เปิดความเสียหายภัยการเงิน 4 หมื่นล้าน ธปท. งัดมาตรการ “เผาบัญชีม้า”

เปิดความเสียหายภัยการเงิน งานเสวนา

ธปท.ผนึก TB-CERT และตำรวจไซเบอร์ เดินหน้ามาตรการป้องกันภัยทางการเงิน-เร่งกวาดบัญชีม้า คาด 5 ปี ภัยไซเบอร์ขึ้นเป็นอันดับ 1 ของการทุจริต เปิดสถิติ 5 อันดับเรื่องแจ้งความออนไลน์ สร้างความเสียหายกว่า 4 หมื่นล้านบาท เตือนรับเปิดบัญชีม้า รับโทษจำคุก 3 ปี ปรับ 3 แสนบาท แนะผู้เสียหายเร่งแจ้งธนาคารภายใน 72 ชั่วโมงระงับบัญชีทันท่วงที

วันที่ 16 กรกฎาคม 2566 นายอนุภาค มาตรมูล ผู้ช่วยผู้อำนวยการฝ่ายการกำกับและตรวจสอบความเสี่ยงด้าน IT ธนาคารแห่งประเทศไทย (ธปท.) กล่าวในงานเสวนา “โครงการพัฒนาศักยภาพผู้สื่อข่าวเศรษฐกิจระดับสูง (พศส.) 2566” เปิดโลกนวัตกรรม ก้าวทันเทรนด์ การเงินยั่งยืน ในหัวข้อ “ความปลอดภัยของข้อมูลในโลกการเงิน ภัยการเงิน การหลอกลวงทางไซเบอร์ การทำคดีด้านการเงินของเจ้าหน้าที่ตำรวจ” ว่า เมื่อวันที่ 9 มีนาคม 66 ที่ผ่านมาธนาคารแห่งประเทศไทย (ธปท.) ได้ออกแนวมาตรการจัดการภัยทุจริตทางการเงิน

ธปท.กำชับแบงก์ยกระดับโมบายแบงกิ้ง

โดยเป็นมาตรการขั้นต่ำ เพื่อป้องกันภัยทางการเงิน ซึ่งที่ผ่านมามีความเสียหายเกิดจาก “แอปดูดเงิน” เป็นจำนวนมาก ทำให้มาตรการป้องกันจะทำเป็นระยะ ซึ่งระยะแรก หรือเวอร์ชั่นแรก จะเป็นการให้สถาบันการเงินหรือธนาคารพาณิชย์พัฒนาระบบการตรวจจับว่ามีการติดตั้งแอปพลิเคชั่นปลอมติดตั้งอยู่หรือไม่ และระยะที่ 2 คือ การป้องกันการแคปหน้าจอมือถือ ซึ่งมิจฉาชีพจะรู้ว่าเหยื่อทำอะไรอยู่บนหน้าจอ

และระยะที่ 3 คือ มาตรการยืนยันตัวตนด้วย Biometrics เพื่อเปิดบัญชีออนไลน์ และการเปลี่ยนวงเงิน-โอนเงิน โดยการสแกนใบหน้าเมื่อเข้าเงื่อนไขที่กำหนดไว้ในการทำธุรกรรมผ่าน Mobile Banking เช่น โอนเงินมากกว่า 50,000 บาทต่อครั้ง หรือ 200,000 บาทต่อวัน หรือปรับเพิ่มวงเงินทำธุรกรรมต่อวันเป็นตั้งแต่ 50,000 บาทขึ้นไป เพื่อป้องกันเกิดความเสียหายน้อยลง เมื่อถูกหลอกติดตั้งแอป ดูดเงิน

“วิธีป้องกันประชาชนควรหมั่นอัปเดตแอปพลิเคชั่นเป็นเวอร์ชั่นล่าสุด และไม่กดลิงก์ที่แนบมากับข้อความ SMS หรืออีเมล์ เนื่องจากธนาคารยกเลิกส่งลิงก์ทั้งหมดแล้ว”

