ขโมยเงินออนไลน์ผ่านมือถือ โทษ ‘ระบบ คน หรือผู้ประกอบการ’ ?
"การใช้ SMS เพื่อยืนยันตัวตน ทำให้มูลค่าโทรศัพท์มือถือเพิ่มขึ้นเรื่อยๆ สมัยก่อนขโมยเบอร์เพราะเบอร์สวย มีมูลค่าหลายแสนบาท แต่กรณีขโมยเงินออนไลน์ผ่านมือถือที่เกิดขึ้น เบอร์ไม่ต้องสวยก็ได้ แต่มีมูลค่าในตัวเองเกือบล้านแล้ว"
การให้บริการทางการเงินของธนาคารพาณิชย์ในปัจจุบันก้าวสู่ระบบดิจิทัลมากขึ้น โดยเฉพาะ อินเตอร์เน็ตแบงก์กิ้ง (Internet Banking) โมบายแบงก์กิ้ง ( Mobile Banking) นอกจากภาคเอกชนแล้ว รัฐบาลยุคนี้ก็มีแนวนโยบายให้ธนาคารให้บริการพร้อมเพย์ (PromptPay) เป็นบริการทางเลือกใหม่ให้ประชาชน ธุรกิจ และหน่วยงานต่างๆ ใช้โอนเงินและรับได้สะดวกมากขึ้น โดยไม่ต้องเดินทางไปธนาคาร แต่สามารถยืนยันตัวตนผู้ใช้บริการได้ เช่น การทำธุรกรรมทางอินเตอร์เน็ตแบงก์กิ้ง จะใช้การยืนยันผ่านโทรศัพท์เคลื่อนที่ โดยธนาคารจะส่งรหัส OTP (One Time Password) ผ่าน SMS
การทำธุรกรรมทางการเงินผ่านระบบดิจิทัล ควบคู่กับการยืนยันตัวตนผ่านระบบโทรคมนาคมที่แทบจะแยกกันไม่ได้นี่เอง ได้ถูกทดสอบความเชื่อมั่น ความปลอดภัย โดยมีกรณีที่มิฉาชีพขโมยเงินพ่อค้าประดับยนต์ โอนออกจากบัญชีไปเกือบ 1 ล้านบาท โดยคนร้ายสามารถเอาสำเนาบัตรประชาชนไปเปิดซิมการ์ดใหม่ จากนั้นโทรไป Call Center ของธนาคารแห่งนั้น สวมรอยขอรหัสเข้าระบบอินเตอร์เน็ตแบงก์กิ้ง ก่อนทำการ Reset Password และสั่งโอนเงินจากบัญชีไปอย่างรวดเร็ว
ตัวอย่างกรณีที่เกิดขึ้นนี้ได้ส่งผลกระทบต่อความเชื่อมั่น ซึ่งส่วนงานเลขานุการ กสทช. จัดเวที NBTC Public Forum ครั้งที่ 4/2559 เรื่อง "ขโมยเงินออนไลน์ผ่านมือถือ : จากกรณีปัญหาสู่มาตรการแก้ไขเชิงระบบ" ณ ห้อง Kamolthip 3 โรงแรม เดอะ สุโกศล กรุงเทพมหานคร
นายแพทย์ประวิทย์ ลี่สถาพรวงศา กสทช. โทรคมนาคม ด้านการคุ้มครองผู้บริโภค และส่งเสริมสิทธิ เสรีภาพของประชาชน มองว่า ยุคดิจิทัลเป็นโลกที่มาถึงแล้ว และคงต้องอยู่ต่อไปอีกช่วงหนึ่ง ซึ่งเป็นไปไม่ได้ที่จะปฏิเสธ
