‘SMSปลอม’ ตีเนียนแทรกซึมในชื่อธนาคารจริง มิจฉาชีพทำได้อย่างไร?

บทความ-รายงานพิเศษ

By : Zhang Taehun

เมื่อเร็วๆ นี้ มีมิตรสหายส่งคำถามมาให้ผู้เขียนลองค้นหาข้อมูลดูว่า มิจฉาชีพทำแบบนี้ได้ด้วยหรือ? โดยเป็นเนื้อหาที่แชร์ต่อๆ กันในสื่อสังคมออนไลน์ ว่า มิจฉาชีพสามารถส่ง SMS ปลอม แทรกเข้าไปในกล่องข้อความชื่อเดียวกับธนาคารจริงมีเสียงร่ำลือกันไปต่างๆ นานา ว่าแม้แต่สถาบันการเงินชั้นนำก็ยังถูกแฮ็ค แล้วจะหาความปลอดภัยในการทำธุรกรรมทางการเงินได้อย่างไร โดยเมื่อค้นแล้วก็พบว่า มีทั้งวิธีเก่าและวิธีใหม่ ที่บรรดามิจฉาชีพนำมาใช้ก่ออาชญากรรม 

ปริญญา หอมเอนก กรรมการผู้ทรงคุณวุฒิ ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) อธิบายกลโกงของมิจฉาชีพไว้ในรายการ หนุ่ยทอล์ก ทางช่องยูทูบของสำนักข่าวไอที แบไต๋ (Beartai) เมื่อวันที่ 1 พ.ค. 2566 ว่า 1.หมายเลขโทรศัพท์ (Sender) สามารถถูกปลอมแปลงได้ มีโปรแกรมคอมพิวเตอร์หรือแอปพลิเคชั่นประเภท Fake SMS Sender ที่สามารถทำให้หมายเลขโทรศัพท์ที่ใช้อยู่เหมือนกับหมายเลขโทรศัพท์ของบุคคลหรือหน่วยงานอื่น ซึ่งเมื่อหมายเลขปลอมส่ง SMS มาก็มีโอกาสที่โทรศัพท์ของเราจะสับสน และมีข้อความปลอมไปปนในกล่องข้อความจริงได้ วิธีการแบบนี้พบเห็นมาหลายปีแล้ว

2.False Base Station (FBS) Attack เป็นวิธีการที่ค่อนข้างใหม่ โดยมิจฉาชีพจะเช่าห้องพัก อาคาร หรือแม้แต่ดัดแปลงยานพาหนะสำหรับตั้งเป็นฐานปฏิบัติการ รอเหยื่อผู้เคราะห์ร้ายผ่านเข้ามาในรัศมีทำการของอุปกรณ์แล้วจัดการยิง SMS ปลอมชื่อธนาคารหรือหน่วยงานเข้าโทรศัพท์มือถือ ซึ่งสามารถทำได้โดยไม่ต้องผ่านเครือข่ายโทรศัพท์มือถือที่ใช้งานตามปกติ (เช่น ในประเทศไทยคือ AIS , DTAC , TRUE) และเช่นเดียวกับกรณีแรก ที่มีโอกาสที่โทรศัพท์ของเราจะจำสับสน จับข้อความปลอมไปปนในกล่องข้อความจริงได้ แต่มิจฉาชีพที่จะใช้วิธีการนี้ก็ต้องลงทุนสูงพอสมควร

