รู้ทันมิจฉาชีพออนไลน์ เงินไม่ถูกดูด-ช็อปปิ้งสบายใจ

ในยุคโลกดิจิทัลที่เต็มไปด้วยความสะดวกสบาย บางครั้งสิ่งที่ต้องจ่ายคือภัยอันตรายที่เกิดขึ้นอย่างง่ายดายและรวดเร็ว จากกลอุบายล่อลวงสุดแสนจะลึกล้ำ แนบเนียน และยากที่จะรู้เท่าทัน

ยกตัวอย่างกรณีล่าสุด เมื่อมีประชาชนจำนวนไม่น้อยถูกสูบเงินออกจากบัญชีบัตรเดบิตและเครดิต ยอดถอนเงินอยู่ที่ 37 บาท หรือ 41 บาท โดยถอนเท่ากัน รัวๆ ติดกัน 20-40 รายการ ร้อนถึงธนาคารแห่งประเทศไทย (ธปท.) ต้องเรียกผู้บริหารธนาคารพาณิชย์และสมาคมธนาคารไทยประชุมด่วน พร้อมเร่งตรวจสอบความผิดปกติของธุรกรรมการเงิน ซึ่งท้ายที่สุดพบว่า ถูกมิจฉาชีพสุ่มยิงข้อมูลบัตรเดบิตและบัตรเครดิตที่นำไปซื้อสินค้ากับร้านค้าออนไลน์ต่างประเทศ โดยเป็นรายการที่ไม่ใช้ One Time Password (OTP)

สรุปความเสียหาย นับจากวันที่ 1-17 ต.ค.64 มีบัตรที่ได้รับผลกระทบ จำนวน 10,700 ใบ มูลค่าความเสียหาย 130 ล้านบาท แบ่งเป็นบัตรเครดิต 5,900 ใบ ความเสียหาย 100 ล้านบาท และบัตรเดบิต 4,800 ใบ ความเสียหาย 30 ล้านบาท โดยระหว่างวันที่ 14-17 ต.ค.64 พบการใช้งานบัตรเดบิตมีความผิดปกติสูงมาก

โดยทั้ง ธปท. สมาคมธนาคารไทย และธนาคารพาณิชย์ ต่างช่วยกันยืนยันว่า เหตุการณ์ในครั้งนี้ไม่ได้เกิดจากการถูกแฮกเกอร์เจาะระบบ หรือระบบข้อมูลธนาคารรั่วไหล!!!

และให้ความเชื่อมั่นว่า ลูกค้าที่ได้รับผลกระทบ กรณีบัตรเดบิตจะคืนเงินเข้าบัญชีภายใน 5 วันทำการ ส่วนบัตรเครดิตสามารถยกเลิกรายการที่ผิดปกติ ไม่เรียกเก็บเงินจากลูกค้า และออกบัตรใหม่โดยไม่ต้องเสียค่าธรรมเนียม

ธปท.และสมาคมธนาคารไทย ยังได้ร่วมกันกำหนดมาตรการเพิ่มเติมเพื่อป้องกัน สั่งยกระดับความเข้มข้นในการตรวจจับธุรกรรมที่ผิดปกติ ให้ครอบคลุมทั้งธุรกรรมที่มีจำนวนเงินต่ำและที่มีความถี่สูง

หากพบความผิดปกติจะระงับการใช้บัตรทันทีและเพิ่มการแจ้งเตือนลูกค้าในการทำธุรกรรมทุกรายการ ผ่านช่องทางต่างๆ เช่น ระบบ Mobile banking อีเมล หรือ SMS

ในยุคที่ผู้คนใช้เวลาอยู่ในโลกออนไลน์เกือบจะครึ่งค่อนวัน วิวัฒนาการของมิจฉาชีพในยุคดิจิทัลไปถึงไหนกันแล้ว มีวิธีการทุจริตและแนวทางป้องกันอย่างไร ขณะที่ระบบธนาคารมีมาตรการรับมือกับความรับผิดชอบต่อความเสียหายเหล่านี้อย่างไร เชิญติดตามรายงานของ “ทีมเศรษฐกิจ” ดังต่อไปนี้

