ธปท.เผยความคืบหน้า มาตรการสกัดภัยไซเบอร์ พบความเสียหายจากแอพพ์ดูดเงินกว่า 970 ล.
เมื่อวันที่ 13 กรกฎาคม น.ส.สิริธิดา พนมวัน ณ อยุธยา ผู้ช่วยผู้ว่าการ สายกำกับระบบการชำระเงินและคุ้มครองผู้ใช้บริการทางการเงิน ธนาคารแห่งประเทศไทย (ธปท.) เปิดเผยว่า ตามที่ ธปท. ได้ออกมาตรการจัดการภัยทุจริตทางการเงิน เมื่อวันที่ 9 มีนาคม 2566 เพื่อเป็นแนวปฏิบัติขั้นต่ำให้สถาบันการเงิน (สง.) ทุกแห่งปฏิบัติตามเป็นมาตรฐานเดียวกันในการบริหารจัดการความเสี่ยงจากการทำธุรกรรมทางการเงิน ทั้งการป้องกัน การตรวจจับ และการตอบสนองและรับมือ ซึ่งจะช่วยแก้ปัญหาให้ประชาชนได้รวดเร็ว และครอบคลุมมากขึ้น ธปท. ได้ติดตามให้ สง. ทุกแห่งดำเนินการตามกรอบเวลาที่กำหนด ซึ่งมีความคืบหน้าเป็นไปตามแผน
1. มาตรการป้องกัน หลายมาตรการ สง. ทุกแห่งดำเนินการเสร็จสิ้นแล้ว ได้แก่ การยกเลิกแนบลิงก์ทุกประเภทผ่าน SMS อีเมล และการยกเลิกแนบลิงก์ขอข้อมูลสำคัญผ่านโซเชียลมีเดีย การจำกัดจำนวนบัญชีผู้ใช้งานโมบายแบงก์กิ้ง (username) ของแต่ละ สง. ให้ใช้ได้ใน 1 อุปกรณ์ และการพัฒนาระบบความปลอดภัยบน โมบายแบงก์กิ้งให้เท่าทันภัยการเงินรูปแบบใหม่ นอกจากนี้ หลายมาตรการ สง. ส่วนใหญ่ดำเนินการแล้ว และจะเสร็จทุกแห่งภายในสิ้นปี 2566
ได้แก่ การแจ้งเตือนผู้ใช้บริการโมบายแบงก์กิ้ง ก่อนทำธุรกรรมทุกครั้ง การกำหนดเพดานวงเงินถอน/โอนสูงสุดต่อวัน ให้เหมาะสมตามระดับความเสี่ยงของกลุ่มผู้ใช้บริการแต่ละประเภท และการประเมินความตระหนักรู้ต่อภัยทุจริต (awareness test)
รวมทั้งการยกระดับความเข้มงวดในกระบวนการยืนยันตัวตนขั้นต่ำด้วยการพิสูจน์อัตลักษณ์ (biometrics) โดยการสแกนใบหน้าเมื่อเข้าเงื่อนไขที่กำหนดไว้ในการทำธุรกรรมผ่านโมบายแบงก์กิ้ง เช่น โอนเงินมากกว่า 50,000 บาทต่อครั้ง หรือ 200,000 บาทต่อวัน หรือปรับเพิ่มวงเงินทำธุรกรรมต่อวันเป็นตั้งแต่ 50,000 บาทขึ้นไป
2. มาตรการตรวจจับ สง. ทุกแห่งเริ่มดำเนินการแล้วในการกำหนดเงื่อนไขการตรวจจับและติดตามธุรกรรมที่เข้าข่ายผิดปกติ หรือกระทำความผิด และรายงานไปยังสำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.) ขณะที่ระบบตรวจจับและติดตามบัญชีหรือธุรกรรมต้องสงสัยแบบทันที เพื่อให้การระงับธุรกรรมเป็นการชั่วคราวเมื่อตรวจพบทำได้เร็วขึ้น อยู่ระหว่างการพัฒนา ซึ่งจะแล้วเสร็จภายในสิ้นปี 2566
และ 3. มาตรการตอบสนองและรับมือ สง. ทุกแห่งจัดให้มีช่องทางติดต่อเร่งด่วน (hotline) ตลอด 24 ชั่วโมง แยกจากช่องทางให้บริการปกติ เพื่อให้ผู้ใช้บริการแจ้งเหตุได้เร็ว รวมทั้งดูแลผู้ใช้บริการที่ได้รับผลกระทบ