ขณะเดียวภายหลังจากพระราชกำหนด (พ.ร.ก.) มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ. 2566 มีผลบังคับใช้ 17 มี.ค. 66 จะเห็นว่าสถาบันการเงินสามารถตรวจสอบและส่งข้อมูลเส้นทางการเงินให้กับเจ้าหน้าที่ตำรวจได้เร็วขึ้น เนื่องจากไม่ผิดกฎหมายข้อมูลส่วนบุคคล (PDPA) ทำให้จำนวนยอดอายัดบัญชีม้าเพิ่มขึ้นต่อเนื่อง โดยในเดือน มี.ค. 66 อยู่ที่ 5,000 บัญชี เดือน เม.ย. 66 อยู่ที่ 6,000 บัญชี เดือน พ.ค. 66 อยู่ที่ 8,000 บัญชี และเดือน มิ.ย. 66 อยู่ที่ 9,000 บัญชี

ชี้ผู้เสียหายเร่งแจ้งแบงก์ภายใน 72 ชั่วโมง

โดยนายยศ กิมสวัสดิ์ กรรมการ TB-CERT และประธานสำนักงานระบบการชำระเงิน สมาคมธนาคารไทย และกล่าวเสริมว่า ตอนนี้ ธปท. สมาคมธนาคารไทย (TBA) TB-CERT และสำนักงานตำรวจแห่งชาติ และหน่วยงานที่เกี่ยวข้อง อยู่ระหว่างร่วมมือในการทำงานเชิงรุกมากขึ้นในการปิดบัญชีม้า เนื่องจากที่ผ่านมาเป็นการอายัดบัญชีอย่างเดียว แต่ระยะต่อไปจะมีการติดตามบัญชีที่มีความผิดปกติและต้องสงสัยจะเป็นบัญชีม้า โดยเรียกว่ามาตรการ “เผาบัญชีม้า” ซึ่งเป็นมาตรการเชิงรุกแบบถอดรากถอนโคน

อย่างไรก็ดี ในส่วนของผู้เสียหายที่ถูกหลอกลวงผ่าน “แอปดูดเงิน” หรือช่องทางอื่นให้มีการโอนเงินไปยังบัญชีอื่นนั้น ผู้เสียหายเมื่อรู้ตัวแล้วควรรีบโทร.แจ้งธนาคารเป็นเจ้าของบัญชีผ่านสายด่วน Hotline และแจ้งตำรวจภายใน 72 ชั่วโมง เนื่องจากธนาคารจะมีสิทธิสามารถระงับบัญชีเพื่อให้ตำรวจสามารถตรวจสอบได้ 7 วัน เพื่อดำเนินการอายัดบัญชีต่อไป แต่กรณีหากไม่มีการแจ้งความภายใน 72 ชั่วโมง ธนาคารจะสามารถระงับการใช้บัญชีได้

ยอดอายัดบัญชีพุ่ง 15%

ด้านนายธีรวัฒน์ อัศวโภคี ประธานชมรมตรวจสอบและป้องกันการทุจริต สมาคมธนาคารไทย กล่าวว่า แนวโน้มการระงับบัญชีและการตรวจสอบธุรกรรมที่ต้องสงสัยทำได้ดีขึ้น โดยจำนวนการอายัดบัญชีเพิ่มขึ้นจาก 10% เป็น 15% ของมูลค่าความเสียหายทั้งหมด ภายหลัง พ.ร.ก.มาตรการป้องกันฯ มีผลบังคับใช้

อย่างไรก็ตาม แม้ว่าแนวโน้มการติดตามธุรกรรมต้องสงสัยจนนำไปสู่การอายัดบัญชีทำได้ดีขึ้น แต่มองว่ายังดีไม่มากนัก เพราะการแลกเปลี่ยนข้อมูลยังทำได้ไม่รวดเร็วมากนัก จึงต้องมีการเพิ่มประสิทธิภาพและยกระดับระบบการแลกเปลี่ยนข้อมูลที่ดีขึ้น

