สูญเงินแสน! ลูกค้าแบงก์กรุงเทพ เจอ “อีเมลปลอม” หลอกขอข้อมูล คนร้ายโอนเงินผ่านมือถือ

ลูกค้าธนาคารกรุงเทพพบอีเมลหลอกลวงส่งผ่านอีเมลบริษัท อ้างว่า เป็นระบบรักษาความปลอดภัย ขอข้อมูลชื่อผู้ใช้ “บัวหลวงไอแบงกิ้ง” พร้อมรหัสผ่าน เลขที่บัตรประชาชน และอีเมล ก่อนหลอกขอ OTP พบคนร้ายนำไปสมัครบริการ “บัวหลวงเอ็มแบงกิ้ง” ผ่านสมาร์ทโฟน แล้วโอนเงินไปยังปลายทาง

ในเว็บไซต์พันทิป มีผู้ใช้นามแฝงว่า charaewo ซึ่งเป็นลูกค้าธนาคารกรุงเทพ ได้ตั้งกระทู้ในหัวข้อ “สูญเงินแสนชั่วอึดใจ ขนาด call center อยู่ปลายสายยังหยุดไม่ทัน ไม่คิดเลยค่ะว่าจะเกิดเหตุการณ์นี้กับตัวเอง T^T" เตือนภัยเกี่ยวกับการใช้บริการช่องทางอิเล็กทรอนิกส์ของธนาคารกรุงเทพ ระบุว่า เมื่อวันที่ 3 ม.ค. เวลา 07.18 น. ตนได้รับอีเมลจาก Bangkok Bank ระบุหัวข้อ Bualuang iBanking - SMS Security Registration มาที่อีเมลของบริษัท ซึ่งเป็นคนละที่อยู่กับอีเมลส่วนตัวที่สมัครบริการ โดยให้คลิกลิงก์เพื่อลงทะเบียน และด้วยความที่โปรแกรม IBM Lotus Notes ไม่แสดงผล URL Address จึงไม่รู้ว่าลิงก์ปลายทางเป็นเว็บไซต์ธนาคารจริงหรือไม่

ในขั้นตอนดังกล่าว เจ้าของกระทู้ระบุว่า มีการเข้าสู่ระบบ Bualuang iBanking หลังจากนั้นก็ใส่ข้อมูล หมายเลขบัตรประชาชน วันเดือนปีเกิด ก่อนจะได้รับ OTP มาทางโทรศัพท์มือถือให้กรอก จนสิ้นสุดขั้นตอน ก่อนที่เมื่อเวลา 09.25 น. ได้มีอีเมลจาก Bualuang mBanking แจ้งเปิดใช้การโอนเงินผ่านหมายเลขโทรศัพท์มือถือ และบริการแจ้งเตือนการเริ่มใช้งานในอุปกรณ์เครื่องอื่นในระบบบัวหลวง เอ็มแบงกิ้ง ด้วยความแปลกใจจึงโทรศัพท์ไปที่หมายเลข 1333 เจ้าหน้าที่คอลล์เซ็นเตอร์แจ้งว่าน่าจะเป็นฟิชชิ่งอีเมล (Phishing Email) และหน้าเว็บไซต์ปลอม (Fake Webpage) โดยแนะนำให้เปลี่ยน Username และ Password บริการ Bualuang iBanking แล้วคนร้ายก็จะล็อกอินเข้ามาด้วยชื่อผู้ใช้เก่าไม่ได้แล้ว