นายภิญโญ ตรีเพชราภรณ์ ผู้อำนวยการ ฝ่ายกำกับและตรวจสอบความเสี่ยงด้านเทคโนโลยีสารสนเทศ ธนาคารแห่งประเทศไทย (ธปท.) กล่าวว่า เพื่อให้การจัดการภัยทางการเงินมีประสิทธิผลและเห็นผลลัพธ์ที่เป็นรูปธรรม ธปท. จึงร่วมมือกับหน่วยงานที่เกี่ยวข้อง อาทิ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) สำนักงานตำรวจแห่งชาติ กรมสอบสวนคดีพิเศษ สำนักงาน ปปง. สำนักงาน กสทช. และสมาคมธนาคารไทย ผลักดันการดำเนินการให้สอดคล้องตาม พ.ร.ก. มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ. 2566
โดยภาคธนาคารได้ยกระดับให้ สง. มีกระบวนการรับแจ้งเหตุ 24 ชั่วโมง และระงับธุรกรรมชั่วคราวไว้ 72 ชั่วโมง เพื่อช่วยตัดตอนเส้นทางการเงิน รวมทั้งมีกระบวนการและพัฒนาระบบกลางแลกเปลี่ยนข้อมูลบัญชีและธุรกรรมที่ต้องสงสัยระหว่าง สง. ด้วยกัน และหน่วยงานที่เกี่ยวข้อง เพื่อช่วยลดความเสียหายต่อทรัพย์สินประชาชน และช่วยจัดการบัญชีม้า อย่างไรก็ดี กระบวนการแลกเปลี่ยนข้อมูลระหว่างกันยังคงร่วมกันเร่งพัฒนาอย่างต่อเนื่อง เพื่อให้การจัดการปัญหาทำได้เร็วยิ่งขึ้น
“การปิดบัญชีม้าระยะหลังมีจำนวนเพิ่มขึ้นจากการที่ พ.ร.ก. มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ. 2566 มีผลบังคับใช้ โดยเดือนล่าสุดอยู่ที่ 9,000 บัญชีต่อเดือน แต่จำนวนบัญชีม้าก็เพิ่มขึ้นต่อเนื่องเช่นกัน เพราะมิจฉาชีพยังหาช่องทางเพิ่มบัญชีม้าอยู่ ซึ่งการรับจ้างเปิดบัญชีถือว่ามีความผิด”นายภิญโญ กล่าว
นายภิญโญ กล่าวว่า บัญชีม้าในระยะข้างหน้าแนวโน้มยังคงเพิ่มขึ้น เพราะเราจะสามารถระงับได้มากขึ้น เนื่องจากเรามีการส่งข้อมูลระหว่างกัน ทำให้สามารถตรวจจับได้ว่าบัญชีม้าอยู่ที่ไหน ขณะเดียวกันราคาของบัญชีม้าก็จะแพงขึ้น เพราะคนร้ายต้องการบัญชีที่เพิ่มขึ้น เพราะวงเงินฝนการหลอกต่อครั้งจะลดลงตามมาตรการสแกนใบหน้า อย่างไรก็ดี อยากให้รู้ว่าผู้เกี่ยวข้องจะมีมาตรการทั้งจำและปรับ คือ ปรับ 3 แสนบาท และจำคุก 3 ปี
นายภิญโญ กล่าวว่า ขณะเดียวกัน สถิติจากแอพพ์ดูดเงินยังมีอย่างต่อเนื่อง ซึ่งตัวเลขความเสียหาย นับตั้งแต่ปี 2566 โดยเดือนมกราคม มูลค่าความเสียหายจำนวน 185 ล้านบาท เดือนกุมภาพันธ์ จำนวน 161 ล้านบาท เดือนมีนาคม จำนวน 135 ล้านบาท เดือนเมษายน จำนวน 116 ล้านบาท เดือนพฤษภาคม จำนวน 200 ล้านบาท เดือนมิถุนายน จำนวน 173 ล้านบาท รวม 6 เดือน เป็นจำนวนเงิน 970 ล้านบาท
