สาระน่ารู้ ศคง.เผย กลโกงธนาคารออนไลน์ เตือนผู้ใช้ ระวังมิจฉาชีพ และตรวจสอบให้ดีก่อนใช้งาน
กลโกงธนาคารออนไลน์
ความก้าวหน้าของเทคโนโลยีในปัจจุบันได้เปลี่ยนแปลงวิถีชีวิตของคนเป็นอย่างมาก จากเคยที่ต้องเดินทางไปที่ธนาคารเพื่อทำธุรกรรมการเงิน ก็สามารถโอนเงิน ซื้อของ หรือทำธุรกรรมการเงินอื่น ๆ จากที่ไหนก็ได้ผ่านอินเทอร์เน็ต แต่ความสะดวกสบายเหล่านี้ หากใช้อย่างไม่ระมัดระวัง ก็อาจทำให้เกิดปัญหาตามมาได้
ลักษณะกลโกง
มิจฉาชีพจะหลอกขอรหัสผู้ใช้งาน (username) และรหัสผ่าน (password) จากเหยื่อเพื่อเข้าใช้บัญชีธนาคารออนไลน์ของเหยื่อ แล้วส่งคำสั่งโอนเงินออกจากบัญชีเงินฝาก โดยมีหลายวิธีที่มิจฉาชีพมักใช้ดังนี้
1. หลอกให้ติดตั้งมัลแวร์ในคอมพิวเตอร์
มิจฉาชีพมักแฝงมัลแวร์ (Malware) ไว้ตามลิงก์ดาวน์โหลด หรือเว็บไซต์ต่าง ๆ โดยใช้ข้อความเชิญชวนหลอกล่อให้เหยื่อคลิกเพื่อติดตั้งโปรแกรม เช่น “คุณเป็นผู้โชคดี คลิกที่นี่เพื่อรับรางวัล” เมื่อเหยื่อหลงเชื่อทำตามที่มิจฉาชีพบอก เช่น คลิกไปที่ลิงก์มัลแวร์จะถูกติดตั้งในคอมพิวเตอร์ และทำการบันทึกข้อมูลการใช้งานธนาคารออนไลน์ของเหยื่อ เช่น รหัสผ่านผู้ใช้งาน (username) รหัสผ่าน (password) เพื่อนำไปปลอมแปลงคำขอโอนเงินให้เหมือนเป็นคำสั่งของเจ้าของบัญชี เมื่อธนาคารได้รับคำขอโอนเงินที่จริง ๆ แล้วมาจากมิจฉาชีพ ธนาคารก็จะส่งรหัสผ่านชั่วคราวผ่านระบบ SMS ให้แกเหยื่อ ซึ่งมิจฉาชีพจะสร้างหน้าต่างหรือหน้าจอ pop-up ขึ้นมาบนหน้าจอคอมพิวเตอร์ของเหยื่อเพื่อหลอกถามรหัสผ่านชั่วคราวที่ถูกส่งมายังโทรศัพท์มือถือของเหยื่อ หรืออาจใช้โปรแกรมบันทึกการกดรหัสผ่าน แล้วนำมาใช้ยืนยันการโอนเงินออกจากบัญชีของเหยื่อ
ข้อควรสังเกต
มิจฉาชีพจะพยายามหลอกล่อเหยื่อให้ติดตั้งมัลแวร์เพื่อใช้ขโมยข้อมูล แต่เมื่อเหยื่อได้ติดตั้งมัลแวร์แล้ว มิจฉาชีพก็จะยังไม่สามารถโอนเงินของเหยื่อออกจากบัญชีได้ หากเหยื่อไม่กรอกรหัสผ่านชั่วคราวเพื่อใช้ในการยืนยันการทำธุรกรรมของมิจฉาชีพ
2. หลอกติดตั้งมัลแวร์ในสมาร์ตโฟน
ตัวอย่างขั้นตอนกลโกงผ่านมัลแวร์ในสมาร์ตโฟนโดยสังเขป
