อย่าโทษเหยื่อที่ถูกตัดเงินในบัญชีธนาคาร

อย่าโทษเหยื่อที่ถูกตัดเงินในบัญชีธนาคาร


อย่าโทษเหยื่อถูกตัดเงินในบัญชี ธนาคารและหน่วยงานที่เกี่ยวข้องต้องตรวจสอบและป้องกันเหตุ

หลังจากเกิดเหตุการณ์ ที่ประชาชนถูกตัดเงินในบัญชีธนาคาร โดยเป็นยอดเงินที่ต่ำ แต่เกิดหลายร้อยธุรกรรม และผู้เสียหายถึงหลักหมื่นราย ในเบื้องต้นเมื่อวันเกิดเหตุ มีการสันนิษฐานออกมาว่า อาจมีเหตุมาจากประชาชนถูกหลอกจากการ Phishing คือการให้ลิงก์ปลอม แล้วหลอกให้กรอกรหัส ซึ่งส่วนตัวผมคิดว่าเป็นไปไม่ได้เลย ที่จะมีคนถูกหลอกจากการ Phishing พร้อมกันเป็นจำนวนมากขนาดนี้ เหตุการณ์นี้น่าจะเกิดจากจุดโหว่สักแห่งของระบบ

จากแถลงการณ์ของ ธนาคารแห่งประเทศไทย (ธปท.) ล่าสุด ที่ระบุว่า สาเหตุน่าจะเกิดมาจากมิจฉาชีพ ที่สุ่มเลขบัตรและรหัส โดยใช้บอต หรือ โปรแกรมอัตโนมัติ และนำไปทำธุรกรรมกับร้านค้าออนไลน์ ที่อยู่ต่างประเทศ

จากกการหาข้อมูล และ พูดคุยกับเพื่อนๆในวงการ พบว่าวิธีดังกล่าวนั้น พอจะมีความเป็นไปได้อยู่ เพราะเราอาจเข้าใจว่าการตัดบัตรออนไลน์ ต้องใช้เลขบัตร16หลัก + เดือน/ปี ที่บัตรหมดอายุ + CVV หลังบัตร แต่จริงๆ แล้ว ร้านค้าออนไลน์โดยเฉพาะในต่างประเทศบางร้าน ใช้เพียงแค่เลข 16 หลักเท่านั้นในการตัดยอดเงิน  และใน 16 หลักนั้น จะแบ่งเป็นกลุ่มๆ เช่น หลักที่ระบุธนาคารผู้ออกบัตร ประเภทบัตร (เดบิต/เครดิต) ฯลฯ ทำให้จำนวนหลักที่ต้อง “สุ่ม” นั้น ลดลงไปมาก อาจจะเหลือเพียง 5-6 หลัก เท่านั้น แต่ทั้งกว่าหมื่นกรณี อาจไม่ได้เกิดจากสาเหตุนี้ทั้งหมดก็ได้ ทั้งนี้คงต้องรอความชัดเจนจาก ธปท. ต่อไป

แม้สาเหตุที่ทาง ธปท. แถลงมานั้น อาจจะยังไม่สามารถกล่าวโทษได้อย่างชัดเจนว่าเป็นช่องโหว่จากจุดใด  แต่ก็ชัดเจนว่า นี่ไม่ใช่ความผิดพลาดจากผู้ใช้ หรือ ลูกค้าธนาคารอย่างแน่นอน และแม้ผู้ที่ไม่เคยทำธุรกรรมทางออนไลน์ ก็สามารถตกเป็นเหยื่อในกรณีนี้ได้เช่นกัน



จากกรณีดังกล่าว ผมเองมีข้อคิดเห็นและข้อเสนอแนะต่อหน่วยงานภาครัฐและเอกชนต่างๆ ดังนี้


ธนาคารพาณิชย์ต่างๆ

ถึงแม้จะไม่สามารถกล่าวโทษ ระบบธนาคารได้อย่างเต็มปาก  แต่เรื่องนี้ สิ่งที่ธนาคารทำได้ในเบื้องต้น คือ การให้ข้อมูลที่ชัดเจน และ การระบุผู้เสียหายโดยธนาคาร

ทางธนาคารต่างๆ ควรจะให้ข้อมูลกับลูกค้า อย่างชัดเจนถึงกรณีที่เกิดขึ้น ซึ่งเราอาจจะเห็นการให้ข่าวต่างๆ รวมถึงการให้ข้อมูลช่องทางการติดต่อกับธนาคาร หากลูกค้าพบเหตุดังกล่าว แต่ประเด็นคือ นับถึงตอนนี้ 2-3 วัน หลังจากเกิดเหตุ แอพพลิเคชั่น รวมถึง Line Official Account ของธนาคารต่างๆ เท่าที่ผมมี หรือช่องทาง SMS  ก็ยังคงไม่มีการแจ้งเตือนให้ข้อมูลถึงกรณีดังกล่าวมาถึงผมเลยแม้แต่ครั้งเดียว 

