วันศุกร์, พฤศจิกายน 22, 2024
Home > New&Trend > “ไม่เชื่อ ไม่ทำ ไม่โดน” อนาคตภัยไซเบอร์ กับอนาคตการป้องปราบ

“ไม่เชื่อ ไม่ทำ ไม่โดน” อนาคตภัยไซเบอร์ กับอนาคตการป้องปราบ

ในแต่ละวันมักมีข่าวคราวเกี่ยวกับภัยไซเบอร์ หรือแก๊งค์คอลเซ็นเตอร์ปรากฏตามหน้าสื่อออกมาให้เห็นกันอยู่เรื่อยๆ และนับวันบรรดามิจฉาชีพเหล่านั้นก็ปรับเปลี่ยนรูปแบบในการหลอกลวงให้พลิกแพลงมากขึ้นเรื่อยๆ เช่นกัน ในขณะที่จำนวนผู้เสียหายและมูลค่าความเสียหายก็เพิ่มเป็นเงาตามตัว ซึ่งนี่ถือเป็นภัยคุมคามต่อทรัพย์สินของประชาชนที่กำลังทวีความรุนแรงมากขึ้น

ล่าสุด บริษัท บัตรกรุงไทย จำกัด (มหาชน) หรือ “เคทีซี” ในฐานะสถาบันการเงิน ผนึกกำลัง สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เปิดเวทีเสวนา KTC FIT Talk #12 เตือนภัยไซเบอร์รูปแบบใหม่ “อนาคตภัยไซเบอร์ กับอนาคตการป้องปราบ” สร้างการตระหนักรู้-รับมือ-ไม่ตกเป็นเหยื่อ เพื่อติดอาวุธทางความคิดให้คนไทยตั้งสติ รับมือกับความเสี่ยงก่อนทำธุรกรรมการเงินบนโลกออนไลน์ โดยเฉพาะกลุ่มเปราะบางในผู้สูงอายุ พร้อมเผยกลโกงมิจฉาชีพรูปแบบใหม่ พร้อมแนะวิธีสังเกต เทคนิคป้องกันไม่ให้ตกเป็นเหยื่อและการแก้ไข

โดยนายไรวินทร์  วรวงษ์สถิตย์ ผู้บริหารสูงสุด สายงานควบคุมงานปฏิบัติการและปฏิบัติการร้านค้า “เคทีซี” หรือ บริษัท บัตรกรุงไทย จำกัด (มหาชน) เปิดเผยว่า ปัจจุบันภัยไซเบอร์เป็นภัยใกล้ตัวและลุกลามเข้าถึงกลุ่มเปราะบางมากขึ้น โดยใช้ความหวาดกลัวในการล่อลวง ซึ่งสร้างความเสียหายไปแล้วกว่า 63,000 ล้านบาท การเตรียมตัวและการป้องกันภัยด้านไซเบอร์ในวันนี้ จึงเป็นสิ่งสำคัญที่ทุกคนทุกกลุ่มต้องเรียนรู้อย่างเท่าทัน เพื่อลดความเสียหายที่อาจเกิดขึ้นต่อตนเองและคนรอบข้าง

รูปแบบของภัยไซเบอร์ที่ทวีความรุนแรงขึ้นในปัจจุบันคือ Social Engineering รูปแบบต่างๆ  และ Remote Control ซึ่งปัจจุบันสามารถเข้าถึงระบบไอโอเอส (iOS) ได้เช่นเดียวกับแอนดรอยด์ (Android)  และแนวโน้มในการหลอกโอนเงินมีความเสียหายที่สูงกว่าเคส Remote Control โดยมิจฉาชีพจะมุ่งเป้าไปที่กลุ่มผู้สูงอายุ

ภัยจาก Social Engineering เป็นวิธีการโจมตีทางไซเบอร์ที่มุ่งหวังให้เหยื่อทำตามคำสั่งของผู้โจมตี โดยใช้เทคนิคการหลอกลวงในรูปแบบต่างๆ ตัวอย่างของเทคนิค Social Engineering ที่พบมากที่สุดในปัจจุบันคือ

