อินเทอร์เน็ตแบงก์กิ้ง : ผู้เชี่ยวชาญ ชี้ 3 บทเรียนควรรู้ จากกรณีการตัดเงินผิดปกติผ่านบัตรเครดิต-เดบิต

แนวโน้มการทำธุรกรรมการเงินผ่านอินเทอร์เน็ตและมือถือนับวันยิ่งได้รับความนิยมเพิ่มมากขึ้นเพราะความสะดวกสบาย แต่ผู้เชี่ยวชาญชี้ยังมีช่องโหว่ที่ยังทำให้กลุ่มมิจฉาชีพแสวงหาโอกาสสวมรอยใช้ข้อมูลบัตรเครดิตและบัตรเดบิต

กรณีการตัดเงินที่ผิดปกติผ่านบัตรเครดิตและบัตรเดบิตของลูกค้าจำนวนมาก โดยไม่มีการแจ้ง เมื่อ 17 ต.ค. ที่ผ่านมา ถือเป็นเรื่องย้ำเตือนว่าเหตุการณ์เช่นนี้จะเพิ่มขึ้นตามปริมาณการเติบโตของกลุ่มพาณิชย์อิเล็กทรอนิกส์

ปัจจัยสำคัญอีกประการคือ ในช่วงการระบาดของโรคโควิด-19 ที่ประชาชนต้องอยู่บ้าน ผู้บริโภคเปลี่ยนพฤติกรรมการจับจ่ายใช้สอยหันมาพึ่งพาการสั่งสินค้าและชำระเงินผ่านระบบออนไลน์มากขึ้น สอดคล้องกับทิศทางของมูลค่าการโอนเงินและชำระเงินผ่านระบบออนไลน์ทั้งอินเตอร์เน็ตแบงก์กิ้งและโมบายแบงก์กิ้งตามรายงานของธนาคารแห่งประเทศไทย (ธปท.) ที่เพิ่มขึ้นอย่างต่อเนื่องในช่วง 7 เดือนที่ผ่านมาของปีนี้

น.ส. วิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา และหัวหน้าสายงานกลุ่มธุรกิจบริการทางการเงิน บริษัท PwC ประเทศไทย เปิดเผยกับบีบีซีไทยว่ากรณีล่าสุดที่เกิดขึ้นกับผู้ที่ใช้จำนวนหลายหมื่นรายที่มีการตัดเงินออกจากบัญชีบัตรเครดิตและเดบิตโดยไม่ได้รับอนุญาตสามารถสะท้อนให้เห็นปัญหาสำคัญในระบบการเงินและความปลอดภัยด้านไซเบอร์ 3 ด้าน ประกอบด้วย

1) ช่องโหว่ในระบบการป้องกันและตรวจจับสัญญาณผิดปกติ

น.ส. วิไลพร อธิบายถึงรูปแบบการตัดเงินออกจากบัญชีที่เกิดขึ้นล่าสุดนี้ "ไม่ใช่เทคนิคใหม่" ก่อนหน้านี้ก็เคยเกิดขึ้นมาแล้วในอดีต ด้วยการทำรายการเล็ก ๆ ถี่ ๆ และหลุดรอดจากระดับการตรวจจับและส่งสัญญาเตือนให้ทราบ เพราะหากเป็นการทำรายการขนาดใหญ่ หรือมีมูลค่าสูงธนาคารหรือสถาบันการเงินต้องรับทราบอยู่แล้ว

"แม้ว่ารายการ (ชำระเงิน) เล็ก ๆ นี้จะอยู่ใต้เรดาร์ แต่ก็ยังถือว่าผิดปกติ เพราะมันเล็กและถี่มาก จึงต้องการกระตุ้นให้สถาบันการเงินมีกระบวนการในการมอนิเตอร์ (เฝ้าระวัง) เกือบทุกอาการที่เป็นรายการผิดปกติ ...เพื่อลดความเสียหายที่จะเกิดขึ้นในวงกว้าง"

ผู้บริการบริษัทที่ปรึกษารายนี้บอกว่า เรื่องดังกล่าวได้รับความสนใจจากสังคมเพราะผู้ที่ได้รับผลกระทบเป็นผู้ร้องเรียนเอง ไม่ใช่ได้รับการแจ้งเตือนจากสถาบันการเงิน

