ภาพโดย danielfoster437 (CC BY-NC-SA 2.0)
ข่าวมิจฉาชีพขโมยเงินเกือบล้านบาทออกจากบัญชีธนาคารของร้านขายอุปกรณ์ประดับยนต์ โดยการหลอกขอสำเนาบัตรประชาชนเจ้าของร้าน แล้วไปติดต่อขอออกซิมการ์ดมือถือเลขหมายของเจ้าของร้าน เพื่อใช้มือถือไปสวมรอยขอรหัสเข้าระบบอินเทอร์เน็ตแบงก์กิ้งหรือธนาคารออนไลน์ของเจ้าของร้านอีกต่อหนึ่ง แล้วโอนเงินเกือบล้านบาทออกไปในเวลาอันรวดเร็ว เป็นข่าวที่สะเทือนขวัญและสร้างความกังวลแก่ผู้ใช้ระบบธนาคารออนไลน์ หรือผู้ที่กำลังจะขอใช้บริการอย่างหลีกเลี่ยงไม่ได้
หากไล่เรียงเหตุการณ์ตามข่าว เราจะพบประเด็นน่าสนใจซึ่งผู้บริโภคควรเท่าทันเพื่อป้องกันภัยจากมิจฉาชีพ ได้แก่
1. สำเนาหรือภาพถ่ายบัตรประชาชน แม้เราจะปกปิดเลขประจำตัวประชาชน 13 หลักไว้แล้ว แต่หากไม่ปกปิดบาร์โค้ดทางซ้ายของบัตรก็ไม่มีประโยชน์ เพราะบาร์โค้ดนั้นสามารถใช้อุปกรณ์หรือโปรแกรมอ่านบาร์โค้ดเพื่อบอกเลขประจำตัว 13 หลักได้อยู่ดี และในกรณีทั่วไป สำเนาหรือภาพถ่ายบัตรประชาชนควรมีการขีดฆ่าและเขียนวัตถุประสงค์กำกับไว้ เช่น ใช้เพื่อเปิดบัญชีธนาคาร ใช้เพื่อสมัครบริการอะไร เป็นต้น โดยเขียนทับบนตำแหน่งของบัตร หากมีการทำสำเนาซ้ำ ก็จะปรากฏรอยขีดฆ่าและวัตถุประสงค์กำกับไปด้วย ทำให้การปลอมแปลงทำได้ยากขึ้น
2. การรับโอนเงินไม่จำเป็นต้องสมัครอินเทอร์เน็ตแบงก์กิ้ง เพราะบริการดังกล่าวใช้ตรวจสอบยอดและนำเงินออกจากบัญชีทางออนไลน์ เช่น โอนออก หรือชำระค่าบริการต่างๆ หากเราเปิดบัญชีเพื่อฝากถอนเงินตามปกติ ไม่ประสงค์จะถอนเงินทางออนไลน์ก็ไม่จำเป็นต้องสมัคร โดยลูกค้าที่สั่งซื้อออนไลน์ก็สามารถโอนเงินออนไลน์เข้าบัญชีเราได้อยู่ดี แต่หากเราจะสมัครอินเทอร์เน็ตแบงก์กิ้ง มีคำแนะนำให้สมัครเฉพาะบัญชีที่มีวงเงินไม่สูงนัก หากเกิดปัญหาจะได้ไม่กระทบรุนแรง ส่วนบัญชีที่มีเงินจำนวนมาก หากไม่จำเป็นก็อย่านำไปผูกกับอินเทอร์เน็ตแบงก์กิ้ง
ในส่วนการสมัครพร้อมเพย์เพื่อความสะดวกในการรับเงินเข้าบัญชี หากเราไม่สมัครอินเทอร์เน็ตแบงก์กิ้ง มิจฉาชีพก็ไม่สามารถขโมยเงินเราทางออนไลน์ได้ กรณีที่เกิดนี้ จึงไม่เกี่ยวอะไรกับความน่าเชื่อถือของพร้อมเพย์