มัลแวร์ในสมาร์ตโฟนมีลักษณะคล้ายกับมัลแวร์ในคอมพิวเตอร์ แต่ความแตกต่างจะอยู่ที่มิจฉาชีพไม่จำเป็นต้องหลอกขอรหัสผ่านชั่วคราวจากเหยื่ออีก มิจฉาชีพจะส่งลิงก์ผ่าน SMS หรืออีเมลให้เหยื่อคลิก เพื่อติดตั้งและเปิดใช้งานมัลแวร์ในสมาร์ตโฟนหรือแท็บเล็ต แล้วหลอกให้เหยื่อกรอกรหัสผ่านผู้ใช้งาน (username) และรหัสผ่าน (password) ในหน้าจอที่คล้ายกับแอปพลิเคชันของธนาคารออนไลน์จริง เมื่อเหยื่อเลือกทำรายการต่อ มัลแวร์จะทำให้เครื่องสมาร์ตโฟนของเหยื่อค้างและใช้งานไม่ได้ ทำให้เหยื่อไม่ได้รับ SMS แจ้งรหัสผ่านชั่วคราว จากธนาคารออนไลน์จริง แต่รหัสผ่านชั่วคราวนั้นจะถูกส่งให้แก่มิจฉาชีพแทน
ข้อควรสังเกต
การหลอกลวงวิธีนี้ เมื่อเหยื่อหลงกลติดตั้งมัลแวร์ มิจฉาชีพไม่จำเป็นต้องหลอกขอรหัสผ่านชั่วคราวจากเหยื่ออีก เพราะมัลแวร์จะทำหน้าที่ดัก SMS แจ้งรหัสผ่านชั่วคราวไว้แล้วส่งให้แก่มิจฉาชีพ มิจฉาชีพจึงสามารถโอนเงินออกจากบัญชีเหยื่อได้
3. ปลอมแปลงอีเมลหรือสร้างเว็บไซต์ปลอม เพื่อหลอกขอข้อมูล
อีเมลปลอมก็เป็นอีกวิธีหนึ่งที่มิจฉาชีพมักใช้เพื่อหลอกเอาข้อมูลที่จำเป็นในการใช้งานธนาคารออนไลน์จากเหยื่อ โดยมิจฉาชีพจะทำอีเมลแอบอ้างเป็นอีเมลของธนาคารอ้างการปรับปรุงระบบรักษาความปลอดภัย แล้วหลอกให้เหยื่อยืนยันการใช้งานบัญชีธนาคารออนไลน์ผ่านการกรอกข้อมูลในอีเมล หรือคลิกลิงก์เชื่อมโยงไปยังเว็บไซต์ธนาคารออนไลน์ปลอมที่มี URL ที่คล้ายหรือเกือบเหมือนเว็บไซต์จริง ซึ่งเมื่อเหยื่อบอกรหัสผ่านผู้ใช้งาน (username) และรหัสผ่าน (password) ในลิงก์ปลอมเหล่านั้น มิจฉาชีพก็สามารถนำข้อมูลไปใช้แอบอ้างเป็นเจ้าของบัญชีแล้วส่งคำสั่งโอนเงิน และสร้างหน้าต่างปลอมหรือหน้าจอ pop-up หลอกให้เหยื่อกรอกรหัสผ่านชั่วคราว ในหน้าจอคอมพิวเตอร์ของเหยื่ออีก ทำให้มิจฉาชีพสามารถโอนเงินออกจากบัญชีของเหยื่อสำเร็จ
ข้อควรสังเกต
มิจฉาชีพมักหลอกขอข้อมูลจากเหยื่อผ่านอีเมลหรือเว็บไซต์ปลอมที่ลักษณะคล้ายกับเว็บไซต์จริงเกือบทุกประการ แต่อีเมลหรือเว็บไซต์ปลอมมีจุดน่าสังเกตดังนี้
(1) จุดสังเกตอีเมลปลอม
(2) จุดสังเกตเว็บไซต์ปลอม
วิธีป้องกัน การใช้งานธนาคารออนไลน์ทั่วไป
| • | ไม่ควรใช้รหัสผ่าน (password) ที่ง่ายต่อการคาดเดา เช่น 123456 หรือ วัน/เดือน/ปีเกิด |
| • | ก่อนเข้าใช้ธนาคารออนไลน์ จะต้องมั่นใจหรือตรวจสอบให้แน่ใจว่าเป็นอุปกรณ์ที่ใช้นั้นไม่มีมัลแวร์ (Malware) แฝงอยู่ |
| • | ติดตั้งโปรแกรมป้องกันไวรัสที่ถูกกฎหมาย พร้อมตรวจสอบและอัพเดตโปรแกรมอยู่เสมอ |
