วันที่ 16 กุมภาพันธ์ 2566 นายยศ กิมสวัสดิ์ ประธานสำนักงานระบบการชำระเงิน สมาคมธนาคารไทย เปิดเผยว่า ปัจจุบัน มิจฉาชีพมีวิธีการหลอกลวงเอาเงินจากประชาชนแนบเนียนขึ้น และมีเทคนิคที่หลากหลาย ส่งผลให้มีผู้เสียหายจากการตกเป็นเหยื่อจำนวนมาก คิดเป็นมูลค่าความเสียหายราว 500 ล้านบาท และมีแนวโน้มเพิ่มสูงขึ้นเรื่อย ๆ

นายยศ กิมสวัสดิ์
นายยศ กิมสวัสดิ์ ประธานสำนักงานระบบการชำระเงิน สมาคมธนาคารไทย

สมาคมธนาคารไทยจึงได้ร่วมมือกับหน่วยงานรัฐอย่างกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส), สำนักงานคณะกรรมการกิจการกระจายเสียงกิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ (กสทช.) และภาคเอกชนอย่าง ผู้ให้บริการสัญญาณโทรศัพท์มือถือ ได้แก่ True AIS DTAC และ NT รวมถึงผู้ให้บริการโซเชียลมีเดียต่าง ๆ อย่าง LINE โดยได้ข้อสรุปว่าจะดำเนินการดังต่อไปนี้

  1. ตรวจสอบปิดไลน์ปลอมของธนาคาร
  2. ควบคุมและจัดการ ชื่อผู้ส่ง SMS (SMS Sender) ปลอม
  3. ปิดกั้น URL ที่เป็นอันตราย
  4. หารือธนาคารสมาชิกเพื่อพัฒนาระบบความปลอดภัย แชร์เทคนิค และแนวทางป้องกันภัยร่วมกัน เช่น พัฒนาการป้องกันและควบคุม Mobile Banking Application กรณีมือถือมีการเปิดใช้งาน Accessibility Service และการเพิ่มระบบการพิสูจน์ตัวตนด้วย Biometrics Comparison เช่น การสแกนใบหน้า, การสแกนลายนิ้วมือ

นายยศ ยังเปิดเผยอีกว่า หากร่างพระราชกำหนด (พ.ร.ก.) มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี มีผลบังคับใช้ จะช่วยให้การดูแลช่วยเหลือประชาชนที่ตกเป็นเหยื่อมิจฉาชีพทำได้รวดเร็วขึ้น ระงับความเสียหายได้อย่างทันท่วงที และสามารถบล็อกบัญชีต้องสงสัยได้ โดยไม่ต้องรอแจ้งความ

ทางด้าน นายชัชวัฒน์ อัศวรักวงศ์ ประธานกรรมการ ศูนย์ประสานงานด้านความมั่นคงปลอดภัย เทคโนโลยีสารสนเทศภาคการธนาคาร หรือ TB-CERT กล่าวว่า การหลอกลวงประชาชนให้ได้รับความเสียหายจากแอปดูดเงินนั้น มักจะเกิดขึ้นกับผู้ใช้โทรศัพท์ในระบบปฏิบัติการ แอนดรอยด์ (Android) เนื่องจากสามารถดาวน์โหลดแอปพลิเคชันนอกเหนือ Store อย่างเป็นทางการได้ และสามารถติดตั้งไฟล์ติดตั้งนามสกุล .apk ได้ ซึ่งส่วนใหญ่เป็นแอปปลอม ทำให้การดำเนินการของมิจฉาชีพ ส่วนใหญ่จะกระทำใน 3 รูปแบบ คือ

นายชัชวัฒน์ อัศวรักวงศ์
นายชัชวัฒน์ อัศวรักวงศ์ ประธานกรรมการ TB-CERT

1. หลอกล่อด้วยรางวัลและความผิดปกติของบัญชีและภาษี โดยให้แก๊งคอลเซ็นเตอร์โทรมาหลอกด้วยสถานการณ์ที่ทำให้กังวล และใช้ข้อความ SMS หรือบัญชีโซเชียลมีเดีย เป็นการใช้ชื่อเหมือนหรือคล้ายหน่วยงานต่าง ๆ เพื่อหลอกให้เงินรางวัล, เงินกู้ หรือโน้มน้าวชวนคุยหาคู่ และให้เพิ่ม (Add) บัญชี LINE ปลอมของมิจฉาชีพ

2. หลอกให้ติดตั้งโปรแกรม หลอกขอข้อมูล และให้ทำตามขั้นตอนเพื่อติดตั้งแอปปลอม (เช่น ไฟล์ติดตั้งนามสกุล .apk) โดยใช้ความสามารถของ Accessibility Service ของระบบปฏิบัติการ Android ที่เมื่อแอปพลิเคชันใด ๆ ได้รับอนุญาตให้ทำงานภายใต้ Accessibility Service แล้ว จะสามารถเข้าถึงและควบคุมการสั่งงานมือถือแทนผู้ใช้งานได้

