ประธานบอร์ดตลาดหลักทรัพย์ฯ ชงคลังออก พ.ร.ก.สกัดฟอกเงินในตลาดหุ้น บังคับให้บริษัทในตลาดหุ้นเปิดเผยข้อมูลเชิงลึกผู้รับผลประโยชน์ “ผู้ถือหุ้น” พร้อมตรวจเข้มเปิดบัญชีลงทุนต้องสงสัย ขณะที่ “กระทรวงดีอี-ภาคการเงิน” เพิ่มมาตรการป้องกันหลอกลงทุน เสนอยกเลิกส่งอีเมล์แนบลิงก์ทุกประเภท ยกระดับความปลอดภัยไซเบอร์ 7 เซ็กเตอร์เป็นมาตรฐานเดียวกัน ขณะที่ “ธปท.-ศูนย์ TB-CERT” ยันระบบ KYC แบงก์ไทยปลอดภัย ชี้กรณีสแกมเมอร์ใช้ AI หลอกยืนยันตัวตนเป็นแอปธนาคารจีน พร้อมยกระบบป้องกัน เล็งเพิ่มข้อมูลยืนยันตัวตนขั้นสูง
ศาสตราจารย์พิเศษกิติพงศ์ อุรพีพัฒนพงศ์ ประธานกรรมการตลาดหลักทรัพย์แห่งประเทศไทย เปิดเผย “ประชาชาติธุรกิจ” ว่า ตามที่มีกลุ่มมิจฉาชีพได้แอบอ้างชื่อตลาดหลักทรัพย์แห่งประเทศไทย (ตลท.) บริษัทหลักทรัพย์ รวมถึงบริษัทจดทะเบียนหลายแห่ง โดยส่งอีเมล์หลอกลวงไปยังผู้ลงทุน เพื่อชักชวนหรือหลอกลวงให้มาร่วมลงทุน โดยคลิกลิงก์เพื่อรับคริปโตเคอร์เรนซีนั้น เรื่องนี้เป็นเรื่องความปลอดภัยทางไซเบอร์ (ไซเบอร์ซีเคียวริตี้) เมื่อเกิดเหตุขึ้นตลาดหลักทรัพย์ฯ ก็รีบเปิดเผยและแจ้งเตือนนักลงทุน ซึ่งก็ได้ดำเนินการทันที
“การดูแลเรื่องนี้มีกฎหมายของทางกระทรวงดีอี (กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม) อยู่แล้ว ก็ต้องใช้กฎหมายด้านไซเบอร์ไปปราบ ส่วนตลาดหลักทรัพย์ฯเราก็เป็นเหยื่อ แต่เราก็มีหน้าที่เตือน อย่างไรก็ดี ก็อยากจะบอกว่าการลงทุนต่าง ๆ ที่อ้างผลตอบแทนสูงเกินจริง หลอกลวงทั้งนั้น ไม่ควรหลงเชื่อ ตรงนี้ก็ต้องให้ความรู้ผู้ลงทุน”
ตรวจเข้มเปิดบัญชีลงทุนหุ้น
ประธานบอร์ดตลาดหลักทรัพย์ฯกล่าวว่า นอกจากนี้ ตนได้ให้ฝ่ายบริหารตลาดหลักทรัพย์ฯเตรียมพร้อมกับการที่ภาครัฐ-สถาบันการเงินมีความร่วมมือจัดตั้ง “ดาต้าบูโร” ขึ้นมา ซึ่งจะทำให้ตรวจสอบการนำเงินมาฟอกในตลาดทุนทำได้ดีขึ้น โดยจะต้องหามาตรการมารองรับ เช่น ต่อไปหากมีหุ้นที่มีความผิดปกติ มีเหตุต้องสงสัย อาจจะต้องดำเนินการยึดหรืออายัดเงินลงทุนไว้ก่อน ซึ่งโบรกเกอร์จะเป็นด่านแรกที่ต้องเข้มงวดเรื่องการยืนยันตัวตน (KYC)
“การ KYC ต้องเข้มข้น อย่างถ้าเปิดบัญชีซื้อหุ้น 1-2 ล้านบาทก็ไม่เป็นไร แต่ถ้าอยู่ ๆ เป็นใครก็ไม่รู้มาเปิดบัญชี 100 ล้านบาท มาจากไหนก็ไม่รู้ ก็ต้องดู เพราะคิดว่าพวกสแกมเมอร์อะไรพวกนี้ พอได้เงินมาก็ต้องมาหาที่ฟอก ซึ่งตรงนี้ดาต้าบูโรจะช่วยได้เยอะ”
ชง พ.ร.ก.สกัดฟอกเงินตลาดหุ้น
