ประเด็นการหลอกลวงโอนเงินรูปแบบต่างๆ จนเกินความเสียหายต่อประชาชนเป็นวงกว้างเป็นปัญหาในหลายประเทศ โดยเมื่อเดือนตุลาคมที่ผ่านมาธนาคารกลางสิงคโปร์ (MAS) ออกแนวทางให้ธนาคารและผู้ให้บริการโทรศัพท์มือถือร่วมรับผิดชอบ (Shared Responsibility Framework - SRF) แม้จะเป็นแนวทางที่ดูจะช่วยให้ธนาคารต้องมารับผิดชอบมากขึ้น แต่ในความเป็นจริงประกาศนี้ไม่ได้ทำให้เหยื่อสามารถเรียกร้องจากธนาคารได้ไปหมด รวมถึงกรณีส่วนใหญ่ก็น่าจะไม่สามารถเรียกร้องได้ด้วย
เอกสารของ MAS ยกตัวอย่าง 15 กรณีที่ลูกค้าถูกหลอก และอธิบายถึงความรับผิดชอบเอาไว้
| สถานการณ์ | ผู้รับผิดชอบ | เหตุผล |
|---|---|---|
| ลูกค้าถูกหลอกลงทุน โอนเงินให้บริษัทลงทุนปลอม ได้รับ SMS แจ้งเตือนถูกต้อง | ลูกค้า | อยู่ในขอบเขตการทำธุรกรรมที่ถูกต้อง ลูกค้าตัดสินใจเอง |
| ลูกค้าถูกตำรวจปลอมโทรขอรหัสผ่านและ OTP | ลูกค้า | อยู่นอกขอบเขตการคุ้มครองช่องทางดิจิทัล ลูกค้าให้ข้อมูลเอง |
| ลูกค้าคลิกลิงก์โฆษณาเฟอร์นิเจอร์ปลอม คนร้ายใช้ OTP ล็อกอินและโอนเงิน | ลูกค้า | คนร้ายปลอมตัวเป็นองค์กรอื่น ลูกค้าให้ OTP เอง |
| ลูกค้าติดตั้งแอปดูดเงินและถูกดูดเงิน | ลูกค้า | ไม่มีการล็อกอินใหม่บนแพลตฟอร์มปลอม ลูกค้าติดตั้งแอปเอง |
| ลูกค้าล็อกอินเว็บธนาคารปลอม ไม่ได้รับ SMS แจ้งเตือน เนื่องจากเคยตั้งเพดานการส่ง SMS ไว้สูงกว่ายอดที่คนร้ายโอน | ลูกค้า | ธนาคารทำตาม SRF แล้ว |
| ลูกค้าล็อกอินเว็บธนาคารปลอมจ่ายค่าปรับตำรวจปลอม ระบบธนาคารล่ม แต่ระบบของธนาคารมีปัญหาจนแจ้งเตือนช้าไปสองวัน เมื่อลูกค้าได้รับแจ้งเตือนก็โทรหาธนาคารแต่ไม่ติดเนื่องจากคู้สายไม่ว่าง | ธนาคาร | ธนาคารไม่สามารถแจ้งเตือนทันทีและรับคำสั่งล็อกบัญชีได้ |
| ลูกค้าล็อกอินเว็บธนาคารปลอม คนร้ายใช้รหัส/OTP ลงแอปใหม่ ธนาคารไม่หน่วงเวลาธุรกรรมเสี่ยงสูง | ธนาคาร | ธนาคารไม่ทำตาม SRF เรื่องการหน่วงเวลาธุรกรรมเสี่ยงสูง (เช่น เพิ่มวงเงิน) |
| ลูกค้าคลิกลิงก์เว็บธนาคารปลอม ระบบธนาคารมีปัญหาไม่ส่ง SMS แจ้งเตือน คนร้ายแก้ไขข้อมูลให้ส่ง SMS ไปที่คนร้ายแทน | ธนาคาร | ธนาคารไม่ได้แจ้งเตือนลูกค้า |
| ลูกค้าคลิกลิงก์เว็บปลอม ล็อกอิน คนร้ายโอนเงิน 10 ครั้ง ธนาคารส่ง SMS 9 ครั้ง (ระบบมีปัญหา) | ธนาคาร (เฉพาะครั้งที่ไม่ได้ส่ง SMS) | ธนาคารรับผิดชอบเฉพาะความเสียหายจากการโอนครั้งที่ไม่ได้ส่ง SMS |
| ได้รับ SMS ปลอมชื่อ "DBS Bank" กดลิงก์และล็อกอิน ได้รับ SMS แจ้งโอนเงิน 10,000 ดอลลาร์ | ผู้ให้บริการโทรศัพท์มือถือ | ปล่อยให้คนร้ายปลอมตัวเป็นธนาคาร |
| ผู้ให้บริการโทรศัพท์มือถือไม่บล็อค SMS ปลอมตัวเป็นธนาคารหลอกรีเซ็ตรหัสผ่าน | ผู้ให้บริการโทรศัพท์มือถือ | ไม่บล็อค SMS ปลอม |
| SMS ปลอมตัวเป็นบริษัทในสิงคโปร์ ระบบแสดง "Likely-SCAM" แต่ลูกค้ายังหลงเชื่อ | ผู้ให้บริการโทรศัพท์มือถือ | แม้จะแสดง "Likely-SCAM" แต่ไม่ได้สแกนและบล็อคข้อความปลอมตัวเป็นธุรกิจในสิงคโปร์ |