1. Phishing คือการส่งอีเมลปลอมเพื่อหลอกให้ผู้รับกดลิงค์ ใช้เทคนิคหลอกลวงเหยื่อเพื่อขอข้อมูลส่วนตัว เช่น รหัสผ่าน เลขบัตรเครดิต หรือข้อมูลสำคัญอื่นๆ ซึ่งเป้าหมายของการโจมตีด้วย Phishing คือให้กรอกข้อมูลสำคัญ เช่น ข้อมูลหมายเลขบัตรเครดิต หรือข้อมูลทางการเงินอื่นๆ โดยเราสามารถป้องกันได้ง่ายๆ คือ ไม่กรอกข้อมูลส่วนตัวผ่านทางอีเมลหรือเว็บไซต์ที่ไม่น่าเชื่อถือ ตรวจสอบ URL หรือที่มาของข้อความนั้นๆ อยู่เสมอ

2. Vishing คือหนึ่งในเทคนิคการโจมตีทางไซเบอร์ที่ใช้เสียงในการสื่อสาร โดยมักจะติดต่อผ่านโทรศัพท์เพื่อหลอกลวงผู้ใช้ให้ข้อมูลส่วนตัว หรือข้อมูลบัญชีที่สำคัญ เช่น หมายเลขบัตรเครดิต รหัส OTP หรือข้อมูลอื่นๆ เป็นต้น ที่เราคุ้นเคยเป็นอย่างดีคือแก๊งค์คอลเซนเตอร์ ซึ่งนำไปสู่การถูก Remote Access เป็นต้น

3. Smishing คือการใช้ข้อความที่ถูกส่งผ่าน SMS (Short Message Service) เพื่อหลอกลวงเหยื่อให้ข้อมูลส่วนตัว หรือคลิกลิงก์ที่อาจสร้างความเสี่ยงด้านความปลอดภัย ควรระวังไม่คลิกลิงค์ที่ดูไม่น่าเชื่อถือ ปัจจุบันธนาคารไม่มีนโยบายแนบลิงค์ผ่าน SMS หรือส่ง SMS ที่มีเนื้อหาให้กดแลกคะแนนด่วนเพื่อแลกของรางวัล เป็นต้น

4. Call Center แก๊งค์คอลเซ็นเตอร์ที่กำลังระบาดหนัก โดยมุ่งเป้าสู่ผู้สูงอายุ และมุขต่างๆ ที่แก๊งค์คอลเซ็นเตอร์มักใช้คือ หลอกให้ซื้อของออนไลน์, หลอกให้รับงานไปทำที่บ้าน, หลอกให้กู้เงิน, แก๊งค์คอลเซ็นเตอร์ เช่น ปป. ตำรวจ สภอ. ต่างๆ, หลอกให้ลงทุนในหุ้น, ปลอมเป็นคนรู้จักขอเงินออนไลน์, หลอกให้ติดตั้งโปรแกรมดูดเงิน, ขอคืนค่ามิเตอร์น้ำไฟ เป็นต้น

อีกทั้งปัจจุบันแนวโน้มการทุจริตจากธุรกรรมที่ไม่ใช้บัตร (card not present) หรือใช้โปรแกรมสุ่มเลขบัตรไปทำธุรกรรมการเงิน (Bin Attack) และการที่ข้อมูลรั่วไหล (Data Compromise) ยังสูงขึ้นอย่างต่อเนื่อง เคทีซีจึงได้ออกผลิตภัณฑ์ “บัตรเครดิต เคทีซี ดิจิทัล” (KTC Digital Credit Card) เพื่อยกระดับความปลอดภัยขั้นกว่าในการใช้บัตรเครดิตให้กับสมาชิกเคทีซี ซึ่งเป็นการป้องกันการทุจริตประเภท card not present หรือ Data Compromise

