2013.08.25 - Internet Banking ไม่ระวัง ไม่ได้แล้ว...!!

 

ช่วง 3-4 อาทิตย์มานี้ กระแสข่าวโดนหลอก โดนโกง โดนขโมยเงินจากบัญชีธนาคารต่างๆมีมาถี่ๆให้ได้เห็นทางรายงานข่าว และผู้เสียหายแชร์ผ่านโซเซี่ยลมีเดียร์ด้วยตัวเองก็หลายราย อ่านรายละเอียดไปแล้วพบว่าส่วนใหญ่ของการโกงการหลอกนั้น ทำผ่าน Internet Banking หรือ e-Banking !!

เราๆท่านๆทราบๆดีครับว่าบริการทางการเงินของธนาคารต่างๆนั้น ถ้าไปกระทำที่สาขาหลายๆครั้งไม่ได้รับความสะดวกรวดเร็ว ไหนจะต้องเสียเวลาเดินทางไปอีก ธนาคารต่างๆจึงออกบริการ Internet Banking เพื่ออำนวยความสะดวกให้กับลูกค้า และแน่นอนได้รับความนิยมและการตอบรับใช้งานกันแพร่หลายมากครับในปัจจุบัน

Internet Banking เค้าใช้งานกันอย่างไร

การใช้บริการและเริ่มใช้งาน Internet Banking ของธนาคารต่างๆในบ้านเรานั้น อาจมีรายละเอียดปลีกย่อยในแต่ละธนาคารกันไป แต่โดยรวมๆมีองค์ประกอบดังนี้

- มีบัญชีกับธนาคารที่ต้องการเปิดใช้บริการ Internet Banking
- มี email address และมือถือเพื่อยืนยันการติดต่อกับทางธนาคาร
- และเมื่อจะใช้งานต้องใช้งานผ่านระบบ Internet ครับ

ส่วนการเปิดใช้ในครั้งแรกนั้นแทบทุกธนาคารทำเกือบเหมือนกัน คือ ต้องให้เจ้าของบัญชีไปดำเนินการขอเปิดบริการจำพวก Internet Banking แบบนี้ด้วยตัวเองที่สาขาของธนาคารครับ โดยต้องกรอกแบบฟอร์มพร้อมส่งเอกสาร จำพวกสำเนาบัตรประชาชน สมุคบัญชีตัวจริง และเอกสารอื่นๆตามที่ธนาคารระบุ หลังจากนั้นผู้ใช้บริการจึงจะได้รหัสหรือ Username และ Password เพื่อเข้าใช้บริการ

หลังจากนั้นเมื่อเราเริ่มเข้าใช้งาน ธุรกรรมทางการเงินต่างๆผ่านบัญชีของเรานั้น เราก็จะต้องใช้ Username และ Password (ที่ธนาคารระบุให้รักษาเป็นความลับ) การดำเนินการผ่านระบบ Internet Banking ในปัจจุบันมีความหลากหลาย ทั้งตรวจสอบบัญชี ดูรายการเดินบัญชี จ่าย-โอนเงินไปยังบริการและบัญชีอื่นๆทั้งในธนาคารเดียวกันและต่างธนาคาร หรือแม้แต่ต่างประเทศ และอื่นๆอีกมากมาย

ในการทำรายการสำคัญๆ อย่างจ่ายหรือโอนเงินนั้น เดี๋ยวนี้ธนาคารต่างก็ใช้การส่งรหัส OTP (One Time Password) เข้ามายังมือถือเจ้าของบัญชีที่ได้แจ้งกับธนาคารไว้แต่แรก เพื่อเป็นการยืนยันว่าเจ้าของบัญชีเองเป็นผู้ดำเนินการ ไม่ใช่คนอื่น!! ถ้าไม่มีรหัส OTP มากรอกใส่ระบบแล้ว ก็จะไม่สามารถดำเนินการทำรายการนั้นๆได้นั่นเอง

ดูๆจากตรงนี้การดำเนินการก็ดูรัดกุมดี ก็ไม่น่าจะมีการโกงหรือเชิดเงินเราไปได้ถ้าเราไม่ได้บอกรหัสใคร หรือเอามือถือไว้ห่างกาย แต่มันก็มีจนได้....

