โดนแฮกเงินจะทำอย่างไร...?

โดนแฮกเงินจะทำอย่างไร…?

การทำธุรกรรมการเงินผ่านอินเตอร์เน็ตของผู้คนเพิ่มสูงขึ้นทุกวันตามการเปลี่ยนแปลงของเทคโนโลยียุคปัจจุบัน ปัญหาหนึ่งที่เกิดข้อสงสัยต่อผู้คนนั่นคือ การใช้เทคโนโลยีบริการการเงินหรือการทำธุรกรรมต่างๆ ความปลอดภัยมีมากน้อยแค่ไหนอย่างไร วันนี้ สื่อ INNWHY ขอนำความรู้จาก คุณโอฬาร วีระนนท์ CEO & Co-Founder, Durian Corp หรือ คุณบอม Start Up ด้านฟินเทค ที่มีประสบการณ์และความเชี่ยวชาญด้านเทคโนโลยีการเงิน มาแบ่งปันกัน

คุณโอฬาร ให้ความเห็นว่า การทำธุรกิจในเมืองไทยด้วยเทคโนโลยีที่บริการด้านการเงินหรือการทำธุรกรรมต่างๆ ในเมืองไทยยังถือว่า มีความปลอดภัยอยู่ในระดับสูงเมื่อเทียบกับประเทศอื่นๆ แต่ตัวเราเองต้องมีวิธีการระมัดระวังด้วยเช่นกันหากเปิดช่องโหว่เพียงนิดเดียว เหมือนคนจ้องพยายามจะเข้าถึงข้อมูลส่วนตัวเราพอได้โอกาสเขาก็เข้ามาทันที ดังนั้นจุดที่ต้องมีความระมัดระวังจุดหลักใหญ่ๆ มีประมาณ 20 ข้อแต่จะสรุปให้สั้นๆเพื่อง่ายต่อการเข้าใจ ซึ่งมี 2 วิธีใหญ่ๆ คือ วิธีป้องกัน ป้องกันอย่างไรให้ไม่เกิด และวิธีการเยียวยา ถ้าสมมติเกิดขึ้นแล้วเราจะรวมความเสียหายอย่างไรบ้าง

วิธีการแรก รักษาความเป็นข้อมูลส่วนตัว อย่าแสดงตัวตนของเราหรือข้อมูลส่วนบุคคลไปที่ใดๆให้คนรู้ เช่น เงินเดือนออก ทำบัตรประจำตัวประชาชนใหม่หรือมีใบขับขี่ใหม่ถ่ายโชว์เพื่อนโดยโพสต์บนโซเชียลมีเดีย ทั้ง เฟซบุ๊ค หรือบางทีส่งไลน์ให้กัน หรือบางทีถ่ายเก็บเล่นๆไว้บนมือถือ เพื่อเก็บไว้เป็นข้อมูลส่วนตัว เพราะคิดว่ามือถือของตัวเองไม่น่าจะเป็นอะไร แม้จะไม่ได้ส่งก็ตาม สมมติโทรศัพท์มือถือหายไป หรืออัพเดทรูปส่วนตัวบนคลาวด์ แล้วไปเผลอจดพาสเวิร์ดทิ้งไว้บนโต๊ะทำงาน หรือทิ้งไว้ในรถ แล้วถ้าไปตกอยู่ในมือใครไม่รู้หรือหายไป แค่นี้ข้อมูลส่วนบุคคลก็จะไปอยู่ในมือบุคคลอื่นได้แล้ว หรือเข้าอีเมล์แล้วไปสื่อสารกับหลายคน บางครั้งไปจดไว้ในอีเมล์ หากใครหาเจอหลุดไปอยู่ในมือคนอื่น แค่นี้ก็ถูกโกงหรือขโมยข้อมูลได้ง่ายๆ

ทั้งนี้การตั้งพาสเวิร์ดที่เดาง่ายเกินไป อาจไม่ปลอดภัยได้ เคยมีการวิจัยพบว่า พาสเวิร์ดที่เดาง่ายที่สุดในโลกเป็นอย่างไร คนทั่วโลกมักตั้งพาสเวิร์ดเป็นตัวเลข 1-9 ตั้งวันเดือนปีเกิด ตั้งวันเกิดแฟน ใช้เลขที่บ้านตั้ง ทำให้คนคาดเดาได้ง่าย ซึ่งสถิติการตั้งพาสเวิร์ดเหล่านี้ สมมติเราให้ระบบแฮกเกอร์ตั้งเหมือนโปรแกรมคอมพิวเตอร์ให้ลองสุ่มหาพาสเวิร์ดที่ถูกต้อง สมมติตั้งเลข 6 หลัก รันแปปเดียวก็คือเลขล้านตัวเอง แต่ถ้าเราตั้งแบบเลขตัวอักษรตัวใหญ่ ตัวอักษรตัวเล็ก สเปเชี่ยลคาเร็คเตอร์ แค่นี้ความเป็นไปได้ในการหาพาสเวิร์ดเจอเนี่ยยากขึ้นเป็นหลักล้านเท่า ทำให้การแฮกเกอร์ยากขึ้นแล้ว นี่คือวิธีการที่หนึ่ง