ศาสตราจารย์พิเศษกิติพงศ์กล่าวด้วยว่า ขณะนี้อยู่ระหว่างการหารือกับรองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงการคลัง ในการพิจารณาว่าอาจมีความจำเป็นต้องออกพระราชกำหนด (พ.ร.ก.) ให้บริษัทจดทะเบียนต้องเปิดเผยข้อมูลเชิงลึก ว่าใครเป็นผู้รับประโยชน์ตัวจริงจากการเป็นผู้ถือหุ้น ไม่ใช่บอกแค่ตัวบริษัท เช่น กรณีมีบริษัท A อยู่ต่างประเทศ ถือหุ้นในบริษัทจดทะเบียน ตลาดหลักทรัพย์ฯต้องสามารถขอข้อมูลได้ว่าบริษัท A ถือหุ้นแทนใครหรือไม่ หรือถือหน่วยทรัสต์ แล้วใครเป็นผู้รับประโยชน์ตัวจริง
“ก็ต้องผลักดันออก พ.ร.ก.ให้เร็ว เพื่อจะได้เห็นว่าใครเป็นใคร อยู่ที่ไหนบ้าง” ประธานกรรมการตลาดหลักทรัพย์ฯกล่าว
ธปท.ย้ำ YC แบงก์ไทยปลอดภัย
ขณะที่นางสาวดารณี แซ่จู ผู้ช่วยผู้ว่าการ สายกำกับระบบการชำระเงินและคุ้มครองผู้ใช้บริการทางการเงิน ธนาคารแห่งประเทศไทย (ธปท.) เปิดเผยว่า กรณีที่ข่าวเจ้าหน้าที่ตำรวจจับกุมชาวจีน 4 คน ที่ใช้ AI สร้างคลิปวิดีโอปลอมจากภาพนิ่งของเหยื่อ เพื่อหลอกระบบยืนยันตัวตนของธนาคารสำเร็จนั้น
จากการตรวจสอบพบว่าเป็นกรณี Scammer ชาวจีนทดลองระบบยืนยันตัวตนโดยใช้ข้อมูลธนาคารและแอปพลิเคชั่นของจีน ไม่ใช่ของไทย
“ธปท.ย้ำว่าระบบยืนยันตัวตนด้วยใบหน้าที่ธนาคารพาณิชย์ในไทยใช้ มีมาตรการป้องกันการปลอมแปลงด้วยภาพหรือวิดีโออย่างรัดกุม โดยแต่ละธนาคารมีเทคนิคการตรวจจับที่ต้องผ่านการทดสอบความแม่นยำ ความปลอดภัยต่อการโจมตีในหลายรูปแบบก่อนใช้งาน นอกจากนี้ ศูนย์ประสานงานด้านความมั่นคงปลอดภัยไซเบอร์ภาคการธนาคาร (TB-CERT) ภายใต้สมาคมธนาคารไทยยังติดตามภัยไซเบอร์รูปแบบใหม่ ๆ อย่างใกล้ชิด หากพบความผิดปกติก็จะเร่งหาแนวทางป้องกันทันที”
TB-CERT ยกระดับ-ป้องกัน
นายกิตติ โฆษะวิสุทธิ์ ประธานศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคธนาคาร (TB-CERT) เปิดเผย “ประชาชาติธุรกิจ” ว่า กรณีการจับกุมชาวจีนที่มีการใช้นวัตกรรม AI หลอกยืนยันตัวตนของธนาคารนั้น เป็นการใช้ปัญญาประดิษฐ์ (AI) หลอกยืนยันตัวตนระหว่างธนาคารจีนและธนาคารจีน ไม่ใช่โมบายแอปพลิเคชั่นของธนาคารพาณิชย์ในไทยแต่อย่างใด
ทั้งนี้ TB-CERT ยืนยันว่าการยืนยันตัวตน (KYC) ของธนาคารไทยมีความปลอดภัย และมีมาตรการป้องกันและขั้นตอนที่เข้มงวด นอกเหนือจากขั้นตอน KYC โดยธนาคารยังมีมาตรการอื่น ๆ เสริมเพื่อป้องกัน เช่น ลูกค้า 1 รายจะจำกัดอุปกรณ์เคลื่อนที่ได้ 1 เครื่อง และ 1 ซิมเบอร์มือถือเท่านั้น ซึ่งมาตรการเหล่านี้ยังค่อนข้างมั่นใจว่ายังสามารถควบคุมความเสี่ยงได้อยู่
อย่างไรก็ดี เพื่อไม่เป็นการประมาท TB-CERT อยู่ระหว่างประสานงานกับเจ้าหน้าที่ตำรวจผ่านทางตำรวจไซเบอร์ ในการขอเข้าไปทดสอบระบบที่ชาวจีนใช้ในการหลอกระบบยืนยันตัวตน เพื่อให้รู้ว่าระบบการยืนยันตัวของแอปพลิเคชั่นโมบายแบงกิ้งธนาคารพาณิชย์ไทยมีจุดไหนเป็นช่องโหว่หรือไม่ เพื่อตรวจสอบและคอนเฟิร์มจากเคสที่เกิดขึ้นจริง เพื่อหาวิธีป้องกัน ส่วนจะมีมาตรการอะไรเพิ่มเติมจาก ธปท.หรือไม่ คงต้องรอให้ TB-CERT เข้าไปทดสอบระบบก่อน