จากเหตุการณ์ดังกล่าวที่สังคมตั้งคำถามถึงความปลอดภัยในระบบออนไลน์แบงก์กิ้ง ทำให้ธปท. และสมาคมธนาคารไทยออกมาแถลงข่าวชี้แจงเพิ่มเติมอีกครั้งในวันที่ 19 ต.ค. โดยระบุว่า ตั้งแต่ต้นเดือน ต.ค. ที่ผ่านมามีบัตรที่มีการใช้งานผิดปกติจากเหตุข้างต้นจำนวน 10,700 ใบ โดยในช่วง 14 - 17 ต.ค. ที่ผ่านมา เป็นรายการใช้จากบัตรเดบิตราว 50% การใช้งานส่วนใหญ่มีจำนวนเงินต่อรายการต่ำ เช่น 1 ดอลลาร์สหรัฐฯ และมีการใช้เป็นจำนวนหลาย ๆ ครั้ง โดยคิดเป็นมูลค่าความเสียหายจากบัตรเดบิตราว 30 ล้านบาท ส่วนจากบัตรเครดิตมีมูลค่ากว่า 100 ล้านบาท

น.ส. สิริธิดา พนมวัน ณ อยุธยา ผู้ช่วยผู้ว่าการ สายนโยบายระบบการชำระเงินและเทคโนโลยีทางการเงิน ธปท. กล่าวว่า ธปท. และสมาคมธนาคารไทยจะกำชับให้ธนาคารมีการตรวจสอบธุรกรรมที่เกิดขึ้น และความถี่ในการตรวจสอบธุรกรรม โดยจะมีการแจ้งเตือนข้อความเมื่อมีการทำธุรกรรม ตั้งแต่บาทแรกผ่านโมบายแอปพลิเคชั่นหรืออีเมล์

2) ความตระหนักรู้ของผู้บริโภคเพียงพอหรือไม่

ผู้บริหาร PwC ประเทศไทย มองว่าการตระหนักรู้ของผู้ใช้งานว่าจะชำระเงินผ่านระบบออนไลน์อย่างไรให้ปลอดภัย โดยเฉพาะแนวโน้มของการใช้รูปแบบการชำระเงินแบบใหม่ ๆ เช่น กระเป๋าเงินอิเล็กทรอนิกส์ หรือ e-wallet กำลังได้รับความนิยมอย่างมาก อาจจะเป็นที่มาของความไม่ปลอดภัย 100%

"ในฐานะคนใช้ เราจำได้หรือไม่ว่าเราใช้อะไรบ้าง ใช้อย่างปลอดภัยแค่ไหน และได้อัปเดตซอฟต์แวร์แบบล่าสุดหรือไม่ เพราะนี่ก็ไม่ต่างจากกระเป๋าตังของเรา" น.ส. วิไลพร กล่าว

กระเป๋าเงินอิเล็กทรอนิกส์ มีกลไกทำงาน คือ เมื่อ ผู้ใช้งานต้องการชำระเงินผ่านเว็บไซต์หรือแพลตฟอร์มต่าง ๆ แล้วก็ใช้บัตรเครดิตหรือบัตรเดบิตไปลงทะเบียนไว้เพื่อเพิ่มเป็นช่องทางในการชำระเงินเพื่อทำให้การซื้อสินค้าสะดวกมากขึ้น

"ยอมรับว่าในปัจจุบันความตระหนักรู้ของผู้บริโภคด้านความปลอดภัยในการใช้บริการทางการเงินผ่านกลุ่มอีคอมเมิร์สแต่ละคนมีความแตกต่างกัน บางแพลตฟอร์มก็ต้องการข้อมูลต่าง ๆ เพื่อลงทะเบียน แต่ที่น่ากังวลสุดคือการกรอกรหัส CVV" เธอกล่าว

รหัส CVV คือเลขรหัส 3 ตัวหลังที่อยู่ข้างหลังบัตรเครดิตส่วนใหญ่ ยกเว้นบางยี่ห้อ ที่เป็นเลข 4 หลัก อยู่หน้าบัตร

3) การพิสูจน์และยืนยันตัวตนทางดิจิทัล (Digital Identity)