ทั้งนี้ Accessibility Service เป็นฟังก์ชันสำหรับช่วยเหลือผู้พิการหรือผู้ที่มีปัญหาในการสั่งการตามปกติ เช่น ช่วยอ่านเนื้อหาอีเมลให้ฟัง, เขียนอีเมลให้ตามคำบอก รวมถึงการสั่งการโปรแกรมต่าง ๆ แทน ทำให้ฟังก์ชันนี้กลายเป็นกลไกหลักของมิจฉาชีพในการควบคุมมือถือของเหยื่อ

3. ควบคุมมือถือของเหยื่อและใช้ประโยชน์ ด้วยการใช้แอปปลอมเชื่อมต่อไปยังเครื่องของมิจฉาชีพ เพื่อเข้าควบคุมและสั่งการมือถือของเหยื่อ เพื่อโอนเงิน และขโมยข้อมูลต่าง ๆ โดยรูปแบบของแอปดูดเงินที่มิจฉาชีพใช้หลอกประชาชนมี 3 รูปแบบ คือ

  • หลอกให้เหยื่อติดตั้งแอปพลิเคชันจำพวกรีโมตจาก Play Store (Store อย่างเป็นทางการของระบบปฎิบัติการ) เช่น TeamViewer, AnyDesk เป็นต้น จากนั้นมิจฉาชีพจะรีโมตเข้ามาดูและควบคุมมือถือของเหยื่อ เพื่อโอนเงินออกทันที โดยกรณีนี้เกิดขึ้นมากในช่วงกลางปี 2565 ที่ผ่านมา
  • หลอกให้เหยื่อติดตั้งแอปพลิเคชันอันตราย (.apk) คือ เมื่อติดตั้งแล้วจอมือถือของเหยื่อจะค้าง มิจฉาชีพจะรีโมตมาควบคุมมือถือของเหยื่อ และโอนเงินออกทันที เช่น แอปพลิเคชัน DSI, สรรพากร, Lion-Air, ไทยประกันชีวิต, กระทรวงพาณิชย์ ซึ่งรูปแบบนี้เป็นรูปแบบที่มิจฉาชีพใช้มากที่สุด
  • หลอกให้เหยื่อติดตั้งแอปพลิเคชันอันตราย (.apk) ที่ควบคุมมือถือของเหยื่อ แล้วรอประชาชนเผลอ ค่อยแอบโอนเงินออกภายหลัง เช่น แอปพลิเคชันหาคู่ Bumble, Snapchat ซึ่งรูปแบบนี้มิจฉาชีพยังคงใช้อยู่

ดร. กิตติ โฆษะวิสุทธิ์ ที่ปรึกษากิตติมศักดิ์ของ TB-CERT  ได้แนะแนวทางการป้องกันภัยจากมิจฉาชีพว่า มีจุดสังเกตที่ต้องระวัง คือ มิจฉาชีพมักจะแนะนำให้เหยื่อคัดลอกลิงก์ เพื่อไปเปิดในเว็บบราวเซอร์ เพื่อเข้าเว็บปลอม จากนั้นจะหลอกให้เหยื่อติดตั้งแอปพลิเคชันของมิจฉาชีพ แล้วมือถือจะขอสิทธิ์ในการติดตั้งแอปที่ไม่รู้จัก

หลังจากนั้นมิจฉาชีพจะพยายามให้ตั้ง PIN หลาย ๆ ครั้ง และหวังให้เหยื่อเผลอตั้ง PIN ที่ซ้ำกับ PIN ที่ใช้เข้า Mobile Banking ของธนาคาร หลังจากนั้นก็จะหลอกให้เหยื่อเปิดสิทธิ์ การช่วยเหลือพิเศษ หรือ Accessibility Service โดยชวนคุยจนไม่ทันอ่านเนื้อหาที่ขึ้นมาเตือน

นายกิตติ โฆษะวิสุทธิ์
ดร. กิตติ โฆษะวิสุทธิ์ ที่ปรึกษากิตติมศักดิ์ TB-CERT

ดังนั้น ประชาชนควรดาวน์โหลดแอปพลิเคชันผ่าน App Store หรือ Play Store ซึ่งเป็น Store อย่างเป็นทางการของระบบปฎิบัติการเท่านั้น และไม่ควร Add LINE หรือช่องทางแชตอื่น ๆ คุยกับคนแปลกหน้า นอกจากนี้ เพื่อเป็นการป้องกันภัยจากแอปดูดเงิน ดร. กิตติ ยังได้แนะนำให้ประชาชนปฏิบัติ ดังนี้