"ในยุคดิจิทัลหลายคนเชื่อ มือถือคือตัวเรา ทุกสิ่งทุกอย่างในชีวิตเก็บในมือถือหมด ไม่ว่าทำการทำธุรกรรม Username Password เบอร์ติดต่อ เราก็เก็บในมือถือ มือถือมีศักดิ์ศรีเทียบเท่าบัตรประชาชนแบบหนึ่งทีเดียว ซึ่งการวางระบบเป็นเรื่องที่ต้องมาพูดคุยกัน อะไรถือว่าปลอดภัย ไม่มีภาระต้นทุนสูงเกินไป"
นพ.ประวิทย์ ยังได้หยิบยกเรื่องร้องเรียน FCT ของสหรัฐฯ พบว่า เรื่องร้องเรียนอันดับ 1 เป็นเวลา 15 ปีติดต่อกันคือ เรื่อง identity theft (โจรกรรมข้อมูล) เพิ่งมีปีล่าสุดมีเรื่องของการทวงหนี้ ขณะที่อันดับ 3 เป็นเรื่องการหลอกเป็นหน่วยงานใดหน่วยงานหนึ่งเพื่อไปหลอกลวงให้โอนเงิน
ก่อนจะเปรียบเทียบให้เห็นภาพ identity theft ยุคอนาล็อกในบ้านเราจะมีการขโมยกระเป๋า ขโมยบัตร แต่ยุคดิจิทัล เปลี่ยนไปเป็นการขโมย Username Password Account “ร้อยละ 5 ของประชากรอายุเกิน 15 ปีขึ้นไปของสหรัฐฯ หรือประมาณ 10 ล้านราย เคยถูกขโมย ID Password ในรอบ 2-3 ปี”
เมื่อสหรัฐฯ ตัวเลขยังขนาดนี้ ในเมืองไทยแต่ละปี เขาคาดว่า ต้องมากกว่าล้านรายแน่นอน แต่จะนำไปทำอาชญากรรมขนาดไหนก็เป็นอีกเรื่องหนึ่ง
“ผมยืนยันมาตลอด บัตรประจำตัวประชาชนเฉยๆ ไม่ใช่สิ่งยืนยันตัวตน (authentication) ใครนำบัตรประชาชนผมไปเบิกเงินในบัญชี หรือ ย้ายค่ายมือถือได้ ผมถือว่าเป็นความผิดพลาดของระบบ เช่นเดียวกับมือถือเฉยๆ ไม่ใช่ตัวตนผม ใครเอามือถือไปแล้วสามารถเข้าถึงบัญชีผม ทำธุรกรรมในนามผมได้ เป็นความผิดพลาดของระบบ เราต้องทำให้มือถือบวกบางสิ่งบางอย่าง หรือลายเซ็นต์อิเล็คทรอนิกส์เข้ามาควบคู่กัน”
ยิ่งปัจจุบันมือถือกลายเป็นแหล่ง Reset Password กรณีลืมหรือถูกแฮก การที่เราสามารถ Reset ผ่านเบอร์มือถือได้ และมือถือยังใช้ทำธุรกรรมอินเตอร์เน็ตของหลายธนาคาร ดังนั้น อะไรคือมาตรการความปลอดภัยที่ดี
นพ.ประวิทย์ บอกว่า เมื่อพูดถึงระบบความปลอดภัย หลายคนมองไปถึงพฤติกรรมผู้บริโภค ข้อเสนอมักจบที่ให้ผู้บริโภครักษาข้อมูลส่วนบุคคล ตรวจสอบรายการทั้งหลาย ซึ่งผู้บริโภคต้องปรับตัวให้เข้ากับโลกยุคดิจิทัล แต่ก็ขอความกรุณาผู้เกี่ยวข้อง ทั้งผู้ให้บริการธนาคาร ผู้ให้บริการมือถือ ช่วยแนะนำผู้บริโภคด้วยว่า หากสมัครโมบายแอฟ ควรบอกตั้งแต่ต้นมีข้อควรระวังอย่างไรบ้าง ซึ่งจะเป็นการช่วยอีกทางหนึ่ง
โทรศัพท์ทุกระบบติดไวรัสได้
