ธปท.เตรียมเพิ่ม Biometric Comparison ยืนยันตัวตนสกัดมิจฉาชีพ

โลกทุกวันนี้อยู่ยากขึ้นเรื่อย ๆ คนทำมาหากินสุจริตอยู่ดี ๆ ก็ตกเป็นเหยื่อของมิจฉาชีพได้ง่าย ๆ โดยเฉพาะมิจฉาชีพที่มาในรูปแบบของแก๊งคอลเซ็นเตอร์ หรือที่กำลังแพร่ระบาดอย่างหนักในเวลานี้ก็คือ กลลวงฟิชชิ่ง (Phishing Scammer) หรือก็คือการส่ง SMS ที่แนบลิงก์ปลอมมาหลอกให้เรากด หลังจากที่เรากดเข้าไป เราก็จะติดตั้งแอปฯ อันตรายโดยไม่รู้ตัว หรืออาจเป็นแอปฯ ประเภทควบคุมคอมพิวเตอร์ระยะไกล เพื่อที่จะได้เข้าถึงและควบคุมอุปกรณ์ของเหยื่อเพื่อโจรกรรมไฟล์ข้อมูลที่อยู่ในเครื่องนั้น หรือแม้กระทั่งการทำธุรกรรมต่าง ๆ ในอุปกรณ์ของเหยื่อ

ภัยมิจฉาชีพออนไลน์ทุกวันนี้ทั้งน่ากลัวและแพร่ระบาดอย่างรวดเร็ว เหล่ามิจฉาชีพมักจะมีมุกใหม่ ๆ มาใช้กับเหยื่ออยู่เป็นประจำ เมื่อคนทั่วไปตามกลโกงไม่ทันก็ตกเป็นเหยื่อโดยไม่รู้ตัว มารู้ตัวอีกทีก็พลาดโอนเงิน (จำนวนมาก) ออกนอกบัญชีไปเข้าบัญชีของมิจฉาชีพหรือบัญชีม้าเรียบร้อยแล้ว นั่นทำให้หน่วยงานที่เกี่ยวข้องจำเป็นต้องมีแนวทางแก้ไขปัญหาดังกล่าวโดยเร็ว ซึ่งเวลานี้ธนาคารแห่งประเทศไทยและสถาบันการเงินก็ได้มีการหารือร่วมกันเกี่ยวกับแนวทางในการป้องกันไม่ให้ประชาชนตกเป็นเหยื่อมิจฉาชีพในการเข้าถึงบัญชีธนาคารของเหยื่อ

โดยธนาคารแห่งประเทศไทยมีมาตการที่จะให้ธนาคารต่าง ๆ มีการแลกเปลี่ยนข้อมูลการทุจริต บัญชีม้า และธุรกรรมต้องสงสัย โดยคาดว่าจะเริ่มดำเนินการได้หลังจาก ร่างพ.ร.ก.มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยีมีผลบังคับใช้ ซึ่งร่างพ.ร.ก.ดังกล่าว จะกำหนดให้สถาบันการเงินและผู้ประกอบธุรกิจ สามารถแลกเปลี่ยนข้อมูลเกี่ยวกับบัญชีและธุรกรรมของลูกค้าที่ต้องสงสัยได้ โดยไม่ขัดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)

นอกจากนี้ ธนาคารแห่งประเทศไทยยังจะให้ธนาคารต่าง ๆ เพิ่มกระบวนการยืนยันตัวตนด้วย Biometric Comparison บน Mobile Banking เมื่อเข้าเงื่อนไขที่กำหนด เช่น การโอนเงินจำนวนมาก ทั้งจำนวนเงิน และความถี่ รวมถึงการปรับเพิ่มวงเงินต่อวัน โดยกำหนดตามพฤติกรรมหรือระดับความเสี่ยงของลูกค้าของธนาคาร รวมทั้งให้มีช่องทางติดต่อเร่งด่วน (Hotlines) ผ่านหมายเลข 1213 ให้ลูกค้าสามารถแจ้งเหตุหลอกลวงได้โดยตรง หรือแจ้งข้อมูลที่ไม่น่าไว้วางใจได้รวดเร็วขึ้นตลอด 24 ชั่วโมง

Biometric คืออะไร?

