02 เม.ย. 62

รู้ทัน ก่อนถูกสวมรอยออนไลน์

คะแนนเฉลี่ย

ออมและลงทุน

รู้ทัน ก่อนถูกสวมรอยออนไลน์


          การทำธุรกรรมการเงินผ่านเว็บไซต์ต่างๆ ถือเป็นเรื่องปกติในชีวิตประจำวัน อีกทั้งข้อมูลส่วนตัวหลายอย่างของเราก็อยู่บนโลกออนไลน์ไม่น้อย หากเราไม่ระวังตัวมิจฉาชีพอาจสามารถสวมรอยและทำธุรกรรมแทนเราได้

ถูกสวมรอยได้อย่างไร?
           ธุรกรรมออนไลน์ไม่จำเป็นต้องไปแสดงตัวต่อเจ้าหน้าที่ โดยเฉพาะธุรกรรมที่ไม่เกี่ยวข้องกับสถาบันการเงินขอเพียงมี user และ password ก็แทบจะทำทุกอย่างได้เสมือนตัวจริงเลย สำหรับการทำธุรกรรมที่เกี่ยวข้องกับสถาบันการเงินแม้จะมีขั้นตอนความปลอดภัยเพิ่มขึ้นมาบ้าง เช่น การใช้ SMS OTP เพื่อยืนยันการทำธุรกรรมก็ใช่ว่าจะไม่มีโอกาสถูกสวมรอยเลย การสวมรอยที่พบได้บ่อยคือการใช้ user และ password แทนตัวจริง โดยเริ่มต้นจากการหลอกถามข้อมูล user และ password จากตัวจริงก่อน เช่น

เว็บไซต์ปลอม >> ที่มีหน้าตาใกล้เคียงกับเว็บไซต์ของสถาบันการเงิน เพื่อหลอกให้ทำการกรอก user และ password โดยเมื่อกรอกแล้วเว็บไซต์ปลอมนั้นอาจแจ้งว่า “ชื่อผู้ใช้หรือรหัสผ่าน       ไม่ถูกต้อง" หรือ "ระบบขัดข้อง ไม่สามารถใช้งานได้ขณะนี้" ทำให้แม้ยังเข้าเว็บไซต์ไม่ได้ ก็ไม่ได้รู้สึกแปลกใจหรือต้องตรวจสอบอะไรเป็นพิเศษ

SMS / e-mail ปลอม >> ที่มักมีการแนบลิงก์มากับข้อความให้ผู้รับคลิกลิงก์ เพื่อนำไปสู่เว็บไซต์ปลอม และหลอกให้กรอกข้อมูล user password หรือข้อมูลส่วนตัวอื่นๆ ที่อาจนำไปสู่การสวมรอย ด้วยการสมัครสมาชิกหรือเปลี่ยนแปลง password ได้

โฆษณาชวนเชื่อ >> ที่มักมุ่งไปที่จุดอ่อนของคนทั่วไปคือความโลภของคน โดยนำเงินหรือสินค้ามีมูลค่าสูงมาเป็นเหยื่อล่อ ให้ทำการกรอกข้อมูลส่วนตัวต่างๆ เช่น หลอกว่าสามารถซื้อสินค้านี้ได้ในราคาถูกมาก แต่ต้องชำระเงินด้วยบัตรเครดิตโดยการกรอกข้อมูลผ่านหน้าเว็บไซต์นี้ทันที ส่งผลให้มิจฉาชีพได้รับข้อมูลบัตรเครดิตเพื่อไปทำธุรกรรมแทนตัวจริงได้

มัลแวร์ ร้ายไม่แพ้ถูกสวมรอย
          นอกจากการสวมรอยแล้ว มัลแวร์ เป็นอีกสิ่งหนึ่งที่มิจฉาชีพมักใช้กัน เพราะสามารถแอบดักเก็บทุกข้อมูลที่กรอกผ่านหน้าเว็บไซต์ต่างๆ ที่ใช้งานได้ โดยเฉพาะ user และ password ของเว็บไซต์ธนาคารที่เราใช้งาน แม้จะเป็นเว็บไซต์จริงของธนาคารก็ตาม
ดังนั้นต่อให้เป็นคนที่ระวังตัวเพียงใด หรือมีการตรวจสอบหน้าเว็บไซต์ทุกครั้งก่อนใช้งาน แต่หากเครื่องคอมพิวเตอร์หรือสมาร์ทโฟนที่ใช้งานอยู่ถูกฝังมัลแวร์เมื่อไร ก็จะถูกมิจฉาชีพแอบดักเก็บข้อมูลการใช้งานได้อย่างแน่นอน
ไม่เพียงแต่การดักเก็บข้อมูลเท่านั้น มัลแวร์บางประเภทที่ฝังตัวในสาร์ทโฟนสามารถส่งต่อ SMS ได้ ดังนั้นแม้เป็นธุรกรรมการเงินที่ต้องใช้ OTP ที่ได้รับทาง SMS ก็ใช่ว่าปลอดภัย เพราะ SMS OTP นั้นจะถูกส่งต่อให้มิจฉาชีพด้วยเช่นกัน
แล้ว มัลแวร์ ที่ว่ามาจากไหน ก็มาจากการที่เราถูกหลอกให้ติดตั้งโปรแกรมในอุปกรณ์ของเรา ซึ่งอาจจะเกิดจากการตั้งใจติดตั้งโปรแกรมจริงๆ เพียงแต่ไม่รู้ว่าโปรแกรมนั้นเป็นมัลแวร์ หรืออาจจะแค่เพียงเผลอคลิกลิงก์ที่มิจฉาชีพแนบมาพร้อมกับ SMS / e-mail ปลอม ก็ได้
 