และเพื่อรู้เท่าทันไม่ตกเป็นเหยื่อ อดีตเราเคยมีความเชื่อ โทรศัพท์มือถือไม่มีไวรัส เหมือนคอมพิวเตอร์ ,ระบบปฏิบัติการของโทรศัพท์บางระบบไม่มีภัยคุกคาม และโทรศัพท์อยู่กับตัวเราไม่ต้องมีรหัสปิด-เปิด หรือใช้รหัสง่ายๆ ก็ได้ เช่น 1234 ,1111 แต่ข้อเท็จจริง นายธนะสิทธิ์ สรรพโชติวัฒน์ ผู้บริหารส่วน ส่วนตรวจสอบความเสี่ยง ฝ่ายตรวจสอบความเสี่ยงและเทคโนโลยีสารสนเทศ ธนาคารแห่งประเทศไทย ยืนยันว่า โทรศัพท์ทุกระบบติดไวรัสได้ ซึ่งระดับภัยคุกคามอาจไม่เท่ากัน และคนร้ายสามารถเข้าถึงโทรศัพท์ของเราได้ และปลอมตัวส่งข้อความ โทรศัพท์ หรือแอบติดตั้งไวรัสได้
มีตัวเลขตั้งแต่ปี 2543 ที่ธนาคารแห่งประเทศไทย อนุญาตให้มีการเปิดอินเตอร์เน็ตแบงก์กิ้ง ช่วงเวลา 4-5 ปีหลังเปิดบริการ มีลูกค้าอินเตอร์เน็ตแบงก์กิ้งประมาณแค่ 2 ล้านราย ลูกค้าโมบายแบงก์กิ้งหลักหมื่นเท่านั้น
แต่ ณ วันนี้ ปี 2559 อินเตอร์เน็ตแบงก์กิ้งเพิ่มขึ้น 10 กว่าล้านราย โมบายแบงก์กิ้ง 12.9 ล้านราย ปี 2559 และถือเป็นปีแรกที่โมบายแบงก์กิ้งสูงมากกว่าจำนวนอินเตอร์เน็ตแบงก์กิ้ง โดยเพิ่มขึ้นสุทธิถึง 4 ล้านราย
เมื่อมีลูกค้ารายใหม่เพิ่มขึ้น นายธนะสิทธิ์ มองว่า การให้ข้อมูลกับลูกค้าโมบายแบงก์กิ้ง กลับยังไม่ครบถ้วนพอ สมัยก่อนภัยคุกคามมีน้อยเราก็ให้ข้อมูลแบบกลางๆ ถึงปัจจุบันก็ยังเป็นคำแนะนำเดิมๆ
1.ควรตั้งรหัสเปิดปิดหน้าจอที่ยากจะคาดเดาได้ง่าย
2. ควรติดตั้งโปรแกรมป้องกันไวรัส/Personal Firewall และปรับโปรแกรมเป็นรุ่นใหม่เสมอ (Update)
3.ควรตรวจสอบข้อมูลทางการเงินอย่างสม่ำเสมอว่า มีรายการที่ผิดปกติ และตรวจสอบว่า โทรศัพท์ยังคงทำงานได้ตามปกติหรือไม่
4.ติดตามข้อมูลเรื่องทุจริต การหลอกลวงต่างๆไว้เป็นบทเรียน
5.ไม่เปิดเผย User ID และ Password หรือจดบันทึกข้อมูลไว้ในที่ๆ คนอื่นสามารถเห็นได้
6.ไม่ควรเปิด Email, SMS,โปรแกรม หรือ File ข้อมูล เพลง รูปภาพ ภาพยนตร์ หรือ File อื่นๆ ที่มาจากผู้ที่เราไม่รู้จัก
7.ไม่ควรเข้าเว็บไซต์ โดยการตาม Web link ที่ส่งมาจาก Email ,SMS,MMS หรือ File รูปแบบใดๆ ที่ส่งมาโดยคนที่ไม่รู้จักไม่น่าเชื่อถือ