  1. ตรวจสอบมือถือว่าเปิดแอปพลิเคชันที่ทำงานภายใต้ Accessibility Service หรือไม่ โดยตรวจดูให้แน่ใจว่าเรารู้จักและทราบเหตุผลของการเปิดใช้งานทุกโปรแกรม หากไม่ทราบให้รีบปิด
  2. เปิดใช้งาน Google Play Protect เพื่อตรวจสอบการติดตั้งแอปพลิเคชันอันตราย หากเจอให้ Uninstall ทันที
  3. ติดตั้งแอปพลิเคชัน Endpoint Protection หรือ Antivirus บนมือถือเพื่อดักจับ และป้องกันแอปพลิเคชันอันตราย หรือมัลแวร์ต่าง ๆ

สำหรับผู้ที่หลงกลตกเป็นเหยื่อของมิจฉาชีพแล้ว ให้รีบดำเนินการปิดเครื่องทันที ด้วยวิธีกด Force-Reset คือ การกดปุ่ม Power และปุ่มลดเสียง พร้อมกันค้างไว้ 10 – 20 วินาที แต่หากทำวิธีนี้ไม่สำเร็จ ให้ตัดการเชื่อมต่อของโทรศัพท์ด้วยการถอดซิมการ์ด และปิด Wi-Fi หลังจากนั้นให้ติดต่อธนาคาร และแจ้งความกับเจ้าหน้าที่ตำรวจทันที

ปัจจุบัน รูปแบบกลโกงของมิจฉาชีพมีหลากหลายและมีวิธีการใหม่ ๆ เสมอ ดังนั้น เพื่อให้ปลอดภัยจากกลโกง สมาคมธนาคารไทยได้สรุป 8 พฤติกรรมปลอดภัยให้ประชาชนปฎิบัติตาม เพื่อลดความเสี่ยงจากการถูกมิจฉาชีพหลอก ดังนี้

  1. อุปกรณ์ปลอดภัย – ห้ามใช้โทรศัพท์มือถือที่ไม่ปลอดภัยมาทำธุรกรรมทางการเงิน อาทิ เครื่องที่ถูกปลดล็อก (Root/Jailbreak) หรือใช้เครื่องที่มีระบบปฏิบัติการล้าสมัย และตั้งล็อกหน้าจอ
  2. ตัวตนปลอดภัย คือการไม่เปิดเผยข้อมูลส่วนตัวในสื่อสาธารณะเกินความจำเป็น
  3. รหัสปลอดภัย คือการตั้งค่ารหัส (Password) ที่ไม่ง่ายเกินไป ไม่ซ้ำกับรหัสการใช้ทั่วไป และไม่บอกผู้อื่น
  4. สื่อสารปลอดภัย คือการไม่ให้ข้อมูลส่วนตัวกับคนแปลกหน้า และไม่แสดงตัวก่อน หากถูกถามให้ตรวจสอบคู่สนทนาให้แน่ชัด
  5. เชื่อมต่อปลอดภัย คือการไม่ทำธุรกรรมทางการเงินผ่านสัญญาณ Wi-Fi สาธารณะ หรือฟรี
  6. ดาวน์โหลดหรือติดตั้งโปรแกรมจากแหล่งที่ได้รับรอง โดยผู้พัฒนาระบบปฏิบัติการ (Official Store) เช่น Play Store หรือ App Store เท่านั้น โดยไม่คลิกจากลิงก์ และตรวจเช็กการอนุญาต หรือ Permission ของแอพปลิเคชัน และสังเกตการขออนุญาตเข้าใช้งานอุปกรณ์หรือข้อมูลที่ไม่สัมพันธ์สอดคล้องกับวัตถุประสงค์การใช้งานและกับประเภทการทำงานของแอปพลิเคชัน
  7. มีสติรอบคอบก่อนการทำธุรกรรมทุกครั้ง อ่านข้อความที่ขึ้นเตือนบนเครื่องโทรศัพท์มือถือให้ถี่ถ้วน ไม่คลิกลิงก์จาก SMS, ข้อความแชต หรืออีเมลที่ถูกส่งมาจากแหล่งที่ไม่รู้จัก หรือไม่น่าเชื่อถือ
  8. ศึกษาและติดตามข่าวสารการใช้งานเทคโนโลยีเป็นประจำสม่ำเสมอ โดยหมั่นตรวจเช็กการตั้งค่า ไม่ให้ติดตั้งแอปพลิเคชันที่ไม่รู้จัก (Install Unknown Apps) และใช้งาน Antivirus Software
สมาคมธนาคารไทย 2

พิสูจน์อักษร : สุชยา เกษจำรัส