ช่วงปีที่ผ่านมา ข่าวการหลอกลวงเอาเงินในบัญชีธนาคาร เริ่มมีให้เห็นกันบ่อยขึ้นเรื่อย ๆ ซึ่งทางภาครัฐและเอกชนก็พยายามออกมาตรการมาป้องกันอย่างต่อเนื่อง แต่เหล่ามิจฉาชีพก็มักจะหามุกใหม่ ๆ มาเจาะทะลวงสติเหล่าผู้ใช้ เพื่อหลอกเอาเงินในบัญชีออกไปกันได้อยู่ร่ำไป เราเลยรวบรวมกลวิธีที่ถูกใช้กันบ่อยๆ มาเผยแพร่ พร้อมวิธีแก้ไขปัญหามาบอกให้ทราบกันครับ
ทำความรู้จักวิธีการโจมตีทางไซเบอร์เพื่อหลอกเอาเงินของเรา
การโจมตีทางไซเบอร์ หลัก ๆ แล้วแบ่งออกเป็น 2 ประเภท คือ การแฮ็กและการฟิชชิง
- การแฮ็ก (hacking) : ใช้ชุดโค้ดหรือคำสั่งทางคอมพิวเตอร์ ยิงเจาะเข้าระบบธนาคารเพื่อยึดครอง ควบคุม หรือแก้ไขข้อมูล เอาเงินของเราไป
- การฟิชชิง (phishing) : ที่ไม่ต้องยุ่งอะไรกับระบบ แต่ใช้กลวิธีทางจิตวิทยาหลอกเอาข้อมูล เช่น พาสเวิร์ดหรือ OTP จากตัวผู้ใช้เอง แล้วใช้รหัสที่ได้มานั้นเข้าถึงบัญชีและโอนเงินออกมา
ปัญหาที่เกิดขึ้นกับคนทั่วไป โดยมากแล้วมักจะเป็นการโจมตีรูปแบบของ “การฟิชชิง” เสียมากกว่า เพราะเป็นวิธีที่ทำได้ง่าย ไม่ต้องอาศัยความรู้ทางระบบคอมพิวเตอร์ และบางกรณีไม่ต้องลงทุนอะไรเลยด้วยซ้ำไป มิจฉาชีพแค่เล่นกับจิตใจของคนที่อาจกำลังอ่อนไหว อยู่ในภาวะจำเป็นต้องใช้เงิน โดยใช้วิธีการต่าง ๆ หว่านล้อมจนเหยื่อเชื่อใจ แล้วหลอกเอาข้อมูลต่าง ๆ ไปได้แบบไม่ยากเย็นในที่สุด
อันที่จริงแล้วการฟิชชิงนั้นป้องได้ไม่ยาก แต่ปัจจุบันนี้พบว่ายังมีคนหลงไปติดกับอยู่เรื่อย ๆ อาจเพราะความประมาทเลินเล่อหรือมีความโลภเข้ามาเป็นส่วนผสมในชั่วขณะ ด้วยเหตุนี้ ธนาคารกสิกรไทย จึงผุดแคมเปญ “สติ” ขึ้นมา หวังช่วยสร้างการรับรู้เกี่ยวกับการระมัดระวังภัยไซเบอร์ในปัจจุบัน เพื่อให้รู้เท่าทันมิจฉาชีพ พร้อมวิธีป้องกันไม่ให้เกิดความเสียหาย #ใช้สติป้องกันสตางค์ ด้วยเคล็ดลับง่าย ๆ 4 ข้อ ที่รวบรวมมาจากกรณีตัวอย่างต่าง ๆ ที่มีการรายงานเข้าไปยังธนาคารอย่างต่อเนื่องรวมกับที่ปรากฏในข่าวบ่อย ๆ นั่นเอง
สติที่ 1 : รู้ทัน SMS ปลอม
รูปแบบของ SMS ฟิชชิงมักอาศัยประโยชน์จาก “ความโลภ” และ “ความตื่นตระหนก” เพื่อลดความระมัดระวังตัวของเหยื่อ อาทิ “คุณได้รับสินเชื่อดอกเบี้ยต่ำ…” หรือ “บัญชีของคุณถูกล็อก…” แล้วมักลงท้ายด้วยข้อความที่กระตุ้นซ้ำในลักษณะ “ด่วน ! กรุณาดำเนินการภายในวันนี้ มิเช่นนั้นจะเสียสิทธิ์…” เป็นต้น หากเจอแบบนี้ เอะใจไว้ก่อนเลย มีโอกาสเป็นการหลอกลวงสูงมากถึงมากที่สุด
