ช่วงหลังมานี้บรรดามิจฉาชีพมักจะออกอาละวาด ปลอมตัวเองเป็นธนาคาร ผู้ให้บริการสถาบันการเงินในเวอร์ชันทำเหมือนในแต่ละช่องทาง ไม่ว่าจะเป็น SMS, เว็บไซต์, LINE, Facebook หรือ Call Center เพื่อหลอกให้ผู้ใช้บริการโอนเงินและกรอกข้อมูลส่วนตัวของตัวเองจนสร้างความเสียหายรุนแรงในวงกว้าง
THE STANDARD ชวนคุณมาจับพิรุธ ‘ความปลอม’ ของเหล่ามิจฉาชีพกลุ่มฟิชชิงเหล่านี้ไปพร้อมๆ กันว่า ‘มาแบบไหน อย่าไว้ใจ’ เพื่อให้คุณมีภูมิต้านทานกลโกงหลากรูปแบบ
จุดสังเกต SMS ‘ปลอม’ หลอกให้กรอกข้อมูลเข้าระบบ
จุดสังเกตของ SMS ฟิชชิงที่ปลอมตัวเองเป็นธนาคาร มีวิธีการดูแบบง่ายๆ เลยคือข้อความที่ส่งมาให้มักจะมาในลักษณะ ‘ลิงก์แบบฟอร์ม’ ล่อลวงให้เราป้อนข้อมูลส่วนตัวของตัวเองเข้าไป (เลขบัตรประชาชน, เลขบัตรเครดิต, เลขบัญชีธนาคาร, วันเดือนปีเกิด, รหัส ATM, Password รวมถึงรหัส OTP ในการทําธุรกรรม) ไม่ใช่ลักษณะ ‘การแจ้งเพื่อทราบ’ มีการใช้ภาษาแปลกๆ เพื่อลวงให้เราคลิกลิงก์นั้นๆ
ดังนั้นทุกครั้งที่เผลอกดเข้าลิงก์ใดๆ ไปก็ตาม ต้องเช็กให้ดีว่าหน้าเว็บไซต์ดังกล่าวเป็นลิงก์เว็บไซต์ของธนาคารที่เราใช้บริการจริงๆ ไม่ได้ถูกปลอมแปลงด้วยชื่อ ‘เว็บแปลกๆ’ และยังต้องเช็กอีกด้วยว่า URL ที่แนบมากับลิงก์ต้องนำหน้าด้วย ‘https:’ ไม่ใช่ ‘http:’
รวมถึงรูปแบบของถ้อยคำที่ปรากฏในข้อความมักจะใช้วิธีการเขียนหรือมีเนื้อหาที่ทำให้เรารู้สึก ‘วิตกกังวล’ อยากรู้อยากเห็น หลอกว่าได้รับรางวัล ต้องยืนยันตัวตน หรือต้องอัปเกรดระบบ ไม่เช่นนั้นจะไม่สามารถทำธุรกรรมได้
อีกจุดที่สำคัญมากๆ และต้องจำให้ขึ้นใจไว้เลยคือทุกธนาคารไม่มีนโยบายการส่ง SMS, LINE หรือ Facebook Messenger ให้ลูกค้า ‘กรอกข้อมูลส่วนตัว’ ของตัวเอง
แยกเว็บไซต์ ‘ปลอม’ ให้เป็น ทริกง่ายๆ คือสังเกต https: นำหน้า
ตามที่เราได้กล่าวไว้ข้างต้นว่าเว็บไซต์ของสถาบันการเงินและธนาคาร ฯลฯ ที่มีความน่าเชื่อถือและเป็นเว็บไซต์อย่างเป็นทางการขององค์กร หน่วยงานนั้นๆ ส่วนใหญ่มักจะต้องขึ้นด้วย ‘https://’ ซึ่งเป็นระบบเว็บไซต์ที่ระบุว่าการส่งผ่านข้อมูลในเว็บไซต์นี้จะถูก ‘เข้ารหัส’ เพื่อความปลอดภัย ไม่ใช่ ‘http:’
หรือถ้าไม่แน่ใจก็ลองนำลิงก์ URL ที่เรากดคลิกเข้าไปมาเปรียบเทียบด้วยการเสิร์ช URL ลิงก์เว็บไซต์อย่างเป็นทางการของธนาคารนั้นๆ บน Google ก็ได้
