คทีซี ร่วมกับ สกมช. เปิดเวทีเสวนา “อนาคตภัยไซเบอร์ กับอนาคตการป้องปราบ” เตือนภัยไซเบอร์รูปแบบใหม่ ติดอาวุธทางความคิดให้คนไทย โดยเฉพาะกลุ่มเปราะบางในผู้สูงอายุ รับมือกับความเสี่ยงก่อนทำธุรกรรมการเงินบนโลกออนไลน์ เผยกลโกงมิจฉาชีพรูปแบบใหม่เป็นกรณีศึกษา พร้อมแนะวิธีสังเกต เทคนิคป้องกันไม่ให้ตกเป็นเหยื่อและการแก้ไข
นายไรวินทร์ วรวงษ์สถิตย์ ผู้บริหารสูงสุด สายงานควบคุมงานปฏิบัติการและปฏิบัติการร้านค้า “เคทีซี” หรือ บริษัท บัตรกรุงไทย จำกัด (มหาชน) เผยว่าปัจจุบันภัยไซเบอร์เป็นภัยใกล้ตัวและลุกลามเข้าถึงกลุ่มเปราะบางมากขึ้น ในรูปแบบที่รุนแรงขึ้น คือ Social Engineering รูปแบบต่างๆ และ Remote Control ที่สามารถเข้าถึงทั้งระบบไอโอเอส (iOS) และแอนดรอยด์ (Android) โดยมิจฉาชีพจะมุ่งเป้าไปที่กลุ่มผู้สูงอายุ โดยภัยจาก Social Engineering เป็นวิธีการโจมตีทางไซเบอร์ที่มุ่งหวังให้เหยื่อทำตามคำสั่ง โดยใช้เทคนิคการหลอกลวงในรูปแบบต่างๆ ดังนี้
1) Phishing การส่งอีเมลปลอมเพื่อหลอกให้ผู้รับกดลิงค์ หลอกลวงเหยื่อเพื่อขอข้อมูลส่วนตัว เช่น รหัสผ่าน เลขบัตรเครดิต หรือข้อมูลสำคัญอื่นๆ โดยสามารถป้องกันได้ง่ายๆ ด้วยการไม่กรอกข้อมูลส่วนตัวผ่านทางอีเมลหรือเว็บไซต์ที่ไม่น่าเชื่อถือ ตรวจสอบ URL หรือที่มาของข้อความนั้นๆอยู่เสมอ
2) Vishing หนึ่งในเทคนิคการโจมตีทางไซเบอร์ที่ใช้เสียงในการสื่อสาร มักจะติดต่อผ่านโทรศัพท์เพื่อหลอกลวงผู้ใช้ให้ข้อมูลส่วนตัว หรือข้อมูลบัญชีที่สำคัญ เช่น หมายเลขบัตรเครดิต รหัส OTP หรือข้อมูลอื่นๆ ที่เราคุ้นเคยกันคือแก๊งค์คอลเซนเตอร์ ซึ่งนำไปสู่การถูก Remote Access เป็นต้น
3) Smishing คือการใช้ข้อความที่ถูกส่งผ่าน SMS (Short Message Service) เพื่อหลอกลวงเหยื่อให้ข้อมูลส่วนตัว หรือคลิกลิงก์ที่อาจสร้างความเสี่ยงด้านความปลอดภัย ควรระวังไม่คลิกลิงค์ที่ดูไม่น่าเชื่อถือ ปัจจุบันธนาคารไม่มีนโยบายแนบลิงค์ผ่าน SMS หรือส่ง SMS ที่มีเนื้อหาให้กดแลกคะแนนด่วนเพื่อแลกของรางวัล เป็นต้น
ทั้งนี้เคทีซีเป็นสถาบันการเงินรายแรกในเอเชีย แปซิฟิก ที่ได้รับมาตรฐานสากลด้านความปลอดภัยของข้อมูลบัตรเครดิต (PCI DSS) จากสถาบันรับรองมาตรฐานแห่งชาติของประเทศอังกฤษ BSI (British Standards Institution) โดยพร้อมสนับสนุนให้ผู้บริโภคได้รับความรู้ความเข้าใจ ร่วมป้องกันภัยไซเบอร์เบื้องต้นไปด้วยกัน จึงได้ร่วมมือกับหน่วยงานต่างๆเสวนาแลกเปลี่ยนความรู้อย่างต่อเนื่อง
นายไรวินทร์กลาวเพิ่มเติมว่า แนวโน้มการทุจริตจากธุรกรรมที่ไม่ใช้บัตร (card not present) หรือใช้โปรแกรมสุ่มเลขบัตรไปทำธุรกรรมการเงิน (Bin Attack) และการที่ข้อมูลรั่วไหล (Data Compromise) ยังสูงอย่างต่อเนื่อง เคทีซีจึงได้ออก “บัตรเครดิตเคทีซี ดิจิทัล” (KTC Digital Credit Card) ยกระดับความปลอดภัย ป้องกันการทุจริตประเภท card not present หรือ Data Compromise ได้เป็นอย่างดี