สารพัดกลโกง Internet Banking

กลโกงมีทุกที่ครับ สำหรับ Internet Banking นั้นช่วงแรกๆที่ระแวงระวังกัน คือการดักขโมยเอารหัสเข้าใช้งาน มีสารพัดรูปแบบครับ

Phishing
Phishing หรือทำ web ปลอม email ของธนาคารหลอกล่อให้ผู้ใช้หลงกลกรอกรหัสใช้งานลงไปแล้วเอาไปสวมรอยใช้งาน

Phishing คืออะไร??
Phishing คือ การหลอกลวงทางอินเตอร์เน็ตในรูปแบบของการปลอมแปลง e-mail หรือสร้าง Website ปลอม เพื่อหลอกให้ลูกค้าเปิดเผยข้อมูลทางด้านการเงิน หรือข้อมูลส่วนตัวต่างๆ เช่น ข้อมูลหมายเลขบัตรเครดิต Username และ Password เป็นต้น ซึ่งสร้างความเสียหายทางการเงินต่อลูกค้าและสถาบันการเงิน รวมทั้งส่งผลกระทบต่อความเชื่อมั่นของลูกค้าในการใช้บริการการเงินทางอิเล็กทรอนิกส ์วิธีการที่พบในปัจจุบัน คือ การหลอกให้ลูกค้าหลงเชื่อว่ามี e-mail มาจากสถาบันการเงินและใช้หัวข้อและข้อความที่มีความน่าเชื่อถือ เช่น ขอให้ลูกค้าแจ้งยืนยัน ข้อมูลทางการเงินเพื่อให้เป็นไปตามมาตรการการรักษาความปลอดภัยของบัญชีลูกค้า หรือ การแจ้งลูกค้าว่าถึงรอบระยะเวลาที่จะต้องตรวจสอบข้อมูลของลูกค้า หรือ การแจ้งว่าบัญชีของลูกค้าได้ถูกอายัดไว้ชั่วคราว จึงขอให้ลูกค้ายืนยันข้อมูล เพื่อให้การทำธุรกรรมทางการเงินของลูกค้าสามารถดำเนินการได้ต่อไป เป็นต้น พร้อมใส่สัญลักษณ์หรือเครื่องหมายของสถาบันการเงินและ Hyperlink ที่ e-mail โดยมีชื่อโดเมนและ Subdirectory เหมือนกับ URL ของสถาบันการเงินนั้น ๆ ซึ่งแท้จริงแล้วเป็น Website ปลอม ที่เรียกว่า Spoofed Website หรือแนบแบบฟอร์มการสอบถามข้อมูล เพื่อให้ลูกค้ากรอกข้อมูลส่วนบุคคล เช่น หมายเลขบัตรเครดิต เลขที่บัญชีเงินฝาก ชื่อบัญชีผู้ใช้บริการ (Username) และรหัสผ่าน (Password) เป็นต้น หลังจากที่ลูกค้าได้กรอกข้อมูลลงใน Website ปลอม หรือแบบฟอร์มการสอบถามนั้น ข้อมูลเหล่านั้นจะถูกนำไปใช้ประโยชน์ในทางมิชอบ เช่นการโอนเงินหรือการชำระเงินให้บุคคลที่สามผ่านการให้บริการ Internet Banking หรือ Telephone Banking หรือ Mobile Banking หรือ การซื้อสินค้าและบริการทางอินเทอร์เน็ตโดยใช้บัตรเครดิต เป็นต้น

*ข้อมูลจาก ธนาคารแห่งประเทศไทย

วิธีการทำ Phishing หรือทำ web ธนาคารปลอมนี้ระบาดทำกันช่วงแรกๆครับ เพราะถึงแม้ได้ Usename และ Password ไปแล้ว และแอบเอาไป Login ใช้งาน แต่จะเห็นว่าบางรายการจะเอาไปใช้งานไม่ได้ เพราะคนขโมยรหัสเราไปไม่มีมือถือเราเอาไว้รับรหัส OTP สำหรับการทำรายการโอนเงินหรืออื่นๆ โดยธุรกรรมที่บางธนาคารยอมให้ดำเนินการเมื่อก่อนนั้น อาจเป็นพวกเติมเงินมือถือที่เมื่อก่อนยังไม่ได้ใช้ OTP และจำกัดวงเงิน แต่เมื่อมีช่องโหว่ตรงนี้ หลังๆธนาคารแก้เกมส์โดยการปรับให้แม้เป็นรายการเดิมเงินมือถือก็ต้องใช้ OTP หรือบางธนาคารมีการจำกัดวงเงินในการเติมเข้ามือถือครับ เพื่อใม่ให้มีการเติมกันทีละหลายพันหรือเป็นหมื่น

ส่วนเรื่องการทำ web ธนาคารปลอมนั้น หลังๆหลายธนาคารก็ขึ้นหน้า web เตือนอย่างที่เราเห็นกันจนชิน จนตอนนี้เรื่อง Phishing หรือทำ web ธนาคารปลอมนั้นเริ่มซาๆลง