เราควรใจเย็น ๆ ตั้งสติ แล้วพิจารณาให้ดีก่อนว่า SMS นั้น ๆ ใครเป็นคนส่งมา เนื้อหาดูเกินจริงหรือเปล่า ทำไมต้องบีบให้เร่งรีบ และโดยเฉพาะอย่างยิ่งกับลิงก์เว็บไซต์ปลอมที่แนบมา อาจมีแบบฟอร์มให้กรอกข้อมูลส่วนตัว เลขบัตรเครดิตหรือบัตรเดบิต และรหัสผ่านต่าง ๆ หากเกี่ยวข้องกับธุรกรรมเงินยิ่งต้องระมัดระวังเป็นพิเศษ
ข้อสังเกต
- การใช้ภาษา – หากเป็น SMS ที่ส่งมาจากบริษัทหรือหน่วยงานต่าง ๆ ต้องเป็นภาษาที่สุภาพ ดูเป็นทางการ และไม่ใช่ภาษาที่ดูผิดธรรมชาติราวกับใช้แอป Translate ของ Google มาทั้งดุ้น
เนื้อหา – ต้องไม่ใช่เนื้อหาที่เกินจริงและดูเร่งด่วนผิดปกติ - ลิงก์ – ตรวจสอบ URL ให้ดีก่อนเสมอ เว็บไซต์ปลอมเมื่อเผลอกดเข้าไปแล้ว มักตรงไปที่แบบฟอร์มสำหรับกรอกข้อมูลส่วนตัวทันที ขัดกับนโยบายของบริษัทต่าง ๆ ที่จะไม่ทำกันแบบนี้ ปกติจะมีระเบียบ มีขั้นตอนที่รัดกุมมากกว่า
สติที่ 2 : สังเกตอีเมลปลอม
สิ่งแรก ๆ ที่เราเห็นได้ทันทีที่เปิดอีเมลขึ้นมาคือ “ที่อยู่อีเมลของผู้ส่ง” ต้องไม่ลืมที่จะสังเกตว่า ชื่อเขียนถูกหรือเปล่า แล้วมีอะไรที่ดูแปลก ๆ ไหม ส่วนอื่น ๆ ที่เหลือสามารถใช้วิธีสังเกตแบบเดียวกับ SMS ปลอมได้ แต่สำหรับการฟิชชิงหรือการแฮ็กทางอีเมลนั้น มีข้อควรระวังเพิ่มเติมคือ หากไม่มั่นใจว่าลิงก์หรือไฟล์แนบที่ส่งมาเป็นของจริงหรือเปล่า ต้องไม่คลิกและไม่ดาวน์โหลด เพราะอาจฝังมัลแวร์หรือสคริปต์ดูดข้อมูลเอาไว้ แค่กดเข้าไปเฉย ๆ ก็เสี่ยงแล้ว
ข้อสังเกต
- ชื่อผู้ส่ง – ควรตั้งคำถามทุกครั้งว่า อีเมลนั้น ๆ ส่งมาจากใคร ชื่อสะกดถูกต้องหรือเปล่า บางครั้งมิจฉาชีพอาจเพิ่มความแนบเนียนโดยการเปลี่ยนตัวอักษรที่คล้ายคลึงกัน เช่นตัวไอ (i) กับตัวแอล (l) ไปจนถึงการตัดหรือเพิ่มตัวอักษรบางตัวออกจากชื่อ หากดูไม่ดีอาจถูกหลอกได้ง่าย ๆ และถึงแม้ส่วนนี้จะสามารถปลอมแปลงได้แนบเนียน แต่อย่างน้อยถือเป็นการตรวจสอบในเบื้องต้นที่ไม่ควรละเลย
- ไฟล์แนบ – ไม่มั่นใจ อย่าคลิก อย่าดาวน์โหลดไฟล์ที่แนบมาในอีเมล รวมถึงลิงก์ต่าง ๆ อาจได้ของแถมไม่พึงประสงค์ทั้งไวรัส มัลแวร์ และแรนซัมแวร์โดยไม่รู้ตัว
สติที่ 3 : ไม่หลงกลแชตปลอม
วันดีคืนดีญาติสนิทมิตรสหายทักมาขอยืมเงิน อย่าพึ่งมือไว-ใจดี-รีบโอน ชื่อและรูปโปรไฟล์เป็นอะไรที่ปลอมได้ง่ายมากที่สุดแล้ว ต้องไม่ลืมว่า คุยผ่านแชตนั้นไม่เห็นหน้า คนที่เรากำลังคุยด้วยอยู่ เบื้องหลังอาจไม่ใช่คนที่เรารู้จักก็ได้ เช็กก่อนสักนิด…โดยการคลิกไปดูโปรไฟล์ หรือต่อให้เป็นบัญชีของเจ้าตัวจริง ๆ ก็อาจเพิ่มความชัวร์โดยการโทรไปหาตรง ๆ เลยจะดีกว่า เพราะอาจเกิดกรณีทำมือถือหาย หรือเผลอล็อกอินโซเชียลมีเดียทิ้งไว้ที่อื่น แล้วโดนมิจฉาชีพสวมรอย ทักแชตมาตีเนียน อะไรทำนองนี้เป็นต้น