3. กรณีมีการสวมรอยขอซิมการ์ดเลขหมายมือถือของเราสำเร็จ มือถือเราจะถูกระงับสัญญาณอัตโนมัติ ดังนั้น หากมือถือถูกระงับบริการ ให้สอบถามผู้ให้บริการในทันทีว่าเกิดจากสาเหตุใด อย่านิ่งนอนใจ เพราะหากปล่อยผ่านไป แม้เวลาไม่นานนัก ก็อาจเกิดการสวมรอยทำธุรกรรมผ่านมือถือได้ แต่โดยปกติหากผู้ให้บริการรอบคอบ การสวมรอยขอซิมใหม่ โดยใช้เพียงสำเนาบัตรประชาชนที่ปลอมแปลงมาจะทำไม่สำเร็จ เพราะในการขอซิมการ์ดจะต้องแสดงบัตรประจำตัวประชาชนเพื่อตรวจสอบด้วยเสมอ การปลอมแปลงบัตรนั้นทำได้ แต่ไม่ง่ายนัก และหากใช้เครื่องอ่านสมาร์ทการ์ด ก็สามารถตรวจสอบการปลอมแปลงบัตรได้ ในเบื้องต้น
4. โดยปกติ การทำธุรกรรมอินเทอร์เน็ตแบงก์กิ้ง ธนาคารจะส่งรหัส OTP (One Time Password) ทาง SMS ซึ่งการจะเข้าใช้งานระบบได้ต้องมีทั้งชื่อผู้ใช้งานและรหัสผ่านด้วย การขโมยเงินออนไลน์จึงต้องรู้ข้อมูลทั้งหมด ในกรณีนี้มิจฉาชีพได้ขอตั้งรหัสผ่านใหม่ผ่าน call center และรู้ข้อมูลอื่นๆ ตามบัตรประชาชน รู้เลขบัญชีธนาคาร และรู้เลขหมายมือถือ ทำให้สวมรอยขอรหัสผ่านได้ แต่โดยปกติธนาคารมักจะไม่ส่งรหัสผ่านใหม่ทาง SMS เพราะจะเป็นช่องทางเดียวกันกับ OTP ทำให้คนที่ไม่ใช่เจ้าของบัญชีตัวจริงแต่เข้าถึงมือถือของเจ้าของบัญชีสามารถขโมยเงินได้โดยง่าย ธนาคารจึงมักส่งรหัสผ่านใหม่ผ่านทางอีเมล ดังนั้นหากมิจฉาชีพไม่รู้บัญชีอีเมลและรหัสผ่านเข้าอีเมลของเรา ก็ไม่สามารถเข้าใช้งานอินเทอร์เน็ตแบงก์กิ้งได้ จึงสันนิษฐานได้ว่ามิจฉาชีพรายนี้อาจรู้ชื่อบัญชีอีเมลและรหัสผ่านอยู่ก่อนแล้ว เนื่องจากในปัจจุบันผู้ให้บริการอีเมลมักจะขอให้เราลงทะเบียนเลขหมายมือถือในการกู้บัญชีกรณีถูกแฮ็กบัญชีอีเมลด้วย ดังนั้นมิจฉาชีพที่มีซิมมือถือของเรา ก็สามารถขอรีเซตรหัสผ่านอีเมลได้เช่นกัน แล้วจึงไปขอรีเซ็ตรหัสอินเทอร์เน็ตแบงก์กิ้งกับทางธนาคารซึ่งส่งมาทางอีเมลนี้ในภายหลังอีกทอดหนึ่ง ดังนั้น ถ้าเป็นไปได้ เราจึงควรใช้เลขหมายมือถือคนละเลขหมายกัน ในการรีเซ็ตรหัสผ่านเข้าอีเมล และในการรีเซ็ตรหัสผ่านอินเทอร์เน็ตแบงก์กิ้ง
5. หากเราเปิดบริการอินเทอร์เน็ตแบงก์กิ้ง ก็ควรตรวจสอบยอดเงินในบัญชีอย่างสม่ำเสมอ หากมีการเคลื่อนไหวของบัญชีผิดปกติ เราจะรู้ปัญหาและแก้ไขได้โดยเร็ว