ป้องกันตัวอย่างไร?
          ช่างสังเกต เพราะหลักๆ แล้ว การถูกสวมรอยหรือการถูกฝังมัลแวร์ มักเกิดจากถูกหลอกให้คลิกลิงก์ที่มาจาก SMS / e-mail ปลอม ดังนั้นการป้องกันตัวควรเริ่มจากการสังเกต SMS / e-mail ที่ได้รับจากสถาบันการเงินทุกครั้ง ว่ามาจากสถาบันการเงินนั้นจริงหรือไม่ ด้วยการสังเกตที่

ชื่อผู้ส่ง SMS / e-mail >> ต้องดูอย่างละเอียดทุกตัวอักษรว่าตรงกับข้อมูลของสถาบันการเงินนั้นจริงหรือไม่ เช่น เช็ก domain name (ชื่อริษัทหรือเว็บไซต์หลัง @ ใน e-mail) กับข้อมูลช่องทางติดต่อที่ระบุในเว็บไซต์ของสถาบันการเงินว่าสะกดตรงกันหรือไม่ โดยการเข้าเว็บไซต์นั้นควรพิมพ์ url ด้วยตนเอง หรือเข้าจาก Favorites ที่เคยตั้งไว้ก็ได้ ห้ามคลิกจากลิงก์ที่แนบมาใน SMS / e-mail เพราะอาจเป็นลิงก์ปลอม

ลิงก์ที่แนบมา >> ต้องดูอย่างละเอียดทุกตัวอักษรว่าเป็นของสถาบันการเงินจริงหรือไม่ เช่น เว็บไซต์จริงมี “S" หรือไม่ ซึ่งถ้าไม่ดูให้ดีแล้ว อาจไม่ทันสังเกตเห็นความผิดปกติได้

เนื้อหา >> โดยปกติ SMS / e-mail จากสถาบันการเงินจะไม่มีเนื้อหาเชิญชวนให้คลิกลิงก์ เปิดไฟล์แนบ หรือขอข้อมูลส่วนตัว หากพบว่า SMS / e-mail ที่ได้รับมีลักษณะดังกล่าว แนะนำให้คาดเดาก่อนเลยว่าอาจถูกส่งมาจากมิจฉาชีพ

ภาษา >> สถาบันการเงินเป็นหน่วยงานที่มักใช้ภาษาทางการในการสื่อสารเพราะถือเป็นส่วนหนึ่งของภาพลักษณ์องค์กร หาก SMS / e-mail ที่ได้รับมีการใช้ภาษาที่ไม่เป็นทางการ มีการใช้ภาษาพูด หรือมีคำสะกดผิด ให้คาดเดาก่อนเลยว่าเป็น SMS / e-mail ที่อาจเกิดจากมิจฉาชีพที่ใช้โปรแกรมแปลภาษา

          ตั้งสติ ทุกครั้งที่เห็นโฆษณาชวนเชื่อว่าจะได้สินค้าราคาถูกหรือของฟรีแค่เพียงกรอกข้อมูลส่วนตัวบางอย่าง ประโยคหนึ่งที่มักเป็นจริงและยังใช้ได้เสมอคือ “ของฟรี ไม่มีในโลก" เพราะทุกข้อมูลที่เราให้ผู้อื่นไม่ว่าจะเป็นข้อมูลส่วนตัว เช่น วันเดือนปีเกิด เลขบัตรประชาชน เบอร์โทรศัพท์ ฯลฯ หรือข้อมูลการเงิน เช่น เลขบัตรเครดิต ฯลฯ ถือเป็นต้นทุนความเสี่ยงเพื่อแลกกับของฟรีที่ถูกใช้เป็นเหยื่อล่ออยู่บนหน้าจอ
          
          ธุรกรรมออนไลน์ที่สะดวกสบายในปัจจุบัน มาพร้อมความเสี่ยงที่อาจถูกสวมรอยได้ การช่างสังเกตและตั้งสติก่อนทำธุรกรรมและกรอกข้อมูลทุกครั้งจะช่วยให้เราปลอดภัยจากมิจฉาชีพได้ ส่วนใครที่ต้องการศึกษาวิธีการป้องกันตัวหรือรูปแบบการสวมรอยที่ว่าเพิ่มเติม ลองเริ่มต้นจากการเสิร์ชคำว่า “Phishing" ซึ่งเป็นกลลวงการรวมรอยตามที่ได้เล่าไว้ด้านบน

ให้คะแนนบทความ

ราชันย์ ตันติจินดา CFP®

ฝ่ายพัฒนาการให้คำปรึกษาลูกค้า ธนาคารกสิกรไทย