“ธุรกรรมการทุจริตจะเห็นว่ามีวิวัฒนาการตามเทคโนโลยีและเปลี่ยนรูปแบบกลโกง ซึ่งที่ผ่านมาในช่วงปลายปี 64 เราจะเจอการทุจริต (Fraud) ในเรื่องของบัตรเครดิตและเดบิต หรือที่เราเรียกว่า Bill Attack ที่ใช้การสุ่มหมายเลขหลังบัตรเพื่อซื้อของออนไลน์โดยไม่ใช่รหัส OTP ทำให้ยอด Fraud ช่วงนั้นเพิ่มขึ้น 2 เท่า และหลังเรามีการทำมาตรการซื้อขายต้องมี OTP ทำให้ยอด Fraud ลดลง 3 เท่า ทำให้มิจฉาชีพหันมาหลอกลวงผ่านการส่งลิงก์ให้ติดตั้งแอปปลอม หรือเรียกแอปดูดเงินแทนผ่าน 3-4 ข้อ รัก โลภ กลัว หลง แทน”

คาด 5 ปี ภัยทางไซเบอร์พุ่งขึ้นอันดับ 1

พ.ต.อ.เจษฎา บุรินทร์สุชาติ ผู้กำกับการกลุ่มงานรักษาความมั่นคงปลอดภัยทางไซเบอร์ กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี กล่าวว่า แนวโน้มภัยไซเบอร์มีอัตราการเติบโตแบบก้าวกระโดด และมีวิวัฒนาการไปตามเทคโนโลยี ซึ่งรูปแบบการหลอกลวงเริ่มตั้งแต่เงินสด โอนเงิน และไปสู่สกุลเงินคริปโตเคอร์เรนซี เป็นต้น ซึ่งมีการคาดการณ์ว่าภายใน 5 ปีข้างหน้า การทุจริตที่เกิดจากภัยไซเบอร์จะขึ้นเป็นอันดับ 1 ของโลก และทวีความรุนแรงขึ้น ซึ่งปัจจุบันต้องยอมรับว่าเทคโนโลยีที่มีความก้าวหน้ายังคงมีช่องโหว่ให้มืจฉาชีพ และการตรวจจับยังตามหลังมิจฉาชีพ

เปิดสถิติแจ้งความออนไลน์ 5 อันดับแรก

ทั้งนี้ หากดูข้อมูลสถิติการแจ้งความออนไลน์สะสมนับตั้งแต่วันที่ 1 มี.ค. 65-28 มิ.ย. 66 พบว่ามีคดีออนไลน์ทั้งสิ้น 285,917 คดี แบ่งเป็นคดีที่เชื่อมโยงกันทั้งสิ้น 145,322 คดี และคดีที่ไม่เชื่อมโยงกันอยู่ที่ 140,537 คดี ยอดมูลค่าความเสียหายอยู่ที่ราว 4 หมื่นล้านบาท

โดยหากดูประเภทคดีที่เกิดขึ้นมากที่สุดตั้งแต่ 17 มี.ค.-28 มิ.ย. 66 ใน 5 อันดับแรก คือ 1.คดีหลอกซื้อขายสินค้าและบริการ จำนวน 299 คดีต่อวัน มูลค่าความเสียหาย 4.3 ล้านบาทต่อวัน 2.คดีหลอกให้โอนเงินเพื่อทำงานหารายได้พิเศษ จำนวน 78 เรื่องต่อวัน มูลค่าความเสียหาย 9.8 ล้านบาทต่อวัน และ 3.คดีหลอกให้กู้เงิน จำนวน 65 เรื่องต่อวัน มูลค่าความเสียหาย 3 ล้านบาทต่อวัน