ส่วนกรณีของเหยื่อที่เปลี่ยนรหัส (PIN) แล้วเหตุใดยังโดนโจมตีอีก เรื่องนี้มิจฉาชีพสามารถทำได้ด้วยการที่เมื่อเหยื่อเผลอกดคลิก Link ที่มาจาก SMS ปลอมแล้วก็มักถูกชวนให้ทำบางอย่าง เช่น กรอกข้อมูล ติดตั้งโปรแกรมในโทรศัพท์มือถือ ซึ่งหลายครั้งมิจฉาชีพจะสร้างบัญชีไลน์ขึ้นมาให้กดรับเป็นเพื่อนแล้วทักมาพูดคุยโน้มน้าวให้เหยื่อทำตามขั้นตอนข้างต้นที่มิจฉาชีพวางแผนไว้ โดยเฉพาะการติดตั้งโปรแกรม หากทำตามที่มิจฉาชีพบอกผลคือมิจฉาชีพจะรู้การใช้งานทุกอย่างในโทรศัพท์มือถือของเรา รวมถึงการเปลี่ยนรหัสผ่านหรือการพิมพ์ข้อความต่างๆ ด้วย

 “แบงก์ชาติ (ธนาคารแห่งประเทศไทย) จึงได้ออกระเบียบว่าจะโอนเงินเกิน 5 หมื่นต้องยืนยันใบหน้าเท่านั้น อันนี้จะแก้ปัญหาได้ ก็คือต่อให้ควบคุมเครื่องได้ก็โอนเงินไม่ได้ เพราะถ้าจะโอนออกไป 5 หมื่นต้องเอาหน้ายืนยัน การที่ยืนยันด้วยหน้า จะปกป้องทรัพย์สินของเราในแบงก์นั้นๆ เท่านั้น แต่ว่าระบบอะไรที่มีการกู้เงินยืมเงินโอนเงิน แล้วไม่มีการใช้หน้ามายืนยัน มันจะกันไม่ได้ แบงก์ชาติยังออกกฎใหม่ด้วยว่า หลังเดือนมิถุนายนนี้ไปแล้วทุกธนาคารจะต้องไม่ส่ง SMS แนบ Link มาแล้ว ดังนั้นวันไหนถ้าได้ SMS จากธนาคารอะไรก็แล้วแต่ ถ้ามี Link แบบนี้ ให้เป็นที่รู้กันเลยว่าเขาจะเลิกแล้ว ไม่มีการส่งอะไรแบบนี้อีกต่อไปแล้ว ก็คือปลอม 100% ไม่ต้องไปคิดว่ามาจาก False Base Station Attack หรือปลอม Sender แม้กระทั่งธนาคารจริงก็จะไม่ทำแล้ว” ปริญญา กล่าว

รวมถึงเมื่อวันที่ 4 พ.ค. 2566 รายงานข่าวจากเว็บไซต์ นสพ.โพสต์ทูเดย์ อ้างการเปิดเผยของ พล.อ.ต.อมร ชมเชย เลขาธิการสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ว่า ปัจจุบันพบเทคนิคการส่ง SMS ปลอมของมิจฉาชีพไปยังประชาชนรูปแบบใหม่โดยไม่ผ่านเครือข่ายผู้ให้บริการโทรศัพท์มือถือ ซึ่งเรียกว่า False Base Station (FBS) หรือ Fake Base Station เพื่อให้ประชาชนที่ได้รับข้อความหลงเชื่อว่าเป็น SMS จากหน่วยงานจริง สามารถปลอมชื่อ และหลอกให้คลิกลิงก์หรือแอดไลน์เพื่อหลอกลวงเงินจากประชาชน

โดย พล.อ.ต.อมร อธิบายการทำงานของ FBS ว่า เป็นเทคโนโลยีที่ใช้ดักฟัง ดักสัญญาณ SMS เนื่องจากเป็นระบบเก่าแก่ที่ไม่ได้มีการเปลี่ยนแปลง ดังนั้นอุปกรณ์ดังกล่าวจึงสามารถทำงานส่ง SMS ได้ แต่ไม่สามารถดักฟังได้เหมือนแต่ก่อน เนื่องจากเทคโนโลยีก้าวกระโดดไปถึง 4G และ 5G แล้ว หากต้องการดักฟังระบบต้องถูกลดเครือข่ายเหลือ 2G ซึ่งทำได้ยากและผู้ใช้งานหรือโอเปอเรเตอร์จะรู้ทันที 

