เคทีซีจัดเสวนา KTC FIT Talk ครั้งที่ 12 เตือนภัยความเสี่ยงธุรกรรมการเงินบนโลกออนไลน์
“เคทีซี จัดงานเสวนา KTC FIT Talk ครั้งที่ 12 เตือนภัยและสร้างความรู้การป้องกันภัยคุกคามไซเบอร์ ความเสี่ยงก่อนทำธุรกรรมการเงินบนโลกออนไลน์ พร้อมแนะวิธีสังเกต เทคนิคป้องกันไม่ให้ตกเป็นเหยื่อ
เคทีซี จับมือสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เปิดเวทีเสวนา เตือนภัยไซเบอร์รูปแบบใหม่ “อนาคตภัยไซเบอร์ กับอนาคตการป้องปราบ” สร้างการตระหนักรู้-รับมือ-ไม่ตกเป็นเหยื่อ ติดอาวุธทางความคิดให้คนไทยตั้งสติ
รับมือกับความเสี่ยงก่อนทำธุรกรรมการเงินบนโลกออนไลน์ โดยเฉพาะกลุ่มเปราะบางในผู้สูงอายุ เผยกลโกงมิจฉาชีพรูปแบบใหม่เป็นกรณีศึกษา พร้อมแนะวิธีสังเกต เทคนิคป้องกันไม่ให้ตกเป็นเหยื่อและการแก้ไข
ไรวินทร์ วรวงษ์สถิตย์ ผู้บริหารสูงสุด สายงานควบคุมงานปฏิบัติการและปฏิบัติการร้านค้า เคทีซี หรือ บริษัท บัตรกรุงไทย จำกัด (มหาชน) เผยว่า “ภัยไซเบอร์เป็นภัยใกล้ตัวและลุกลามเข้าถึงกลุ่มเปราะบางมากขึ้น โดยใช้ความหวาดกลัวในการล่อลวง การเตรียมตัวและการป้องกันภัยด้านไซเบอร์ในวันนี้ จึงเป็นสิ่งสำคัญที่ทุกคนทุกกลุ่มต้องเรียนรู้อย่างเท่าทัน เพื่อลดความเสียหายที่อาจเกิดขึ้นต่อตนเองและคนรอบข้าง”
หลากภัยร้ายที่มาในรูปแบบต่างๆ
ไรวิน ให้ข้อมูลว่า “รูปแบบของภัยไซเบอร์ที่ทวีความรุนแรงขึ้นในปัจจุบันคือ Social Engineering รูปแบบต่างๆ และ Remote Control ซึ่งปัจจุบันสามารถเข้าถึงระบบไอโอเอส (iOS) ได้เช่นเดียวกับแอนดรอยด์ (Android) และแนวโน้มในการหลอกโอนเงินมีความเสียหายที่สูงกว่าเคส Remote Control โดยมิจฉาชีพจะมุ่งเป้าไปที่กลุ่มผู้สูงอายุ”
“ภัยจาก Social Engineering มีหลายรูปแบบ เป็นวิธีการโจมตีทางไซเบอร์ที่มุ่งหวังให้เหยื่อทำตามคำสั่งของผู้โจมตี โดยใช้เทคนิคการหลอกลวงในรูปแบบต่างๆ ตัวอย่างของเทคนิค Social Engineering ที่พบมากที่สุดในปัจจุบันคือ
1) Phishing คือการส่งอีเมลปลอมเพื่อหลอกให้ผู้รับกดลิงค์ ใช้เทคนิคหลอกลวงเหยื่อเพื่อขอข้อมูลส่วนตัว เช่น รหัสผ่าน เลขบัตรเครดิต หรือข้อมูลสำคัญอื่นๆ ซึ่งเป้าหมายของการโจมตีด้วย Phishing คือให้กรอกข้อมูลสำคัญ
เช่น ข้อมูลหมายเลขบัตรเครดิต หรือข้อมูลทางการเงินอื่นๆ โดยเราสามารถป้องกันได้ง่ายๆ คือ ไม่กรอกข้อมูลส่วนตัวผ่านทางอีเมลหรือเว็บไซต์ที่ไม่น่าเชื่อถือ ตรวจสอบ URL หรือที่มาของข้อความนั้นๆ อยู่เสมอ