ที่สำคัญ คือ เหตุการณ์ที่เกิดขึ้น อาจเกิดกับคนที่ไม่เคยใช้งานออนไลน์เลย หลายๆ คนที่มีแค่บัญชี และบัตรเอทีเอ็ม แต่ไม่ได้ใช้อินเทอร์เน็ตแบงค์กิง ซึ่งไม่สามารถตรวจสอบธุรกรรมย้อนหลังของตนเองได้อย่างสะดวก และอย่างที่กล่าวว่า กรณีนี้ “ไม่ใช่ความผิดของลูกค้า” ดังนั้น ภาระในการ “สืบหาผู้เสียหาย” จึงควรจะเป็นของธนาคาร และติดต่อกลับไปแจ้งลูกค้า ไม่ใช่ให้ลูกค้าตรวจสอบความเสียหายของตนเองและแจ้งไปที่ธนาคาร และที่สำคัญคือการชดใช้จะต้องทำทันที และเร่งด่วน


หน่วยงานที่กำกับดูแล

หลักๆ แล้ว หน่วยงานที่กำกับดูแลเรื่องนี้ก็คือ ธนาคารแห่งประเทศไทย (ธปท.) ซึ่งหน้าที่หนึ่งที่สำคัญของ ธปท. ในการกำกับดูแลธนาคาร คือ การให้ธนาคาร ที่ทำกำไรจากส่วนต่างดอกเบี้ย (ที่สูงลิบ) นั้น ดูแลเงินฝากของเจ้าหนี้ ซึ่งก็คือประชาชน อย่างปลอดภัย

หลังจากที่เกิดเหตุการณ์นี้ขึ้น สิ่งที่ผมตั้งคำถาม คือ การตัดบัญชี ยอดเล็กๆ นับร้อยรายการ และเป็นการตัดเงินไปยังร้านค้าต่างประเทศนั้น เป็นไปได้อย่างไรที่ธนาคารไม่ทำการระงับบัญชีนั้นๆ เพราะนี่เป็นธุรกรรมที่ผิดปกติอย่างมาก

มีงานวิจัยที่ออกมาเมื่อหลายปีที่แล้ว ที่ระบุถึงการโจมตีในลักษณะนี้ (สามารถค้นหาข้อมูลได้จากคำว่า ‘Distributed Guessing Attack’) และทาง VISA เอง ก็ได้ออกเอกสารการป้องกัน Enumeration Attack มาตั้งแต่เดือนกันยายน 2563 ( อ้างอิง : https://usa.visa.com/content/dam/VCOM/global/support-legal/documents/anti-enumeration-and-account-testing-best-practices-merchant.pdf )

ชี้ให้เห็นว่า นี่ไม่ใช่ปัญหาใหม่ที่เพิ่งเกิด แต่เกิดกับประเทศอื่นๆ มานานแล้ว ดังนั้นคำถามคือ หน่วยงานกำกับดูแลอย่าง ธปท. นั้น ตระหนักในเรื่องนี้อย่างไร ได้เคยกำหนดเกณฑ์ต่างๆ ให้ธนาคารปฏิบัติตาม เพื่อป้องกันปัญหานี้หรือไม่? การกำกับดูแลของบ้านเรานั้น ทำให้ธนาคารมีมาตรฐานการเฝ้าระวังธุรกรรมที่ผิดปกติ (Fraud Monitoring) ที่ดีเพียงพอหรือไม่ เหตุใดระบบของธนาคารยักษ์ใหญ่ต่างๆ จึงยังไม่สามารถตรวจจับได้ว่าธุรกรรมดังกล่าวนั้นผิดปกติ??

หลังจากนี้ ธปท. ควรจะต้องออกมาเปิดเผยข้อมูล ว่าแต่ละธนาคารเกิดเหตุการณ์นี้ทั้งสิ้นกี่เคส เกิดมาตั้งแต่ช่วงเวลาใด และ เกิดความเสียหายต่อลูกค้าเป็นจำนวนเงินเท่าใดบ้าง ในแต่ละธนาคาร ..​ เพื่อให้ประชาชนได้รับทราบว่า ธนาคารใด ที่อาจจะมีระบบ monitoring ที่ยังหละหลวม และกระตุ้นให้เกิดการแข่งขันกันของธนาคารเอกชน เพื่อประโยชน์สูงสุดของประชาชน