การปลอม SMS และ App ปลอม

จากการทำ Phishing หรือทำ web ปลอม ต่อมาพวกมิจฉาชีพก็มาอีกแนวคือทำ SMS ปลอมและ App ปลอมเพื่อดักเหยื่อให้หลงกลมาที่ web เราอาจจะสังเกตุใช่ไหมครับว่า เวลาเราใช้บริการ Internet Banking ของธนาคารต่างๆนั้น เวลาได้รับข้อความแจ้งเตือนต่างๆ ถ้าไม่ได้เป็นชื่อธนาคาร ชื่อย่อธนาคาร ก็มักเป็นเบอร์โทรของธนาคาร ซึ่งเราอาจคุ้นเคยกันดีทั้ง 02-7777777 และ 02-8888888 ที่เป็นของ SCB และ KBank เป็นต้น ซึ่งโดยความเป็นจริงแล้ว ทั้งชื่อและเบอร์โทรพวกนี้ที่ปรากฏในส่วนของ SMS นั้นปลอมได้ครับ!!

มิจฉาชีพเมื่อปลอม SMS ได้ ก็จะสุ่มส่งไปยังลูกค้า โดยข้อความอาจบอกให้ไปใส่ข้อมูลเพิ่มเติมบางอย่าง แล้วให้เป็น URL ของ web ปลอมที่ทำดักรอไว้ โดยหน้าตาของ web ปลอมพวกนี้แทบแยกไม่ออกกับ web ธนาคารนั้นๆครับ ทีนี้พอเหยื่อหลงกลเข้าไป แล้วไม่ทันสังเกตุก็จะกรอกรหัส และโดนดูดไปเรียบร้อย อีกแบบที่เจอจากการส่งไปกับ SMS ปลอมคือ ส่งลิ้งว่าตอนนี้ธนาคารมี App มาใหม่ให้ลองโหลดดู โดยที่มีคนเจอ App แนวนี้เป็น App บน Android ครับ ที่มีการตรวจสอบไม่เข้มข้นเท่า App Store ของ Apple หลักๆก็คล้ายๆกันคือ พอหลงกลลง App แล้วก็ต้องมีการใส่รหัส และรหัสนั้นก็จะโดนส่งไปให้มิจฉาชีพ เรียบร้อยโรงเรียนโจร!!

"ช่วยด้วย ผมถูกแฮกเงิน 343,000 บาท...!!"
 


รศ.ยุทธพร อิสรชัย คณบดีรัฐศาสตร์ มหาวิทยาลัยสุโขทัยธรรมาธิราช ผู้เคยตกเป็นเหยื่อคนนึงของกระบวนการฉกเงินผ่านกลโกงแบบนี้ ได้เคยแชร์ไว้บน Facebook ส่วนตัว ถึงประสบการณ์อันเลวร้ายนี้

*ข้อมูลจาก Facebook // และ http://www.manager.co.th

หลังข่าวและวิธีการปลอม web, App เถื่อน และ SMS ปลอมถูกหลายฝ่ายกระจายข่าวอย่างต่อเนื่อง ผู้ใช้งานเริ่มๆระมัดระวังมากขึ้น ไม่กด ไม่ลง App หน้าตาแปลกๆและไม่ใส่ข้อมูลในหน้า web ที่ไม่แน่ใจ กลุ่มมิจฉาชีพที่พยายามหาช่องทางเอาเงินของเหยื่อตลอดก็คิดหาวิธีใหม่ รวมถึงพยายามเอาชนะเรื่องรหัส OTP ที่จะส่งไปยังมือถือที่ยังไงก็อยู่ติดตัวเจ้าของบัญชีแน่ๆ เอามาไม่ได้

ย้อนกลับสู่สามัญ ปลอมบัตร ปลอมตัวไปเปิดบัญชีปลอม

เมื่อกระบวนการทางเทคโนโลยีถูกเพ่งเล็ง โจรกลับไปที่ต้นต่อ ด้วยวิธีการง่ายๆ นั่นคือปลอมบัตรประชาชนไปเปิดบัญชี และเปิดซิมมือถือเป็นตัวเหยื่อที่เป็นเป้าหมายซะเลย วิธีนี้ฟังดูอาจเหมือนยาก ซับซ้อนแต่จริงๆโจรอาศัยช่องโหว่ของกระบวนการ และเล่นกับจิตวิทยาของคนนิดหน่อย หลักๆคือโจรอาจใช้วิธีไปเปิดบัญชีปลอมเป็นชื่อเหยื่อ เพื่อให้การโอนเงินภายในธนาคารเป็นแบบโอนให้บัญชีตัวเอง (ซึ่งอย่างธนาคารที่ผมใช้บริการอยู่ พบว่าการทดลองโอนเงินเข้าบัญชีชื่อเราเองที่ผูกกันไว้ ทำได้ง่ายกว่าโอนไปบุคคลอื่น และไม่ต้องมี OTP ยืนยัน!!)