2) Vishing คือหนึ่งในเทคนิคการโจมตีทางไซเบอร์ที่ใช้เสียงในการสื่อสาร โดยมักจะติดต่อผ่านโทรศัพท์เพื่อหลอกลวงผู้ใช้ให้ข้อมูลส่วนตัว หรือข้อมูลบัญชีที่สำคัญ เช่น หมายเลขบัตรเครดิต รหัส OTP หรือข้อมูลอื่นๆ เป็นต้น ที่เราคุ้นเคยเป็นอย่างดีคือแก๊งค์คอลเซนเตอร์ ซึ่งนำไปสู่การถูก Remote Access เป็นต้น
3) Smishing คือการใช้ข้อความที่ถูกส่งผ่าน SMS (Short Message Service) เพื่อหลอกลวงเหยื่อให้ข้อมูลส่วนตัว หรือคลิกลิงก์ที่อาจสร้างความเสี่ยงด้านความปลอดภัย
“ควรระวังไม่คลิกลิงค์ที่ดูไม่น่าเชื่อถือ ปัจจุบันธนาคารไม่มีนโยบายแนบลิงค์ผ่าน SMS หรือส่ง SMS ที่มีเนื้อหาให้กดแลกคะแนนด่วนเพื่อแลกของรางวัล เป็นต้น”
ภัย รีโมท คอนโทรล และคอลล์เซ็นเตอร์
นพรัตน์ สุริยา ผู้บริหารสูงสุด ฝ่ายป้องกันทุจริตบัตรเครดิตและร้านค้า เคทีซี กล่าวว่า “ปัจจุบันภัยไซเบอร์ที่เกิดจากการรีโมท คอนโทรล (Remote Control) ที่มิจฉาชีพหลอกให้กดลิงค์ดาวน์โหลดแอปพลิเคชัน เริ่มมีแนวโน้มลดลง แต่ การถูกแก๊งค์คอลเซ็นต์เตอร์หลอกให้โอนเงินโดยตรง กลับมีแนวโน้มที่สูงขึ้นและความเสียหายก็เพิ่มขึ้นอย่างต่อเนื่อง
โดยจะมุ่งเป้าไปที่กลุ่มผู้สูงอายุซึ่งเปราะบางและถูกหลอกได้ง่าย ใช้วิธีการล่อลวงเจ้าของบัญชีให้เกิดความหวาดกลัวว่ามีส่วนในการฟอกเงิน เช่น การแอบอ้างมาจากสถานีตำรวจภูธรต่างๆ หรือติดต่อจากสำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.) และมีพัสดุต้องสงสัยหรือถูกนำชื่อไปเปิดเบอร์โทรศัพท์มือถือที่พัวพันกับขบวนการฟอกเงิน เป็นต้น”
“กรณีรีโมท คอนโทรล ที่ผ่านมา มิจฉาชีพมักจะหลอกผู้เสียหายให้คลิกลิงค์และดาวน์โหลดแอปฯ ในระบบแอนดรอยด์ (Android) เป็นหลัก เพื่อจะเข้าควบคุมมือถือ (Remote Control) ในการเข้าถึงแอปพลิเคชันธนาคารต่างๆ แต่ปัจจุบันมิจฉาชีพสามารถหลอกลวงเหยื่อในระบบ iOS ผ่านโทรศัพท์มือถือ iPhone ได้เช่นกัน”
แนวทาง 5 ไม่ หลีกเลี่ยงมิจฉาชีพหลอกดูดเงิน
นพรัตน์ กล่าวว่า “การป้องกันไม่ให้ตกเป็นเหยื่อของมิจฉาชีพ ยังคงต้องย้ำว่า ควรเริ่มต้นที่ตัวเราทุกคนและสามารถป้องกันได้ง่ายๆ นั่นคือ
1) หากต้องการติดตั้งแอปพลิเคชันของบริษัทหรือหน่วยงานใดๆ ให้ติดตั้งเองผ่าน Official Store เท่านั้น ห้ามกดผ่านลิงค์เด็ดขาด เพราะแอปฯ ปลอมเหมือนจริงมาก
2) หากมีเจ้าหน้าที่ติดต่อมาให้กดลิงค์ดาวน์โหลดหรือติดตั้งแอปฯ และแจ้งว่าต้องทำตามขั้นตอน หรือแจ้งว่ามีส่วนเกี่ยวข้องกับกระบวนการฟอกเงินใดๆ ให้สงสัยว่าเป็นมิจฉาชีพ รวมถึงให้ติดต่อกลับไปยังหน่วยงานต้นสังกัดที่ติดต่อมาจากเบอร์โทรศัพท์หน้าเว็บไซต์ของหน่วยงานนั้นๆ เพื่อตรวจสอบและยืนยัน