4.คดี Call Center จำนวน 36 คดีต่อวัน มูลค่าความเสียหาย 8.3 ล้านบาทต่อวัน และ 5.คดีหลอกให้ลงทุนผ่านระบบคอมพิวเตอร์ จำนวน 32 เรื่องต่อวัน มูลค่าความเสียหาย 16.5 ล้านบาทต่อวัน

ทั้งนี้ ภายหลังจากมี พ.ร.ก.มาตรการป้องกันฯ พบว่าแนวโน้มสถิติการแจ้งความออนไลน์ปรับลดลงจากอดีตเฉลี่ยอยู่ที่ 700-800 เรื่องต่อสัปดาห์ ปัจจุบันเฉลี่ยเหลือ 500-600 เรื่องต่อสัปดาห์ และคาดว่าในระยะข้างหน้าอาจจะปรับลดลงต่อเนื่อง โดยอยากเห็นลดลงมาอยู่ที่ราว 200 เรื่อง

เพิ่มโทษบัญชีม้า-เสริมมาตรการสกัดจับ

อย่างไรก็ดี แม้ว่าในส่วนของการอายัดบัญชีจะทำได้ดีขึ้นจาก 10% เป็น 15% แต่หากดูเม็ดเงินที่ตามเก็บและสามารถอายัดได้ยังคงมีสัดส่วนน้อยเพียง 1-2% ของมูลค่าความเสียหาย 4 หมื่นล้านบาท ดังนััน จึงต้องมีความร่วมมือแบบบูรณาการจากหน่วยงานอื่น ๆ รวมถึงต้องทำมาตรการเชิงรุกเพิ่มเติม เช่น ที่ผ่านมาได้ดำเนินมาตรการที่เรียกว่า RS03 ซึ่งเป็นมาตรการแบบถอดรากถอดโคน โดยนำเลขบัตรประชาชนของผู้ที่เปิดบัญชีม้า เพื่อตรวจสอบว่ามีบัญชีที่ต้องสงสัยเป็นบัญชีม้าอีกหรือไม่ ซึ่งหลังจากดำเนินมาตรการพบว่าสามารถปิดบัญชีม้าเพิ่มเติมได้ถึง 20,000 บัญชีภายในระยพเวลา 2 เดือนที่ผ่านมา

“ก่อนกฎหมาย พ.ร.ก.มาตรการป้องกันฯ ออกมาช่วงแรกอาจจะติดขัดบ้าง เพราะเราไม่สามารถอายัดบัญชีม้าได้ เพราะติดกฎหมาย PDPA ทำให้เราอายัดบัญชีไม่ทัน แต่หลังมี พ.ร.ก.และเปลี่ยนเป็นให้แบงก์เป็นผู้ตรวจสอบและส่งเรื่องมาที่ตำรวจ ทำให้เราสามารถอายัดบัญชีได้ดีขึ้น แต่ยังคงดีไม่พอ จะต้องมีมาตรการเพิ่มเติมก่อนจะเป็นบัญชีม้า คือ การตรวจสอบบัญชีผิดปกติและดำเนินการ รวมถึงการเพิ่มบทลงโทษ เช่น จำคุก 3 ปี และปรับไม่เกิน 3 แสนบาท ซึ่งจากเดิมบัญชีม้าจะขายขาด ต่อไปจะเป็นบัญชีม้าเลี้ยง โดยไม่ได้เปิดบัญชีอย่างเดียว แต่ทำธุรกรรมให้ด้วย ซึ่งกลุ่มจะได้รับโทษเช่นเดียวกับมิจฉาชีพเพราะถือว่าสมรู้ร่วมคิดกัน


รวมถึงอยู่ระหว่างศึกษาโมเดลของไต้หวันและมาเลเซีย สิงคโปร์ ที่จะมีหน่วยงานกลางมาดูเรื่องของการแชร์ข้อมูล เพื่อให้การแลกเปลี่ยนข้อมูลทำได้เร็วขึ้น เพื่อนำมาสู่การคืนเงินให้ผู้เสียหายได้เร็วและมีความชัดเจนยิ่งขึ้น”