แบงก์ไล่ปิดช่องแอป “ดูดเงิน” ยกระดับ “โมบายแบงกิ้ง” สกัดมิจฉาชีพ

โมบายแบงกิ้ง

ปัญหา “แอปดูดเงิน” กลายเป็นฝันร้ายที่เข้ามาหลอกหลอนการเดินหน้าไปสู่สังคมไร้เงินสดของประเทศไทย

โดยสมาคมธนาคารไทย เผยถึงมูลค่าความเสียหายต่อประชาชน กรณีถูก “แอปดูดเงิน” ว่าอยู่ที่กว่า 500 ล้านบาท (ณ สิ้นปี 2565) แต่คาดว่าจะมีแนวโน้มสูงขึ้น ทำให้สมาคมต้องรีบจัดการแก้ไขปัญหาโดยด่วน

Android เป้าหมายหลัก

“ชัชวัฒน์ อัศวรักวงศ์” ประธานกรรมการ ศูนย์ประสานงานด้านความมั่นคงปลอดภัย เทคโนโลยี สารสนเทศภาคการธนาคาร (TB-CERT) กล่าวว่า เริ่มเห็นเคสความเสียหายกรณีแอปดูดเงินตั้งแต่กลางปี 2565

โดยจะมี 3 รูปแบบ คือ 1.หลอกให้ติดตั้งแอปรีโมตที่ถูกต้องจาก Play Store เพื่อควบคุมโทรศัพท์ 2.หลอกให้ติดตั้งแอปอันตราย นามสกุล (.apk) ทำให้จอมือถือเหยื่อค้าง ซึ่งวิธีนี้จะพบมากที่สุด และ 3.หลอกให้ติดตั้งแอปอันตราย แต่ยังไม่โอนเงินออกทันที รอให้เหยื่อเผลอ เช่น แอปหาคู่ เป็นต้น

“ทั้ง 3 รูปแบบ มิจฉาชีพจะใช้ฟีเจอร์การเข้าถึงแบบพิเศษ หรือ accessibility service เป็นกลไกหลักในการโจรกรรมเงิน และที่สำคัญความเสียหายที่เกิดขึ้น และได้รับแจ้งข้อมูลส่วนใหญ่ 100% จะเป็นระบบปฏิบัติการ Android เพราะระบบปฏิบัติการ iOS ค่อนข้างเข้มงวดกว่า ทำให้มิจฉาชีพจะพุ่งเป้าไปที่แอนดรอยด์ ซึ่งก็มีจำนวนผู้ใช้เยอะมากในไทย”

Advertisment

4 จุดสังเกตพึงระวังโดนหลอก

“กิตติ โฆษะวิสุทธิ์” ที่ปรึกษากิตติมศักดิ์ TB-CERT กล่าวว่า แนวทางการป้องกันมิจฉาชีพ มีจุดสังเกตง่าย ๆ ด้วยกัน 4 จุดที่ต้องระวัง คือ 1.มิจฉาชีพจะแนะนำเหยื่อ copy link ไปเปิดใน Chrome Browser เพื่อเข้าเว็บปลอม

2.ขณะทำการติดตั้งแอปแปลกปลอม มือถือจะขอสิทธิในการติดตั้งแอปที่ไม่รู้จัก 3.มิจฉาชีพพยายามให้ตั้ง PIN หลายครั้ง หวังให้เหยื่อเผลอตั้ง PIN ซ้ำกับ PIN ที่ใช้เข้าโมบายแบงกิ้งของธนาคาร และ 4.หลอกให้เหยื่อเปิดสิทธิการช่วยเหลือพิเศษ (accessibility)

“ผู้ที่หลงกดตกเป็นเหยื่อมิจฉาชีพ ให้รีบปิดเครื่องทันที ด้วยวิธีกด force-reset คือ การกดปุ่ม power และปุ่มลดเสียง พร้อมกันค้างไว้ 10-20 วินาที แต่ถ้าทำวิธีนี้ไม่สำเร็จ ให้ตัดการเชื่อมต่อของโทรศัพท์ด้วยการถอดซิมการ์ด ปิด WiFi หลังจากนั้นให้ติดต่อธนาคาร แล้วแจ้งความทันที”

ยกระดับ 3 ด้านสกัดแอปดูดเงิน

“ยศ กิมสวัสดิ์” ประธานสำนักงานระบบการชำระเงิน สมาคมธนาคารไทย กล่าวว่า รูปแบบการหลอกลวงของมิจฉาชีพ ปัจจุบันมีเทคนิคหลากหลาย ทำให้แค่สถาบันการเงินไม่สามารถดูแลและป้องกันได้ทั้งหมด เพราะกลโกงจะมาจากช่องทาง SMS, LINE จึงต้องร่วมมือกับหน่วยงานกำกับ ทั้งสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) ธนาคารแห่งประเทศไทย (ธปท.)