นายนพรัตน์ สุริยา ผู้บริหารสูงสุด ฝ่ายป้องกันทุจริตบัตรเครดิตและร้านค้า “เคทีซี” กล่าวว่า นภัยไซเบอร์ที่เกิดจากการรีโมท คอนโทรล (Remote Control) ที่มิจฉาชีพหลอกให้กดลิงค์ดาวน์โหลดแอปพลิเคชันเริ่มลดลง ขณะที่แก๊งค์คอลเซ็นต์เตอร์หลอกให้โอนเงินมีมากขึ้นและความเสียหายเพิ่มขึ้น ล่อลวงผู้สูงอายุเจ้าของบัญชีให้หวาดกลัวว่ามีส่วนในการฟอกเงินโดยแอบอ้างมาจากสถานีตำรวจภูธร (สภอ.) ต่างๆ หรือติดต่อจากสำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.) และมีพัสดุต้องสงสัยหรือถูกนำชื่อไปเปิดเบอร์โทรศัพท์มือถือที่พัวพันกับขบวนการฟอกเงิน
สำหรับวิธีป้องกันไม่ให้ตกเป็นเหยื่อของมิจฉาชีพ มีดังนี้
1) หากต้องการติดตั้งแอปพลิเคชันของบริษัทหรือหน่วยงานใดๆ ให้ติดตั้งเองผ่าน Official Store เท่านั้น ห้ามกดผ่านลิงค์เด็ดขาด เพราะแอปฯ ปลอมเหมือนจริงมาก
2) หากมีเจ้าหน้าที่ติดต่อมาให้กดลิงค์ดาวน์โหลดหรือติดตั้งแอปฯ และแจ้งว่าต้องทำตามขั้นตอน หรือแจ้งว่ามีส่วนเกี่ยวข้องกับกระบวนการฟอกเงินใดๆ ให้สงสัยว่าเป็นมิจฉาชีพ รวมถึงให้ติดต่อกลับไปยังหน่วยงานต้นสังกัดที่ติดต่อมาจากเบอร์โทรศัพท์หน้าเว็บไซต์ของหน่วยงานนั้นๆ เพื่อตรวจสอบและยืนยัน
3) หากผิดสังเกตว่าถูกรีโมท (Remote) หรือมีการลงแอปฯ ที่ต้องสงสัย ให้ตัดการเชื่อมต่อ พยายามปิดแอปฯ (Force Shutdown) และดำเนินการล้างเครื่องทันที (Factory Reset) เนื่องจากมีมัลแวร์ (Malware) แฝงอยู่ในเครื่อง ซึ่งผู้ทุจริตจะยังสามารถรีโมทต่อเมื่อไหร่ก็ได้
4) การตั้งรหัสแอปพลิเคชันของธนาคารต่างๆ ควรตั้งค่าให้แตกต่างกัน และแยกจากแอปฯ ประเภทอื่น”
“เคทีซี ให้ความสำคัญกับการรักษาความปลอดภัยของข้อมูลลูกค้า ซึ่งแอปฯ “KTC Mobile” มีฟังก์ชันที่ตอบโจทย์ความสะดวกในการใช้งานและฟังก์ชันป้องกันความปลอดภัย อาทิ ระบบตั้งเตือนการใช้จ่ายผ่านบัตรทุกรายการ กำหนดยอดใช้จ่ายที่ต้องการ ตั้งเตือนก่อนวันชำระ รวมทั้งบริการที่ลูกค้าสามารถตั้งค่าทำรายการได้ด้วยตนเอง เช่น การอายัดบัตรชั่วคราว การกำหนดวงเงินและการขอวงเงินชั่วคราว นอกจากนี้ ยังอยากย้ำเตือนให้สมาชิกระมัดระวังการแจ้งรหัสให้กับบุคคลอื่น เพื่อลดความเสี่ยงในการทุจริตเข้าถึงบัญชี”
พลอากาศตรี จเด็ด คูหะก้องกิจ ผู้ช่วยเลขาธิการ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) กล่าวว่า สกมช. ภัยคุกคามทางไซเบอร์สร้างความเสียหายแบ่งเป็น 2 กลุ่ม คือ หน่วยงานของรัฐ รวมถึงหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และคนไทยที่มีการใช้งานเทคโนโลยีสารสนเทศในชีวิตประจำวัน
