เป็นเพราะ ‘แอปฯ ดูดเงิน’ เพราะ ‘ธนาคารผิด’ เพราะ ‘โดนแฮก’ หรือเพราะ ‘พลาดท่า’ สารพัดสารเพหลากหลายสาเหตุ ที่ตอนนี้ยังยากที่ว่าสรุปว่า เหตุที่แท้จริงเกิดจากตรงไหนกันแน่ สำหรับเหตุการณ์เมื่อไม่นานมานี้อย่าง “เงินหายออกจากบัตรเดบิต/เครดิต” ที่อยู่ดี ๆ ก็ถูกตัดเงินออกทีละนิดแบบไม่รู้ตัว ในบทความนี้ก็จะลองมาไล่ดูกันว่า มีความเป็นไปได้อะไรบ้าง ที่ทำให้เราเสี่ยงต่อการถูกตัดเงินโดยไม่ยินยอมได้ ลองมาดูกันครับ
แถลงการณ์จากธนาคารแห่งประเทศไทย
อ่านแถลงการณ์ฉบับเต็มได้ ที่นี่
อันดับแรก ลองมาดูแถลงการณ์จากทางธนาคารแห่งประเทศไทยกันก่อน ซึ่งมีความเป็นไปได้แรกที่สำคัญ และคงเป็นหน่วยงานแรก ๆ ที่ทุกคนถามหากัน หลังเกิดเหตุ ทางธนาคารแห่งประเทศไทยได้ออกแถลงการณ์เป็นที่เรียบร้อย โดยมีใจความสำคัญว่า
“มิได้เกิดจากการรั่วไหลของข้อมูลจากธนาคาร แต่เป็นรายการที่เกิดจากการทำธุรกรรมชำระค่าสินค้าและบริการกับร้านค้าออนไลน์ที่จดทะเบียนในต่างประเทศเป็นส่วนใหญ่ และไม่ใช่แอปดูดเงินตามที่ปรากฏเป็นข่าว”
ลองมาดูประโยค ‘เกิดจากการทำธุรกรรมชำระค่าสินค้าและบริการกับร้านค้าออนไลน์ที่จดทะเบียนในต่างประเทศเป็นส่วนใหญ่’ ส่วนนี้ตัดเรื่อง ‘แอปฯ ดูดเงิน’ ไปได้เลย เพราะมีความเป็นไปได้ (ที่เป็นไปได้จริง ๆ) มากกว่าแล้ว สำหรับตัวธุรกรรมชำระค่าสินค้าและบริการออนไลน์ เราสามารถเรียกส่วนนี้ว่าเป็นมือที่สามหรือ Third Party ได้
จากข้อความดังกล่าว เชื่อว่าหลายคนอ่านแล้วคงรู้สึกไม่ดีนัก เหมือนโดนโยนเรื่องใส่ แต่หากลองคิดดี ๆ อย่างการเทียบดูว่า ระหว่าง Third Party กับ ธนาคาร คิดว่าคนร้ายจะเรื่องแฮกจุดไหนมากกว่า คำตอบก็แน่นอนคือ Third Party ซึ่งมีหลาย ๆ แห่งที่ระบบความปลอดภัยแทบไม่เคยอัปเดตเลยด้วยซ้ำ จนเป็นเหตุให้ข้อมูลบัตรเดบิต/เครดิต หลุดรอดออกไปได้ !!