ซึ่งเป็นการหลอกลวงจากกลอุบายใหม่ของมิจฉาชีพ เช่น การใช้เครื่องมือและเทคโนโลยีใหม่เข้ามาในการพัฒนาแอพพ์ดูดเงิน โดยผ่านการส่งข้อความ (SMS) ผ่านเสาส่งสัญญาณมือถือปลอม (False Base Station) หรือที่เรียกว่าปลากระเบน การหลอกให้ผู้เสียหายลบแอพพ์ฯของธนาคารจริงแล้วลงแอพพ์ฯ ปลอมของมิจฉาชีพ เพื่อหลบหลีกระบบตรวจจับของธนาคาร รวมถึงการหลอกลวงรูปแบบเดิมยังคงมีอยู่ทั้ง แก๊งคอลเซ็นเตอร์ การส่งข้อความหลอกลวง การหลอกเป็นหน่วยงานราชการ หลอกเป็นคนรู้จัก หรือหลอกให้ลงทุน
อย่างไรก็ตาม มาตรการจัดการภัยทางการเงินของไทยดังกล่าวมีความสอดคล้องตามมาตรฐานสากลและการดำเนินการของ สง. ในต่างประเทศ เช่น สิงคโปร์ ออสเตรเลีย และฮ่องกง โดยในบางมาตรการของไทยมีการกำหนดเพิ่มเติม เช่น การจำกัด โมบายแบงก์กิ้งของแต่ละ สง. ให้ใช้ได้ใน 1 อุปกรณ์ การยกระดับการยืนยันตัวตนด้วย biometrics มาตรการรักษาความปลอดภัยบนโมบายแบงก์กิ้ง เพื่อป้องกันแอปพลิเคชันดูดเงิน รวมถึงมาตรการแจ้งเตือนและสร้างความตระหนักรู้
“โดย ธปท. จะติดตามและประเมินผลของมาตรการต่าง ๆ เพื่อพิจารณาความเหมาะสมและความเพียงพอของมาตรการต่อการเปลี่ยนแปลงรูปแบบของภัยการเงินที่มีการพัฒนาต่อไป ขณะนี้ระบบพัฒนาเรียบร้อยแล้วอยู่ระหว่างการทดสอบ”นายภิญโญ กล่าว
นายภิญโญ กล่าวว่า อย่างไรก็ดี การจัดการภัยทางการเงินได้อย่างเบ็ดเสร็จ ต้องบูรณาการความร่วมมือจากหน่วยงานที่เกี่ยวข้องเพื่อขับเคลื่อนมาตรการแก้ปัญหาได้ต่อเนื่อง เพื่อสร้างความเชื่อมั่นและความปลอดภัยในการใช้บริการทางการเงินออนไลน์ให้ประชาชน รวมทั้งความร่วมมือของประชาชนที่ให้ความสำคัญกับรูปแบบและการป้องกันภัยทางการเงินที่มีการสื่อสารอย่างต่อเนื่องผ่านช่องทางต่างๆ เพื่อให้เท่าทันภัยรูปแบบใหม่ๆ
เช่น ไม่คลิกลิงก์ที่ไม่น่าเชื่อถือ หลีกเลี่ยงการให้ข้อมูลส่วนตัวและข้อมูลทางการเงิน อัปเดตระบบปฏิบัติการและแอพพลิเคชันโมบายแบงก์กิ้งให้ล่าสุดอยู่เสมอ หรือไม่ดาวน์โหลดโปรแกรมนอกเหนือจากแหล่งที่ได้รับการควบคุมและรับรองความปลอดภัยจากผู้พัฒนา ไม่ใช้โทรศัพท์ที่ไม่ปลอดภัยทำธุรกรรมทางการเงิน ซึ่งจะเป็นอีกหัวใจสำคัญในการป้องกันภัยได้อย่างยั่งยืน
ทั้งนี้ แนวปฏิบัติเบื้องต้นสำหรับประชาชนที่ตกเป็นเหยื่อการหลอกลวง 1.ตั้งสติ และหยุดการติดต่อกับมิจฉาชีพทันที 2.ให้รีบติดต่อ สง. ที่ใช้บริการทันที ผ่านช่องทาง call center hotline ตลอด 24 ชั่วโมง หรือสาขาภายในเวลาทำการ เพื่อระงับธุรกรรมหรือบัญชีชั่วคราวของผู้เสียหายและบัญชีปลายทาง และ 3.แจ้งความอย่างรวดเร็วภายใน 72 ชั่วโมงผ่านเว็บไซต์ Thaipoliceonline.com ตลอด 24 ชั่วโมง หรือสถานีตำรวจ เพื่อให้ตำรวจแจ้ง สง. ขยายระยะเวลาการระงับธุรกรรมหรือบัญชีต่ออีก 7 วัน เพื่อสืบสวน สอบสวนและออกหมายอายัดบัญชีต่อไป
