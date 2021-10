ธนาคารแห่งประเทศไทย (ธปท.) และสมาคมธนาคารไทย เปิดเผยถึงกรณีธุรกรรมที่มีความผิดปกติการตัดเงินผ่านบัตรเครดิตและบัตรเดบิตจำนวนมากกว่า 10,700 ใบ แบ่งเป็นมูลค่าความเสียหายที่เกิดขึ้นจากบัตรเครดิตประมาณ 100 ล้านบาท และบัตรเดบิตจำนวน 30 ล้านบาททั้งนี้ ธปท. ยืนยันว่าไม่ได้เกิดจากการรั่วไหลของข้อมูลจากระบบธนาคาร แต่สาเหตุสำคัญเกิดจากการมิจฉาชีพสุ่มข้อมูลบัตรและนำไปสวมรอยทำธุรกรรมผ่านร้านค้าออนไลน์ต่างประเทศ ที่ไม่มีการใช้ One Time Password (OTP) โดยอาศัยช่องโหว่ดูดเงินจำนวนเงินต่อรายการต่ำ แต่มีความถี่จำนวนหลายๆ ครั้ง ซึ่งจะไม่มีการแจ้งเตือนหรือไม่ต้องใช้รหัส OTP ยืนยันตัวตนแปลไทยเป็นไทยก็คือ ระบบ OTP ที่ใช้อยู่ในตอนนี้มีช่องโหว่ที่ทำให้มิจฉาชีพลอบโจรกรรม กล่าวคือบัตรที่ตัดเงินต่ำกว่า 1 ดอลลาร์สหรัฐ หรือราว 33 บาทไทย มีข้อยกเว้นที่ไม่ต้องให้เจ้าของบัตรอนุมัติก่อน หรือบัตรบางใบนั้นเจ้าของบัตรเป็นผู้กำหนดวงเงินขั้นต่ำที่ไม่ต้องใช้ OTP โดยระบบการตัดเงินจะเชื่อมมายังธนาคารไทยเพื่อหักเงินจากบัญชีผู้ใช้บริการในฐานะผู้อำนวยการศูนย์ปราบปรามอาชญากรรมทางเทคโนโลยีสารสนเทศ สำนักงานตำรวจแห่งชาติ หรือ PCT เปิดเผยผลการตรวจสอบกรณีประชาชนหลายรายถูกหักเงินออกจากบัญชีธนาคาร บัตรเครดิต หรือบัตรเดบิต จำนวนหลายครั้งโดยไม่ทราบสาเหตุ โดยสันนิษฐานว่าอาจเกิดจาก 3 ลักษณะคือ 1. เป็นการผูกบัญชีบัตรเครดิต บัตรเดบิต หรือบัญชีธนาคารเข้ากับแอปพลิเคชันต่างๆ เช่น แอปพลิเคชันออนไลน์ และข้อมูลเกิดหลุดไปถึงแก๊งมิจฉาชีพ 2. การส่ง SMS หลอกลวง ที่จะส่งลิงก์มาตาม sms เข้ามือถือผู้เสียหาย และให้กรอกข้อมูลต่างๆ เช่น ปล่อยเงินกู้ ไปรษณีย์ไทย และ 3. การใช้บัตรเครดิตและบัตรเดบิตในชีวิตประจำวัน เช่น การให้บัตรพนักงานไปชำระค่าสินค้าและบริการ ในห้าง หรือการเติมน้ำมัน อาจถูกพนักงานเก็บข้อมูลเลขหน้าบัตร 16 หลัก และเลข CVC หลังบัตร 3 ตัว ซึ่งคนร้ายอาจมีการรวบรวมข้อมูลและขายต่อในตลาดมืดพฤติกรรมการดูดเงินมักจะเป็นการดูดเงินจำนวนไม่กี่บาท แต่หลายๆ ยอด เพราะหากเป็นบัตรเดบิตมักจะไม่มีการส่ง SMS แจ้งเตือนให้ผู้เสียหายรู้ ซึ่งยอดเหล่านี้มักเกิดจากการชำระซื้อค่าไอเทมในเกม หรือซื้อโฆษณาออนไลน์ ที่ไม่จำเป็นต้องส่งสินค้าให้กับผู้ซื้อ ซึ่งการสืบสวนตำรวจต้องประสานกับร้านค้าที่รับชำระว่า กระบวนการตัดเงินอย่างไร หากเป็นแอปพลิเคชันในประเทศ อาจง่ายต่อการตรวจสอบมากกว่าแอปพลิเคชันที่อยู่ในต่างเทศ เช่น googleขณะเดียวกัน ธปท. ได้แถลงข้อสงสัยกรณีการตัดเงินที่ผิดปกติผ่านบัตรเครดิตและบัตรเดบิต ซึ่งมีการรั่วไหลจากร้านค้าออนไลน์ที่มีระบบความปลอดภัยไม่ดีพอ หรือการทุจริตของพนักงานร้านค้า ประการสำคัญยังไม่มีการรั่วไหลของข้อมูลจากระบบธนาคารพาณิชย์ ยืนยันว่าระบบมีความมั่นคงปลอดภัยดีกรณีเงินหายออกจากบัญชีที่เกิดขึ้นในเวลานี้ สาเหตุสำคัญเกิดจากมิจฉาชีพสุ่มข้อมูลบัตรเดบิต คือ หมายเลขบัตรและวันหมดอายุ แล้วนำไปสวมรอยทำธุรกรรมผ่านร้านค้าออนไลน์ต่างประเทศที่ไม่มีการใช้ One Time Password (OTP) หรือกลไกที่เพิ่มความปลอดภัยอื่นๆ เช่น การถามชื่อหรือรหัสไปรษณีย์ของผู้ถือบัตร หรือรหัสหลังบัตร (CVV/CVC) ซึ่งรายการส่วนใหญ่มีจำนวนเงินที่ต่ำ และใช้เป็นจำนวนหลาย ๆ ครั้ง โดยปกติธุรกรรม online ระบบจะกำหนดให้มีการยืนยันตัวตนการทำธุรกรรม เช่น ใส่ SMS-OTP แต่บางร้านค้าจะยกเว้นการใส่ OTP ในกรณีที่เป็นจำนวนเงินน้อยๆ เพื่ออำนวยความสะดวกให้กับผู้ใช้ ซึ่งกรณีนี้หากเกิดความเสียหายขึ้น ร้านค้าเหล่านั้นจะเป็นผู้รับผิดชอบความเสียหาย โดยธนาคารจะเป็นผู้ประสานงานแทนลูกค้าหลังได้รับแจ้ง ซึ่งการใช้ OTP ของธนาคารปัจจุบัน หากมูลค่าธุรกิรรมน้อยจะไม่มีการส่ง OTP เพราะแต่ละครั้งมีค่าใช้จ่ายเกินขึ้น ในส่วนนี้เองเป็นการเปิดช่องให้มิจฉาชีพดูดเงินออกจากบัญชีธปท. ชี้แจงว่าธนาคารมีระบบตรวจจับธุรกรรมที่ผิดปกติอยู่แล้ว โดยแต่ละธนาคารจะตั้งค่าระบบตรวจจับ ได้แก่ การกำหนดเพดาน และเงื่อนไขการใช้งานของบัตรตามลักษณะประเภทร้านค้าและประเภทสินค้าแตกต่างกันไป ดังนั้น เหตุการณ์ที่เกิดครั้งนี้จึงเป็นแบบเฉพาะแห่ง ไม่ได้เกิดกับทุกธนาคาร ธนาคารที่ตั้งเกณฑ์การตรวจจับไว้ไม่เข้มอาจจะมีธุรกรรมเหล่านี้หลุดมาได้ และจากสถานการณ์ที่เกิดขึ้นธนาคารแต่ละแห่งได้ยกระดับการติดตามและเฝ้าระวังรายการต้องสงสัยหรือเข้าข่ายผิดปกติอย่างใกล้ชิดมากขึ้นยอมรับว่าการสวมรอยทำธุรกรรมในรูปแบบต่างๆ เกิดขึ้นต่อเนื่อง เหตุการณ์ในครั้งนี้ไม่ได้เพิ่มขึ้นอย่างมีนัยสำคัญเมื่อเทียบกับช่วงเวลาปกติ อย่างไรก็ดี