3) หากผิดสังเกตว่าถูกรีโมท (Remote) หรือมีการลงแอปฯ ที่ต้องสงสัย ให้ตัดการเชื่อมต่อ พยายามปิดแอปฯ (Force Shutdown) และดำเนินการล้างเครื่องทันที (Factory Reset) เนื่องจากมีมัลแวร์ (Malware) แฝงอยู่ในเครื่อง ซึ่งผู้ทุจริตจะยังสามารถรีโมทต่อเมื่อไหร่ก็ได้
4) การตั้งรหัสแอปพลิเคชันของธนาคารต่างๆ ควรตั้งค่าให้แตกต่างกัน และแยกจากแอปฯ ประเภทอื่น
ยืนยันมาตรการความมั่นคงปลอดภัยข้อมูลขั้นสูง
ไรวิน เสริมว่า “เคทีซีให้ความสำคัญกับการศึกษาและพัฒนาระบบบริหารการป้องกันภัยทุจริตให้มีประสิทธิภาพอย่างต่อเนื่อง โดยเป็นสถาบันการเงินรายแรกในเอเชีย แปซิฟิก ที่ได้รับมาตรฐานสากลด้าน ความปลอดภัยของข้อมูลบัตรเครดิต (PCI DSS) จากสถาบันรับรองมาตรฐานแห่งชาติของประเทศอังกฤษ BSI (British Standards Institution) ที่เป็นมาตรฐานความปลอดภัยในการรับชำระค่าสินค้าและบริการด้วยบัตรเคทีซีครอบคลุมทั้งระบบ
“รวมถึง มาตรฐานการจัดการความปลอดภัยของข้อมูล ISO/IEC 27001: 2013 ที่เป็นมาตรฐานสากลสำหรับระบบจัดการความปลอดภัยของข้อมูล (Information Security Management System: ISMS) และ มาตรฐานการจัดการข้อมูลส่วนบุคคล ISO/IEC 27701: 2019 จากบริษัท บีเอสไอ กรุ๊ป (ประเทศไทย) จำกัด สถาบันรับรองมาตรฐานแห่งชาติของประเทศอังกฤษ”
ซึ่งการได้รับมาตรฐานสำคัญต่อเนื่องนี้ ช่วยตอกย้ำความเชื่อมั่นและเป็นเครื่องพิสูจน์ให้เห็นว่าเคทีซี เน้นความสำคัญกับระบบบริหารจัดการที่มีประสิทธิภาพ ในการปกป้องข้อมูลของลูกค้าและผู้มีส่วนได้เสียทุกภาคส่วนให้ปลอดภัยจากการเข้าถึงที่ไม่ได้รับอนุญาต ครอบคลุมทั้งศูนย์ข้อมูล และทุกกระบวนการทำงานของธุรกิจ บัตรเครดิต สินเชื่อบุคคลและการรับชำระเงิน
ทางเลือกความปลอดภัยของผูใช้บัตรเครดิต
“ปัจจุบันแนวโน้มการทุจริตจากธุรกรรมที่ไม่ใช้บัตร (card not present) หรือใช้โปรแกรมสุ่มเลขบัตรไปทำธุรกรรมการเงิน (Bin Attack) และการที่ข้อมูลรั่วไหล (Data Compromise) ยังสูงขึ้นอย่างต่อเนื่อง เคทีซีจึงได้ออกผลิตภัณฑ์ บัตรเครดิต เคทีซี ดิจิทัล (KTC Digital Credit Card) เพื่อยกระดับความปลอดภัยขั้นกว่าในการใช้บัตรเครดิตให้กับสมาชิกเคทีซี ซึ่งเป็นการป้องกันการทุจริตประเภท card not present หรือ Data Compromise”
“สำหรับสมาชิกเคทีซี เราให้ความสำคัญกับการรักษาความปลอดภัยของข้อมูลลูกค้า เพื่อให้สมาชิกทำธุรกรรมการเงินได้อย่างมั่นใจ ปลอดภัย และแน่นอนว่าการป้องกันภัยจากการทุจริตต่างๆ จะเกิดประสิทธิภาพดียิ่งขึ้น ถ้าสมาชิกสร้างภูมิคุ้มกันร่วมกับเคทีซี”
“แนะนำให้สมาชิกเพิ่มความปลอดภัยในการเข้าถึงข้อมูล ด้วยการดาวน์โหลดและใช้แอปฯ KTC Mobile ซึ่งมีฟังก์ชันที่ตอบโจทย์ความสะดวกในการใช้งานและฟังก์ชันป้องกันความปลอดภัย อาทิ ระบบตั้งเตือนการใช้จ่ายผ่านบัตรทุกรายการ กำหนดยอดใช้จ่ายที่ต้องการ ตั้งเตือนก่อนวันชำระ”