คือมี Third Party บางเว็บที่เราไปกรอกข้อมูลส่วนนี้ไว้ ทางเว็บดันเก็บข้อมูลไว้เอง และสุดท้ายก็หลุดเพราะระบบความปลอดภัยที่ล้าหลัง จึงนับเป็นอีกความเป็นไปได้ ว่าทำไมเงินในบัตรถึงหายได้นั้นเอง
ถัดมาคือ ทางธนาคารไม่สังเกตหรือว่า มีการทำธุรกรรมที่ผิดปกติ ? (เช่นของผมเอง เคยเติมเงินในเกมถึง 2 พันบาทด้วยบัตรเครดิตครั้งแรก ภายในวันนั้นมีเจ้าหน้าที่โทรมาเลย) ก็ถือเป็นโจทย์ใหญ่ของธนาคาร ที่ต้องดำเนินการให้รัดกุมมากกว่านี้ต่อไป สำหรับในจุดนี้เองก็มีแถลงการณ์ด้วยเช่นกันว่า
“ธนาคารเจ้าของบัตรได้ดำเนินการระงับการใช้บัตรของลูกค้าที่มีรายการผิดปกติ และติดต่อลูกค้า รวมทั้งอยู่ระหว่างดำเนินการตรวจสอบร้านค้าที่มีธุรกรรมที่ผิดปกติเหล่านี้”
สรุปเป็นเรื่องของเวลาแล้วว่า จะมีการค้นหา Third Party ที่เป็นสาเหตุเจอตอนไหน และจะดำเนินดูแลกับคืนเงินให้ลูกค้าที่ได้รับความเสียหายช่วงไหน (ตามที่รับปากในแถลงการณ์) เชื่อว่าคงใช้เวลาไม่น้อยแน่ ๆ เพราะน่าจะมีหลายเคสแน่นอนในตอนนี้
เราเคย (โดนหลอก) ผูกบัตรกับ Third Party ที่ไหนบ้าง
ตอนนี้เราได้รับรู้แล้วว่า ‘มีการแฮกกันจริง’ แต่ไม่ได้แฮกจากธนาคาร (มีความเป็นได้ต่ำมาก ๆ) ทว่าเป็นเหล่า Third Party (ความเป็นสูง) ที่ไม่ว่าจะเป็น เว็บ/แอปฯ ขายของออนไลน์ กับ เว็บ/แอปฯ บริการต่าง ๆ หากอิงจากแถลงการณ์ ก็อาจเป็น ‘ของต่างประเทศ’ และมีความเป็นไปได้อีกเช่นกันว่า อาจเป็นความตั้งใจของเหล่า Third Party อยู่แล้ว ที่ต้องการเนียนเก็บข้อมูลธุรกรรมแล้วนำไปขายซะเอง อาจมาเป็นเว็บหลอกให้กรอกข้อมูล หรือหลอกถามทางโทรศัพท์ตามที่เป็นข่าว กระนั้นก็มีคำถามสำคัญว่า
“แล้วเราจะรู้ได้อย่างไรว่า ? ควรไว้ใจ Third Party ที่ไหนได้บ้าง”
ข้อมูลสำคัญที่ห้ามหลุดคือ ‘หมายเลขบัตร’ และ ‘CVV’ หลุดเมื่อไรคืองานเข้าเมื่อนั้น คนร้ายสามารถนำไปใช้ชำระเงิน สมัครบริการ เติมเงินในเกมส์ หรือทำธุรกรรมจำนวนเงินไม่มาก (แต่หลายครั้ง) เพื่อเลี่ยงการแจ้ง SMS หรือ OTP ไปยังเจ้าของก็ได้
ส่วนนี้เชื่อว่าหลาย ๆ คน ไม่น่าจะพลาดกันง่าย ๆ เพราะบริการ Third Party ที่ใช้กัน ก็มักเป็นแบรนด์ที่เรารู้จักกันดีอยู่แล้ว อย่างเช่นตัวผมเองใช้บริการซื้อเกมจาก Steam หรือบริการ Shopping Online ที่ดัง ๆ มากมาย