โดยกลุ่มที่ 1 ในปี 2566 มีการโจมตีทางไซเบอร์ต่อข้อมูลและระบบสารสนเทศของหน่วยงานของรัฐ รวมถึงหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ 1,808 เหตุการณ์ โดย 50% เป็นการแฮ็คเข้าเว็บไซต์ (Hacked Websites) รองลงมาคือ เว็บไซต์ปลอม (Fake Websites) 17 % และ การหลอกลวงการเงิน (Finance-related gambling) 6 % สาเหตุหลักๆคือขาดความเข้าใจในการออกแบบระบบสารสนเทศอย่างปลอดภัย (Secure software development) c]tขาดการป้องกันและเตรียมความพร้อมในการรับมือกับภัยคุกคามทางไซเบอร์ (Protection and incident response) อย่างถูกต้อง
กลุ่มที่ 2 ช่วง 1 ปีที่ผ่านมา มิจฉาชีพปรับเปลี่ยนวิธีการหลอกลวงคนไทยอย่างต่อเนี่อง โดย สกมช.ติดตามกลุ่มมิจฉาชีพที่ใช้โซเชียล มีเดียได้แก่ การหลอกให้ลงทุน หลอกให้แจ้งความออนไลน์ ชักจูงให้เล่นพนันออนไลน์ อ้างว่าเป็นหน่วยงานหรือสถาบันการเงิน โดย สกมช. ทำงานเชิงรุกร่วมกับแพลทฟอร์มโซเชียล มีเดียหลายราย อีกทั้งได้รับการสนับสนุนจากกระทรวงดิจิทัลฯ สำนักงานตำรวจแห่งชาติและผู้ให้บริการโทรคมนาคม จึงปิดกั้นกลุ่มมิจฉาชีพได้มากขึ้น
นอกจากนี้ ยังทำงานใกล้ชิดกับสถาบันการเงิน เพื่อแจ้งเตือนการใช้เว็บไซต์ปลอม และร่วมกับกระทรวงดิจิทัลฯ และผู้ให้บริการโดเมนเนม จัดการกับเว็บไซต์ปลอมได้มากกว่า 749 รายการ รวมไปถึงการยกระดับการรักษาความมั่นคงปลอดภัยไซเบอร์ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ให้กับสถาบันการเงิน โดยทำงานร่วมกับธนาคารแห่งประเทศไทย (ธปท.) สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (กลต.) สมาคมธนาคารไทย Thailand Banking Sector CERT และ Thailand Telecommunication Sector CERT โดย สกมช. เป็นหน่วยงานกลางที่จัดทำข้อกำหนดขั้นต่ำด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (National Cybersecurity Baseline) และหน่วยงานควบคุมหรือกำกับดูแล (Regulator) จะกำกับดูแลให้หน่วยงานภายใต้การกำกับดำเนินการตามข้อกำหนดขั้นต่ำดังกล่าว รวมถึงมีการฝึกซ้อมและตรวจประเมินทุกปี ให้กับหน่วยงานเหล่านั้น
“การป้องกันตนเองจากมิจฉาชีพและภัยไซเบอร์ ทำได้ด้วยหลัก 3 ไม่ คือ ไม่เชื่อ ไม่ทำ ไม่โดน ต้องไม่เชื่อใครง่ายๆ เช่น ไม่เชื่อเรื่องการซื้อขายออนไลน์ที่ดีเกินจริงหรือถูกกว่าราคาตลาด ไม่เชื่อว่าจะมีบริษัทหลักทรัพย์ที่ให้ผลตอบแทนด้านการลงทุนที่สูงเกินจริง ไม่เชื่อว่าจะมีหน่วยงานใดติดต่อไปหาทางโทรศัพท์หรือแอดไลน์ เป็นต้น”
“ในกรณีตกเป็นเหยื่อแล้ว ให้รีบติดต่อธนาคารเพื่ออายัดเงิน แล้วจึงติดต่อไปที่ศูนย์ปฏิบัติการแก้ไขปัญหาอาชญากรรมออนไลน์ (Anti Online Scam Operation Center : AOC) หรือ ศูนย์ AOC สายด่วน 1441 หรือหากพบการหลอกลวงออนไลน์ดังที่กล่าวมา สามารถติดต่อ สกมช. ผ่านช่องทางต่างๆ ในเว็บไซต์ ncsa.or.th เพื่อร่วมกันจัดการกับมิจฉาชีพต่อไป”