แต่ถ้าเราเผลอคลิกลิงก์เข้าไปแล้ว อย่าเพิ่งตกใจ ตั้งสติให้ดี คุณยังมีโอกาสไหวตัวทัน โดยเริ่มต้นจากลองกรอกข้อมูลหลอกๆ เข้าไปให้ระบบ (ย้ำว่าต้องเป็นตัวเลขมั่วๆ) เมื่อกรอกเสร็จแล้วให้กดส่งข้อมูล ถ้าตัวเว็บยังค้างอยู่หน้าเดิมก็สันนิษฐานได้ทันทีเลยว่า ‘คุณเกือบถูกหลอกแล้ว’
ยิ่งไปกว่านั้น บรรดามิจฉาชีพยังมักจะเผยไต๋พิรุธของตัวเองออกมาผ่านการขอข้อมูลส่วนบุคคลเชิงลึกที่ ‘มากผิดปกติ’ เช่น เลขบัตรประชาชน, บัตรเครดิต, วันเดือนปีเกิด, รหัส OTP เพราะจริงๆ แล้วกระบวนการขอข้อมูลส่วนใหญ่ เบื้องต้นมักจะขอแค่ข้อมูลติดต่อทั่วๆ ไปเท่านั้น เช่น ชื่อ-นามสกุล อีเมล หรือหมายเลขโทรศัพท์
อีเมล ‘ปลอม’ มักขอให้เราเปลี่ยนรหัสผ่านบัญชี
โดยทั่วไปแล้วธนาคารจะไม่สอบถามข้อมูลจากลูกค้าหรือให้เปิดเผยข้อมูลส่วนตัวเชิงลึก เช่น เลขประจำตัว, PIN หรือข้อมูลที่มีความสำคัญต่างๆ ผ่านทางอีเมล
ดังนั้นอีเมลใดๆ ก็ตามที่ปลอมแปลงหน้าตาตัวเองให้ดูคล้ายกับอีเมลจากธนาคารจึงมักจะมาในลักษณะการขอให้เราเปลี่ยนรหัสผ่านบัญชี เพื่อหลอกเอาเลขที่บัญชีและข้อมูลส่วนตัวที่เป็นความลับ
และหากเกิดความสงสัย ไม่แน่ใจ ก็อย่าเพิ่งตอบกลับอีเมลฟิชชิงที่น่าสงสัย โดยสำหรับลูกค้าธนาคารไทยพาณิชย์สามารถส่งอีเมลดังกล่าวไปให้ [email protected] ตรวจสอบความถูกต้องได้ ส่วนลูกค้าธนาคารอื่นๆ สามารถตรวจสอบกับเจ้าหน้าที่ Call Center ได้โดยตรง
เพจ Facebook ‘ปลอม’ มักไม่มีเครื่องหมาย Verified Badge ยอดไลก์น้อย
สำหรับเพจเฟซบุ๊กจริงอย่างเป็นทางการของธนาคารควรจะต้องมี (Verified Badge) หรือเครื่องหมายติ๊กถูกของ Facebook ต่อท้ายชื่อเสมอ เพื่อยืนยันว่าเป็นแอ็กเคานต์ของเจ้าของจริงๆ ดังนั้นถ้าไม่เห็นเครื่องหมายดังกล่าวต่อท้ายชื่อ ให้สงสัยไว้ก่อนเลยว่าเป็น ‘บัญชีปลอม’
อีกจุดสังเกตที่ต้องตั้งใจดูให้ดีๆ คือชื่อเพจจะต้องสะกดถูกต้องเป๊ะๆ ไม่มีเครื่องหมายพิเศษต่างๆ ปะปนมา เช่น ลูกน้ำ (,) เครื่องหมายจุด (.) หรือตัวอักขระพิเศษ
สังเกตจำนวนแฟนเพจ (Page Like) การโพสต์เนื้อหา หากเป็นเพจแบรนด์ใหญ่ๆ แล้วมียอดแฟนแค่หลักสิบหรือหลักร้อย ให้สงสัยไว้ก่อนว่าเป็นเพจปลอม