ธปท. และสมาคมธนาคารไทย ร่วมถอดบทเรียนกำหนดมาตรการเพิ่มเติมเพื่อป้องกันและแก้ปัญหา ดังนี้1. ยกระดับความเข้มข้นในการตรวจจับธุรกรรมที่ผิดปกติ ให้ครอบคลุมทั้งธุรกรรมที่มีจำนวนเงินต่ำและที่มีความถี่สูง หากพบธุรกรรมที่ผิดปกติ ธนาคารจะระงับการใช้บัตรทันทีและแจ้งลูกค้าในทุกช่องทาง รวมทั้งติดตามเฝ้าระวังรายการธุรกรรมจากต่างประเทศเป็นพิเศษ2. เพิ่มการแจ้งเตือนลูกค้าในการทำธุรกรรมทุกรายการ ตั้งแต่รายการแรกผ่านช่องทางต่าง ๆ เช่น ระบบ Mobile banking อีเมล หรือ SMS3. กรณีที่ตรวจสอบพบว่าลูกค้าได้รับผลกระทบจากการทุจริตตามข้างต้น กรณีบัตรเดบิต ลูกค้าจะได้รับการคืนเงินภายใน 5 วันทำการ ส่วนกรณีบัตรเครดิต ธนาคารจะยกเลิกรายการดังกล่าว ลูกค้าไม่ต้องชำระเงินตามยอดเรียกเก็บที่ผิดปกติ และจะไม่มีการคิดดอกเบี้ย4. ธปท. และสมาคมธนาคารไทยจะเร่งหารือกับผู้ให้บริการเครือข่ายบัตร เช่น Visa Mastercard เพื่อกำหนดให้มีการใช้การยืนยันตัวตนเพิ่มเติม เช่น OTP กับบัตรเดบิตสำหรับร้านค้าออนไลน์กรณีลูกค้าพบความผิดปกติของธุรกรรมด้วยตนเอง สามารถติดต่อคอลเซ็นเตอร์หรือสาขาของธนาคารผู้ออกบัตร เพื่อแจ้งตรวจสอบและยืนยันความถูกต้องของธุรกรรมในทันที โดยธนาคารจะดูแลแก้ไขปัญหาที่เกิดขึ้นโดยเร็วที่สุดด้านเลขาธิการสมาคมธนาคารไทย ได้กล่าวสร้างความเชื่อมั่นแก่ประชาชนระบุว่า ระบบธนาคารมีความมั่นคงปลอดภัย โดยทางธนาคารพร้อมรับผิดชอบคืนเงินให้ผู้เสียหายทุกกรณี ซึ่งเมื่อธนาคาร ตรวจสอบพบความเสียหายแล้ว จะติดต่อกลับไปยังผู้เสียหายเพื่อคืนเงินต่อไป ทั้งนี้ ผู้เสียหายไม่ต้องเข้าแจ้งความกับตำรวจ แต่เข้าติดต่อธนาคารเจ้าของบัญชีได้โดยตรง โดย ธปท. ประสานให้ธนาคารและผู้ให้บริการทางการเงิน มีการคืนเงินให้กับลูกค้าภายใน 5 วันทันที นับจากได้รับแจ้งจากลูกค้าในการตรวจสอบพบความผิดปกติอีกประเด็นที่น่าสนใจ ท่ามกลางบรรยากาศมาคุประชาชนเดือดเนื้อร้อนใจจากกรณีเงินหายไปจากบัญชี เกิดดรามาธนาคารเอกชนฉวยโอกาสขายประกันคุ้มครองเงินหายจากบัญชี โซเซียลฯ วิจารณ์สนั่นผลิตภัณฑ์ประกันภัยใหม่ของธนาคารกสิกรไทย “ประกันโดนแฮกเงินหาย”จนทางธนาคารฯ ออกหนังสือชี้แจงด่วน จับใจความได้ว่า “ธนาคารไม่ได้มีเจตนาในการเสนอขายผลิตภัณฑ์หรือบริการรูปแบบนี้ ในช่วงสถานการณ์ที่สังคมมีกระแสวิตกเช่นนี้แต่อย่างใด”ทั้งนี้ เป็นเนื้อหาโฆษณาจัดเพื่อสื่อสารทางการตลาดที่สอดคล้องกับประสบการณ์ในการซื้อขายสินค้าออนไลน์ของลูกค้า 7 รูปแบบ ซึ่งเป็นข้อเสนอนำเสนอให้กับลูกค้าเฉพาะกลุ่ม (ประมาณ 12,000 คน) ผ่าน K PLUS เมื่อวันที่ 11 ตุลาคม 2564 ก่อนจะเกิดกระแสข่าวการตัดเงินที่ผิดปกติผ่านบัตรเครดิตและบัตรเดบิตของประชาชนจำนวนมาก ตามที่สื่อต่างๆ ได้มีการนำเสนอในช่วงนี้ โดยทันทีที่ทราบประเด็นความเดือดร้อนดังกล่าว ในวันที่ 17 ตุลาคม 2564 ธนาคารได้ระงับการโฆษณาผลิตภัณฑ์ด้วยรูปแบบข้างต้นในทุกช่องทางอย่างไรก็ตาม ต้องยอมรับว่าอัตราความเสียหายจากอาชญากรรมไซเบอร์ (Cybercrime) ทั่วโลกมีการเติบโตอย่างรวดเร็ว ในประเทศไทยประเมินความเสี่ยงเพิ่มขึ้น 30 - 40% และมีแนวโน้มจะเพิ่มขึ้นแบบทวีคูณ ดังนั้น กรมธรรม์ประกันภัยไซเบอร์ อาจเป็นทางเลือกในการสร้างหลักประกันของผู้คนในยุคสังคมไร้เงินสด (Cashless Society)ประธานเจ้าหน้าที่บริหาร บริษัท ทิพย กรุ๊ป โฮลดิ้งส์ จำกัด (มหาชน) หรือ TIPH และในฐานะกรรมการผู้จัดการใหญ่ บริษัท ทิพยประกันภัย จำกัด (มหาชน) หรือ TIP เปิดเผยกรณีที่บัญชีผู้ถือบัตรเดบิตและบัตรเครดิตของหลายธนาคารพาณิชย์ในไทยถูกแฮก เบื้องต้นหากธนาคารมีการซื้อกรมธรรม์ประกันภัยไซเบอร์ไว้ จากเหตุการณ์นี้ธนาคารดังกล่าวจะได้รับความคุ้มครองจากความเสียหายที่เกิดขึ้น ซึ่งปัจจุบันภาครัฐได้ออกมากำหนดให้ธนาคารจ่ายเงินคืนผู้ถือบัตรภายใน 5- 7 วัน จำนวนกว่า 10,000 ราย มูลค่าความเสียหายกว่า 130 ล้านบาท ซึ่งตามข้อมูลขณะนี้พบว่ามีบางธนาคารที่ทำประกันภัยไซเบอร์ไว้กับทิพยประกันภัย ซึ่งทางบริษัทกำลังเข้าไปดูแลความคุ้มครองส่วนนี้ให้ต่อไป“จากสถานการณ์นี้ไม่ได้ทำให้เราต้องปรับเงื่อนไขความคุ้มครองเป็นความรับผิดส่วนแรก (Deductible) แต่อย่างใด เพราะเป็นสิ่งที่มีการคาดการณ์ไว้อยู่แล้วกับความเสี่ยงลักษณะนี้จะเกิดขึ้น และที่สำคัญตอนดีไซน์กรมธรรม์ได้มีการจับมือร่วมกับรีอินชัวรันซ์ในต่างประเทศที่มีประสบการณ์ ซึ่งได้เข้ามาเป็นผู้รับประกันภัยต่อจากทิพยประกันภัย” นายสมพร กล่าวโดยรูปแบบของกรมธรรม์ประกันภัยไซเบอร์ จะให้ความคุ้มครองทั้งซื้อสินค้าที่ไม่ได้รับตามเจตรมย์ (ไม่ตรงปก), สินค้าเสียหายใช้การไม่ได้ และขยายความคุ้มครองไปถึงในกรณีข้อมูลถูกแฮกระหว่างทำทรานแซกชั่น แล้วดูดเงินออกจากบัญชีธนาคาร โดยความคุ้มครองตามมีลิมิตที่กำหนดไว้