ผู้บริหารส่วน ส่วนตรวจสอบความเสี่ยง แบงก์ชาติ ชี้ว่า การมีรหัสเปิดปิดเพื่อทำธุรกรรมทางการเงินผ่านมือถือ เปรียบไปก็เหมือนการมีกุญแจบ้านอันเดียว หากคนร้ายเก่งขนาดสะเดาะกุญแจเข้ามาได้แล้ว เราจะไม่รู้เลย ซึ่งการติดตั้งโปรแกรมป้องกันไวรัส ในมือถือ ก็เหมือนมีกล้องวงจรปิดในบ้าน ช่วยสอดส่องอีกทางหนึ่ง
“แม้แต่การพิสูจน์ตัวตนด้วยไบโอเมตริก (Biometric) เช่น การสแกนนิ้ว ก็มีข้อดี ข้อเสีย ฉะนั้นเวลาธปท.กำหนดมาตรการจะมองภาพเป็นกลางๆ ว่า เอาใช้ได้ในระดับใช้ได้ไม่เกินไป ขนาดในสหรัฐฯ ใช้ ไบโอเมตริก กับตู้เอทีเอ็ม ก็มีการปลอมได้เช่นกัน จึงไม่ได้จะปิดความเสี่ยงได้ทั้งหมด”
นายธนะสิทธิ์ ให้ข้อมูลด้วยว่า ธปท.กำลังจะออกวิธีการปฏิบัติเกี่ยวกับมาตรฐานการกำกับดูแลอินเตอร์เน็ตแบงก์กิ้ง การติดต่อสัมพันธ์ธนาคารกับลูกค้า รวมถึงการพิสูจน์ความรับผิดชอบ ซึ่งกำลังดำเนินการอยู่ คาดจะออกมาเร็วๆ นี้
SIM SWAP FRAUD
ขณะที่ดร.เดือนเด่น นิคมบริรักษ์ ผู้อำนวยการวิจัยด้านการบริหารจัดการระบบเศรษฐกิจ สถาบันวิจัยเพื่อการพัฒนาประเทศไทย (TDRI) ถอดบทเรียนกรณีขโมยเงินออนไลน์ผ่านมือถือไม่ใช่เรื่องใหม่ SIM swap fraud แพร่หลายมาก หากไทยมีการเตรียมการรับความเสี่ยงก็จะรู้ว่า เรื่องแบบนี้ต้องมาแน่นอน
ดร.เดือนเด่น ยกตัวอย่างธนาคารกลางสหรัฐฯ ที่ออกกฎระเบียบเกี่ยวกับการป้องกันทางอินเตอร์เน็ต มีแนวปฏิบัติ หากไม่ทำตามจะผิดทันที ซึ่งภาระในการพิสูจน์ว่าใครผิดหรือถูก ภาระอยู่ที่ธนาคาร หรือความเสียหายจากความประมาทเลินเล่อของผู้ใช้บริการ ธนาคารต้องพิสูจน์ว่า ตนได้ปฏิบัติตามสัญญา มีมาตรฐาน มีระบบป้องกันการทุจริต มีระบบและบริหารจัดการที่ดี
"หลายๆ ประเทศมีแนวการจำกัดความเสียหายของผู้ใช้บริการแล้ว ในสหรัฐฯ ในกฎหมายอิเลคทรอนิกส์ หากถูกโจรกรรมทางอินเตอร์เน็ตแบงก์กิ้ง ผู้ใช้บริการต้องแจ้งภายใน 2 วัน รับความเสียหายเพียง 50 เหรียญสหรัฐฯ ในอังกฤษ 50 ปอนด์ แต่ไม่ต้องแจ้ง ให้เวลา 13 เดือนได้รับความคุ้มครองเช่นกัน แม้แต่อินเดีย มีการชดใช้ค่าเสียหายอยู่ที่หมื่นรูปี"