มิจฉาชีพล้ำหน้าใช้หุ่นยนต์ล้วงข้อมูล

จากกรณีทุจริตล่าสุด มิจฉาชีพใช้หุ่นยนต์ (Robot) หรือโปรแกรมอัตโนมัติ สุ่มข้อมูลบัตรเครดิต ประกอบไปด้วยเลขหน้าบัตร 16 หลัก วันหมดอายุ และรหัส Card Verification Value Code (CVV) 3 หลัก โดยเริ่มจากการใช้เลขหน้าบัตรเครดิต 6 หลักแรก ซึ่งเป็นเลขรหัสของผู้ให้บริการ ธนาคารพาณิชย์ หรือผู้ออกบัตร ซึ่งเป็นข้อมูลที่หาได้ทั่วไป จากการกรอกข้อมูลบัตรเครดิตเพื่อซื้อสินค้าออนไลน์ หรือใช้บัตรเพื่อรูดใช้จ่ายตามห้าง ร้านค้า ร้านอาหาร

เริ่มต้น มิจฉาชีพจะใช้เลข 6 หลักแรกเป็นฐาน จากนั้นจะใช้ Robot สุ่มยิงเลขบัตร 10 ตัวหลัง วันหมดอายุ และรหัส CVV เพื่อให้ได้ชุดตัวเลขดังกล่าวได้ครบ โดย Robot จะทำงานได้เร็วมาก ใช้เวลาไม่นาน ก็ได้หมายเลขบัตร วันหมดอายุ และรหัส CVV จากนั้นจะทดลองซื้อสินค้าผ่านออนไลน์ในวงเงินน้อยๆ เช่น 1 ดอลลาร์สหรัฐฯ เพื่อหลบเลี่ยงไม่ให้เป็นจุดสนใจของธนาคารหรือผู้ออกบัตร

เมื่อสุ่มพบบัญชีที่ใช้งานได้จริง มิจฉาชีพจะนำข้อมูลบัตรที่ได้ ไปซื้อสินค้าออนไลน์ในวงเงินที่สูงขึ้นหรือรวบรวมข้อมูลบัตรให้ได้จำนวนมาก แล้วนำไปขายในตลาดมืด คนที่ซื้อข้อมูลบัตรจะนำไปกระทำทุจริตอีกทอดหนึ่ง

ส่วนในฝั่งของบัตรเดบิต การใช้ Robot มีกระบวนการทำเหมือนกับบัตรเครดิต โดยบัตรเดบิตมีเลขหน้าบัตรอยู่ 12 หลักและวันหมดอายุ เลข 12 หลักดังกล่าว แบ่งเป็น 6 หลักแรก เป็นรหัสของธนาคารพาณิชย์หรือผู้ออกบัตรเช่นกัน โดยมิจฉาชีพจะยึดเลข 6 หลักแรกเป็นฐาน จากนั้นจะใช้ Robot สุ่มหาตัวเลขบัตรเดบิต 6 ตัวหลังและวันหมดอายุ แล้วทดลองว่าเป็นบัตรที่ใช้งานได้จริงด้วยการซื้อสินค้าออนไลน์วงเงินน้อยๆ หรือ 1 ดอลลาร์สหรัฐฯ เช่นกัน

จากการตรวจสอบข้อมูล พบว่าการกระทำทุจริตด้วยการใช้ Robot เกิดขึ้นมาระยะหนึ่งแล้ว เริ่มแรกมิจฉาชีพเน้นไปที่บัตรเครดิต เมื่อสามารถล้วงข้อมูลบัตรได้สำเร็จ จะนำไปซื้อสินค้าออนไลน์ในวงเงินที่สูง เพียงแต่ธนาคารและผู้ให้บริการบัตรเครดิต มีทีมงานตรวจสอบข้อมูลการชำระเงินอย่างใกล้ชิด หรือทำงานตรวจสอบกันตลอด 24 ชั่วโมง เมื่อเจอความผิดปกติ จะแชร์ข้อมูลระหว่างกัน

เมื่อพบว่ามีการใช้บัตรเครดิตผิดปกติ มีการใช้จ่ายในต่างประเทศวงเงินสูง ใช้จ่ายในร้านค้าหรือประเทศที่อยู่ในแบล็กลิสต์ว่าเคยทุจริต เจ้าหน้าที่ธนาคารจะโทรศัพท์สอบถามลูกค้าทันทีว่ามีการใช้จ่ายหรือไม่ หากลูกค้ายืนยันไม่ได้มีการใช้จ่าย ธนาคารจะยกเลิกรายการใช้จ่ายดังกล่าวทันที ไม่มีการเรียกเก็บจากลูกค้าและออกบัตรเครดิตใบใหม่ทดแทนให้