หากยกตัวอย่างเป็นสเกลการหลอกลวงทางแชตที่ใหญ่ขึ้นมาหน่อย เช่นการอ้างตัวเป็นบริษัทหรือหน่วยงานต่าง ๆ แล้วบอกว่า “ยินดีด้วย ! คุณเป็นผู้โชคดีได้รับรางวัล…” ซึ่งไม่ได้ให้ในทันที แต่ใช้อุบายโดยการบอกให้จ่ายเงินค่าธรรมเนียม ภาษี หรืออื่น ๆ ก่อน อันดับแรกเลย ควรเอะใจก่อนว่า เราไปร่วมกิจกรรมที่มีการแจกรางวัลนั้น ๆ จริง ๆ หรือเปล่า ไปมาเมื่อไหร่ ไปมาตอนไหน… แน่นอน ถ้าคำตอบคือ “ไม่” ให้กดปิดแชตทิ้งไปได้ทันที ไม่ต้องคุยต่อให้เสียเวลา
ข้อสังเกต
- โปรไฟล์ – มีแชตแปลก ๆ มา คลิกไปดูโปรไฟล์ก่อนเสมอ ใช่เจ้าตัวจริง ๆ หรือเปล่า
- ยืนยันตัวตน – ตรวจสอบซ้ำอีกครั้งเพื่อป้องกันกรณีมีการสวมรอย โดยการโทรศัพท์หรือวิดีโอคอลไปหาโดยตรง
สติที่ 4 : ไม่หลงเชื่อคอลเซ็นเตอร์ปลอม
มิจฉาชีพอาจได้เบอร์โทรศัพท์ของเรามาจากการสุ่มหรือช่องทางอื่น ๆ โดยมากแล้วพวกนี้มักมีพฤติกรรมหลอกลวงเหยื่อโดยก่อให้เกิดความกลัว ความตื่นเต้น หรือรู้สึกตกใจ คล้ายคลึงกับการฟิชชิงทาง SMS บ่อยครั้งมาในรูปแบบของระบบโทรศัพท์อัตโนมัติเพื่อให้ดูน่าเชื่อถือ เพราะคล้ายกับว่าเป็นการติดต่อมาจากองค์กรหรือบริษัท ส่วนข้ออ้างที่มิจฉาชีพใช้บ่อย ๆ มีดังนี้
ข้อสังเกต
- บัญชีเงินฝากถูกอายัด หรือเป็นหนี้บัตรเครดิต : ทั้ง 2 อย่างนี้เป็นของที่มีกันแทบทุกคน จึงเป็นข้ออ้างที่ถูกนำมาใช้บ่อย
- บัญชีเงินฝากพัวพันกับการค้ายาเสพติด การฟอกเงิน หรือมีคดีความ : สร้างความกังวลโดยหลอกว่ามีคดีความ
- โอนเงินผิด : แสร้งทำว่าโอนเงินผิด แล้วโทรมาขอให้โอนเงินคืน
- เช็กเงินคืนภาษี : มักเกิดขึ้นในช่วงที่มีการขอคืนภาษี โดยพยายามโน้มน้าวเหยื่อให้ไปทำธุรกรรมที่หน้าตู้ ATM ซึ่งปลายทางของการโอนเงินคือตัวมิจฉาชีพเอง
- ผู้โชคดีได้รับรางวัล : มุกหากินแบบเบสิก หลอกเหยื่อให้โอนเงินเพื่อแลกกับรางวัลใหญ่ที่ไม่มีอยู่จริง
การโทรศัพท์ไปหาเพื่อยืนยันตัวตน เป็นวิธีง่าย ๆ ที่ได้ผลดี
หากอ่านมาถึงตรงนี้ เพื่อน ๆ อาจมีคำถามต่อว่า แล้วแบบนี้จะทำอย่างไรดีในกรณีที่ไม่แน่ใจเกี่ยวกับ SMS อีเมล หรือคอลเซ็นเตอร์หลังจากที่ใช้การสังเกตตามวิธีต่าง ๆ ตามที่ได้นำเสนอไป เพราะเดี๋ยวนี้อะไรก็ปลอมได้ ทั้งชื่ออีเมล หรือแม้แต่หน้าเว็บไซต์ ไหนจะการสวมรอยอย่างแนบเนียนอีก สังเกตยากเหลือเกิน …ซึ่งวิธีที่อยากแนะนำคือ ติดต่อไปยังบริษัทหรือคนที่ส่งข้อความหาเราตามช่องทางที่ถูกต้องนั่นเองครับ สละเวลาสักนิด แต่ปลอดภัยกว่าเดิมเยอะ ง่ายสุดก็โทรศัพท์ไปหานี่แหละ
พลาดถูกหลอกไปแล้ว…ทำยังไงต่อ ?
