‘สมาคมธนาคารไทย’ เผยแอปดูดเงินสร้างความเสียหายแล้ว 500 ล้านบาท ชี้เหยื่อ 100% ใช้ระบบ Android เชื่อ Biometric ลดผลกระทบได้

สมาคมธนาคารไทยเผยมิจฉาชีพใช้แอปพลิเคชันดูดเงินสร้างความเสียหายต่อประชาชนเป็นมูลค่าราว 500 ล้านบาทแล้ว เผยเตรียมนำเทคโนโลยี Biometric มาใช้เพื่อยกระดับมาตรการป้องกันภัยจากมิจฉาชีพ ชี้หากร่างพระราชกำหนด (พ.ร.ก.) มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยีมีผลบังคับใช้ ธนาคารจะสามารถแลกเปลี่ยนข้อมูลระหว่างกันเพื่อปิดกั้นหรือลดผลกระทบได้อย่างทันท่วงที

วานนี้ (16 กุมภาพันธ์) ยศ กิมสวัสดิ์ ประธานสำนักระบบชำระเงิน สมาคมธนาคารไทย กล่าวว่า ปัจจุบันมิจฉาชีพหลอกลวงเอาเงินจากประชาชนแนบเนียนขึ้นและมีเทคนิคที่หลากหลายขึ้น ส่งผลให้มีผู้เสียหายจากการตกเป็นเหยื่อจำนวนมาก โดยสิ้นสุด ณ ปี 2565 คิดเป็นมูลค่าความเสียหายถึงราว 500 ล้านบาท โดยแอปดูดเงินนี้เริ่มมาตั้งแต่ช่วงกลางปีและมีแนวโน้มเพิ่มสูงขึ้นด้วย

ข่าวที่เกี่ยวข้อง

ขณะที่ ชัชวัฒน์ อัศวรักวงศ์ ประธานกรรมการ ศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) เปิดเผยว่า เหยื่อทั้งหมดที่ได้รับผลกระทบยังไม่มีกลุ่มที่ใช้ระบบ iOS และเป็นผู้ใช้ระบบ Android 100% เนื่องจากระบบ iOS สามารถเข้าถึงได้ยากกว่าอย่างมาก

เปิดมาตรการ ‘ป้องกันภัย’ จากมิจฉาชีพ ช่วยประชาชน

ผ่านการร่วมมือกับสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.), กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม, ผู้ให้บริการสัญญาณโทรศัพท์มือถือต่างๆ ได้แก่ True, AIS, DTAC และ NT รวมไปถึงผู้ให้บริการโซเชียลมีเดียต่างๆ อย่าง LINE ได้ดำเนินการต่างๆ ดังนี้

ตรวจสอบปิด LINE ปลอมของธนาคาร
ควบคุมและจัดการชื่อผู้ส่ง SMS (SMS Sender) ปลอม
ปิดกั้น URL ที่เป็นอันตราย
หารือธนาคารสมาชิกพัฒนาระบบความปลอดภัย แชร์เทคนิคและแนวทางป้องกันภัยร่วมกัน เช่น พัฒนาการป้องกันและควบคุม Mobile Banking Application กรณีมือถือมีการเปิดใช้งาน Accessibility Service เพิ่มระบบการพิสูจน์ตัวตน (Authentication) ด้วย Biometric Comparison

พ.ร.ก.ใหม่ คือกฎหมายตัดขา (บัญชี) ม้า

นอกจากนี้สมาคมธนาคารไทยยังระบุว่า หากร่างพระราชกำหนด (พ.ร.ก.) มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยีมีผลบังคับใช้ จะช่วยให้การดูแลช่วยเหลือประชาชนที่ตกเป็นเหยื่อมิจฉาชีพทำได้รวดเร็วขึ้น ระงับความเสียหายได้อย่างทันท่วงที สามารถบล็อกบัญชีต้องสงสัยได้ โดยไม่ต้องรอแจ้งความ นอกจากนี้ธนาคารจะสามารถแลกเปลี่ยนข้อมูลระหว่างกันเพื่อปิดกั้นหรือลดผลกระทบได้อย่างทันท่วงที