กระนั้นก็มีบางบริการออนไลน์ที่เป็นของต่างประเทศ ซึ่งไม่เคยโปรโมทในไทยเลย (หรือมีแต่ใช้ภาษาไทยแปลก ๆ) แต่ตอนนั้นเราไปสมัครใช้บริการไปแล้ว ก็นับว่ามีความเสี่ยงเหมือนกัน ทว่าที่เสี่ยงยิ่งกว่าคือ เผลอไปกรอกข้อมูลในเว็บแปลก ๆ อย่าง ‘คุณเป็นผู้โชคดีได้รับรางวัล ฯลฯ’ หรือ ‘กรอกเพื่อลุ้นรับรางวัล ฯลฯ’ ใครกรอกไปแล้ว ก็รีบนึกหมายเลขบัตรที่เผลอใส่ลงไปให้ออก แล้วรีบไปอายัดบัตรโดยพลันเลย หรือถ้าใครเผลอกรอกไปแล้วไม่น้อย แต่ไม่รู้เลยว่ามีเว็บหรือแอปฯ แปลก ๆ อะไรบ้าง ส่วนนี้ก็แนะนำให้ไปอายัดบัตรที่มีในปัจจุบันให้หมด แล้วค่อยไล่เบิกใหม่ก็ได้ครับ
ใด ๆ ก็ตาม หากวันหนึ่งมีข่าวว่า Third Party ที่เราไว้ใจ ดันมีข่าวถูกแฮก ก็นำบัตรที่ใช้ผูกไปหักทิ้ง แล้วรีบทำเรื่องให้โดยไวเช่นกัน หรืออีกกรณีคือ ใช้ ‘ตัวกลาง’ ในการชำระเงินออนไลน์ แต่ตัวกลางดันทำข้อมูลหลุด และหลุดตอนที่เราไม่รู้ว่าหลุด….ขอให้ภาวนาว่าเรารู้ตัวทัน
ถูกทำให้เป็นแอดมินลงโฆษณา Facebook
อีกความเป็นไปได้ที่หลายคนคงคาดไม่ถึง นั้นคือถูกแต่งตั้งเป็นแอดมินลงโฆษณา Facebook (โฆษณาเพจเว็บพนัน หรือ ขายของออนไลน์) กรณีนี้อาจเกิดขึ้นได้ หากบัญชี Facebook ของเพื่อนถูกแฮก แล้วคนร้ายนำชื่อเราจากในบัญชีเพื่อนไป และถ้าหากเรามีการผูกบัญชีบัตรเครดิต/เดบิต ไว้ใน Facebook ด้วย ก็เข้าทางคนร้ายเลย จุดนี้หากเราพบแจ้งเตือนการแต่งตั้งเป็นแอดมิน (หรือเริ่มสงสัย) ให้รีบไปดูที่ส่วน การตั้งค่าและความเป็นส่วนตัว > การตั้งค่า > การชำระเงินโฆษณา > เพจ แล้วดูเลยว่าเรากลายเป็นแอดมินเพจแปลก ๆ หรือไม่ ถ้ามี ก็กดรูป ‘ฟันเฟือง’ แล้วทำการดีดตัวเองออกเลยครับ
สามารถดูวิธีเต็ม ๆ ได้ที่
https://www.facebook.com/photo/?fbid=3036907393217523&set=gm.1557386511264511
วิธีป้องกันและแก้ไข
ช่วงก่อนหน้านี้ เราอาจเห็นข่าว ‘พบข้อมูลผู้ใช้หลุดจำนวนมาก’ หนึ่งในนั้นอาจมีข้อมูลบัตรเครดิต/เดบิต และหนึ่งในนั้นอาจเป็นของเรา… ไม่รู้ว่าถึงเวลาแล้วหรือจังหวะนรก คนร้ายได้เริ่มดำเนินขายข้อมูลที่ไปหลอกเก็บมาได้ทั้งหมด จากนั้นก็ขายทีเดียว และคนซื้อก็เริ่มลงมือทันที อาจนำไปสู่เหตุดังกล่าวนี้เอง อย่างไรก็ตาม ป้องกันตอนนี้ก็ยังไม่สาย ฉะนั้นลองมาดูวิธีป้องกันตามนี้