วิธีการที่ 2 คือ การตั้งพาสเวิร์ดที่เหมาะสม อย่างน้อยควรมีค่าความยากปนระหว่างตัวอักษรตัวใหญ่และตัวเล็ก ตัวเลข สเปเชี่ยลคาเร็คเตอร์ต่างๆ ซึ่งมันทำให้คนจำยากขึ้น

วิธีการที่ 3 รักษา “โทเค้นท์” หรือ OTP ให้ดีเพราะช่วยป้องกันมิจฉาชีพโอนเงินได้ สมมุตินิติบุคคลหรือบริษัทห้างร้านที่โดนแฮกเกอร์บ่อย การที่มี “โทเค้นท์” คือ เครื่องที่ออก one time password ถ้าเป็นบุคคลธรรมดา เข้าธนาคารที่มีคุณภาพดีก่อนจะทำธุรกรรมทางอินเตอร์เน็ต ธนาคารจะยังไม่ให้ลูกค้าทำการโอนเงินได้เลย แต่แบงก์จะให้เจ้าตัวกรอก one time password หรือ OTP one time password ก่อน

ส่วนบุคคลธรรมดาที่ได้รับการส่ง OTP one time password ในมือถือ ปัญหาคือ หากเก็บข้อมูลไม่ดี เบอร์โทรศัพท์เปลี่ยนกับทางธนาคารได้ ตามความเข้มข้นของธนาคาร แต่ละธนาคารจะมีระบบ KYC คือตัวย่อ Know Your Customer คือระบบแสดงตัวตน บางธนาคารที่ลูกค้ามักรำคาญว่า เปลี่ยนไม่ได้ ต้องเอาหน้าไปยื่นที่แบงก์ถึงจะปลี่ยนได้ ล่าสุดมีหลายธนาคารโดนขอเปลี่ยนซิมการ์ด พอขอเปลี่ยนซิมการ์ด ได้บัตรประจำตัวประชาชนมา บัตรประชาชนมีข้อมูลบัตร ก็สามารถโทรไปคุยกับธนาคารนั้นๆว่า เรามีข้อมูลในบัตรนั้นแล้ว ไม่ใช่บัตรเรานะเป็นบัตรของธนาคารนี่แหละ ขอเปลี่ยนเบอร์ที่ลิ้งค์ OTP แล้วแบงก์นั้นเขาก็เปลี่ยนให้ พอเปลี่ยนเบอร์ให้แปลว่าเบอร์ one time pasword มันถูกส่งแทนที่จะเข้าเบอร์โทรศัพท์ของเรา แต่ไปเข้าเบอร์โทรศัพท์ใหม่ที่เปลี่ยนไปเรียบร้อยแล้ว คราวนี้มิจฉาชีพโอนเงินได้เพลินเลย เพราะฉะนั้น one time pasword ต้องรักษาให้ดี

แต่ถ้าเป็นนิติบุคคลจะมีอุปกรณ์ เล็กๆ ที่เรียกว่า “โทเค็น” 1 นิติบุคคลไม่ได้ออก “โทเค็น” เดียว ตามหลักการ 1 นิติบุคคลหรือ1 บริษัทควรมี “โทเค็น” เดียว โทเค็นนี้เราลืมรักษา เก็บไว้ในลิ้นชัก เอาไว้รถ หรือติดไว้กับพวงกุญแจ พอโทเค็นนี้หายไป ตามสูตรเดิมเลย เขาได้รับข้อมูลเรา แล้วมี “โทเค็น” แปลว่าเขาสามารถเอาเงินของเราออกไปจากบัญชีได้เช่นเดียวกัน ก็เป็นสิ่งที่เราควรระวังรักษา

วิธีการที่ 4 ควรต้องระวังมาก เพราะเกิดกับคนไทยเยอะมาก การเข้าเว็บไซต์แปลกๆที่ไม่รู้ตัว เช่น เว็บการพนัน ดูหนัง บางครั้งมีปุ่มแปลกๆ ภาษาแปลกๆ ยั่วให้เราไปกด เช่น จัดโปรโมชั่นคลิกเลย ทำนู่นทำนี่คลิกเลย ตอนกดเข้าไปเราไม่รู้ แต่มันฝังไวรัสบางอย่างเข้ามาในเครื่องเรา มีโอกาสที่ในอนาคตจะถูกเจาะข้อมูลได้ สุดท้ายพอเขาเข้ามาในเครื่องเราได้ เขาจะดูพฤติกรรมเราว่าทำอะไรบ้าง แล้วก็อบปี้อีเมล เปลี่ยนเว็บไซต์ สมมติธนาคารชื่อ เกษตรงามวงศ์วาน เขาแค่เปลี่ยนเป็น งามวงศ์วานเกษตร แล้วเราไม่ทันสังเกต คิดว่าเป็นแบงก์เดิม ที่เคยคุยกัน ทำให้เผลอกรอกข้อมูลไป ข้อนี้คนโดนกันบ่อยมาก สมัยนี้แฮกเกอร์จะลงทุนมาก ปลอม URL แล้วถ้าคนพลาดมีเงินในบัญชีมากพอก็เกินคุ้มแล้ว ดังนั้นก่อนจะคลิ๊กทำอะไรต้องดูให้ถี่ถ้วน และคอยอัพเดตแอนตี้ไวรัสดีๆ สม่ำเสมอ จะช่วยได้เยอะมาก