โดยเคทีซีเป็นสถาบันการเงินรายแรกในเอเชีย แปซิฟิก ที่ได้รับมาตรฐานสากลด้านความปลอดภัยของข้อมูลบัตรเครดิต (PCI DSS) จากสถาบันรับรองมาตรฐานแห่งชาติของประเทศอังกฤษ BSI (British Standards Institution)

ด้านนายนพรัตน์ สุริยา ผู้บริหารสูงสุด ฝ่ายป้องกันทุจริตบัตรเครดิตและร้านค้า “เคทีซี” กล่าวว่า ปัจจุบันภัยไซเบอร์ที่เกิดจากการรีโมท คอนโทรล (Remote Control) ที่มิจฉาชีพหลอกให้กดลิงค์ดาวน์โหลดแอปพลิเคชัน เริ่มมีแนวโน้มลดลง แต่การถูกแก๊งค์คอลเซ็นต์เตอร์หลอกให้โอนเงินโดยตรง กลับมีแนวโน้มที่สูงขึ้นและความเสียหายก็เพิ่มขึ้นอย่างต่อเนื่อง โดยจะมุ่งเป้าไปที่กลุ่มผู้สูงอายุซึ่งเปราะบางและถูกหลอกได้ง่าย ใช้วิธีการล่อลวงเจ้าของบัญชีให้เกิดความหวาดกลัวว่ามีส่วนในการฟอกเงินโดยแอบอ้างมาจากสถานีตำรวจภูธร (สภอ.) ต่างๆ หรือติดต่อจากสำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.) และมีพัสดุต้องสงสัยหรือถูกนำชื่อไปเปิดเบอร์โทรศัพท์มือถือที่พัวพันกับขบวนการฟอกเงิน เป็นต้น

“กรณีรีโมท คอนโทรล ที่ผ่านมา มิจฉาชีพมักจะหลอกผู้เสียหายให้คลิกลิงค์และดาวน์โหลดแอปฯ ในระบบแอนดรอยด์ (Android) เป็นหลัก เพื่อจะเข้าควบคุมมือถือ (Remote Control) ในการเข้าถึงแอปพลิเคชันธนาคารต่างๆ แต่ปัจจุบันมิจฉาชีพสามารถหลอกลวงเหยื่อในระบบ iOS ผ่านโทรศัพท์มือถือ iPhone ได้เช่นกัน”

การป้องกันไม่ให้ตกเป็นเหยื่อของมิจฉาชีพ

สำหรับการป้องกันไม่ให้ตกเป็นเหยื่อของมิจฉาชีพนั้น ควรเริ่มต้นที่ตัวเราทุกคนและสามารถป้องกันได้ง่ายๆ  ดังนี้

1. หากต้องการติดตั้งแอปพลิเคชันของบริษัทหรือหน่วยงานใดๆ ให้ติดตั้งเองผ่าน Official Store เท่านั้น ห้ามกดผ่านลิงค์เด็ดขาด เพราะแอปฯ ปลอมเหมือนจริงมาก

2. หากมีเจ้าหน้าที่ติดต่อมาให้กดลิงค์ดาวน์โหลดหรือติดตั้งแอปฯ และแจ้งว่าต้องทำตามขั้นตอน หรือแจ้งว่ามีส่วนเกี่ยวข้องกับกระบวนการฟอกเงินใดๆ ให้สงสัยว่าเป็นมิจฉาชีพ รวมถึงให้ติดต่อกลับไปยังหน่วยงานต้นสังกัดที่ติดต่อมาจากเบอร์โทรศัพท์หน้าเว็บไซต์ของหน่วยงานนั้นๆ เพื่อตรวจสอบและยืนยัน

3. หากผิดสังเกตว่าถูกรีโมท (Remote) หรือมีการลงแอปฯ ที่ต้องสงสัย ให้ตัดการเชื่อมต่อ พยายามปิดแอปฯ (Force Shutdown) และดำเนินการล้างเครื่องทันที (Factory Reset) เนื่องจากมีมัลแวร์ (Malware) แฝงอยู่ในเครื่อง ซึ่งผู้ทุจริตจะยังสามารถรีโมทต่อเมื่อไหร่ก็ได้