นอกจากนั้น ธนาคารยังมีมาตรการเพิ่มเติมสำหรับการใช้บัตรเครดิตซื้อสินค้าออนไลน์ในวงเงินน้อยๆ หรือ 1 ดอลลาร์สหรัฐฯ ถี่ๆติดกันหลายรายการ โดยล็อกไว้ที่ 3 หรือ 5 รายการติดต่อกัน หากมีรายการใช้จ่ายมากกว่าที่กำหนดไว้ ระบบจะปฏิเสธการจ่ายเงินทันที พร้อมติดต่อไปหาลูกค้าว่ามีการใช้จ่ายจริงหรือไม่ หากลูกค้าปฏิเสธ ก็เข้าสู่กระบวนการของบัตรถูกทุจริต เริ่มจากสั่งยกเลิกบัตร ยกเลิกรายการ ไม่เรียกเก็บเงิน และออกบัตรเครดิตใบใหม่ทดแทน

จุดอ่อนบัตรเดบิตถูกพุ่งเป้าโจมตี

มาดูฝั่งของบัตรเดบิตซึ่งเป็นบัตรเงินสด ซึ่งความเสียหายจากการทุจริตจะเกิดขึ้นทันที เพราะเมื่อใช้บัตรเดบิตชำระค่าสินค้า ระบบจะตัดเงินในบัญชีทันที แต่หากลูกค้าปฏิเสธไม่ได้ใช้ หรือเป็นรายการที่เกิดจากการทุจริต ต้องใช้เวลาในการตรวจสอบและคืนเงินเข้าบัญชี ปกติใช้เวลาประมาณ 14 วัน

หากมองย้อนกลับไปในอดีต การใช้บัตรเดบิตชำระค่าสินค้าออนไลน์มีจำนวนน้อยมาก ส่วนใหญ่เป็นการใช้บัตรเดบิตถอนเงินสดจากตู้เอทีเอ็ม การใช้จ่ายบัตรเดบิตในโลกออนไลน์ เริ่มเติบโตก้าวกระโดดในช่วง 1-2 ปีที่ผ่านมา ซึ่งเป็นไปตามการเติบโตของอีคอมเมิร์ซ

เดิมกลุ่มที่ใช้บัตรเดบิตจะเป็นเด็กๆ ที่ไม่สามารถทำบัตรเครดิตได้ ต้องใช้บัตรเดบิตซื้อสินค้าออนไลน์ เช่น ซื้อเกมหรือสติกเกอร์ เป็นการทำรายการใช้จ่ายเล็กๆ มูลค่า 1 หรือ 2 ดอลลาร์สหรัฐฯ แต่ซื้อถี่เพราะต้องเติมชั่วโมงเกมหรือซื้อไอเท็ม พฤติกรรมของผู้ใช้บัตรเดบิต ทำให้ธนาคารพาณิชย์ไม่ได้ตรวจสอบการใช้งานเข้มข้น โดยอาจตรวจสอบความผิดปกติของธุรกรรมเพียงวันละครั้ง

ดังนั้นการใช้จ่ายที่วงเงินน้อยๆ จึงถูกละเลย เน้นให้โปรแกรมตรวจสอบแจ้งเตือน เฉพาะรายการที่มีวงเงินใช้จ่ายสูง จุดนี้จึงเป็นช่องว่างให้ Robot สุ่มยิงหาข้อมูลตัวเลขหน้าบัตรและวันหมดอายุ ใช้วิธีเดียวกับบัตรเครดิต เมื่อได้ข้อมูลบัตรเดบิต ก็นำไปใช้จ่าย
ซื้อสินค้าออนไลน์ในวงเงินที่สูง และอีกส่วนหนึ่งใช้ Robot สั่งซื้อเกมและไอเท็ม ราคา 1 ดอลลาร์สหรัฐฯ ติดต่อกัน 20-40 รายการ พร้อมนำเกมและไอเท็มที่ซื้อมา นำไปขายต่อในตลาดมืดอีกทอดหนึ่ง