แต่การส่ง SMS นั้นรวดเร็วมาก และผู้ให้บริการมือถือไม่สามารถรู้ได้ เพราะใช้เวลาไม่นาน รวมถึงการจับกุมก็เป็นไปได้ยาก เพราะอุปกรณ์นี้สามารถพกพาได้จึงเคลื่อนย้ายได้อย่างเร็ว ทั้งนี้ เคยมีรายงานการจับกุมมิจฉาชีพใช้อุปกรณ์ FBS ที่ประเทศจีนเมื่อปี 2557 ส่วนประเทศไทยเพิ่งพบเมื่อช่วง 2-3 เดือนล่าสุด และยังพบการจำหน่ายอุปกรณ์ดังกล่าวผ่านช่องทางเฟซบุ๊กส่วนตัวของชาวจีนอย่างแพร่หลาย

สำหรับวิธี False Base Station อาจจะดูใหม่ในสังคมไทย แต่เคยใช้กันมาแล้วในต่างประเทศ ดังรายงานข่าวของ Naked Security สำนักข่าวออนไลน์ในเครือ Sophos บริษัทสัญชาติอังกฤษซึ่งทำธุรกิจฮาร์ดแวร์และซอฟท์แวร์ด้านความปลอดภัยไซเบอร์ รายงานเมื่อวันที่ 26 มี.ค. 2557 ว่า ตำรวจจีนจับกุมผู้ต้องหาได้มากถึง 1,530 คน ซึ่งมีพฤติกรรมใช้รถยนต์เป็นพาหนะขับตระเวนไปทั่วพร้อมกับใช้อุปกรณ์ FBS ส่ง SMS ปลอมใส่โทรศัพท์มือถือของผู้คนในรัศมีทำการ 

รายงานข่าวยังระบุว่า ชุดอุปกรณ์ตั้งสถานีปลอม หรือ FBS นั้นประกอบด้วย คอมพิวเตอร์โน้ตบุ๊ก โทรศัพท์มือถือ GSM กล่องเซิร์ฟเวอร์ SMS เสาส่งสัญญาณ และสายเคเบิลข้อมูล USB ซึ่งชุดอุปกรณ์ติดตั้งสถานีปลอมนี้ขายในตลาดมืด (ตามรายงานข่าว ณ เดือน มี.ค. 2557) ราคาประมาณ 45,000 หยวน (คิดเป็นเงินไทยประมาณ 22,000 บาท) เป็นเซิร์ฟเวอร์ SMS ขนาดเล็กที่มีต้นทุนต่ำ ซึ่งมิจฉาชีพจะส่งข้อความปลอมให้ดูเหมือนว่ามาจากหมายเลขของผู้ส่งจริง เช่นหน่วยงานของรัฐ เจ้าหน้าที่ บริการสาธารณะ หรือธนาคารที่ถูกกฎหมาย

อนึ่ง เครื่องมือปลอมแปลงชื่อเพื่อส่ง SMS นอกจากจะใช้เพื่อหลอกลวงเอาทรัพย์สินแล้ว ยังสามารถใช้เพื่อสร้างความปั่นป่วนในหมู่ผู้คนหรือสังคมได้ด้วย ตั้งแต่ระดับ ขำๆ อำกันเล่น ดังที่ ปริญญา ยกตัวอย่างในรายการหนุ่ยทอล์กข้างต้น กรณีการใช้แอปฯ Fake SMS Sender อาจมีเพื่อนในกลุ่มแกล้งปลอมเบอร์โทรศัพท์แฟนของเพื่อนอีกคน แล้วส่ง SMS ไปบอกว่าเลิกกันเถอะ จนถึงการทำ ปฏิบัติการข้อมูลข่าวสาร (IO)” ดังรายงานข่าวของ Naked Security เมื่อวันที่ 12 พ.ค. 2560 ว่า มี SMS ไม่ทราบที่มา ถูกส่งไปยังโทรศัพท์มือถือของทหารยูเครนที่กำลังต่อสู้กับกลุ่มแบ่งแยกดินแดนฝักใฝ่รัสเซีย บริเวณดินแดนภาคตะวันออกของยูเครนในช่วงปี 2557 ที่เกิดเหตุขัดแย้งในพื้นที่ดังกล่าว