4. การตั้งรหัสแอปพลิเคชันของธนาคารต่างๆ ควรตั้งค่าให้แตกต่างกัน และแยกจากแอปฯ ประเภทอื่น”

“สำหรับสมาชิกเคทีซี เราให้ความสำคัญกับการรักษาความปลอดภัยของข้อมูลลูกค้า เพื่อให้สมาชิกทำธุรกรรมการเงินได้อย่างมั่นใจ ปลอดภัย และแน่นอนว่าการป้องกันภัยจากการทุจริตต่างๆ จะเกิดประสิทธิภาพดียิ่งขึ้น ถ้าสมาชิกสร้างภูมิคุ้มกันร่วมกับเคทีซี แนะนำให้สมาชิกเพิ่มความปลอดภัยในการเข้าถึงข้อมูล ด้วยการดาวน์โหลดและใช้แอปฯ “KTC Mobile” ซึ่งมีฟังก์ชันที่ตอบโจทย์ความสะดวกในการใช้งานและฟังก์ชันป้องกันความปลอดภัย อาทิ ระบบตั้งเตือนการใช้จ่ายผ่านบัตรทุกรายการ  กำหนดยอดใช้จ่ายที่ต้องการ ตั้งเตือนก่อนวันชำระ รวมทั้งบริการที่ลูกค้าสามารถตั้งค่าทำรายการได้ด้วยตนเอง เช่น การอายัดบัตรชั่วคราว การกำหนดวงเงินและการขอวงเงินชั่วคราว นอกจากนี้ ยังอยากย้ำเตือนให้สมาชิกระมัดระวังการแจ้งรหัสให้กับบุคคลอื่น เพื่อลดความเสี่ยงในการทุจริตเข้าถึงบัญชี”

ในส่วนของพลอากาศตรี จเด็ด  คูหะก้องกิจ  ผู้ช่วยเลขาธิการ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เผยว่า สกมช. ในฐานะหน่วยงานหลักในการยกระดับการรักษาความมั่นคงปลอดภัยไซเบอร์ในภาพรวมให้กับประเทศไทย ได้มีการติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ที่อาจสร้างความเสียหายให้กับประเทศ โดยแบ่งออกได้เป็น 2 กลุ่ม คือ กลุ่มที่ 1 ได้แก่ หน่วยงานของรัฐ รวมถึงหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และกลุ่มที่ 2 ได้แก่ คนไทยที่มีการใช้งานเทคโนโลยีสารสนเทศในชีวิตประจำวัน

กลุ่มที่ 1 หน่วยงานของรัฐ พบว่าพ.ศ. 2566 ที่ผ่านมา มีการโจมตีทางไซเบอร์ต่อข้อมูลและระบบสารสนเทศของหน่วยงานของรัฐ รวมถึงหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ เป็นจำนวนทั้งสิ้น 1,808 เหตุการณ์ โดยอันดับ 1 ได้แก่ การแฮ็คเข้าเว็บไซต์ (Hacked Websites) คิดเป็น 59 เปอร์เซ็นต์ อันดับ 2 ได้แก่ เว็บไซต์ปลอม (Fake Websites) คิดเป็น 17 เปอร์เซ็นต์ และอันดับ 3 ได้แก่ การหลอกลวงการเงิน (Finance-related gambling) คิดเป็น 6 เปอร์เซ็นต์ โดยมีสาเหตุหลักมาจากการขาดความเข้าใจในการออกแบบระบบสารสนเทศอย่างมั่นคงปลอดภัย (Secure software development) รวมถึงการขาดการป้องกันและเตรียมความพร้อมในการรับมือกับภัยคุกคามทางไซเบอร์ (Protection and incident response) อย่างถูกต้อง