โดยนอกเหนือจากการใช้ Robot ที่เกิดขึ้นล่าสุด เล่ห์กลของเหล่ามิจฉาชีพออนไลน์ยังมีตั้งแต่ 1.กรณีลูกค้าของธนาคาร ผูกบัญชีบัตรเครดิต บัตรเดบิต หรือบัญชีธนาคาร เข้ากับแอปพลิเคชันต่างๆ เช่น แอปพลิเคชันออนไลน์ แก๊งมิจฉาชีพจะเจาะเข้าระบบของแพลตฟอร์มเหล่านั้น เพื่อดูดข้อมูล เลขบัตร วันหมดอายุ และเลข CVV 3 หลัก

2.การส่ง SMS หลอกลวง พร้อมแนบลิงก์ โดยข้อความ SMS มีเนื้อหา เช่น ปล่อยเงินกู้ 200,000 บาท ธนาคารแห่งประเทศไทย, ปล่อยเงินกู้ ไปรษณีย์ไทย, เงินโอนเข้าบัญชีแล้ว 1,000 บาท เป็นต้น เมื่อผู้เสียหายหลงกล อยากได้เงินและกดเข้าลิงก์ ก็จะมีเงื่อนไขให้กรอกข้อมูลส่วนตัว ข้อมูลบัตรประชาชน ข้อมูลบัตรเดบิต เลขบัตร วันหมดอายุ และเลข CVV 3 หลัก และ OTP เป็นต้น ซึ่งเป็นเหตุให้เสียทรัพย์สินในที่สุด

3.การใช้บัตรเครดิตและบัตรเดบิตในชีวิตประจำวัน เช่น การให้บัตรพนักงานไปชำระค่าสินค้าและบริการในห้าง หรือการเติมน้ำมัน อาจถูกพนักงานเก็บข้อมูลเลขหน้าบัตร 16 หลัก และเลข CVV หลังบัตร 3 ตัว ซึ่งคนร้ายอาจมีการเก็บข้อมูลและขายต่อในตลาดมืด

กฎวีซ่าร้านค้ารับผิดชอบค่าเสียหาย

ส่วนเมื่อพูดถึงความรับผิดชอบต่อความเสียหายในการกระทำทุจริตดังกล่าว ตามกฎเกณฑ์ของวีซ่า ส่วนใหญ่เน้นคุ้มครองธนาคารหรือผู้ออกบัตร ส่วนร้านค้าผู้รับบัตรเป็นผู้เลือกความเสี่ยงต่อความรับผิดชอบ หากร้านค้าเลือกให้ลูกค้าชำระเงิน ใช้เพียงข้อมูลเลขหน้าบัตร วันหมดอายุ และรหัส CVV เมื่อเกิดทุจริตร้านค้าผู้รับบัตร ต้องเป็นผู้รับผิดชอบความเสียหาย

แต่หากร้านค้าเลือกการชำระเงินที่มีมาตรฐานความปลอดภัยสูงสุด กำหนดให้การชำระเงินต้องยืนยันตัวตน ต้องใช้รหัส OTP เมื่อเกิดการทุจริต กรณีนี้ร้านค้าไม่ต้องรับผิดชอบความเสียหาย โดยกรณีนี้ธนาคารจะตรวจสอบเพิ่มเติมว่าลูกค้าประมาทเลินเล่อเอง
หรือไม่ อย่างไร

ส่วนความรับผิดชอบของธนาคารพาณิชย์หรือผู้ออกบัตร เวลาเกิดรายการที่ทุจริต เมื่อยื่นเรื่องไปยังวีซ่าที่เป็นตัวกลาง จะถูกเรียกเก็บค่าธรรมเนียม (Fee) รายการละ 5 ดอลลาร์สหรัฐฯ และหากเงินที่ถูกกระทำทุจริตถูกจ่ายให้กับร้านค้าผู้รับบัตรที่เลือกการชำระเงินแบบยอมรับความเสี่ยง เช่น ไม่มีระบบ OTP หรือให้ลูกค้าใช้บัตรโดยไม่ลงลายเซ็น กรณีนี้ธนาคารหรือผู้ออกบัตรจะได้รับคืนเงินเต็มจำนวน (หลังจากที่ต้องสำรองจ่ายคืนให้กับลูกค้าผู้เสียหายไปก่อนตามเกณฑ์ของ ธปท.ที่ให้จ่ายเงินคืนผู้เสียหายภายใน 5 วัน)