สำหรับประเทศไทย มีข่าวประชาสัมพันธ์จาก ธนาคารแห่งประเทศไทย (ธปท.หรือแบงก์ชาติ) ​​ข่าว ธปท. ​ฉบับที่ 10/2566 เรื่อง  ธปท. ออกมาตรการจัดการภัยทุจริตทางการเงินเมื่อวันที่ 9 มี.ค. 2566 กล่าวถึงแนวนโยบายของ ธปท. ที่เป็นชุดมาตรการจัดการภัยทุจริตทางการเงินที่ดูแลตลอดเส้นทางการทำธุรกรรมทางการเงิน โดยกำหนดเป็นแนวปฏิบัติขั้นต่ำให้สถาบันการเงินทุกแห่งปฏิบัติตามเป็นมาตรฐานเดียวกัน โดยมีการรักษาสมดุลระหว่างการบริหารจัดการความเสี่ยงกับการส่งเสริมบริการทางการเงินดิจิทัล

ซึ่งหนึ่งในนั้นคือ มาตรการป้องกันเพื่อปิดช่องทางที่มิจฉาชีพจะเข้าถึงประชาชนได้มากขึ้น ประกอบด้วย 1. ให้สถาบันการเงินงดการส่งลิงก์ทุกประเภทผ่าน SMS อีเมล และงดส่ง Link ขอข้อมูลสำคัญ เช่น ชื่อผู้ใช้งาน รหัสผ่าน และเลขบัตรประชาชนผ่านสื่อสังคมออนไลน์ (Social Media) 2.จำกัดจำนวนบัญชีผู้ใช้งาน mobile banking (username) ของแต่ละสถาบันการเงิน ให้ใช้ได้ใน 1 อุปกรณ์เท่านั้น โดยสถาบันการเงินต้องจัดให้มีการแจ้งเตือนผู้ใช้บริการ mobile banking ก่อนทำธุรกรรมทุกครั้ง และพัฒนาระบบความปลอดภัยบน mobile banking ให้เท่าทันภัยการเงินรูปแบบใหม่อยู่ตลอดเวลา 

และ 3.ยกระดับความเข้มงวดในกระบวนการยืนยันตัวตนขั้นต่ำด้วยการใช้เทคโนโลยีเปรียบเทียบข้อมูลอัตลักษณ์ทางกายภาพของลูกค้า (biometrics) เช่น สแกนใบหน้า ในกรณีลูกค้าขอเปิดบัญชีโดยผ่านแอปพลิเคชั่นของสถาบันการเงิน (non-face-to-face) หรือทำธุรกรรมผ่าน mobile banking ในเงื่อนไขที่กำหนดไว้ เช่น โอนเงินมากกว่า 50,000 บาท หรือปรับเพิ่มวงเงินทำธุรกรรมต่อวันเป็นตั้งแต่ 50,000 บาท ขึ้นไป นอกจากนี้ จะกำหนดเพดานวงเงินถอน/โอนสูงสุดต่อวันให้เหมาะสมตามระดับความเสี่ยงของกลุ่มผู้ใช้บริการแต่ละประเภท โดยลูกค้าสามารถขอปรับได้ตามความจำเป็น และต้องยืนยันตัวตนอย่างเข้มงวด