โจรจะทำบัตรประจำตัวปลอม โดยเลือกที่จะทำเป็นบัตรข้าราชการ แม้ว่าเหยื่อตัวจริงจะไม่ได้รับราชการใดๆ แล้วเอาไปเปิดบัญชีและ ATM ในชื่อเรา ตรงนี้อย่างที่ผมบอกครับว่าโจรเล่นกับความรู้สึกในสังคมไทยตรงที่ 1.เมื่อเป็นข้าราชการ จนท. มักเกรงใจ 2.ดูน่าเชื่อถือ 3.บัตรราชการปลอมง่ายกว่าบัตรประชาชนที่ตอนนี้เป็นชิฟการ์ดแล้ว แต่บัตรข้าราชการบางแห่งเป็นเพียงกระดาษแข็ง ติดรูป ปั้มตรายาง เซ็นลายเซ็นและเคลือบพลาสติกแข็ง!!!

เมื่อได้บัญชีปลอมในชื่อเราแล้ว ตรงนี้โจรจะเลือกใส่บัญชีนั้นเข้ากับบัญชี Internet Banking เดิมโดย
1.อาจดำเนินการที่สาขานั้นเลย เพราะเดี๋ยวนี้บางธนาคารก็ให้ทำต่างสาขาได้ โดยตอนนี้ จนท. เชื่อไปแล้วว่าเป็นเจ้าตัวมาเองจากบัตรปลอม
2.ถ้าบัญชีเดิมไม่เคยเปิดใช้ Internet Banking ก็แจ้งเปิดซะเลย วิธีนี้ ได้ทั้งรหัส และแจ้งเบอร์มือถือที่จะรับ OTP เองเบ็ดเสร็จ
3.เอากลับไป Add หรือเพิ่มบัญชีเองผ่าน Internet ซึ่งวิธีนี้แม้จะต้องใช้ รหัส OTP เพื่อเพิ่มบัญชี โจรหัวใสก็คิดต่อไปอีกว่า ถ้างั้นก็เอาบัตรปลอมนั่นแหละไปศูนย์บริการมือถือ แจ้งว่าซิมหายแล้วออกซิมใหม่มาได้อย่างง่ายดาย เพราะหลังๆมือถือค่ายต่างๆก็ดำเนินการเรื่องออกซิมใหม่ให้ลูกค้าที่มาแจ้งเป็นปรกติแบบนี้ โดยใช้บัตรประจำตัวแค่ใบเดียว

ทีนี้เมื่อโจรเข้าระบบได้ เพิ่มบัญชีชื่อเราที่ปลอมได้ มีมือถือที่รับ OTP ได้ ก็จบแล้ว เข้าไปสั่งโอนเงินจากบัญชีหลัก เข้าบัญชีปลอมแล้วเอา ATM ไปกดออกสบายใจเฉิบ!!

ปลอมบัตร.. ปลอมตัว!!
 


ตัวอย่างบัตรข้าราชการตำรวจปลอม ที่เหยื่อรายหนึ่งถูกปลอมเอาไปเปิดบัญชี (ล่างคือบัตรประชาชนจริง)

เรื่องข้างบนนั้นของคุณรังสรรค์ เกิดขึ้นเร็วนี้ คือ 1 สิงหาคม 2556 นี่เอง เจ้าตัวได้แชร์เป็นข้อมูลและมีเพื่อนแชร์ต่อในโลกออนไลน์จนรู้วิธีนี้ (ลองอ่านเพิ่ม>> ที่นี่ ครับ)

ไม่เคยเปิด ไม่เคยใช้ Internet Banking อย่านึกว่าจะรอด เสร็จโจรอีกเหมือนกัน!!
 



เหยื่ออีกรายที่เป็นข่าว รายนี้แม้ไม่เคยใช้ Internet Banking ยังโดน!!!