เมื่อพิจารณาตามคำศัพท์ จะพบว่า Biometric ประกอบขึ้นจากคำว่า bio ซึ่งหมายถึงสิ่งมีชีวิต และคำว่า metric ซึ่งหมายถึงคุณลักษณะที่สามารถถูกวัดค่าหรือประเมินจำนวนได้ เมื่อนำ 2 คำนี้มารวมกัน จะหมายถึงเทคโนโลยีในการใช้คุณลักษณะหรือพฤติกรรมบางอย่างในสิ่งมีชีวิตที่มีความเป็นเอกลักษณ์ และสามารถเทียบวัดหรือนับจำนวนได้ มาผนวกเข้ากับหลักการทางสถิติ เพื่อประโยชน์ในการแยกแยะ จดจำ ยืนยัน และระบุตัวตนของแต่ละบุคคล ซึ่งจะมีตัวระบุเอกลักษณ์ที่ไม่ซ้ำกันมากกว่า 20 แบบ โดยสามารถแบ่งกว้าง ๆ ออกเป็น 2 ลักษณะด้วยกันคือ

  • ลักษณะทางกายภาพ เช่น ลายนิ้วมือ เส้นเลือดในฝ่ามือ ฝ่ามือ จอตา ม่านตา ใบหน้า DNA และกลิ่น
  • ลักษณะทางพฤติกรรม เช่น เสียง ลายเซ็น และการพิมพ์

โดยข้อมูล Biometric จะเป็นลักษณะทางกายภาพของคนแต่ละคน เช่น ลายนิ้วมือ ลักษณะของใบหน้า ม่านตา เสียง นอกจากนี้ยังรวมถึงพฤติกรรมที่เป็นลักษณะเฉพาะของแต่ละบุคคลด้วย ทำให้ปัจจุบันนี้ เราใช้ประโยชน์จาก Biometric เป็นเทคโนโลยีที่ใช้ยืนยันหรือพิสูจน์ตัวตนบุคคล โดยนำลักษณะทางกายภาพ เช่น ลายนิ้วมือ รูม่านตา และโครงสร้างใบหน้า หรือพฤติกรรมเฉพาะของแต่ละบุคคล เช่น ลักษณะการเดิน การเคลื่อนไหวของมือ เสียงพูด มาใช้ในการจำแนก โดยมีการตรวจสอบลักษณะทางกายภาพเข้ากับเทคโนโลยีด้านคอมพิวเตอร์เข้าด้วยกัน

ส่วน Biometric Comparison คือการเพิ่มเงื่อนไขยืนยันตัวตันในการเข้าถึงข้อมูลบน Mobile Banking ไม่ว่าจะเป็นใบหน้า ลายนิ้วมือ หรือพฤติกรรมของผู้ใช้ เพื่อพิสูจน์และยืนยันตัวบุคคลสำหรับการเปิดบัญชีหรือสมัครใช้บริการต่าง ๆ เป้าหมายเพื่อลดโอกาสที่จะเกิดการกระทำที่มิชอบจากการปลอมแปลงตัวบุคคลที่เปิดบัญชี หรือทำธุรกรรมทางการเงิน และเพิ่มช่องทางการให้บริการทางออนไลน์ ที่จะช่วยให้ผู้ใช้บริการสามารถพิสูจน์ตัวบุคคลได้สะดวกขึ้นและน่าเชื่อถือ

นั่นทำให้ปัจจุบัน เทคโนโลยี Biometric เกี่ยวข้องอยู่ในชีวิตประจำวันและมีความใกล้ตัวเรามาก เริ่มนิยมใช้ประโยชน์กันอย่างแพร่หลาย เพื่อช่วยรักษาความปลอดภัยในหลาย ๆ ด้าน นอกเหนือจากฟังก์ชันการปลดล็อกของสมาร์ตโฟน และการเข้าถึงแอปฯ ต่าง ๆ และอีกไม่นานหลังจากนี้ก็จะนำมาใช้สำหรับเปรียบเทียบยืนยันตัวตนในการเข้าถึงข้อมูลบน Mobile Banking เมื่อพฤติกรรมการใช้งานของผู้ใช้งานผิดปกติจนเข้าเงื่อนไขที่กำหนด เช่น การโอนเงินจำนวนมาก ๆ ออกนอกบัญชี ทั้งในแง่มูลค่าและความถี่ รวมถึงการปรับเพิ่มวงเงินต่อวันด้วย