| • | ไม่ติดตั้งหรือดาวน์โหลดโปรแกรมแปลก ๆ หรือโปรแกรมที่ไม่ถูกกฎหมาย เพราะอาจเป็นช่องทางให้มัลแวร์เข้ามาในคอมพิวเตอร์ สมาร์ตโฟน หรือแท็บเล็ตได้ |
| • | ไม่ใช้ลิงก์เชื่อมโยงที่มากับอีเมลหรือในเว็บไซต์ต่าง ๆ เพื่อเข้าสู่ระบบธนาคารออนไลน์ แต่ควรพิมพ์ URL ด้วยตัวเอง |
| • | ไม่ทำธุรกรรมการเงินผ่านอินเทอร์เน็ตสาธารณะ แต่หากจำเป็น ให้เปลี่ยนรหัสผ่านหลังจากใช้งานทันที |
| • | ตรวจสอบรายการเคลื่อนไหวในบัญชี และการเข้าใช้ระบบธนาคารออนไลน์อยู่เสมอ ว่าเป็นรายการที่ได้ทำไว้หรือไม่ |
| • | ควร “ออกจากระบบ” (logout) ทุกครั้งเมื่อไม่ใช้งาน |
| • | จำกัดวงเงินในการทำธุรกรรมผ่านธนาคารออนไลน์ เพื่อลดความเสี่ยงในกรณีถูกมิจฉาชีพขโมยรหัสผ่าน |
| • | ธนาคารไม่มีนโยบายส่ง SMS หรือ email เพื่อให้ดาวน์โหลด ติดตั้งโปรแกรม หรือเข้าสู่ระบบธนาคารออนไลน์ |
| • | หากคลิกลิงก์ต้องสงสัย ให้รีบติดต่อเจ้าหน้าที่ธนาคารหรือฝ่ายบริการลูกค้าของธนาคารทันทีและขอคำปรึกษาเกี่ยวกับการใช้งานที่ปลอดภัย |
| • | ติดตามข่าวสารกลโกงธนาคารออนไลน์เป็นประจำ เพื่อรู้เท่าทันเล่ห์เหลี่ยมกลโกง |
สำหรับการใช้งานธนาคารออนไลน์ผ่านสมาร์ตโฟนหรือแท็บเล็ต
| • | ไม่เก็บเอกสารหรือข้อมูลสำคัญไว้ในสมาร์ตโฟนหรือแท็บเล็ต เช่น เลขที่บัตรประชาชน เลขที่บัญชีเงินฝาก |
| • | หลีกเลี่ยงการดาวน์โหลด หรือติดตั้งโปรแกรมจากแหล่งที่ไม่น่าเชื่อถือ โดยเฉพาะอุปกรณ์ที่ใช้งานธนาคารออนไลน์ |
| • | หลีกเลี่ยงการใช้งานธนาคารออนไลน์ผ่านอุปกรณ์ที่มีการดัดแปลง หรือแก้ไขระบบปฏิบัติการ (jailbreak หรือ root) เพราะมีความเสี่ยงสูงที่จะถูกขโมยข้อมูล |
สิ่งที่ควรทำเมื่อตกเป็นเหยื่อ
| • | หากพบเว็บไซต์ปลอมของธนาคาร ให้รีบแจ้งสถาบันการเงินนั้น ๆ ทันที เพื่อดำเนินการปิดเว็บไซต์ดังกล่าว |
| • | หากได้รับข้อความหรือได้คลิกลิงก์เพื่อดาวน์โหลดโปรแกรมต้องสงสัยหรือให้ข้อมูลในเว็บไซต์ปลอมไปแล้ว ให้รีบติดต่อเจ้าหน้าที่ธนาคารทันที |
| • | หากได้รับรหัสผ่านชั่วคราวโดยที่ไม่ได้ส่งคำสั่งโอนเงิน ให้แจ้งเหตุการณ์ที่เกิดขึ้นแก่เจ้าหน้าที่ธนาคารหรือฝ่ายบริการลูกค้าของธนาคารทันทีและขอคำปรึกษาเกี่ยวกับการใช้งานที่ปลอดภัย |
***********************************
ที่มา : ศูนย์คุ้มครองผู้ใช้บริการทางการเงิน ธนาคารแห่งประเทศไทย