BBL ยันระบบปลอดภัยปิดเสี่ยง
นายไชยฤทธิ์ อนุชิตวรวงศ์ รองผู้จัดการใหญ่ ธนาคารกรุงเทพ เปิดเผยกับ “ประชาชาติธุรกิจ” ว่า ระบบการยืนยันตัว (KYC) ของธนาคารค่อนข้างมีความปลอดภัย และเป็นมาตรฐานระดับสากล มีระบบตรวจจับค่อนข้างมีประสิทธิภาพ ป้องกันการปลอมแปลงได้ดี จึงมองว่าการหลอกยืนยันตัวตนผ่านการใช้ปัญญาประดิษฐ์ (AI) หรือ DeepSeek AI ผ่านโมบายแบงกิ้งของธนาคารน่าจะทำได้ค่อนข้างยาก
นอกจากนี้ ธนาคารยังมีมาตรการป้องกันการใช้โมบายแบงกิ้งอื่น ๆ เช่น ลูกค้า 1 คนสามารถใช้เครื่องมืออุปกรณ์ได้ 1 เครื่อง และ 1 หมายเลขโทรศัพท์ รวมถึงกรณีที่มีการโอนเงินเกินวงเงินที่กำหนดจะมีการยืนยันตัวตนด้วยข้อมูลทางชีวภาพ (Biometric) ก่อนจะมีการทำธุรกรรม เช่น สแกนลายนิ้วมือ การใส่รหัส และสแกนใบหน้าเพื่อยืนยันตัวตน ซึ่งการสแกนหน้าจะมีกระบวนการตรวจจับความผิดปกติ เช่น การยิ้ม การเคลื่อนไหว การกะพริบตา เพื่อแยกแยะ (Identify) ตัวตน และป้องกันคนที่ไม่ใช่เจ้าของปลอมแปลงเข้ามาใช้
ขณะเดียวกัน ธนาคารร่วมมือกับ ธปท. สำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.) และหน่วยงานต่าง ๆ เพื่อยกระดับการจัดการบัญชีม้า หรือบัญชีต้องสงสัยอย่างต่อเนื่อง โดยมีระบบตรวจจับธุรกรรมต้องสงสัย หรือการใช้วงเงินที่ผิดปกติ ธนาคารจะมีการป้องกันบัญชีเหล่านี้ เป็นต้น
ธปท.เล็งเพิ่มข้อมูลยืนยันตัวตน
นายวชิราวัชร์ มหาทัพกฤษ ผู้ช่วยผู้อำนวยการธนาคารออมสิน สายงานความมั่นคงปลอดภัยไซเบอร์ กลุ่มเทคโนโลยีสารสนเทศและธุรกิจดิจิทัล ธนาคารออมสิน กล่าวกับ “ประชาชาติธุรกิจ” ว่า หากดูโอกาสที่จะเกิดกรณีการหลอกยืนยันตัวตนผ่าน AI ในประเทศไทย มองว่าโอกาสที่จะนำ AI มาใช้ในไทยคงยังไม่เกิด และความเสี่ยงที่เกิดจากกรณี AI ก็ยังไม่มี เพราะระบบการยืนยันตัวตนผ่านแอปพลิเคชั่น
ของธนาคารไทยค่อนข้างรัดกุม และกระบวนการพิสูจน์ตัวตนไม่ใช่แค่เพียงหันซ้าย หันขวา หรือกะพริบตา แต่ระบบการยืนยันตัวตนของธนาคารมีการตรวจจับมากกว่านี้ และสามารถแยกแยะระหว่างการยืนยันตัวตนคนจริงและ AI ได้ ประกอบกับที่ผ่านมาธนาคารมีการยกระดับจนกรณีแอปดูดเงินไม่มี ส่งผลให้มิจฉาชีพไม่สามารถยึดครองเครื่องโทรศัพท์มือถือเพื่อมาสแกนหน้าได้ โดยการทำ AI มายืนยัน