อย่างไรก็ตาม แม้จะเปลี่ยน Username และ Password แล้ว แต่ก็พบว่าได้มีอีเมลแจ้งเตือนเข้าใช้งานระบบบัวหลวงเอ็มแบงกิ้ง เมื่อเวลา 22.16 น. จึงโทร.ไปที่คอลล์เซ็นเตอร์อีกครั้งว่ามีใครไม่รู้เข้าใช้บัญชีของเรา ให้ช่วยรีบเช็กด่วน ระหว่างสนทนาพบว่าคนร้ายทำรายการโอนเงินไปยังบัญชีธนาคารกรุงไทย จำนวน 50,000 บาท สองครั้ง ในเวลา 22.45 น. และ 22.46 น. ซึ่งตนได้แจ้งยืนยันว่าไม่ได้เป็นผู้ทำธุรกรรมนี้ ขอให้รีบระงับการโอนนั้นทันที แต่เจ้าหน้าที่แจ้งว่าทำไม่ได้แล้ว ต้องแจ้งตำรวจให้ดำเนินการเท่านั้น เราจึงขอหมายเลขบัญชี, ชื่อเจ้าของบัญชีและชื่อธนาคารปลายทาง แต่เจ้าหน้าที่ดูได้แค่เลขที่บัญชีกับธนาคาร ไม่สามารถดูชื่อเจ้าของบัญชีได้

จากนั้นกลางดึกจึงได้ออกไปแจ้งตำรวจ สน. แถวบ้านทันทีตอนเกือบเที่ยงคืน ทางตำรวจก็ออกใบแจ้งความให้ และออกเอกสารขอให้อายัดบัญชีปลายทางนี้ตามคำแนะนำของทางคอลล์เซ็นเตอร์ จากนั้นวันที่ 4 ม.ค. น้องชายไปที่ธนาคารกรุงไทย สำนักงานใหญ่ ส่วนเจ้าของกระทู้ไปธนาคารกรุงเทพ สาขาที่อยู่ใกล้กัน เพื่อให้ช่วยประสานงานให้ ทางธนาคารกรุงไทยแจ้งว่าเงินได้ถูกโอนออกจากบัญชีนั้นทันทีหลังจากโอนเข้า จึงต้องให้กลับไปแจ้งตำรวจให้ดำเนินคดีทางกฎหมายต่อไป เพราะไม่สามารถบอกข้อมูลหรือทำอะไรได้ถ้าไม่มีหมายจากตำรวจ ส่วนทางธนาคารกรุงเทพ เจ้าหน้าที่ไม่รู้ว่าจะต้องทำอย่างไรบ้าง ได้แต่หาเบอร์แล้วโทรหาศูนย์ ซึ่งรอนานมากกว่าจะโทรติด สุดท้ายก็บอกว่าทางธนาคารก็ทำอะไรไม่ได้ ให้เราไปแจ้งตำรวจอย่างเดียว ไม่ได้อะไรเลย

อย่างไรก็ตาม เมื่อได้เบอร์โทรศัพท์ Bualuang Exclusive โทรไปเจอเจ้าหน้าที่ที่ดูแลเรื่อง iBanking โดยเฉพาะ ซึ่งแนะนำให้ไปที่สาขาที่เปิดบัญชี และช่วยประสานงานให้ไปพบกับผู้ช่วยผู้จัดการ เพื่อกรอกคำร้อง ก่อนกลับไปที่สถานีตำรวจให้ช่วยออกเอกสารอีกฉบับเพื่อขอข้อมูลบัญชีปลายทางจากธนาคารกรุงไทย แล้วนำไปที่ธนาคารกรุงเทพสาขาที่เปิดบัญชี เพื่อทำเรื่องร้องขอปฏิเสธการโอนเงินทั้งสองรายการ และขอให้ทางธนาคารกรุงเทพ ประสานงานกับธนาคารกรุงไทย รวบรวมหลักฐานของบัญชีปลายทางนี้เพื่อดำเนินคดีต่อไป นอกจากนี้ ยังได้ส่ง Phishing Email และอีเมล Notification ทั้งหมดให้ทาง Bualuang Exclusive ไปด้วย วันที่ 5 ม.ค. ตนได้กลับไปที่ธนาคารกรุงไทยอีกครั้ง พร้อมยื่นเอกสารที่ได้จากตำรวจไปให้ หลังจากนั้น ทางตำรวจก็ติดต่อกับทางธนาคารกรุงไทยโดยตรง แต่ธนาคารกรุงไทยแจ้งตำรวจว่าต้องใช้เวลา 1-2 สัปดาห์ในการรวบรวมข้อมูลส่งให้ตำรวจอีกที