การรับมือกับระบบนิเวศทางเทคโนโลยีทั้งในส่วนของสถาบันการเงินและในส่วนผู้บริโภคที่พัฒนาซับซ้อนมากขึ้น และภัยคุกคามต่าง ๆ ในโลกออนไลน์ก็พัฒนาตาม ความสำคัญของการนำ "การพิสูจน์และยืนยันตัวตนทางดิจิทัล" ก็เป็นสิ่งที่สำคัญตามทัศนะของ น.ส. วิไลพร เพื่อป้องกันทุจริตทางการเงินให้รัดกุมมากขึ้น

เว็บไซต์สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ อธิบายที่มาของ การพิสูจน์และยืนยันตัวตนทางดิจิทัลว่าเป็น โครงสร้างพื้นฐานสำคัญที่จะเชื่อมต่อการยืนยันตัวตนจากทุกภาคส่วนเข้ามาไว้ด้วยกัน ที่ผ่านมาการให้บริการของภาครัฐแก่ประชาชนและภาคธุรกิจ หรือการให้บริการของภาคธุรกิจแก่ประชาชน ประกอบด้วยขั้นตอนการพิสูจน์และยืนยันตัวตนที่มีความซ้ำซ้อน มีความสิ้นเปลืองทั้งเวลาและทรัพยากร เกิดภาระต่อผู้แสดงตนและผู้มีหน้าที่ในการตรวจสอบความถูกต้องและยืนยันตัวตน

"การใช้ digital identity ถือว่ามีความสำคัญอย่างมากในขณะนี้ เพราะเวลาเราเข้าใช้บริการในแอปพลิเคชันต่าง ๆ ทุกวันนี้ค่อนข้างง่ายมากด้วยการใช้บัญชีใดบัญชีหนึ่งลงทะเบียนเข้าใช้งานแอปอีกอัน แต่จะเชื่อได้อย่างไรว่าแอปนั้น ๆ มีความปลอดภัยหรือไม่"

เธอเรียกร้องให้หน่วยงานที่เกี่ยวข้องให้ความสำคัญเรื่องการบริหารเรื่องการพิสูจน์และยืนยันตัวตนทางดิจิทัลอย่างเป็นระบบอย่างไร ทั้งในแง่ผู้ใช้งาน สถาบันการเงิน และเจ้าของแอป หรือ แฟลตฟอร์ม เพื่อให้ใช้งานอย่างปลอดภัย เพื่อให้มีระบบการเฝ้าระวังและแจ้งเตือนเมื่อเกิดเหตุ

คนไทยใช้โมบายแบงก์กิ้งและอินเทอร์เน็ตแบงก์กิ้งเป็นอย่างไร

ข้อมูลบนเว็บไซต์ธนาคารแห่งประเทศไทย รายงานธุรกรรมการชำระเงินผ่านบริการด้านการเงินผ่านมือถือ (mobile banking) และผ่านอินเทอร์เน็ตในระหว่างเดือน ม.ค.-ก.ค. ที่ผ่านมาแสดงให้เห็นแนวโน้มเพิ่มสูงขึ้นอย่างต่อเนื่องทั้งในแง่จำนวนบัญชีของลูกค้าที่ใช้บริการ ปริมาณและมูลค่าการใช้บริการ

จำนวนผู้ใช้ที่ทำธุรกรรมชำระเงินผ่านบริการผ่านโมบายแบงก์กิ้งสูงกว่าผ่านบริการอินเตอร์เน็ตเกือบสองเท่า จากการประมาณการณ์ในเดือน ก.ค. ที่ผ่านมา มีจำนวนบัญชีลูกค้าที่ใช้บริการผ่าน mobile banking ทั้งหมด 76,526,614 ราย โดยทำธุรกรรมทางการเงินราว 1.43 ล้านล้านรายการ แบ่งเป็นการโอนและชำระเงิน 1.38 ล้านล้านรายการ ส่วนอีก 42.10 ล้านรายการเป็นการถอนเงินสด

ในแง่มูลค่ารายการธุรกิจผ่าน mobile banking คิดเป็นมูลค่าราว 4.62 ล้านล้านบาท แบ่งเป็นมูลค่าการโอนเงินและชำระเงิน 4.54 ล้านล้านบาทและส่วนที่เหลืออีก 8.4 หมื่นล้านบาท เป็นการถอนเงินสดผ่านระบบ

ในขณะที่ผู้ใช้บริการผ่านอินเทอร์เน็ตมี 36,178,314 ราย โดยทำธุรกรรมทางการเงินราว 54.39 ล้านรายการ คิดเป็นมูลค่าราว 2.18 ล้านล้านบาท