“รวมทั้งบริการที่ลูกค้าสามารถตั้งค่าทำรายการได้ด้วยตนเอง เช่น การอายัดบัตรชั่วคราว การกำหนดวงเงินและการขอวงเงินชั่วคราว นอกจากนี้ ยังอยากย้ำเตือนให้สมาชิกระมัดระวังการแจ้งรหัสให้กับบุคคลอื่น เพื่อลดความเสี่ยงในการทุจริตเข้าถึงบัญชี”
รวมถึงนพรัตน์ ยังได้ให้แนวทาง 5 ไม่ ที่จำง่ายและจะสามารถใช้เพื่อเตือนการรักษาความปลอดภัยจากภัยมิจฉาชีพ ที่ประกอบด้วย ไม่กดลิงก์, ไม่กรอกข้อมูลส่วนตัว, ไม่บอก OTP, ไม่โหลดแอปนอกสโตร์ และไม่แอดไลน์ จากคนหรือหน่วยงานที่ไม่มีความน่าเชื่อถือ หรือที่ยังไม่สามารถพิสูจน์ได้ว่าเป็นคนหรือองค์กรที่เรารู้จักอย่างแท้จริง
พบภัยแฮ็คเข้าเว็บไซต์คุกคามองค์ไทยมาอันดับหนึ่ง
พลอากาศตรี จเด็ด คูหะก้องกิจ ผู้ช่วยเลขาธิการ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติ (สกมช.) เผยว่า “สกมช. ในฐานะหน่วยงานหลักในการยกระดับการรักษาความมั่นคงปลอดภัยไซเบอร์ในภาพรวมให้กับประเทศไทย ได้มีการติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ที่อาจสร้างความเสียหายให้กับประเทศ”
“โดยแบ่งออกได้เป็น 2 กลุ่ม คือ กลุ่มที่ 1 ได้แก่ หน่วยงานของรัฐ รวมถึงหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และกลุ่มที่ 2 ได้แก่ คนไทยที่มีการใช้งานเทคโนโลยีสารสนเทศในชีวิตประจำวัน”
“โดยในกลุ่มที่ 1 พบว่าพ.ศ. 2566 ที่ผ่านมา มีการโจมตีทางไซเบอร์ต่อข้อมูลและระบบสารสนเทศของหน่วยงานของรัฐ รวมถึงหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ เป็นจำนวนทั้งสิ้น 1,808 เหตุการณ์ โดยอันดับ 1 ได้แก่ การแฮ็คเข้าเว็บไซต์ (Hacked Websites) คิดเป็น 59 เปอร์เซ็นต์”
“อันดับ 2 ได้แก่ เว็บไซต์ปลอม (Fake Websites) คิดเป็น 17 เปอร์เซ็นต์ และอันดับ 3 ได้แก่ การหลอกลวงการเงิน (Finance-related gambling) คิดเป็น 6 เปอร์เซ็นต์”
โดยมีสาเหตุหลักมาจากการขาดความเข้าใจในการออกแบบระบบสารสนเทศอย่างมั่นคงปลอดภัย (Secure software development) รวมถึงการขาดการป้องกันและเตรียมความพร้อมในการรับมือกับภัยคุกคามทางไซเบอร์ (Protection and incident response) อย่างถูกต้อง
“ในกลุ่มที่ 2 พบว่าในช่วง 1 ปีที่ผ่านมา มิจฉาชีพมีการปรับเปลี่ยนวิธีการหลอกลวงคนไทยอย่างต่อเนี่อง โดย สกมช. ได้มีการติดตามกลุ่มมิจฉาชีพที่มีการใช้โซเชียล มีเดีย เป็นสื่อกลางในการหลอกลวงคนไทย ได้แก่ การหลอกให้ลงทุน หลอกให้แจ้งความออนไลน์ การชักจูงให้เล่นการพนันออนไลน์ รวมถึงการหลอกลวงโดยอ้างว่าเป็นหน่วยงานหรือสถาบันการเงินด้วย”