ส่วนรายการที่กระทำทุจริตในวงเงินน้อยๆ หรือ 1 ดอลลาร์สหรัฐฯนั้น หากไม่สามารถเรียกคืนได้ ธนาคารหรือผู้ออกบัตรก็ต้องตัดเป็นหนี้สูญ

โดยความเสียหายจากกรณีล่าสุดที่เกิดจากมิจฉาชีพใช้ Robot สุ่มยิงข้อมูล มีมูลค่าประมาณ 130 ล้านบาทนั้น ธนาคารพาณิชย์และผู้ออกบัตรในประเทศ รับผิดชอบความเสียหาย 10% ของวงเงินเสียหาย ส่วนที่เหลืออีก 90% ร้านค้าผู้รับบัตรเป็นผู้รับผิดชอบ

ในฝั่งของผู้ถือบัตร หากไม่ได้เป็นผู้ทำธุรกรรม ยอดใช้จ่ายเกิดขึ้นจากมิจฉาชีพ ผู้เสียหายไม่ต้องรับผิดชอบกรณีเป็นบัตรเครดิต ธนาคารต้องยกเลิกรายการเรียกเก็บ ส่วนหากเป็นบัตรเดบิตที่ถูกหักเงินออกจากบัญชีไปแล้ว ธนาคารต้องคืนเงินเข้าบัญชีลูกค้า

อย่างไรก็ตาม หากการทุจริตเกิดจากการที่คนใกล้ตัวผู้ถือบัตร นำรหัสบัตร หรือนำข้อมูลบัตร หรือ OTP ไปชำระค่าสินค้าบริการ ซื้อของออนไลน์ หรือถอนเงินผ่านตู้เอทีเอ็ม เจ้าของบัตรต้องเป็นผู้รับผิดชอบทั้งหมด เพราะถือว่าเป็นการกระทำโดยประมาท

สุดท้ายสิ่งที่ต้องระมัดระวังคือ อย่าให้ข้อมูลส่วนตัวและข้อมูลทางการเงิน ข้อมูลสำคัญที่ไม่ควรเปิดเผย ไม่ว่าจะเป็นเลขบัตรประชาชน, รหัส Laser หลังบัตรประชาชน, เลขหน้าบัตรเดบิต 12 หลัก, เลขบัตรเครดิต 16 หลัก วันหมดอายุ, รหัส Pin บัตร, เลข CVV 3 ตัวหลังบัตร และรหัส OTP

ส่วนการจะซื้อสินค้าออนไลน์ให้ปลอดภัยนั้น ต้องลงทะเบียน Verified by Visa ซึ่งเป็นบริการที่อนุญาตให้ใช้รหัสผ่านหรือรหัสที่ปกป้องบัตร การใช้บริการเว็บไซต์ออนไลน์ที่ปลอดภัย มีอักษร “s” หลังคำว่า “http” ในที่อยู่ของหน้าเว็บหรือ URL ของร้านค้าออนไลน์ เมื่อชำระเงินทุกครั้งกำหนดให้ป้อนรหัส OTP

นอกจากนี้ ต้องเก็บรักษารหัสผ่านเป็นความลับ กรณีบัตรเครดิตหรือบัตรเดบิต ใบที่ไม่ใช้ซื้อสินค้าออนไลน์ควรขูดรหัส CVV ที่เป็นตัวเลข 3 หลักทิ้ง เก็บเงินไว้ในบัญชีที่ผูกบัตรเดบิตไว้จำนวนไม่มากหรือมีวงเงินเพียงพอต่อการใช้จ่ายผ่านออนไลน์เท่านั้น ตลอดจนห้ามส่งข้อมูลการชำระเงินผ่านทางอีเมล เพราะข้อมูลอาจรั่วไหลไปยังบุคคลภายนอก รวมทั้งควรสมัครใช้บริการแจ้งยอดเงินเข้าออกบัญชีทันที ผ่านทางแอปพลิเคชันไลน์ SMS หรืออีเมล

หากทำได้ทุกข้อตามคำเตือนข้างต้น การใช้จ่ายบนโลกออนไลน์ก็จะไม่น่ากลัวอีกต่อไป เพราะมีทั้งความสะดวก รวดเร็ว แถมปลอดภัย!!!

ทีมเศรษฐกิจ