คุณโอฬาร ยกตัวอย่างเคยเดินทางไปประเทศหนึ่งเจอแฮกเกอร์กลุ่มนึงเขาแฮกกันแค่ว่า นั่งคุยกับบนโต๊ะ เชื่อมั้ยข้อมูลในมือถือคุณอยู่ที่เขาหมดแล้ว ผมก็บอกว่าเป็นไปไม่ได้เรานั่งคุยกันไม่ถึง 10 นาทีเลย ความจริงมันทำได้นะถ้าลองเปิดอินเตอร์เน็ตดู มีเครื่องมือขนาดกระเป๋าทรงยาวของผู้หญิง แล้วข้อมูลนี้ซิ้งค์ดูดข้อมูลสัญญาณต่างๆหรือเชื่อมต่อจากคอมพิวเตอร์หรือมือถือเป็นระบบ wifi เข้ามาที่เครื่องเขาได้ ถ้าเครื่องอยู่ใกล้กันมากพอ แล้วเวลาเขาทำ เขาก็ทำกันแบบนี้ บางคนเข้ามาใกล้ๆเรา พยายามเอาวัตถุบางอย่างมายื่นใกล้ๆเรา ในเวลาที่ไม่ห่างพอ เขาไม่ได้โดนตัวเรา แต่เขาเข้าข้อมูลเราซึ่งต้องระวัง ที่สำคัญมากๆ คือควรมี SMS Alert ของแต่ละธนาคาร หลายๆแบงก์ให้ใช้ฟรี เก็บ 20 30 บาท จ่ายไปเลย เพราะว่าวันที่เกิดเรื่อง คุณจะรู้ปัญหาทันทีเลย อย่างน้อยช่วยบรรเทาปัญหาลดลงได้มาก

สำหรับผู้โดนแฮกเกอร์ข้อมูล ควรทำดังนี้

1.แจ้งอายัดกับแบงก์ พอเราเห็น SMS Alert โทรหาธนาคารแล้วแจ้งอายัดก่อน อย่างน้อยจะช่วยลดความเสียหายได้ทันที

2.แจ้งความลงบันทึกประจำวันให้เร็วที่สุด ทันทีที่ทราบเรื่อง เพราะเราต้องเอาบันทึกไปรวบรวมหลักฐานให้ธนาคารตรวจสอบ ยิ่งเราทำเร็วธนาคารก็ตรวจสอบได้เร็ว แต่ถ้าแค่อายัดแล้วปล่อยเวลาผ่านไปทางธนาคารจะไม่มีเวลาตรวจสอบ

3.เอาหลักฐานทั้งหมดรวมทั้งใบแจ้งความลงบันทึกประจำวันไปมอบให้ธนาคาร ว่าเกิดเหตุการณ์แบบนี้ แต่ละธนาคารจะมีหน่วยงานที่ใช้ชื่อแตกต่างกันไป ดำเนินการตรวจสอบและชดใช้ ถ้าเป็นความผิดพลาดที่ไม่ใช่ความประมาทของเราเอง ส่วนใหญ่จะได้รับความชดใช้ทั้งหมดอยู่แล้ว แต่ส่วนใหญ่ขั้นตอนการตรวจสอบอย่างต่ำใช้เวลา 1 สัปดาห์ แต่บางเคสหลายเดือนอยู่กับความยากง่าย ทางลัดทำกรณีให้ดังจะได้เร็วขึ้น ผมว่าหลายธนาคารจะมีระบบ โซเชียลลิสดิ้ง เป็นโปรแกรมคอมพิวเตอร์ ซึ่งมีทั้งคนไทยทำได้ระดับโลกเยอะแล้ว พอมันมีข้อความอะไรขึ้นก็ตาม ขึ้นชื่อธนาคารเขาระบบทางอินเตอร์เน็ตจะแยกได้เลย ว่าเป็นบวก ลบ หรือกลาง และถ้าเป็นลบมัน ถูกรีพอร์ทจำนวนมาก เขาจะรีบจัดการ

อย่างไรก็ตามเพื่อป้องกันความปลอดภัยควรตั้งลิมิตการโอนเงินทางอินเตอร์เน็ตแอคเค้าท์กับกด ATM ดีที่สุด ไม่ควรตั้งค่าโอนเงินทางอินเตอร์เน็ตเป็นจำนวนที่สูง ควรตั้งไว้ที่ 50,000 -200,000 บาทก็พอแล้ว แต่ถ้าโอนจำนวนมากกด ATM หรือ โอนผ่านธนาคารจะช่วยเพิ่มความปลอดภัยได้มาก.