ เช่น ตั้งค่าจำนวนการกรอกข้อมูลของบัตรผิด หากเกินกี่ครั้งต่อนาทีจะหยุดให้บริการร้านค้านั้นชั่วคราว หรือถ้ามีการใช้บัตรซ้ำๆ ถี่ๆ เกินกี่ครั้ง จะระงับการใช้บัตรนั้นไปก่อน หลังจากเกิดเหตุการณ์ในช่วงที่ผ่านมา สถาบันการเงินบางแห่งที่ยังตั้งค่าไว้ไม่เข้มงวดพอ ก็ได้ปรับการตั้งค่าต่างๆ ข้างต้น ให้มีความเข้มงวดมากขึ้น และเพิ่มการแจ้งเตือนลูกค้าผ่านช่องทางต่างๆ หากพบธุรกรรมผิดปกติ สถาบันการเงินจะคืนเงินให้ผู้ที่ได้รับความเสียหายในกรณีนี้ภายใน 5 วัน รวมถึงเร่งหารือกับผู้ให้บริการเครือข่ายบัตร ในการพัฒนาระบบการป้องกันที่มีประสิทธิภาพมากขึ้นต่อไป

สำหรับประชาชนก็สามารถดูแลความปลอดภัยให้ตัวเองเพิ่มขึ้นได้อีก โดยหมั่นตรวจสอบความเคลื่อนไหวของรายการในบัตร เพื่อดูว่ามีรายการผิดปกติบ้างหรือไม่ และอาจกำหนดวงเงินของบัตรให้ไม่สูงมาก หากต้องใช้จ่ายรายการใหญ่ๆ ก็สามารถโทรไปหาธนาคารเจ้าของบัตรเพื่อขอเพิ่มวงเงินชั่วคราวได้ รวมถึงอาจกำหนดให้บัตรบางใบใช้จ่ายออนไลน์ไม่ได้ นอกจากนี้ไม่ควรผูกบัญชีบัตรกับร้านค้าออนไลน์ เพื่อลดความเสี่ยงที่ข้อมูลบัตรจะรั่วไหลผ่านร้านค้าเหล่านั้น

 

แอปฯ เงินกู้ปลอม

การกู้เงินในยุคปัจจุบันทำได้ง่ายและรวดเร็วผ่านสมาร์ทโฟน โดยไม่ต้องออกจากบ้านให้ยุ่งยาก แต่สิ่งที่ยากสำหรับผู้กู้คือ จะรู้ได้อย่างไรว่าใครคือผู้ให้กู้ที่ไม่คิดดอกเบี้ยหรือทวงถามหนี้โหด หรือไม่ใช่มิจฉาชีพที่จะมาหลอกเอาเงินเราไป ยิ่งหากได้รับ SMS หรือมีคนโทรศัพท์ หรือแอดไลน์มาแล้วอ้างว่าเป็นเจ้าหน้าที่ธนาคาร หรือหน่วยงานภาครัฐ หรือบริษัทที่จะให้เงินกู้หรือให้เงินช่วยเหลือ อย่ารีบกดลิงก์หรือกรอกข้อมูลเด็ดขาด ควรเช็กให้แน่ใจก่อน จะได้ไม่ถูกเอาเปรียบหรือหลอกลวง สิ่งที่ทำให้เรารู้ทันและไม่หลงเชื่อมีง่ายๆ 4 ข้อ ดังนี้

1. แยกแยะผู้ให้เงินกู้
ผู้ให้กู้ในระบบหรือผู้ให้บริการที่ได้รับอนุญาต จะให้เงินกู้เราเต็มจำนวน และอัตราดอกเบี้ยไม่เกินที่ทางการกำหนด ผู้ให้กู้นอกระบบส่วนใหญ่จะให้เงินกู้ไม่เต็มจำนวน และต้องจ่ายค่าธรรมเนียมก่อน แต่เมื่อคืนเงินกู้ต้องจ่ายเต็มจำนวนบวกกับดอกเบี้ย หรือค่าปรับที่สูงเกินกว่ากฎหมายกำหนด แอปฯ เงินกู้ปลอม จะใช้วิธีการต่างๆ เช่น โฆษณาบนเว็บไซต์ โซเชียลมีเดีย ส่ง SMS หรือแม้แต่โทรหาโดยตรง หากผู้ที่ได้รับการติดต่อสนใจ มิจฉาชีพก็จะส่ง SMS มาให้คลิกลิงก์เพื่อดาวน์โหลดแอปฯ หรือให้แอดไลน์คุยกัน จากนั้นจะสอบถามข้อมูลส่วนตัว ให้ทำสัญญาเงินกู้และขอเอกสารต่างๆ คล้ายกับการขอกู้ที่ธนาคาร ทำให้เหยื่อเริ่มเชื่อใจ จากนั้นจะโน้มน้าวให้โอนเงินเป็นค่าค้ำประกัน โดยบอกว่าจะคืนให้พร้อมกับเงินกู้ หากหลงกลก็จะหลอกล่อให้โอนเพิ่มอีกเรื่อยๆ เช่น อ้างว่าโอนเงินไม่ได้ เพราะเหยื่อกรอกเลขที่บัญชีผิด มีค่าใช้จ่ายในการแก้ไขเอกสารเพื่อปลดล็อก หรือต้องจ่ายค่าลัดคิวจึงจะได้เงินเร็วขึ้น

2. ไม่แน่ใจอย่าเพิ่งคลิก ควรตรวจสอบรายชื่อแอปฯ และชื่อผู้ให้บริการก่อนตัดสินใจ โดยสามารถหาข้อมูลได้จากเว็บไซต์ ธปท. ในหัวข้อ “เช็กแอปเงินกู้” ที่รวบรวมรายชื่อผู้ให้บริการที่ได้รับอนุญาตในส่วนที่ ธปท. กำกับดูแล และมีลิงก์ไปยังเว็บไซต์กระทรวงการคลัง ซึ่งรวบรวมรายชื่อผู้ให้บริการสินเชื่อพิโกไฟแนนซ์ไว้ในที่เดียว หรือควรสอบถามหรือหาข้อมูลด้วยตัวเองจากแหล่งข้อมูลที่น่าเชื่อถือ ว่าเป็นแอปฯ ของผู้ให้บริการจริงหรือไม่

3. เลือกแหล่งดาวน์โหลดแอปฯ ดาวน์โหลดจากแหล่งที่ปลอดภัย เชื่อถือได้

4. อย่าลืมอ่านเงื่อนไขก่อนกู้ ไม่ต้องรีบกู้จนลืมดูรายละเอียดที่จำเป็น เช่น อัตราดอกเบี้ย ระยะเวลา และจำนวนเงินที่ต้องจ่ายคืน ที่สำคัญ ต้องคำนึงถึงความสามารถในการผ่อนชำระของเรา โดยควรกู้เท่าที่จำเป็น

 

———————————————————————————

ที่มาของข้อมูล
• https://www.1213.or.th/th/Article/KCL69FF25590919.pdf
• https://www.scb.co.th/th/personal-banking/stories/tips-for-you/fake-sms.html
• ข้อเท็จจริงเกี่ยวกับการโดน “ดูดเงิน” | ART’s Random Thoughts (artt.dev)
• กู้ออนไลน์…ต้องรู้ทันโจร (1213.or.th)

 

เรื่องโดย : กองบรรณาธิการ

ที่มา : BOT พระสยาม MAGAZINE ฉบับที่ 6 เดือนพฤศจิกายน – ธันวาคม 2564

เหมือนจันทร์ ศรีสอาด