จะเห็นได้ว่ากรณีที่เป็นข่าว บางแง่มุมอาจเกิดจากการรู้ไม่เท่าทันของผู้บริโภค แต่หากธนาคารและค่ายมือถือมีระบบที่รัดกุม กรณีนี้ก็จะไม่เกิดขึ้นเช่นกัน เราจึงควรหามาตรการจัดการปัญหาเชิงระบบด้วย ซึ่งกรณีนี้ได้ชี้ให้เห็นช่องโหว่ของระบบบริการได้เป็นอย่างดี อย่างไรก็ตาม การกำหนดมาตรการใหม่ควรจะมีการหารือร่วมกันจากทุกฝ่าย เพื่อประเมินความเป็นไปได้และภาระในการดำเนินการ เช่น กรณีการใช้ลายนิ้วมือในการลงทะเบียนซิมและขอซิมใหม่นั้น หากผู้ให้บริการไม่มีระบบตรวจสอบลายนิ้วมือออนไลน์ตามสาขาต่างๆ ก็ไม่สามารถป้องกันปัญหาการสวมรอยได้อยู่ดี แต่หากจะมีระบบตรวจสอบลายนิ้วมือออนไลน์ก็ต้องคำนึงถึงต้นทุนในการวางระบบให้ทั่วถึงด้วย และหากเกิดการแฮ็กฐานข้อมูลลายนิ้วมือจะแก้ไขอย่างไร เพราะแม้แต่ภายหลังการลงประชามติที่ผ่านมา เมื่อมีการโพสต์ภาพถ่ายนิ้วมือเปื้อนหมึกก็มีคำเตือนว่ามิจฉาชีพอาจปลอมแปลงลายนิ้วมือได้ แต่นี่คือลายนิ้วมือที่จัดเก็บทางอิเล็กทรอนิกส์ ยิ่งสะดวกต่อการนำไปก่อเหตุต่างๆ นอกจากนี้ ในกรณีเกิดการแฮ็กเลขบัตรเครดิต แฮ็ครหัสผ่านต่างๆ เราสามารถออกเลขบัตรเครดิตหรือรหัสผ่านใหม่ แต่คนเราไม่สามารถออกลายนิ้วมือใหม่ได้ แม้ในต่างประเทศก็พัฒนาเทคโนโลยี Biometrics ต่างๆ มาทดแทนลายนิ้วมือ เช่น Finger Vein Recognition เนื่องจากขบวนการมิจฉาชีพสามารถเจาะระบบความปลอดภัยของลายนิ้วมือได้แล้ว จึงควรต้องมีการหารือเกี่ยวกับข้อเสนอต่างๆ อย่างรอบคอบ ไม่เต้นไปตามกระแส
อย่างไรก็ตาม จุดที่ควรมีการปรับปรุง เพื่อให้ผู้บริโภคเกิดความมั่นใจ ได้แก่
1. การกำหนด Security Standard ของโครงข่ายบริการและมีกระบวนการ Security Audit ทั้งของฝั่งธนาคารและฝั่งค่ายมือถือ เพื่อปิดช่องโหว่ของระบบบริการ
2. การปรับปรุงขั้นตอนการออกซิมใหม่ และการขอรหัสผ่านอินเทอร์เน็ตแบงก์กิ้งใหม่ให้รัดกุมยิ่งขึ้น โดยต้องระลึกเสมอว่าผู้บริโภคมักเก็บข้อมูลทุกอย่างในโทรศัพท์มือถือ เราจึงต้องออกแบบระบบที่ป้องกันไม่ให้ใครก็ตามที่เข้าถึงหรือเก็บโทรศัพท์มือถือได้ สามารถเข้าถึงบริการต่างๆ ได้โดยที่เจ้าตัวมิได้รับรู้หรือยินยอม