| ได้รับ SMS ปลอม ล็อกอิน คนร้ายโอนเงิน ธนาคารมีปัญหาไม่ส่ง SMS แจ้งเตือน | ธนาคาร | ธนาคารรับผิดชอบตาม SRF แม้จะมีส่วนผิดพลาดจากผู้ให้บริการโทรศัพท์มือถือ |
| ได้รับ SMS ปลอมชื่อ "OCBC Bank" ล็อกอินเว็บปลอม คนร้ายโอน 5 ครั้ง ระบบธนาคารไม่ส่ง SMS แจ้งเตือน 2 ครั้งหลัง | ผู้ให้บริการโทรศัพท์มือถือ (3 ครั้งแรก) และ ธนาคาร (2 ครั้งหลัง) | แม้ SMS ต้นทางผิดพลาดจากผู้ให้บริการโทรศัพท์มือถือ แต่ธนาคารรับผิดชอบก่อนเสมอในส่วนที่ระบบมีปัญหาไม่ส่ง SMS |
| ได้รับ SMS ปลอมตัวเป็นบริษัทขนส่ง แสดง "Likely-SCAM" ลูกค้าหลงเชื่อล็อกอิน แต่โทรล็อกบัญชีทันที ธนาคารอายัดบัญชี | ลูกค้า | ผู้ให้บริการโทรศัพท์มือถือและธนาคารทำตามความรับผิดชอบครบถ้วนแล้ว |
แนวทางเช่นนี้แสดงให้เห็นว่าแม้ประกาศจะระบุว่าให้ธนาคารและผู้ให้บริการโทรศัพท์มือถือร่วมรับผิดชอบ แต่ความรับผิดชอบนี้ก็มีขอบเขตชัดเจน เมื่อหน่วยงานเหล่านี้ทำตามเงื่อนไขแล้วก็จะไม่ต้องรับผิดชอบอีก
ที่มา - MAS: Consultation Paper on Proposed Shared Responsibility Framework
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
ถ้าเป็นบ้านเราคงต้องถามว่าธนาคารมีวิธีการหน่วงธุรกรรมความเสี่ยงสูงอย่างไร การบังคับให้สแกนหน้าก่อนโอนเงินปริมาณสูงถือว่าพอไหม หรือจะต้องให้ธนาคารโทรกลับมาถามทุกครั้งกรณีที่มีการโอนเงินปริมาณสูงผิดปกติ? แต่พวก SMS ปลอม Operator บ้านเราน่าจะเหนื่อย เพราะพวกยังเอา Mobile Simbox วิ่งส่ง SMS ปลอมกันได้ ถ้าจะเล่นข้อนี้คงต้องปราบตัว Cellsite เถื่อนก่อน
คือจะเอาความสะดวกหรือปลอดภัยละครับ เอาปลอดภัยจัดไปเลย T+3 หน่วงไปเลย 3 วันแบบสมัยก่อน
เท่าไรคือสูงล่ะครับ ยุคนี้โอนเงินหลักหมื่นหลักแสนเป็นเรื่องปกติธรรมดาสำหรับหลายๆคน ถ้าจะให้หน่วงเวลาไม่ต้องทำงานหรือค้าขายกันพอดี ยกเว้นธุรกรรมความเสี่ยงสูงเช่นการเพิ่มวงเงิน กดดูข้อมูลบัตร ทุกวันนี้ของไทยเองก็ต้อง scan หน้าอยู่แล้ว อันนี้ไม่ว่ากัน แต่ถ้าจะมองเรื่องตัวเงินมันไม่ใช่เหมารวมได้
บางคนพูดเว่อๆให้กันเงินไว้สามวันถึงจะถอนได้(ไม่ได้ว่าท่านบนนะครับ สื่อหรือแกนนำการเมืองบางเจ้าเขียนชี้นำแบบเว่อๆ) ย้อนเวลาไประบบclearing house สามสิบกว่าปีที่แล้วพอดี?พูดเหมือนยังอยู่ยุคสงครามเย็น
หรือจะให้default ของบัญชีเริ่มต้นที่โอนเงินผ่านแอพใช้เวลาสามวัน แล้วต้องไปปรับเองในแอพ ก็มีประเด็นว่าโจรก็หลอกให้กดเปลี่ยนoption ได้อยู่ดีและเชื่อว่าคนส่วนใหญ่ก็จะแก้optionนี้ไม่งั้นscanจ่ายร้านน้ำปากซอยไม่ได้(สุดท้ายก็จะวนมาเรื่องวงเงินในการโอน/scan ซึ่งมันก็มีอยู่แล้ว)
ความเสี่ยงสูง = ปรับวงเงิน หรือลงเครื่องใหม่ (enrolll new device) ครับ
lewcpe.com, @wasonliw
ส่วนตัวเห็นด้วยเรื่องติดตั้งแอพเถื่อน เพราะลูกค้าเต็มใจเองเพราะกว่าจะติดตั้งไม่ง่ายเลยเพราะมันต้องผ่านหลายขั้นตอนมาก บางแอพแค่ Bypass Android /Google Play Protect ยังไม่พอต้องติดตั้ง VPN อีก ซึ่งกว่าจะผ่านไปถึงขั้นนั้นมันต้องเอ๊ะแล้วหล่ะ