ตอนนี้ธนาคารแห่งประเทศไทย (ธปท.) อยู่ระหว่างการสอบถามและตรวจสอบผ่านศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคธนาคาร (TB-CERT) ซึ่งกรณีจะมีมาตรการป้องกันเพิ่มเติมน่าจะเป็นเรื่องระบบยืนยันตัวตนแบบหลายปัจจัย Multi-Factor Authentication ที่กำหนดให้ผู้ใช้ต้องใช้ข้อมูลยืนยันจากเดิม 2 อย่าง เช่น สแกนใบหน้า ใส่รหัส PIN อาจจะต้องเพิ่มการยืนยันอย่างที่ 3 อาทิ รหัส OTP เป็นต้น
ดีอีชงรัฐห้ามส่งอีเมล์แนบไฟล์
นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยว่า ล่าสุดมีการโจมตีทางไซเบอร์รูปแบบใหม่ที่ซับซ้อนขึ้น และเป็นปัญหาใหม่ที่ไม่เคยเกิดขึ้น คือสแกมเมอร์ใช้อีเมล์จริงขององค์กรใหญ่ในไทย 4 แห่งที่มีความน่าเชื่อถือ ส่งข้อความแนบลิงก์ฟิชชิ่งไปยังประชาชนกว่าแสนฉบับ ในเบื้องต้นมีการคลิกลิงก์ไป 3,000 ราย และเข้าถึงการยืนยันตัวตน 1 ราย คาดว่าเป็นผู้เสียหายกำลังดำเนินการรวบรวมข้อมูลต่อไป
ความพิเศษของเคสนี้คือ เป็นโดเมนจริง ๆ ของตลาดหลักทรัพย์แห่งประเทศไทย บลจ. ฟินันเซีย ธนาคารกรุงศรีฯ และสายการบินบางกอกแอร์เวย์ส ซึ่งได้ใช้บริการของ Taximail ในการส่งอีเมล์ทางการตลาดจำนวนมากอยู่แล้ว เมื่อแฮกเกอร์เข้าสู่บัญชีของ Taximail ได้ก็ได้ส่งอีเมล์แนบลิงก์ฟิชชิ่ง ในนามของ 4 องค์กรใหญ่เหล่านี้
จากเคสนี้ทราบว่าหลายองค์กรในไทยได้เลิกใช้การส่ง SMS แนบลิงก์ไปแล้ว ซึ่ง กสทช.ก็ออกมาตรการแล้ว แบงก์ชาติก็ห้ามธนาคารส่งแล้ว หน่วยงานของรัฐอย่างกรมการขนส่งทางบก หรือการไฟฟ้าฯก็ให้เลิกส่งข้อความแนบลิงก์
ดังนั้น เพื่อความชัดเจนจะเสนอให้ทุกหน่วยงานทุกองค์กรเลิกส่งลิงก์แนบ SMS และอีเมล์ด้วย ให้ไปเสนอข่าวสารโปรโมชั่นผ่านแพลตฟอร์มของตัวเอง เพื่อจะได้แจ้งแก่ประชาชนได้ชัด ว่าต่อไปนี้ลิงก์ในอีเมล์ทั้งหมด “อันตราย”
และเพื่อให้เกิดการบังคับใช้ที่ชัดเจน จะเสนอ ครม.ให้มีคำสั่งห้ามส่งอีเมล์ข้อความแนบลิงก์โดยเร็วที่สุด ไม่เช่นนั้นจะเป็นเหมือนตอนนี้ว่าบางองค์กรก็ไม่ส่งแล้ว บางองค์กรยังส่งอยู่ ต่อไปต้องส่งทั้งหมด
ยกระดับคุม Thrid Party
มาตรการต่อมาที่มีการหารือ คือการกำหนดมาตรฐานความปลอดภัยทางไซเบอร์ จากเคสนี้จะเห็นว่า แพลตฟอร์มภายนอก หรือ Thrid Party อย่าง Taximail ไม่ได้อยู่ภายใต้การกำกับที่ต้องรายงานหลักเกณฑ์ความปลอดภัยแก่สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ในเรื่องนี้ต้องไปดูเจตนาว่าทั้ง 4 องค์กรทราบหรือไม่ว่าความปลอดภัยหละหลวม เพราะต่อให้เป็น Thrid Party ผิด แต่ถ้าผู้ใช้งานร่วมรู้ก็ต้องรับผิดชอบความเสียหายด้วย
ดังนั้น ต้องมีการร่วมกันยกระดับมาตรฐานความปลอดภัยไซเบอร์ให้เป็นมาตรฐานเดียวกัน โดย สกมช.จะกำกับความปลอดภัย 7 เซ็กเตอร์ มีความมั่นคงของรัฐ บริการภาครัฐที่สำคัญ การเงิน การธนาคาร เทคโนโลยี สาธารณสุข และคมนาคม การขนส่ง และโลจิสติกส์ พลังงาน และสาธารณูปโภค