กระทรวงดิจิทัลฯ

ตอนที่เหตุการณ์เกิดขึ้น หลายๆ คนคงพุ่งเป้าไปที่ว่า “น่าจะโดนแฮ็กจากการทำธุรกรรมออนไลน์” ซึ่งจริงอยู่ที่การทำธุรกรรมออนไลน์นั้น ก็มีความเสี่ยงที่จะถูกมิจฉาชีพโจรกรรมเงินไปได้ แต่พอเราลองมาดูในกรณีนี้ จะพบว่า มิจฉาชีพนั้นใช้การทำธุรกรรมออนไลน์ในการโจรกรรมก็จริง แต่คนที่ตกเป็นเหยื่อนั้นอาจจะไม่เคยทำธุรกรรมออนไลน์เลยด้วยซ้ำ

ผมจึงอยากชวนให้มองอีกมุม ว่า การสนับสนุนให้ประชาชนหันมาใช้ธุรกรรมทางออนไลน์ต่างหาก คือวิธีที่จะป้องกันปัญหานี้ได้ในระยะยาว ยกตัวอย่างเช่น

  • การใช้ Mobile Banking ทำให้ผู้ใช้ สามารถเข้าถึงข้อมูลต่างๆ ของตนได้ตลอดเวลา เข้าไปตรวจสอบได้ทันที ว่ามีธุรกรรมที่ผิดปกติหรือไม่ โดยไม่ต้องไปขอ Statement ที่ธนาคารซึ่งยุ่งยากอย่างมาก และหากธนาคารทำระบบได้ดีพอ ก็ยังเป็นช่องทางที่ธนาคารสามารถสื่อสารกับลูกค้ารายคนได้อย่างมีประสิทธิภาพอย่างมากอีกด้วย เราลองนึกตัวอย่างจากเคสนี้ดูว่า คนที่ใช้ Mobile Banking กับ คนที่มีแค่บัญชีและบัตร ATM ใครจะรู้ตัวเร็วกว่ากัน ว่าเกิดเหตุการณ์นี้ขึ้น
  • การทำธุรกรรมออนไลน์ ยังมีเทคโนโลยีอีกหลายอย่าง ที่จะช่วยป้องกันการโจรกรรมรูปแบบต่างๆ ได้ เช่น Virtual Card ที่ให้ผู้ใช้ สามารถสร้างเลขบัตรเครดิตบนออนไลน์ได้หลายรูปแบบ เช่น บัตรใช้แบบครั้งเดียว (Disposable) ในกรณีที่ทำธุรกรรมบนเว็บที่อาจรู้สึกว่าไม่ปลอดภัยเท่าใดนัก เลขบัตรดังกล่าวก็จะสามารถใช้ตัดเงินได้เพียงแค่ครั้งเดียว และถูกยกเลิกอัตโนมัติทันที หรือ Virtual Card ที่ใช้ได้หลายครั้ง แต่อาจจะให้ผู้ใช้สามารถใช้บัตรหนึ่งเลขกับร้านค้ารายเดียว และสามารถกำหนดวงเงินของ Virtual Card แต่ละใบแยกกันได้ ซึ่งทำให้สามารถจัดการทั้งการใช้จ่าย และจำกัดความเสี่ยงต่างๆ ที่จะเกิดขึ้นได้เช่นกัน


ในโลกปัจจุบัน การทำธุรกรรมทางออนไลน์ คือโอกาสทางเศรษฐกิจที่จะทำให้เราสามารถทำการค้าขายได้กับทั่วโลก นี่เป็นทิศทางที่เราไม่สามารถปฏิเสธและหลีกเลี่ยงมันได้ ผมคิดว่ารัฐก็ตระหนักถึงข้อนี้มานานแล้ว เพราะเราก็มีหน่วยงานองค์การมหาชนอย่าง สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) สังกัดกระทรวงดิจิทัลฯ ซึ่งก่อตั้งมาเข้าสู่ปีที่ 10 แล้ว

ดังนั้น ผมคิดว่าสิ่งที่สำคัญที่กระทรวงดิจิทัลฯ ควรทำ คือ การใช้หน่วยงานนี้ให้เป็นประโยชน์ในการสร้าง Ecosystem ให้พร้อมรับเทคโนโลยี การสร้างความรู้ความเข้าใจให้กับประชาชนให้เห็นถึงประโยชน์ในการใช้เทคโนโลยีในการทำธุรกรรมการเงิน และดูแลผลักดันด้านกฎเกณฑ์ต่างๆ เพื่อให้ประชาชนสามารถใช้เทคโนโลยีด้านนี้ได้อย่างปลอดภัย

เพราะเทคโนโลยีนั้นคือโอกาส สิ่งที่กระทรวงควรทำ คือ สนับสนุนการใช้เทคโนโลยี และส่งเสริมให้ประชาชนมีความรู้ เข้าใจ และเท่าทัน เพื่อโอกาสให้ประเทศไทยก้าวไกลสู่อนาคต

Login