ทำงานร่วมกับสถาบันการเงินปิดเว็บปลอมกว่า 700 รายการ
“ในส่วนของความร่วมมือระหว่างภาครัฐและสถาบันการเงินนั้น ตลอดปีที่ผ่านมา สกมช. ได้มีการทำงานอย่างใกล้ชิดกับสถาบันการเงินหลายแห่ง โดยได้แจ้งเตือนเกี่ยวกับการใช้เว็บไซต์ปลอมเป็นสถาบันการเงินเพื่อหลอกลวงคนไทย ควบคู่ไปกับการทำงานร่วมกับกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และผู้ให้บริการโดเมนเนม เพื่อจัดการกับเว็บไซต์ปลอมดังกล่าว มิให้สามารถใช้หลอกลวงคนไทยได้อีกต่อไป ซึ่งได้รับความร่วมมือจากทุกภาคส่วนเป็นอย่างดี”
ทำให้สามารถดำเนินการกับเว็บไซต์ปลอมได้มากกว่า 749 รายการ เนื่องจากมิจฉาชีพสามารถสร้างเว็บไซต์ปลอมขึ้นมาใหม่ได้อย่างรวดเร็ว จึงเป็นงานที่เราจะต้องติดตามและจัดการกับเว็บไซต์ปลอมดังกล่าวอย่างต่อเนื่อง ร่วมกับหน่วยงานพันธมิตร ควบคู่ไปกับการยกระดับการรักษาความมั่นคงปลอดภัย ไซเบอร์ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ให้กับสถาบันการเงิน
โดยทำงานร่วมกับ ธนาคารแห่งประเทศไทย (ธปท.) สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (กลต.), สมาคมธนาคารไทย (Thailand Banking Sector CERT) และ Thailand Telecommunication Sector CERT
โดย สกมช. จะเป็นหน่วยงานกลางที่จัดทำข้อกำหนดขั้นต่ำด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (National Cybersecurity Baseline) และหน่วยงานควบคุมหรือกำกับดูแล (Regulator) จะกำกับดูแลให้หน่วยงานภายใต้การกำกับดำเนินการตามข้อกำหนดขั้นต่ำดังกล่าว รวมถึงมีการฝึกซ้อมและตรวจประเมินทุกปี ให้กับหน่วยงานเหล่านั้นด้วย”
ฝากหลักการ 3 ไม่
“อยากฝากถึงคนไทยทุกคนในการป้องกันตนเองจากมิจฉาชีพและภัยไซเบอร์ ด้วยหลัก 3 ไม่ คือ ไม่เชื่อ ไม่ทำ ไม่โดน โดยเฉพาะในส่วนแรกคือ ต้องไม่เชื่อใครง่ายๆ เช่น ไม่เชื่อเรื่องการซื้อขายออนไลน์ที่ดีเกินจริงหรือถูกกว่าราคาตลาด ไม่เชื่อว่าจะมีบริษัทหลักทรัพย์ที่ให้ผลตอบแทนด้านการลงทุนที่สูงเกินจริง และไม่เชื่อว่าจะมีหน่วยงานใดติดต่อไปหาทางโทรศัพท์หรือแอดไลน์ เป็นต้น”
“ทั้งนี้ หากตกเป็นเหยื่อแล้ว ขอให้รีบติดต่อธนาคารเพื่ออายัดเงินเป็นลำดับแรก ก่อนจะติดต่อไปที่ศูนย์ปฏิบัติการแก้ไขปัญหาอาชญากรรมออนไลน์ (Anti Online Scam Operation Center : AOC) หรือ ศูนย์ AOC สายด่วน 1441 รวมทั้งหากพบการหลอกลวงออนไลน์ดังที่กล่าวมาแล้ว สามารถติดต่อ สกมช. ผ่านช่องทางต่างๆ ในเว็บไซต์ ncsa.or.th เพื่อร่วมกันจัดการกับมิจฉาชีพต่อไป”
KTC FIT Talk ครั้งที่ 12 อนาคตภัยไซเบอร์ กับอนาคตการป้องปราม