แต่วันนี้ประเทศไทยยังไม่มีกฎเกณฑ์ การทำธุรกรรมทางอินเตอร์เน็ตจึงต้องไปอ่านสัญญาเอาเอง ดร.เดือนเด่น เสนอแนะว่า หน่วยงานกำกับดูแลต้องกำหนดให้มีหลักเกณฑ์เรื่องการรับผิดที่เป็นมาตรฐานกลาง มีการกำหนดค่าใช้จ่ายสูงสุดที่ผู้บริโภคต้องรับ การกำหนดภาระในการพิสูจน์กรณีฉ้อโกง การโอนเงินที่มีมูลค่าสูงจำเป็นต้องมีหลายระบบเข้ามา ซึ่งหากเราทำได้ธนาคาร และค่ายมือถือ มีภาระรับความเสี่ยงจากระบบที่หละหลวม เชื่อว่า อนาคตจะมีความระมัดระวังมากขึ้น
ด้านนายวสันต์ ลิ่วลมไพศาล ผู้ร่วมก่อตั้งเว็บไซต์ Blognone.com ได้เสนอให้ผู้ให้บริการเครือข่ายมือถือ 1.มีการปรับปรุงระบบการยืนยันตัวตน 2.ก่อนออกซิมประกาศนโยบายความปลอดภัยขั้นต่ำในการออกซิม 3.รายงานทุกช่องทางต่อสาธารณะ เมื่อออกซิมผิดพลาด และ 4. รายงานทุกเหตุการณ์ที่เกิดขึ้นเป็นประจำ
พร้อมกันนี้ เขาเห็นว่า โมบายแบงก์กิ้ง กับการใช้ SMS ยืนยันตัวตน เริ่มเกร่อขึ้นเรื่อยๆ ขณะที่ก็มีรายงานหลายครั้งว่า SMS ดักฟังได้ การใช้สมาร์ทโฟนเสี่ยงต่อการถูกโจรกรรม SMS แม้แต่มัลแวร์จำนวนมากออกแบบมาเฉพาะเพื่อขโมย SMS
"การใช้ SMS เพื่อยืนยันตัวตน ทำให้มูลค่าโทรศัพท์มือถือเพิ่มขึ้นเรื่อยๆ สมัยก่อนขโมยเบอร์เพราะเบอร์สวย มีมูลค่าหลายแสนบาท แต่กรณีขโมยเงินออนไลน์ผ่านมือถือที่เกิดขึ้น เบอร์ไม่ต้องสวยก็ได้ แต่มีมูลค่าในตัวเองเกือบล้านแล้ว"
เมื่อการส่ง SMS เพื่อยืนยันตัวตน เริ่มมีปัญหาขึ้นเรื่อยๆ ในไทยเองก็เคยมีการสาธิตเครื่องดักฟัง SMS ผู้ร่วมก่อตั้งเว็บไซต์ Blognone.com จึงเรียกร้องให้ธนาคารลดการใช้ SMS เพื่อยืนยันตัวตนลง เพราะไม่ใช่วิธีที่ดีสุด
ปัจจุบันมีแนวทางอื่นที่ดีกว่านี้ แม้ว่าค่าใช้จ่ายจะสูงขึ้น เช่น ในอังกฤษมีเครื่อง Pinsentry ไม่ต่อเน็ต สามารถใช้ยืนยันตัวตนได้ และได้รหัส OTP ถือเป็นเครื่องมือที่ใช้ในการสร้างรหัสแปดหลักสำหรับใช้ในการยืนยันตัวบุคคลหรือยืนยันการทำรายการผ่านอินเทอร์เน็ต ซึ่งไม่มีการส่ง one time password เข้าหมายเลขโทรศัพท์
โลกยุคสมาร์ทโฟน อะไรที่เคยใช้งานในอดีต ถึงวันนี้แทบตกยุค ไม่ทันโจรไซเบอร์แล้ว และหากหน่วยงานที่เกี่ยวข้องไม่รีบสร้างความเชื่อมั่นการใช้งาน ทั้งอินเตอร์เน็ตแบงก์กิ้ง โมบายแบงก์กิ้ง คาดจำนวนผู้ใช้จะต่ำลงไปเรื่อยๆ กระทบระบบ อี-เพย์เม้นท์ทั้งประเทศ