1.พยายามใช้บัตรเดบิตใบเดียวผูกบัญชีออนไลน์
หากเรามีการสมัครบริการอะไร หรือซื้อของออนไลน์ที่ไหน แนะนำว่าควรใช้บัตรเดบิตใบเดียวพอแล้ว เพราะหากเกิดอะไรขึ้น จะได้ไม่เหนื่อย ทำเรื่องครั้งเดียวพอ และหากมีบัตรใบเดียว ก็กำหนดเลยว่า นี้คือบัตรสำหรับใช้บริการออนไลน์เพียงแหล่งเดียวของเรา เวลาจะใช้ก็ค่อยโอนเงินเข้าไป หรือใส่จำนวนเงินเท่าที่จำเป็น อย่างซักไม่เกิน 1 – 3 พันบาทก็พอ
2.อย่าไปผูกบัตรกับบริการแปลก ๆ
ข้อมูล ‘หมายเลขบัตร’ และ ‘CVV’ คือสิ่งที่ต้องรักษายิ่งชีพ เหล่าบริการหรือ Third Party แปลก ๆ ก็อย่างที่กล่าวไปในบทความเลย หากไม่คุ้นชื่อ ไม่มีคนโปรโมทในไทย หนักกว่านั้นคือ เป็นโฆษณาที่เด้งจากเว็บบางเว็บ จากการคลิกลิงก์ที่ไม่มีที่มาชัดเจน จากนั้นก็มีการหลอกให้กรอกข้อมูลเพื่อลุ้นหรือรับรางวัล ไม่ก็โฆษณาบริการบางอย่างที่เราอาจคุ้นเคยเช่น Microsoft Office แต่เนียนว่าลดค่าใช้บริการถึง 50 – 80% จุดนี้ก็ต้องดูดี ๆ ว่า เป็นของบริการนั้นจริงหรือไม่ ลองถามเพื่อนที่เชี่ยวชาญ หรือถามไปยังทางผู้ให้บริการโดยตรงเลยก็ได้
3.หมั่นเช็คเงินในบัญชีทุกวัน
หากใครมีบัตรหลายใบ หลายธนาคาร ก็แนะนำให้นำแอปฯ ของทุกที่ มารวมไว้ในจุดเดียวหรือโฟลเดอร์เดียวในสมาร์โฟน จากนั้นในทุก ๆ วัน ก็มาไล่เช็คจำนวนเงินของทุกบัญชีเลยครับ จากในบทความก็จะเห็นแล้วว่า ‘ความปลอดภัยแบบ 100% มันไม่มีจริง’ บางครั้งบริการที่เราไว้ใจก็พลาดได้เช่นกัน ฉะนั้นก่อนจะบานปลาย ควรมาไล่เช็คสถานะบัญชีทุกครั้งที่มีโอกาส จะได้เป็นทั้งการเช็คทั้งความปลอดภัย และเช็คสถานะการเงินของเราไปด้วย เผื่อได้เป้าหมายใหม่ในอนาคตก็เป็นได้
สุดท้ายนี้หากโดนเข้าแล้ว ที่เพิ่งสุดท้ายก็ย่อมเป็นธนาคารที่เราใช้บริการนั้นเอง อันดับแรกเลย อายัดบัตรที่มีปัญหา จากนั้นก็ติดต่อไปยังธนาคารที่ใช้บริการ แจ้งเรื่องให้ชัดเจน พร้อมหลักฐานการใช้จ่ายที่ผิดปกติ จากนั้นก็รอเวลาให้ทางธนาคารช่วยจัดการ และดำเนินการคืนเงิน เชื่อว่าหากเราโดนจริง ๆ มีหลักฐานชัดเจนจริง ๆ ยังไงธนาคารก็ช่วยแน่นอน เพียงแต่ตอนนี้อาจจะมีหลายคิวหน่อยครับ