ขณะที่ยศกล่าวอีกว่า “พ.ร.ก.นี้ส่วนหนึ่งคือฟีดแบ็กของภาคธนาคารเองด้วยว่าต้องการให้ภาครัฐแก้ไขปัญหาอะไร เพื่อให้ธนาคารได้ทำงานได้อย่างเต็มที่ สื่อสารกันได้อย่างรวดเร็ว และช่วยทำให้การจับมิจฉาชีพทำได้เร็วขึ้น”

เตรียมใช้ Biometric ภายใน 1-2 สัปดาห์

ชัชวัฒน์เปิดเผยอีกว่า การใช้เทคโนโลยีชีวมิติ (Biometric Technology) ยังเป็นอีกหนึ่งวิธีที่จะตัดตอนและลดผลกระทบให้กับลูกค้าได้ โดยเฉพาะเมื่อโจรเข้ามาอยู่ในมือถือแล้วและพยายามนำเงินออก เนื่องจากแอปดูดเงินส่วนใหญ่เป็นการล่อลวงรหัสผ่านจากประชาชน ดังนั้นการใช้เทคโนโลยีชีวมิติ (Biometric Technology) ซึ่งเป็นเป็นการยืนยันตัวตนด้วยข้อมูลทางชีวภาพที่มีลักษณะเฉพาะตัวและไม่ซ้ำใคร เช่น ลายนิ้วมือ รูม่านตา โครงสร้างใบหน้า เสียง จะทำให้มิจฉาชีพทำงานได้ยากขึ้น

ขณะที่ยศกล่าวว่า ภายใน 1-2 สัปดาห์นี้ ธนาคารส่วนใหญ่น่าจะเริ่มนำมาระบบ Biometric มาใช้ได้

‘3 รูปแบบ’ การล่อลวงที่พบบ่อย

ชัชวัฒน์กล่าวเพิ่มเติมว่า การหลอกลวงประชาชนให้ได้รับความเสียหายจากแอปดูดเงิน ส่วนใหญ่ดำเนินการใน 3 รูปแบบ ดังนี้

หลอกล่อด้วยรางวัลและความผิดปกติของบัญชีและภาษี โดย Call Center โทรมาหลอกด้วยสถานการณ์ที่ทำให้กังวล SMS เป็นการใช้ชื่อเหมือนหรือคล้ายหน่วยงานต่างๆ และโซเชียลมีเดียหลอกให้เงินรางวัลและเงินกู้ หรือโน้มน้าวชวนคุยหาคู่ และให้เพิ่ม (Add) บัญชี LINE ปลอมของมิจฉาชีพ

หลอกให้ติดตั้งโปรแกรม หลอกขอข้อมูล และให้ทำตามขั้นตอนเพื่อติดตั้งแอปปลอม (ไฟล์ติดตั้งนามสกุล .apk) โดยใช้ความสามารถของ Accessibility Service ของระบบปฏิบัติการ Android ที่เมื่อแอปใดๆ ได้รับอนุญาตให้ทำงานภายใต้ Accessibility Service แล้ว จะสามารถเข้าถึงและควบคุมการสั่งงานมือถือแทนผู้ใช้งานได้ ฟังก์ชันนี้จึงเป็นกลไกหลักของมิจฉาชีพในการควบคุมมือถือของเหยื่อ