หลังกระทู้ดังกล่าวตีพิมพ์ออกไป มีผู้คนเข้าแสดงความคิดเห็นถึงข้อบกพร่องของระบบธนาคารออนไลน์ และธนาคารบนโทรศัพท์มือถือ และได้ออกมาเตือนว่า คนที่ใช้บริการบัวหลวงเอ็มแบงก์กิ้งในโทรศัพท์มือถือ แม้จะเปลี่ยนรหัสผ่านบริการบัวหลวงไอแบงกิ้งไปแล้ว แต่ในแอปพลิเคชันบัวหลวงเอ็มแบงก์กิ้งยังใช้งานอยู่โดยไม่ต้องเข้าสู่ระบบใหม่ นอกจากนี้ ยังตั้งข้อสังเกตถึงการที่คนร้ายหลอกขอข้อมูลจากผู้เสียหาย ได้แก่ ใส่ข้อมูล หมายเลขบัตรประชาชน วันเดือนปีเกิด เพื่อสมัครบริการ บัวหลวงเอ็มแบงกิ้ง โดยที่ผู้เสียหายไม่เคยและไม่ได้สมัครบริการมาก่อน ซึ่งระบบนั้นออกแบบมาแยกกัน ส่วนบัญชีปลายทางที่ใช้โอนเงินส่วนใหญ่เป็นบัญชีที่มีผู้รับจ้างเปิด โดยทำกันเป็นขบวนการ

นอกจากนี้ ยังมีผู้ใช้นามว่า “coalla” ได้ตั้งกระทู้ในหัวข้อ แจ้งเตือน! มิจฉาชีพ ส่งอีเมลปลอมเพื่อหลอกเอาข้อมูล Internet Banking ระบุว่า ได้รับอีเมลหลอกเอาข้อมูลส่วนตัว โดยส่งเข้าอีเมลที่ทำงาน อ้างว่ามาจากธนาคารกรุงเทพ เนื้อหามีแต่ภาษาอังกฤษ การใช้ภาษาดูไม่เป็นทางการ พร้อมมีลิงก์ให้คลิก เมื่อเข้าสู่ระบบพบว่าเป็นหน้าเว็บไซต์ปลอมที่ออกแบบมาเหมือนกับของธนาคารกรุงเทพ เมื่อคลิก Log On โดยไม่กรอกอะไรเลย จะเข้าสู่หน้าเว็บเพจโดยใช้ชื่อว่า “Bualuang iBanking online vertification” โดยมี 3 ขั้นตอน ได้แก่ ให้กรอกเลขที่บัตรประชาชน 13 หลัก และวัน เดือน ปีเกิด ก่อนที่จะให้กรอก SMS OTP แต่เจ้าของกระทู้ใช้วิธีกรอกข้อมูลผิดๆ ไป จึงไม่ได้รับ SMS OTP และเมื่อกรอกข้อมูลมั่ว ระบบจะพากลับมาที่หน้าเว็บไซต์ธนาคารจริง

ก่อนหน้านี้ ธนาคารกรุงเทพ ได้ส่งอีเมล และ SMS แจ้งเตือนลูกค้า ระบุว่า “ธนาคารไม่มีนโยบายส่ง Email ที่มีลิงก์ให้ท่านคลิก เพื่อกรอกข้อมูล User ID/Password/เลขประจำตัวประชาชน/วันเดือนปีเกิด/SMS OTP หากท่านได้รับ Email ดังกล่าว โปรดอย่าคลิกลิงก์หรือให้ข้อมูลใดๆ สงสัยโทร. 1333”