กรณีที่รู้ตัวว่าพลาดไปแล้ว ต้องพยายามตั้งสติ รวบรวมข้อมูล หลักฐาน และเอกสารที่เกี่ยวข้องให้ได้มากและเร็วที่สุด จากนั้นให้ติดต่อธนาคารเพื่อระงับการโอนเงินดังกล่าว และอย่าลืมไปแจ้งความกับตำรวจ ลงบันทึกประจำวันไว้เป็นหลักฐานด้วยนะครับ
นอกจากนี้ทางธนาคารกสิกรเองยังมีช่องทางรับเรื่องภัยไซเบอร์ผ่าน KBank Live ทั้ง LINE และ Facebook โดยพิมพ์คำว่า @ภัยออนไลน์ แล้วจะมีเจ้าหน้าที่มาคอยดูแลให้ความช่วยเหลือต่อไปครับ
อย่าเปิดเผยข้อมูลส่วนตัวแก่คนที่ไม่น่าไว้ใจ – รหัส OTP ห้ามให้ใครเด็ดขาด
ย้ำกันอีกทีว่า ข้อมูลส่วนตัวทั้งหลายเป็นสิ่งสำคัญ ไม่ควรเปิดเผยโดยสุ่มสี่สุ่มห้า ทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ หมายเลขและรหัสบัตรเครดิตหรือบัตรเดบิต ข้อมูลเหล่านี้เมื่ออยู่โดด ๆ อาจดูไม่สำคัญ แต่มันสามารถถูกนำไปใช้ต่อยอดในการหลอกลวงเพื่อเข้าถึงข้อมูลอื่น ๆ ได้ โดยเฉพาะอย่างยิ่ง OTP ที่ได้รับทาง SMS นี่สำคัญที่สุดเลย ห้ามให้ใครรู้เด็ดขาด ! เนื่องจากในการทำธุรกรรมแต่ละครั้งจำเป็นต้องอาศัยรหัสนี้ เป็นรหัสผ่านแบบใช้ครั้งเดียว ชุดตัวเลขจะไม่ซ้ำกันในแต่ละครั้ง หากมิจฉาชีพไม่ได้เลขนี้ไป อย่างน้อยเรายังอุ่นใจได้เปลาะหนึ่งว่าเงินในบัญชีน่าจะปลอดภัยอยู่นั่นเองครับ
ทิ้งท้ายกันเล็กน้อย ธนาคารกสิกรไทย ได้ฝากเชิญชวนหน่วยงานทั้งภาครัฐ เอกชน และบุคคลทั่วไป ร่วมมือกันป้องกันภัยไซเบอร์ ด้วยการให้ความรู้แก่พนักงาน ลูกค้า และประชาชน โดยทางธนาคารยินดีให้หน่วยงานที่สนใจนำเนื้อหาและคลิปวิดีโอแคมเปญ #ใช้สติป้องกันสตางค์ ไปเผยแพร่ให้เกิดประโยชน์โดยไม่คิดค่าใช้จ่ายแต่อย่างใด ถือเป็นความร่วมมือกันเพื่อประโยชน์ของสังคม
ดูรายละเอียดเพิ่มเติม : KBank
Comment