แนวทางปฎิบัติเพื่อป้องกันและรับมือกับมิจฉาชีพ

ทุกวันนี้มีคนตกเป็นเหยื่อมิจฉาชีพออนไลน์เป็นจำนวนมาก ธนาคารแห่งประเทศไทยจึงพยายามกำหนดแนวทางความปลอดภัยให้กับผู้ใช้งาน โดยให้สถาบันการเงินยกระดับการจัดการภัยหลอกลวงและภัยทุจริตเป็นความเสี่ยงระดับองค์กรที่ต้องกำหนดแนวปฏิบัติอย่างชัดเจนอย่างเร่งด่วน เช่น กำหนดจำนวนบัญชีผู้ใช้งาน Mobile Banking หรือบัญชีกระเป๋า e-Wallet ของแต่ละผู้ให้บริการทางการเงินให้ใช้งานบน 1 อุปกรณ์ เพื่อลดความเสี่ยงจากการนำบัญชีผู้ใช้งาน Mobile Banking หรือกระเป๋า e-Wallet ไปใช้ในทางที่มิชอบ

นอกจากนี้ ยังสมควรมีกระบวนการพิสูจน์ความเป็นเจ้าของเลขหมายโทรศัพท์มือถือในขั้นตอนการเปิดบัญชีเงินฝาก และการเปิดบัญชี e-Money โดยจะต้องตรวจสอบให้ชื่อเจ้าของบัญชีเงินฝากหรือบัญชี e-Money ที่ใช้โอนเงินสอดคล้องตรงกันกับชื่อเจ้าของเลขหมายโทรศัพท์มือถือ อีกทั้งยังให้งดเว้นแนบลิงก์ผ่านช่องทางข้อความสั้น (SMS) อีเมล และโซเชียลมีเดีย ที่เป็นการขอข้อมูลในการยืนยันตัวตนและข้อมูลส่วนบุคคลที่สำคัญ เช่น ชื่อผู้ใช้งาน รหัสผ่าน รหัสผ่านใช้ครั้งเดียว (OTP) รหัส PIN หมายเลขบัตรประชาชนชน วันเดือนปีเกิด อีกด้วย

อย่างไรก็ตาม จะเห็นว่าการทำธุรกรรมต่าง ๆ ที่ผ่านมา ระบบมักจะใช้หัสผ่านใช้ครั้งเดียว หรือ OTP ส่งมาทางหมายเลขโทรศัพท์มือถือเพื่อใช้สำหรับการยืนยันตัวตนอีกขั้นก่อนที่จะทำธุรกรรมได้เสร็จสิ้น แต่ปัจจุบัน การใส่รหัส OTP เพื่อยืนยันนั้นไม่ปลอดภัยอีกต่อไป ในกรณีที่มิจฉาชีพสามารถเข้าควบคุมอุปกรณ์ของเหยื่อผ่านทางไกลได้ ธนาคารแห่งประเทศไทยจึงได้เพิ่มความปลอดภัยในการทำธุรกรรมทางการเงินผ่านแอปพลิเคชันบนอุปกรณ์ด้วยการใช้เทคโนโลยี Biometric Comparison หรือก็คือการสแกนใบหน้าและสแกนลายนิ้วมือขึ้นมา เมื่อพบความผิดปกติที่ผู้ใช้งานกดโอนเงินเป็นยอดจำนวนมาก ๆ รวมไปถึงความถี่ของการโอนเงินออกจากบัญชี