ควบคุมมือถือของเหยื่อและใช้ประโยชน์ ด้วยการใช้แอปปลอมเชื่อมต่อไปยังเครื่องของมิจฉาชีพ เพื่อเข้าควบคุมและสั่งการมือถือของเหยื่อเพื่อโอนเงินและขโมยข้อมูลต่างๆ โดยรูปแบบของแอปดูดเงินที่มิจฉาชีพใช้หลอกประชาชนมี 3 รูปแบบ ได้แก่ 1. หลอกให้เหยื่อติดตั้งแอปจำพวกรีโมตจาก Play Store เช่น TeamViewer, AnyDesk เป็นต้น จากนั้นมิจฉาชีพจะรีโมตเข้ามาดูและควบคุมมือถือของเหยื่อเพื่อโอนเงินออกทันที 2. แอปอันตราย (.apk) เมื่อติดตั้งแล้วจอมือถือของเหยื่อจะค้าง โจรจะรีโมตมาควบคุมมือถือของเหยื่อและโอนเงินออกทันที เช่น แอปพลิเคชัน DSI, สรรพากร, Lion Air, ไทยประกันชีวิต, กระทรวงพาณิชย์ (ยังคงเป็นรูปแบบที่มิจฉาชีพใช้มากที่สุด) 3. แอปอันตราย (.apk) ที่ควบคุมมือถือของเหยื่อ รอประชาชนเผลอแล้วค่อยแอบโอนเงินออกภายหลัง เช่น แอปหาคู่ Bumble, Snapchat (ยังคงเป็นรูปแบบที่มิจฉาชีพใช้)

แนะแนวทางการป้องกันภัยจากมิจฉาชีพ

กิตติ โฆษะวิสุทธิ์ ที่ปรึกษากิตติมศักดิ์ ศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) แนะแนวทางการป้องกันภัยจากมิจฉาชีพว่ามีจุดสังเกตที่ต้องระวังคือ

มิจฉาชีพจะแนะนำให้เหยื่อก๊อบปี้ลิงก์ไปเปิดในเบราว์เซอร์ Chrome เพื่อเข้าเว็บปลอม
ขณะติดตั้งแอปของมิจฉาชีพ มือถือจะขอสิทธิ์ในการติดตั้งแอปที่ไม่รู้จัก
มิจฉาชีพพยายามให้ตั้ง PIN หลายครั้ง หวังให้เหยื่อเผลอตั้ง PIN ซ้ำกับ PIN ที่ใช้เข้า Mobile Banking Application ของธนาคาร
หลอกให้เหยื่อเปิดสิทธิ์การช่วยเหลือพิเศษ (Accessibility) โดยชวนคุยจนไม่ทันอ่านเนื้อหาที่ขึ้นมาเตือน

ทั้งนี้ ควรดาวน์โหลดแอปผ่าน App Store หรือ Play Store เท่านั้น และไม่ควร Add LINE หรือช่องทางแชตอื่นๆ คุยกับคนแปลกหน้า

นอกจากนี้ เพื่อเป็นการป้องกันภัยจากแอปดูดเงิน แนะนำให้ปฏิบัติดังนี้

ตรวจสอบมือถือว่าเปิดแอปที่ทำงานภายใต้ Accessibility Service หรือไม่ โดยตรวจดูให้แน่ใจว่าเรารู้จักและทราบเหตุผลของการเปิดใช้งานทุกโปรแกรม หากไม่ทราบให้รีบปิด
เปิดใช้งาน Google Play Protect เพื่อตรวจสอบการติดตั้งแอปอันตราย หากเจอให้ Uninstall ทันที
ติดตั้งแอป Endpoint Protection หรือ Antivirus บนมือถือเพื่อดักจับและป้องกันแอปอันตราย หรือมัลแวร์ต่างๆ

สำหรับผู้ที่หลงกลตกเป็นเหยื่อของมิจฉาชีพแล้ว ให้รีบดำเนินการปิดเครื่องทันทีด้วยวิธีกด Force Reset คือการกดปุ่ม Power และปุ่มลดเสียงพร้อมกันค้างไว้ 10-20 วินาที แต่ถ้าทำวิธีนี้ไม่สำเร็จ ให้ตัดการเชื่อมต่อของโทรศัพท์ด้วยการถอดซิมการ์ด ปิด WiFi และให้ติดต่อธนาคาร แจ้งความทันที