ในเบื้องต้นเท่าที่สืบค้นได้ รายงานข่าวจากหนังสือพิมพ์มติชน เมื่อวันที่ 24 มี.ค. 2566 มีสถาบันการเงิน 10 แห่ง ประกาศยกเลิกบริการส่ง SMS แนบ Link ประกอบด้วย ธนาคารกรุงเทพ ธนาคารกรุงไทย ธนาคารกสิกรไทย ธนาคารไทยพาณิชย์ ธนาคารกรุงศรีอยุธยา ธนาคารแลนด์ แอนด์ เฮ้าส์ ธนาคารออมสิน ธนาคารเพื่อการเกษตรและสหกรณ์การเกษตร ธนาคารทหารไทยธนชาต และธนาคารอาคารสงเคราะห์ ขณะที่รายงานข่าวจากสถานีโทรทัศน์ไทยพีบีเอส วันที่ 1 พ.ค. 2566 ระบุว่า บรรดาธนาคารต่างๆ กำลังทยอยปรับปรุงระบบเพื่อเตรียมพร้อมใช้มาตรการโอนเงินตั้งแต่ 5 หมื่นบาทขึ้นไปต้องสแกนใบหน้า ซึ่งคาดว่าจะแล้วเสร็จภายในเดือน มิ.ย. 2566

สำหรับผู้เปิดบัญชีธนาคารที่ไม่ได้อยู่ในรายชื่อ 10 สถาบันการเงินข้างต้น ผู้เขียนแนะนำว่าให้สอบถามไปที่สาขาของธนาคารที่ใช้บริการอยู่ หรือสายด่วนอย่างเป็นทางการของธนาคารนั้นว่าได้ยกเลิกบริการส่ง SMS แนบ Link แล้วหรือยัง ในทุกครั้งที่ได้รับ SMS ทำนองดังกล่าว..ตั้งสติและยอมเสียเวลาสักหน่อยดีกว่าถูกหลอกดูดเงินเสียหายจนหมดตัว!!!

-/-/-/-/-/-/-/-/-/-/-

อ้างอิง

https://www.youtube.com/watch?v=OJa5SKasfpE (แฉกลโกง SMS ปลอมเป็นธนาคาร ทำได้ยังไง? l #หนุ่ยทอล์ก : beartai แบไต๋ , 1 พ.ค. 2566 นาทีที่ 20.45-27.25)

https://www.posttoday.com/business/694050 (ทำความรู้จัก False Base Station ปลอมเอสเอ็มเอส ไม่ผ่านเครือข่ายมือถือ : โพสต์ทูเดย์ 4 พ.ค. 2566)

https://nakedsecurity.sophos.com/2014/03/26/chinese-cops-nab-1530-mobile-sms-spammers-in-raid-on-fake-base-stations/ (Chinese cops nab 1,530 mobile SMS spammers in raid on fake base stations : Naked Security 26 มี.ค. 2566)

https://nakedsecurity.sophos.com/2017/05/12/soldiers-sent-hate-sms-messages-from-rogue-base-stations/ (Soldiers sent hate-SMS messages from rogue base stations : Naked Security 12 พ.ค. 2560)

https://www.bot.or.th/Thai/PressandSpeeches/Press/2023/Pages/n1066.aspx (ข่าว ธปท. ​ฉบับที่ 10/2566 เรื่อง ธปท. ออกมาตรการจัดการภัยทุจริตทางการเงิน : ธนาคารแห่งประเทศไทย 9 มี.ค. 2566  , หมวดการค้นหา ข่าว ธปท.-นโยบายและการกำกับสถาบันการเงิน)

https://www.matichon.co.th/economy/news_3891445 (เจออย่าคลิก! แบงก์ชาติเปิดลิสต์ชื่อธนาคาร ยกเลิกส่งลิงก์ผ่าน SMS-E-mail แล้ว : มติชน 24 มี.ค. 2566)

https://www.thaipbs.or.th/news/content/327208 (แบงก์สแกนหน้าโอนเกิน 50,000 บาท เริ่ม มิ.ย.นี้ : ThaiPBS 1 พ.ค. 2566)