*ภาพจาก it24hrs.com

 

ล่าสุด!! วันนี้ (25 สิงหาคม 2556) ผมนั่งดูข่าวไปเรื่อยๆ ก็พบว่ามีเหยื่อที่ต้องสูญเงินด้วยวิธีการปลอมบัตร ปลอมตัวไปเปิดบัญชีอีกแล้ว ครั้งนี้จากข่าวเกิดราวๆ มิถุนายน 2556 แต่เพิ่งเป็นข่าว เจ้าของบัญชีตัวจริง ไม่เคยสมัครใช้หรือเปิดบริการ Internet Banking กับแบ้งค์ใดๆเลยด้วยซ้ำ โจรเลยยิ่งสะดวกไปอีก แจ้งเอง บอกเบอร์มือถือปลอมเอง ตั้งรหัสเองและไปฉกเงินเรียบร้อยไปอีกราย!! (เคสนี้อ่านรายละเอียดเพิ่ม >> ที่นี่ ครับ)

อ่านมาจนถึงตอนนี้คงจะเห็นแล้วว่า กลโกงที่มิจฉาชีพใช้นั้นมีสารพัด และคงมีวิธีใหม่ๆเพิ่มมาอีก แม้ธนาคารและผู้เกี่ยวข้องพยายามหาทางระวัง แต่โจรยังสามารถหาวิธีอีกจนได้ และหากเรายังมีความจำเป็นต้องใช้งาน Internet Banking อยู่ สิ่งที่ทำได้คือเราเองก็ต้องเพิ่มความรัดกุมในการใช้งาน ปกปิดข้อมูลทางบัญชีเรา (ไม่ใช่แค่ไม่บอกรหัสแล้ว เดี๋ยวนี้อาจต้องหลีกเลี่ยงการบอกข้อมูลอื่นๆด้วย) และหมั่นตรวจสอบความเคลื่อนไหวของบัญชีอยู่เสมอ ระวังไว้ก่อนเป็นดี ก่อนจะต้องสูญเงินครับ



IP:

ข้อแนะนำสำหรับการใช้ Internet Banking ให้ปลอดภัย

- อันดับแรกแน่นอนครับรหัส Username และ Password สำหรับการใช้บริการนั้นเราต้องเก็บรักษาเป็นความลับ ห้ามจด ห้ามบอกใครเด็ดขาด

- พยามยามไม่ให้ข้อมูลเกี่ยวกับบัญชีกับผู้อื่น ไม่ว่าจะเป็นทาง email หรือการไปกรอกข้อมูลที่ไหม แม้ไม่ได้รหัสไปพวกนี้มักไปหาเพิ่มเติมได้

- ระวังการตอบ email ลง App บนมือถือที่ต้องมั่นใจว่าเป็นของธนาคารเท่านั้น

- ไม่คลิ้กลิ้งหรือ URL ที่ส่งมาตาม email หรือ sms ที่ไม่ใช่ของธนาคาร หรือเวลาเข้า web ธนาคารก็ต้องหมั่นดู URL ว่าไม่ได้ถูกพาไป web อื่น

- ควรสมัครบริการจำพวกแจ้งยอดเคลื่อนไหวทางบัญชี ผ่านมือถือ และถ้าท่านมีมือถือมากกว่า 1 เครื่องแนะนำให้แจ้งมาที่อีกเบอร์ที่ไม่ใช่เบอร์ที่แจ้งรับ OTP ไว้ รายการแจ้งยอดช่วยให้เราทราบความเคลื่อนไหวที่ผิดปรกติได้

- ตั้งจำกัดยอดที่สามารถโอนได้ต่อวันบน Internet Banking ทั้งในและระหว่างบัญชีไว้ ให้น้อยที่สุดและเพียงพอกับการใช้งานเราเอง

- อันนี้หลายคนชอบทำคือ forward SMS หรือ email ที่ธนาคารส่งมาให้เราต่อไปให้คนอื่นเลย เพราะต้องการบอกว่าเราโอนเงินให้แล้ว จริงๆธนาคารมีบริการแจ้งการโอนอยู่แล้วครับ ส่วน sms และ email ที่ส่งให้เจ้าของบัญชีนั้น จะมีรายละเอียดมากกว่าเพราะต้องการให้เจ้าของเห็น ไม่ควรส่งต่อออกไปให้ผู้อื่น เพราะอาจมีข้อมูลบางอย่างติดไปด้วย หวานโจรเลย!!

- สุดท้ายคอยอ่านประกาศเตือนของทางธนาคารที่จะขึ้นเตือนที่หน้า web กรณีเจอการหลอกลวงรู้แบบใหม่ๆ อย่างน้อยจะได้รู้ บางท่านกดผ่านๆ ไม่สนใจเลยก็มี

 







 

แก็ดเจ็ตที่ผมคิดถึง: เพจเจอร์
ลองชวนให้คิดเพราะเหตุใด Facebook ถึงมีปุ่มทั้งให้ Like, Share, Hide และ Delete

Social Media ที่ผมใช้ในทุกๆวัน
เหมือนเจอที่ๆถูกใจบน "Medium"