“สิ่งที่สั่งการกันไปแล้วก็คือมาตรฐานในเรื่องของการปกป้องข้อมูลเหล่านี้ต้องเท่ากันแล้ว มีมาตรฐานเดียวกัน ถ้าเกิดข้อมูลส่วนบุคคลออกไปจากหน่วยงานไหนก็ตาม”
อ่านข่าวต้นฉบับได้ที่ :
https://www.prachachat.net/finance/news-1918567
ดัน พ.ร.ก.สกัดฟอกเงินตลาดหุ้น ล้วงข้อมูลผู้ถือหุ้น-เข้มเปิดบัญชีลงทุน
ศาสตราจารย์พิเศษกิติพงศ์ อุรพีพัฒนพงศ์ ประธานกรรมการตลาดหลักทรัพย์แห่งประเทศไทย เปิดเผย “ประชาชาติธุรกิจ” ว่า ตามที่มีกลุ่มมิจฉาชีพได้แอบอ้างชื่อตลาดหลักทรัพย์แห่งประเทศไทย (ตลท.) บริษัทหลักทรัพย์ รวมถึงบริษัทจดทะเบียนหลายแห่ง โดยส่งอีเมล์หลอกลวงไปยังผู้ลงทุน เพื่อชักชวนหรือหลอกลวงให้มาร่วมลงทุน โดยคลิกลิงก์เพื่อรับคริปโตเคอร์เรนซีนั้น เรื่องนี้เป็นเรื่องความปลอดภัยทางไซเบอร์ (ไซเบอร์ซีเคียวริตี้) เมื่อเกิดเหตุขึ้นตลาดหลักทรัพย์ฯ ก็รีบเปิดเผยและแจ้งเตือนนักลงทุน ซึ่งก็ได้ดำเนินการทันที
“การดูแลเรื่องนี้มีกฎหมายของทางกระทรวงดีอี (กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม) อยู่แล้ว ก็ต้องใช้กฎหมายด้านไซเบอร์ไปปราบ ส่วนตลาดหลักทรัพย์ฯเราก็เป็นเหยื่อ แต่เราก็มีหน้าที่เตือน อย่างไรก็ดี ก็อยากจะบอกว่าการลงทุนต่าง ๆ ที่อ้างผลตอบแทนสูงเกินจริง หลอกลวงทั้งนั้น ไม่ควรหลงเชื่อ ตรงนี้ก็ต้องให้ความรู้ผู้ลงทุน”
ตรวจเข้มเปิดบัญชีลงทุนหุ้น
ประธานบอร์ดตลาดหลักทรัพย์ฯกล่าวว่า นอกจากนี้ ตนได้ให้ฝ่ายบริหารตลาดหลักทรัพย์ฯเตรียมพร้อมกับการที่ภาครัฐ-สถาบันการเงินมีความร่วมมือจัดตั้ง “ดาต้าบูโร” ขึ้นมา ซึ่งจะทำให้ตรวจสอบการนำเงินมาฟอกในตลาดทุนทำได้ดีขึ้น โดยจะต้องหามาตรการมารองรับ เช่น ต่อไปหากมีหุ้นที่มีความผิดปกติ มีเหตุต้องสงสัย อาจจะต้องดำเนินการยึดหรืออายัดเงินลงทุนไว้ก่อน ซึ่งโบรกเกอร์จะเป็นด่านแรกที่ต้องเข้มงวดเรื่องการยืนยันตัวตน (KYC)
“การ KYC ต้องเข้มข้น อย่างถ้าเปิดบัญชีซื้อหุ้น 1-2 ล้านบาทก็ไม่เป็นไร แต่ถ้าอยู่ ๆ เป็นใครก็ไม่รู้มาเปิดบัญชี 100 ล้านบาท มาจากไหนก็ไม่รู้ ก็ต้องดู เพราะคิดว่าพวกสแกมเมอร์อะไรพวกนี้ พอได้เงินมาก็ต้องมาหาที่ฟอก ซึ่งตรงนี้ดาต้าบูโรจะช่วยได้เยอะ”
ชง พ.ร.ก.สกัดฟอกเงินตลาดหุ้น
ศาสตราจารย์พิเศษกิติพงศ์กล่าวด้วยว่า ขณะนี้อยู่ระหว่างการหารือกับรองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงการคลัง ในการพิจารณาว่าอาจมีความจำเป็นต้องออกพระราชกำหนด (พ.ร.ก.) ให้บริษัทจดทะเบียนต้องเปิดเผยข้อมูลเชิงลึก ว่าใครเป็นผู้รับประโยชน์ตัวจริงจากการเป็นผู้ถือหุ้น ไม่ใช่บอกแค่ตัวบริษัท เช่น กรณีมีบริษัท A อยู่ต่างประเทศ ถือหุ้นในบริษัทจดทะเบียน ตลาดหลักทรัพย์ฯต้องสามารถขอข้อมูลได้ว่าบริษัท A ถือหุ้นแทนใครหรือไม่ หรือถือหน่วยทรัสต์ แล้วใครเป็นผู้รับประโยชน์ตัวจริง