Advertisment

และภาคเอกชน เช่น ผู้ให้บริการสัญญาณโทรศัพท์มือถือ และผู้ให้บริการโซเชียลมีเดียต่าง ๆ เพื่อยกระดับการป้องกันภัยไซเบอร์ และภัยทางการเงิน

โดยการป้องกัน “แอปดูดเงิน” ต้องยกระดับ 3 ด้านด้วยกัน คือ 1.การตรวจสอบแอปอันตราย (.apk) ซึ่งแบงก์จะใช้เวลาประมาณ 2 สัปดาห์ ในการพัฒนาระบบตรวจสอบนี้ 2.การเพิ่มกระบวนการยืนยันตัวตนด้วย “biometric” ผ่านเทคโนโลยีจดจำใบหน้า (face recognition) เพื่อปรับวงเงินการโอนและความถี่ในการทำธุรกรรมผ่านระบบ NDID

“ปัจจุบันมีการยืนยันตัวตนผ่าน NDID แล้ว ประมาณ 70-80% ของจำนวนการเปิดบัญชีทั้งหมด ก็จะช่วยลดความเสียหายจากการถูกมิจฉาชีพโจรกรรม แม้ว่าจะเพิ่มความไม่สะดวกกับผู้ใช้งานบ้างก็ตาม”

3.การจัดตั้ง “ศูนย์ตรวจเช็กธุรกรรมที่มีความเสี่ยงทุจริตหรือต้องสงสัย (Central Fraud Registry)” ผ่าน บริษัท เนชั่นแนล ไอทีเอ็มเอ๊กซ์ จำกัด (ITMX) ให้สอดคล้องกับพระราชกำหนด (พ.ร.ก.) มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี ที่หากมีการบังคับใช้ จะช่วยเหลือประชาชนที่ตกเป็นเหยื่อได้รวดเร็ว และระงับความเสียหายได้ทันท่วงที สามารถบล็อกบัญชีต้องสงสัยโดยไม่ต้องรอแจ้งความได้ และไม่ทำผิดกฎหมายข้อมูลส่วนบุคคล (PDPA)

“หากเรายกระดับทั้ง 3 ด้านจะช่วยลดความเสียหายได้เยอะ โดยด่านแรก การตรวจแอปแปลกปลอมอันตราย ก็ช่วยได้ระดับหนึ่ง แต่หากลูกค้ายังพลาดอยู่ ตัว biometric จะช่วยลดความเสียหาย จากเดิมมิจฉาชีพจะโอนเงินก้อนใหญ่ แต่หากเรามีการแคปวงเงินไว้ การจะโอนสูงกว่า ต้องยืนยันตัวตน ซึ่งทำยากขึ้น คาดว่าจะนำมาใช้ได้ 2-3 เดือนจากนี้”

“ยศ” กล่าวด้วยว่า สุดท้ายหากมีการแลกเปลี่ยนข้อมูลกันได้ระหว่างแบงก์และหน่วยงานอื่น ๆ จะเป็นการ “หักขาม้า” หรือลด “บัญชีม้า” เพราะแบงก์รู้เร็วขึ้น โอกาสจะตามเงินจะเร็วขึ้น ปัจจุบันคนมาเปิดบัญชีม้า แต่ไม่รู้ว่าเป็นม้า เพราะมีเอกสารครบถ้วน วัตถุประสงค์การเปิด เช่น รับสวัสดิการ รับเงินเดือน

“ไทยมีธนาคาร 20-30 แห่ง มิจฉาชีพเปิดคนละ 1-2 บัญชี ก็มีบัญชีม้าแล้ว 60 บัญชี ซึ่งเมื่อมีแบงก์ไหนรู้ เช่น บัญชี A เป็นม้า และมีการส่งข้อมูลถึงกัน เราจะสามารถปิดม้าตัวที่ 2, 3, 4 ได้ หรือในอนาคตการร่วมมือกับ Telco (ผู้ให้บริการเครือข่ายสำหรับโทรศัพท์มือถือ) หากมีคนมาเปิดเบอร์มือถือคนเดียว 50-100 SIM อันนี้ก็น่าสงสัยและพึงระวังไว้ก่อน สิ่งเหล่านี้ต้องร่วมมือและแชร์ข้อมูลกันเพื่อป้องกันมิจฉาชีพ”

ลองมาติดตามกันดูว่า การดำเนินการทั้งหมดนี้จะสามารถสกัดภัยการเงิน โดยเฉพาะแอปดูดเงินได้มากน้อยเพียงใด