มีข้อมูลจากศูนย์ข้อมูลธนาคารกสิกรไทย เกี่ยวกับวิธีการยืนยันตัวตนเพื่อเข้าใช้บัญชีอย่างปลอดภัยกว่าเดิม ว่านอกจากการใช้ OTP (One Time Password) ที่มักจะส่งมาให้ทางหมายเลขโทรศัพท์มือถือที่ลงทะเบียนไว้ในระบบ สำหรับยืนยันตัวตนอีกครั้งหลังจากเข้าใช้งานด้วยรหัสผ่านแล้ว การใช้ข้อมูลชีวภาพ หรือ Biometric สำหรับยืนยันตัวก็เริ่มได้รับความนิยมเพิ่มมากขึ้น เนื่องจากข้อมูลชีวภาพเป็นลักษณะเฉพาะตัวของบุคคลที่ลอกเลียนแบบได้ยาก และไม่สามารถขโมยไปได้ จึงได้มีการพัฒนาแอปพลิเคชัน หรืออุปกรณ์ใหม่ ๆ ที่รองรับการใช้งาน Biometric มากขึ้น เช่น การสแกนลายนิ้วมือ หรือสแกนใบหน้าเพื่อเปิดใช้งานโทรศัพท์

สำหรับการยืนยันตัวตนด้วย Biometric จะเป็นการยืนยันตัวตนด้วยข้อมูลทางชีวภาพของบุคคล ซึ่งจะมีลักษณะเฉพาะตัวและไม่ซ้ำใคร เช่น ลายนิ้วมือ รูม่านตา โครงสร้างใบหน้า หรือเสียง โดยจะผสานเทคโนโลยีทางด้านชีวภาพ การแพทย์ และด้านคอมพิวเตอร์เข้าด้วยกัน มีการรวบรวมข้อมูล จดจำ แล้วเก็บไว้เพื่อนำมาเปรียบเทียบกัน โดยทั่วไปจะมี 4 แบบ คือ

  1. สแกนลายนิ้วมือ (Fingerprint Recognition) เป็นวิธีใช้กันมานานแล้ว ไม่ว่าจะเป็นที่โรงรับจำนำ หรือตม. ที่สนามบิน ปัจจุบันยังเป็นวิธีที่ได้รับความนิยม ทั้งสมาร์ตโฟน คอมพิวเตอร์ หรือการเข้าออกอาคาร
  2. สแกนใบหน้า (Face Recognition) นิยมนำมาใช้มากขึ้นกับสมาร์ตโฟน แท็บเลต รวมถึงแอปพลิเคชันต่าง ๆ ใช้แทนการกดหรือวาดรหัสผ่าน
  3. สแกนม่านตา (Iris Recognition) เป็นวิธีที่มีความแม่นยำสูง ทว่าใช้งานยากเนื่องจากต้องใช้อุปกรณ์เฉพาะ จึงมักจะนำไปใช้กับการยืนยันตัวตนกับระบบที่ต้องการความปลอดภัยสูงสุด
  4. จดจำเสียง (Voice Recognition) จะวัดจากการใช้ระดับเสียง น้ำเสียง และความถี่ของเสียง

อย่างไรก็ตาม Biometrics เป็นการยืนยันตัวตนที่ต้องใช้งานอย่างระมัดระวัง แม้ไม่อาจถูกขโมยไปได้แต่ก็อาจเกิดความผิดพลาดจนโดนสวมรอยได้ หากมิจฉาชีพสวมรอยได้แล้ว เราก็อาจจะใช้บัญชีของเราไม่ได้อีกเลยก็เป็นได้ ซึ่งมีคำแนะนำในการยืนยันตัวตนด้วย Biometric ให้ปลอดภัยที่สุดใน 3 ขั้นตอน ได้แก่

  1. เลือกใช้ Biometrics ยืนยันตัวตนกับระบบที่เชื่อถือได้ หากระบบจัดเก็บข้อมูลชนิดนี้ไม่ปลอดภัย และทำข้อมูลรั่วไหล มันจะเป็นข้อมูลที่ไม่สามารถเปลี่ยนแปลงได้
  2. ใช้การยืนยันตัวตนแบบ 2 ปัจจัย (Two-Factor Authentication (2FA)) กับธุรกรรมที่สำคัญ เช่น การสแกนใบหน้าครั้งแรกเพื่อเข้าสู่ระบบ Mobile Banking แล้วยืนยันตัวตนด้วยรหัสผ่านเมื่อโอนเงิน เป็นต้น
  3. ควรสำรองวิธีเข้าสู่ระบบแบบอื่นไว้ด้วยเผื่อเกิดปัญหา เช่น หากสแกนนิ้วหรือใบหน้าไม่ผ่าน ก็ยังใช้รหัสผ่านเข้าสู่ระบบได้