“ก็ต้องผลักดันออก พ.ร.ก.ให้เร็ว เพื่อจะได้เห็นว่าใครเป็นใคร อยู่ที่ไหนบ้าง” ประธานกรรมการตลาดหลักทรัพย์ฯกล่าว
ธปท.ย้ำ YC แบงก์ไทยปลอดภัย
ขณะที่นางสาวดารณี แซ่จู ผู้ช่วยผู้ว่าการ สายกำกับระบบการชำระเงินและคุ้มครองผู้ใช้บริการทางการเงิน ธนาคารแห่งประเทศไทย (ธปท.) เปิดเผยว่า กรณีที่ข่าวเจ้าหน้าที่ตำรวจจับกุมชาวจีน 4 คน ที่ใช้ AI สร้างคลิปวิดีโอปลอมจากภาพนิ่งของเหยื่อ เพื่อหลอกระบบยืนยันตัวตนของธนาคารสำเร็จนั้น จากการตรวจสอบพบว่าเป็นกรณี Scammer ชาวจีนทดลองระบบยืนยันตัวตนโดยใช้ข้อมูลธนาคารและแอปพลิเคชั่นของจีน ไม่ใช่ของไทย
“ธปท.ย้ำว่าระบบยืนยันตัวตนด้วยใบหน้าที่ธนาคารพาณิชย์ในไทยใช้ มีมาตรการป้องกันการปลอมแปลงด้วยภาพหรือวิดีโออย่างรัดกุม โดยแต่ละธนาคารมีเทคนิคการตรวจจับที่ต้องผ่านการทดสอบความแม่นยำ ความปลอดภัยต่อการโจมตีในหลายรูปแบบก่อนใช้งาน นอกจากนี้ ศูนย์ประสานงานด้านความมั่นคงปลอดภัยไซเบอร์ภาคการธนาคาร (TB-CERT) ภายใต้สมาคมธนาคารไทยยังติดตามภัยไซเบอร์รูปแบบใหม่ ๆ อย่างใกล้ชิด หากพบความผิดปกติก็จะเร่งหาแนวทางป้องกันทันที”
TB-CERT ยกระดับ-ป้องกัน
นายกิตติ โฆษะวิสุทธิ์ ประธานศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคธนาคาร (TB-CERT) เปิดเผย “ประชาชาติธุรกิจ” ว่า กรณีการจับกุมชาวจีนที่มีการใช้นวัตกรรม AI หลอกยืนยันตัวตนของธนาคารนั้น เป็นการใช้ปัญญาประดิษฐ์ (AI) หลอกยืนยันตัวตนระหว่างธนาคารจีนและธนาคารจีน ไม่ใช่โมบายแอปพลิเคชั่นของธนาคารพาณิชย์ในไทยแต่อย่างใด
ทั้งนี้ TB-CERT ยืนยันว่าการยืนยันตัวตน (KYC) ของธนาคารไทยมีความปลอดภัย และมีมาตรการป้องกันและขั้นตอนที่เข้มงวด นอกเหนือจากขั้นตอน KYC โดยธนาคารยังมีมาตรการอื่น ๆ เสริมเพื่อป้องกัน เช่น ลูกค้า 1 รายจะจำกัดอุปกรณ์เคลื่อนที่ได้ 1 เครื่อง และ 1 ซิมเบอร์มือถือเท่านั้น ซึ่งมาตรการเหล่านี้ยังค่อนข้างมั่นใจว่ายังสามารถควบคุมความเสี่ยงได้อยู่
อย่างไรก็ดี เพื่อไม่เป็นการประมาท TB-CERT อยู่ระหว่างประสานงานกับเจ้าหน้าที่ตำรวจผ่านทางตำรวจไซเบอร์ ในการขอเข้าไปทดสอบระบบที่ชาวจีนใช้ในการหลอกระบบยืนยันตัวตน เพื่อให้รู้ว่าระบบการยืนยันตัวของแอปพลิเคชั่นโมบายแบงกิ้งธนาคารพาณิชย์ไทยมีจุดไหนเป็นช่องโหว่หรือไม่ เพื่อตรวจสอบและคอนเฟิร์มจากเคสที่เกิดขึ้นจริง เพื่อหาวิธีป้องกัน ส่วนจะมีมาตรการอะไรเพิ่มเติมจาก ธปท.หรือไม่ คงต้องรอให้ TB-CERT เข้าไปทดสอบระบบก่อน
BBL ยันระบบปลอดภัยปิดเสี่ยง