ดังเช่นกรณีของประเทศเอสโตเนีย ซึ่งพัฒนาธุรกรรมอิเล็กทรอนิกส์ทดแทนธุรกรรมบนกระดาษ จนแม้แต่การเลือกตั้งก็สามารถทำผ่านมือถือได้ ยังออกแบบการทำธุรกรรมออนไลน์ให้มี 2 ขั้นตอน คือการ Verification และการ Authentication โดยทั้งสองขั้นตอนไม่สามารถใช้รหัสที่เซฟไว้ในมือถือ หรือเม็มไว้ในเครื่องได้ เหมือนที่ผู้บริโภคทั่วไปมักเม็มชื่อบัญชีออนไลน์และรหัสผ่านไว้ในเครื่อง เพื่อใช้งานอัตโนมัติโดยไม่ต้องคอยจดจำและกรอกข้อมูลใหม่ทุกครั้งที่จะใช้งาน แต่ระบบของเอสโตเนียบังคับให้เรากรอกข้อมูลใหม่ทุกครั้ง โดยขั้นตอนแรกจะส่งเป็น OTP ทาง SMS ทุกครั้งที่เราจะเข้าใช้งาน และในขั้นที่สอง หากตัดสินใจทำธุรกรรม เราจะต้องกรอกรหัส PIN เหมือนรหัสเอทีเอ็มที่เรารู้อยู่คนเดียวโดยไม่สามารถเม็มไว้ในเครื่องได้ เสมือนเป็นการลงลายมือชื่อบนกระดาษ จะเห็นได้ว่า นี่เป็นการออกแบบระบบที่ใช้ต้นทุนต่ำแต่มีความปลอดภัยในระดับที่ยอมรับได้
3. การกำหนดช่องทางรับแจ้งเหตุ และการกำหนดผู้รับผิดชอบและสัดส่วนความรับผิดชอบต่อความเสียหายที่เกิดกับผู้บริโภคอย่างชัดเจน ทั้งในฝั่งธนาคารและค่ายมือถือ โดยไม่จำเป็นต้องให้ผู้บริโภคเที่ยวตระเวนออกสื่อเพื่อกดดันหาผู้รับผิดชอบอย่างที่ปรากฏเป็นข่าว
4. การให้ความรู้ คำเตือน ข้อควรระวัง หรือข้อควรปฏิบัติแก่ผู้บริโภคอย่างเป็นระบบ เพื่อให้เท่าทันบริการและป้องกันเหตุร้ายที่อาจเกิดขึ้นได้
5. การฝึกให้พนักงานมีความเท่าทันและปฏิบัติตามแนวปฏิบัติเพื่อความปลอดภัย อย่างในกรณีนี้หากพนักงานค่ายมือถือจะโทรไปยังเลขหมายมือถือที่มิจฉาชีพอ้างว่าหาย ก็จะทราบความจริงได้ในทันที เหมือนกรณีการแฮ็กอีเมล แล้วหลอกขอให้โอนเงินโดยอ้างว่า เจ้าของอีเมลตกระกำลำบากในต่างประเทศ และโทรศัพท์หายไม่สามารถติดต่อได้ หากคนได้รับอีเมลเฉลียวใจ ลองโทรไปสอบถามข่าวคราว ก็จะไม่ตกเป็นเหยื่อของมิจฉาชีพที่ใช้มุกโทรศัพท์หายเพื่อสวมรอยผู้บริสุทธิ์ ซึ่งเป็นมุกเก่าที่ใช้กันอยู่บ่อยๆ
ร่วมบริจาคเงิน สนับสนุน ประชาไท โอนเงิน กรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM" หรือ โอนผ่าน PayPal / บัตรเครดิต (รายงานยอดบริจาคสนับสนุน)