นอกจากสองวิธีข้างต้น เรายังสามารถจับพิรุธจากจำนวนยอดไลก์เพจ ยอดไลก์โพสต์ต่างๆ ที่เพจโพสต์ออกมาได้อีกด้วย และแก๊งมิจฉาชีพก็มักจะสอบถามข้อมูลส่วนตัวของลูกค้าที่เป็นความลับมาทาง Messenger เช่น หมายเลข Pin ATM, บัตรเครดิต, รหัสผ่าน Internet Banking, Mobile App ฯลฯ อีกต่างหาก
LINE ‘ปลอม’ ใช้โล่สีเทา LINE จริงต้องมี ‘โล่เขียว’ นำหน้าชื่อแอ็กเคานต์
ขึ้นชื่อว่าเป็นแชตแอปพลิเคชันที่คนไทยนิยมใช้งานมากที่สุด ดังนั้นเราเชื่อว่า LINE น่าจะเป็นอีกหนึ่งเครื่องมือที่เหล่ามิจฉาชีพมักจะใช้ล่อลวงเหยื่อให้หลงโอนเงินหรือให้ข้อมูลส่วนตัวของตัวเอง
ซึ่งวิธีสังเกต LINE ปลอมก็สามารถทำได้ง่ายๆ เริ่มจากขั้นตอนแรก สังเกตไว้ก่อนเลยว่า LINE ปลอมจะไม่มี ‘เครื่องหมายโล่สีเขียว’ หน้าชื่อแอ็กเคานต์ โดยสัญลักษณ์ดังกล่าว LINE ประเทศไทยจะออกให้เฉพาะกับบัญชีทางการหรือบัญชีที่ได้รับการรับรองจาก LINE ประเทศไทยเท่านั้น
แถม LINE ปลอมมักจะเริ่มต้นจากการ ‘ทักเข้าไปหาลูกค้าก่อน’ ผู้ใช้งานจะสังเกตเห็นคำว่า ‘เพิ่มเพื่อน’ อยู่ด้านบน นั่นหมายความว่าผู้ใช้กับแอ็กเคานต์นี้ยังไม่ได้เป็นเพื่อนกัน ส่วน LINE จริง ผู้ใช้จะต้องเป็นคนเพิ่มเพื่อนเอง
นอกจากนี้บทสนทนาของ LINE ปลอมจะพูดคุยโต้ตอบกับเราเหมือนคนจริงๆ ซึ่งธนาคารส่วนใหญ่จะไม่มีนโยบายให้เจ้าหน้าที่ติดต่อเข้ามาพูดคุยกับลูกค้าโดยตรงเด็ดขาด ไม่มีการสอบถามข้อมูลส่วนตัวของลูกค้า รวมถึงข้อมูลของธนาคารอื่นๆ ที่ลูกค้าใช้บริการอยู่ เช่น มีบัญชีของธนาคารอะไรบ้าง มีเงินในแต่ละบัญชีจำนวนเท่าไร เป็นต้น
แอปพลิเคชัน ‘ปลอม’ จะให้โหลดผ่านเว็บไซต์ ไม่ใช่ App Store หรือ Google Play Store
แอปพลิเคชันปลอมของเหล่ามิจฉาชีพจะถูกแนบลิงก์การดาวน์โหลดผ่านช่องทางต่างๆ เช่น SMS, LINE โดยลักษณะลิงก์จะปรากฏ URL ที่แปลกๆ เช่น http://www.99dm.cc
และเมื่อคลิกเข้าไปในลิงก์นั้นๆ ก็จะเข้าไปสู่การดาวน์โหลดตัวแอปฯ ทันทีโดยไม่ผ่าน App Store หรือ Google Play Store ซึ่งเป็นช่องทางที่แอปฯ จะต้องถูกตรวจสอบความน่าเชื่อก่อนถูกนำมาให้ดาวน์โหลดบนแพลตฟอร์มได้
ตัวแอปฯ ปลอมยังมีลักษณะเป็นแอปฯ เฉพาะเรื่อง เช่น เป็นแอปฯ เพื่อกู้เงินโดยเฉพาะ ซึ่งข้อความบรรยายตัวแอปฯ ที่ปรากฏในลิงก์ก็จะไม่มีการบอกข้อมูลเกี่ยวกับแอปฯ เช่น มีผู้รีวิวแล้วกี่คน, ขนาดไฟล์เท่าไร, มีผู้ดาวน์โหลดแล้วเท่าไร และไม่มีข้อมูลการให้เรตติ้ง ฯลฯ
ภาพประกอบ: ฉัตรชัย เฉยชิต
พิสูจน์อักษร: ภาสิณี เพิ่มพันธุ์พงศ์