นายไชยฤทธิ์ อนุชิตวรวงศ์ รองผู้จัดการใหญ่ ธนาคารกรุงเทพ เปิดเผยกับ “ประชาชาติธุรกิจ” ว่า ระบบการยืนยันตัว (KYC) ของธนาคารค่อนข้างมีความปลอดภัย และเป็นมาตรฐานระดับสากล มีระบบตรวจจับค่อนข้างมีประสิทธิภาพ ป้องกันการปลอมแปลงได้ดี จึงมองว่าการหลอกยืนยันตัวตนผ่านการใช้ปัญญาประดิษฐ์ (AI) หรือ DeepSeek AI ผ่านโมบายแบงกิ้งของธนาคารน่าจะทำได้ค่อนข้างยาก
นอกจากนี้ ธนาคารยังมีมาตรการป้องกันการใช้โมบายแบงกิ้งอื่น ๆ เช่น ลูกค้า 1 คนสามารถใช้เครื่องมืออุปกรณ์ได้ 1 เครื่อง และ 1 หมายเลขโทรศัพท์ รวมถึงกรณีที่มีการโอนเงินเกินวงเงินที่กำหนดจะมีการยืนยันตัวตนด้วยข้อมูลทางชีวภาพ (Biometric) ก่อนจะมีการทำธุรกรรม เช่น สแกนลายนิ้วมือ การใส่รหัส และสแกนใบหน้าเพื่อยืนยันตัวตน ซึ่งการสแกนหน้าจะมีกระบวนการตรวจจับความผิดปกติ เช่น การยิ้ม การเคลื่อนไหว การกะพริบตา เพื่อแยกแยะ (Identify) ตัวตน และป้องกันคนที่ไม่ใช่เจ้าของปลอมแปลงเข้ามาใช้
ขณะเดียวกัน ธนาคารร่วมมือกับ ธปท. สำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.) และหน่วยงานต่าง ๆ เพื่อยกระดับการจัดการบัญชีม้า หรือบัญชีต้องสงสัยอย่างต่อเนื่อง โดยมีระบบตรวจจับธุรกรรมต้องสงสัย หรือการใช้วงเงินที่ผิดปกติ ธนาคารจะมีการป้องกันบัญชีเหล่านี้ เป็นต้น
ธปท.เล็งเพิ่มข้อมูลยืนยันตัวตน
นายวชิราวัชร์ มหาทัพกฤษ ผู้ช่วยผู้อำนวยการธนาคารออมสิน สายงานความมั่นคงปลอดภัยไซเบอร์ กลุ่มเทคโนโลยีสารสนเทศและธุรกิจดิจิทัล ธนาคารออมสิน กล่าวกับ “ประชาชาติธุรกิจ” ว่า หากดูโอกาสที่จะเกิดกรณีการหลอกยืนยันตัวตนผ่าน AI ในประเทศไทย มองว่าโอกาสที่จะนำ AI มาใช้ในไทยคงยังไม่เกิด และความเสี่ยงที่เกิดจากกรณี AI ก็ยังไม่มี เพราะระบบการยืนยันตัวตนผ่านแอปพลิเคชั่น ของธนาคารไทยค่อนข้างรัดกุม และกระบวนการพิสูจน์ตัวตนไม่ใช่แค่เพียงหันซ้าย หันขวา หรือกะพริบตา แต่ระบบการยืนยันตัวตนของธนาคารมีการตรวจจับมากกว่านี้ และสามารถแยกแยะระหว่างการยืนยันตัวตนคนจริงและ AI ได้ ประกอบกับที่ผ่านมาธนาคารมีการยกระดับจนกรณีแอปดูดเงินไม่มี ส่งผลให้มิจฉาชีพไม่สามารถยึดครองเครื่องโทรศัพท์มือถือเพื่อมาสแกนหน้าได้ โดยการทำ AI มายืนยัน
ตอนนี้ธนาคารแห่งประเทศไทย (ธปท.) อยู่ระหว่างการสอบถามและตรวจสอบผ่านศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคธนาคาร (TB-CERT) ซึ่งกรณีจะมีมาตรการป้องกันเพิ่มเติมน่าจะเป็นเรื่องระบบยืนยันตัวตนแบบหลายปัจจัย Multi-Factor Authentication ที่กำหนดให้ผู้ใช้ต้องใช้ข้อมูลยืนยันจากเดิม 2 อย่าง เช่น สแกนใบหน้า ใส่รหัส PIN อาจจะต้องเพิ่มการยืนยันอย่างที่ 3 อาทิ รหัส OTP เป็นต้น
ดีอีชงรัฐห้ามส่งอีเมล์แนบไฟล์
นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยว่า ล่าสุดมีการโจมตีทางไซเบอร์รูปแบบใหม่ที่ซับซ้อนขึ้น และเป็นปัญหาใหม่ที่ไม่เคยเกิดขึ้น คือสแกมเมอร์ใช้อีเมล์จริงขององค์กรใหญ่ในไทย 4 แห่งที่มีความน่าเชื่อถือ ส่งข้อความแนบลิงก์ฟิชชิ่งไปยังประชาชนกว่าแสนฉบับ ในเบื้องต้นมีการคลิกลิงก์ไป 3,000 ราย และเข้าถึงการยืนยันตัวตน 1 ราย คาดว่าเป็นผู้เสียหายกำลังดำเนินการรวบรวมข้อมูลต่อไป
ความพิเศษของเคสนี้คือ เป็นโดเมนจริง ๆ ของตลาดหลักทรัพย์แห่งประเทศไทย บลจ. ฟินันเซีย ธนาคารกรุงศรีฯ และสายการบินบางกอกแอร์เวย์ส ซึ่งได้ใช้บริการของ Taximail ในการส่งอีเมล์ทางการตลาดจำนวนมากอยู่แล้ว เมื่อแฮกเกอร์เข้าสู่บัญชีของ Taximail ได้ก็ได้ส่งอีเมล์แนบลิงก์ฟิชชิ่ง ในนามของ 4 องค์กรใหญ่เหล่านี้
จากเคสนี้ทราบว่าหลายองค์กรในไทยได้เลิกใช้การส่ง SMS แนบลิงก์ไปแล้ว ซึ่ง กสทช.ก็ออกมาตรการแล้ว แบงก์ชาติก็ห้ามธนาคารส่งแล้ว หน่วยงานของรัฐอย่างกรมการขนส่งทางบก หรือการไฟฟ้าฯก็ให้เลิกส่งข้อความแนบลิงก์
ดังนั้น เพื่อความชัดเจนจะเสนอให้ทุกหน่วยงานทุกองค์กรเลิกส่งลิงก์แนบ SMS และอีเมล์ด้วย ให้ไปเสนอข่าวสารโปรโมชั่นผ่านแพลตฟอร์มของตัวเอง เพื่อจะได้แจ้งแก่ประชาชนได้ชัด ว่าต่อไปนี้ลิงก์ในอีเมล์ทั้งหมด “อันตราย”
และเพื่อให้เกิดการบังคับใช้ที่ชัดเจน จะเสนอ ครม.ให้มีคำสั่งห้ามส่งอีเมล์ข้อความแนบลิงก์โดยเร็วที่สุด ไม่เช่นนั้นจะเป็นเหมือนตอนนี้ว่าบางองค์กรก็ไม่ส่งแล้ว บางองค์กรยังส่งอยู่ ต่อไปต้องส่งทั้งหมด
ยกระดับคุม Thrid Party
มาตรการต่อมาที่มีการหารือ คือการกำหนดมาตรฐานความปลอดภัยทางไซเบอร์ จากเคสนี้จะเห็นว่า แพลตฟอร์มภายนอก หรือ Thrid Party อย่าง Taximail ไม่ได้อยู่ภายใต้การกำกับที่ต้องรายงานหลักเกณฑ์ความปลอดภัยแก่สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ในเรื่องนี้ต้องไปดูเจตนาว่าทั้ง 4 องค์กรทราบหรือไม่ว่าความปลอดภัยหละหลวม เพราะต่อให้เป็น Thrid Party ผิด แต่ถ้าผู้ใช้งานร่วมรู้ก็ต้องรับผิดชอบความเสียหายด้วย
ดังนั้น ต้องมีการร่วมกันยกระดับมาตรฐานความปลอดภัยไซเบอร์ให้เป็นมาตรฐานเดียวกัน โดย สกมช.จะกำกับความปลอดภัย 7 เซ็กเตอร์ มีความมั่นคงของรัฐ บริการภาครัฐที่สำคัญ การเงิน การธนาคาร เทคโนโลยี สาธารณสุข และคมนาคม การขนส่ง และโลจิสติกส์ พลังงาน และสาธารณูปโภค
“สิ่งที่สั่งการกันไปแล้วก็คือมาตรฐานในเรื่องของการปกป้องข้อมูลเหล่านี้ต้องเท่ากันแล้ว มีมาตรฐานเดียวกัน ถ้าเกิดข้อมูลส่วนบุคคลออกไปจากหน่วยงานไหนก็ตาม”
อ่านข่าวต้นฉบับได้ที่ : https://www.prachachat.net/finance/news-1918567