กลุ่มที่ 2 คนไทยที่มีการใช้งานเทคโนโลยีสารสนเทศในชีวิตประจำวัน พบว่าในช่วง 1 ปีที่ผ่านมา มิจฉาชีพมีการปรับเปลี่ยนวิธีการหลอกลวงคนไทยอย่างต่อเนี่อง โดย สกมช. ได้มีการติดตามกลุ่มมิจฉาชีพที่มีการใช้โซเชียล มีเดีย เป็นสื่อกลางในการหลอกลวงคนไทย ได้แก่ การหลอกให้ลงทุน หลอกให้แจ้งความออนไลน์ การชักจูงให้เล่นการพนันออนไลน์ รวมถึงการหลอกลวงโดยอ้างว่าเป็นหน่วยงานหรือสถาบันการเงินด้วย ทั้งนี้ สกมช. ได้มีการทำงานเชิงรุกร่วมกับแพลทฟอร์มโซเชียล มีเดียหลายราย รวมถึงได้รับการสนับสนุนจากกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม สำนักงานตำรวจแห่งชาติและผู้ให้บริการโทรคมนาคมมาโดยตลอด ทำให้สามารถปิดกั้นกลุ่มมิจฉาชีพดังกล่าวได้เพิ่มมากขึ้นอย่างมีนัยยะสำคัญ

ในส่วนของความร่วมมือระหว่างภาครัฐและสถาบันการเงินนั้น ตลอดปีที่ผ่านมา สกมช. ได้มีการทำงานอย่างใกล้ชิดกับสถาบันการเงินหลายแห่ง โดยได้แจ้งเตือนเกี่ยวกับการใช้เว็บไซต์ปลอมเป็นสถาบันการเงินเพื่อหลอกลวงคนไทย ควบคู่ไปกับการทำงานร่วมกับกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และผู้ให้บริการโดเมนเนม เพื่อจัดการกับเว็บไซต์ปลอมดังกล่าว มิให้สามารถใช้หลอกลวงคนไทยได้อีกต่อไป ซึ่งได้รับความร่วมมือจากทุกภาคส่วนเป็นอย่างดี ทำให้สามารถดำเนินการกับเว็บไซต์ปลอมได้มากกว่า 749 รายการ

“ไม่เชื่อ ไม่ทำ ไม่โดน” ป้องกันตนเองจากภัยไซเบอร์

นอกจากนี้พลอากาศตรี จเด็ด  ยังได้ฝากถึงคนไทยทุกคนในการป้องกันตนเองจากมิจฉาชีพและภัยไซเบอร์ ด้วยหลัก 3 ไม่ คือ “ไม่เชื่อ ไม่ทำ ไม่โดน”

โดยเฉพาะในส่วนแรกคือ ต้องไม่เชื่อใครง่ายๆ เช่น ไม่เชื่อเรื่องการซื้อขายออนไลน์ที่ดีเกินจริงหรือถูกกว่าราคาตลาด ไม่เชื่อว่าจะมีบริษัทหลักทรัพย์ที่ให้ผลตอบแทนด้านการลงทุนที่สูงเกินจริง และไม่เชื่อว่าจะมีหน่วยงานใดติดต่อไปหาทางโทรศัพท์หรือแอดไลน์ เป็นต้น

ทั้งนี้ หากตกเป็นเหยื่อแล้ว ขอให้รีบติดต่อธนาคารเพื่ออายัดเงินเป็นลำดับแรก ก่อนจะติดต่อไปที่ศูนย์ปฏิบัติการแก้ไขปัญหาอาชญากรรมออนไลน์ (Anti Online Scam Operation Center : AOC) หรือ ศูนย์ AOC สายด่วน 1441 รวมทั้งหากพบการหลอกลวงออนไลน์ดังที่กล่าวมาแล้ว สามารถติดต่อ สกมช. ผ่านช่องทางต่างๆ ในเว็บไซต์ ncsa.or.th เพื่อร่วมกันจัดการกับมิจฉาชีพต่อไป