ลองจินตนาการดูนะครับว่า หากเรากำลังจะโอนเงินห้าหมื่นบาทผ่านแอปฯ ธนาคาร ระบบเด้งขึ้นมาบอกว่า กรุณาสแกนใบหน้าเพื่อยืนยันตัวตน เราขยับหน้าซ้ายขวา กระพริบตาตามคำสั่ง แล้วเสียง ติ๊ง! ก็ดังขึ้นพร้อมข้อความ โอนเงินสำเร็จ
เราอาจยิ้มด้วยความภูมิใจในความล้ำสมัยของเทคโนโลยีบ้านเรา พร้อมกับรู้สึกอุ่นใจว่า หน้าฉันอยู่นี่ ใครจะขโมยเงินไปได้?
แต่ช้าก่อน! ข้อมูลล่าสุดจากงานแถลงข่าวของ ManageEngine ที่ผมเพิ่งไปรับฟังมา อาจจะทำให้รอยยิ้มนั้นจางลง เพราะในโลกของอาชญากรรมไซเบอร์ยุค 2026 ใบหน้า ที่เราคิดว่าเป็นด่านสุดท้ายที่ไม่มีใครเจาะได้ กำลังถูกเขย่าด้วยสิ่งที่เรียกว่า AI Deepfake และความซับซ้อนของระบบเศรษฐกิจดิจิทัลที่เรากำลังก้าวเข้าไปนั่นเอง
บทความนี้ Techhub จะพาไปกะเทาะเปลือกเบื้องหลังเรื่องนี้กันครับ ว่าทำไมการสแกนหน้าถึงอาจจะไม่พออีกต่อไป?
ยุคแห่งการ ล็อกอินแทนการ แฮ็ก
ในอดีต แฮ็กเกอร์ต้องพยายามหาจุดอ่อนของซอฟต์แวร์เพื่องัด เข้ามาในระบบ แต่คำพูดหนึ่งที่น่าสนใจมากจากผู้บริหารที่ผมฟังมาคือ แฮ็กเกอร์สมัยนี้เขาไม่แฮ็กกันแล้ว เขาแค่ล็อกอินเข้ามาเลย
มันทำได้ไง? คำตอบคือ Identity Spoofing หรือการปลอมแปลงอัตลักษณ์ครับ ด้วยความก้าวหน้าของ Generative AI ทำให้การทำ Deepfake ไม่ใช่เรื่องไกลตัวอีกต่อไป แฮ็กเกอร์สามารถสร้างใบหน้าเสมือนที่มีการเคลื่อนไหวเหมือนมนุษย์จริงๆ กระพริบตาได้ ขยับปากตามสั่งได้ จนระบบ KYC (Know Your Customer) หรือการยืนยันตัวตนสดๆ อาจจะเริ่มแยกไม่ออกว่านี่คือคนหรือพิกเซล
ยิ่งเรากำลังก้าวสู่สังคมไร้พาสปอร์ตหรือไร้บัตร ที่ทุกอย่างผูกกับไบโอเมตริกซ์ พื้นที่การโจมตีก็ขยายใหญ่ขึ้นเป็นเงาตามตัว
ช่องโหว่ของ MFA เมื่อระบบกันคนแต่ไม่กัน AI
เรามักจะถูกสอนว่าการมี MFA หรือ Multi-Factor Authentication หรือการยืนยันตัวตนหลายชั้นนั้นปลอดภัยที่สุด เช่น กรอกรหัสเสร็จ ก็อาจจะต้องรอ สแกนหน้าซ้ำ
แต่ในที่ประชุมมีการเตือนเรื่องที่น่ากลัวมากครับ คือ AI สามารถทำลายระบบ MFA ได้ ไม่ใช่ด้วยการเดารหัส แต่ด้วยการปลอมเป็นบุคคลหรือองค์กรที่น่าเชื่อถือ เพื่อหลอกให้เหยื่อกดยืนยันในจังหวะที่แฮ็กเกอร์กำลังเข้าระบบพอดี ผมลองยกตัวอย่างให้เห็นชัด ๆ คือ
- จุดชนวน โดยมิจฉาชีพอาจพยายามล็อกอินเข้าแอปฯ ธนาคารของเรา หรือทำรายการโอนเงินจากบัญชีที่คุณผูกไว้กับร้านค้า จนระบบส่ง OTP หรือเด้งหน้าจอสแกนใบหน้า ขึ้นมาบนมือถือของเรา
- AI สวมรอย ในเสี้ยววินาทีนั้นหรือในจังหวะนรกที่เรากำลังวุ่น ๆ หรือรีบ ๆ AI จะวิดีโอคอลหาเราทันที โดยใช้ Deepfake ปลอมหน้าหรือเสียงเป็น เจ้าหน้าที่ธนาคาร หรือ ตำรวจที่ดูสมจริงมาก
- สร้างเรื่องลวง AI จะบอกว่า ตอนนี้ตรวจพบความผิดปกติในบัญชีของเรารบกวนให้เราสแกนหน้า/กดตกลง หรือขอให้บอกรหัส OTP ที่ขึ้นในแจ้งเตือนที่เด้งขึ้นมาเดี๋ยวนี้ เพื่อทำการระงับ รายการโอนเงินที่ผิดปกติครับ
- เมื่อเราหลงเชื่อสแกนหน้าหรือกดยืนยัน เพราะคิดว่าเป็นการ ระงับเงิน แต่ในความเป็นจริงคือเรากำลังอนุมัติ ให้มิจฉาชีพโอนเงินออกจากบัญชีไปเรียบร้อยแล้ว
สมรภูมิอาเซียน ตลาดใหญ่ที่เป็นเป้าล่อเป้า
ทำไมเราต้องตื่นตัวตอนนี้? เพราะภูมิภาคอาเซียน กำลังเป็นดาวรุ่งของเศรษฐกิจดิจิทัลครับ เรากำลังจะมีข้อตกลง DEFA (Digital Economy Framework Agreement) ที่จะทำให้การโอนเงินและข้อมูลข้ามพรมแดนไหลลื่นเหมือนเราโอนเงินให้เพื่อนข้างบ้าน
ยอดธุรกรรมที่พุ่งไปถึงระดับล้านล้านดอลลาร์ ทำให้เหล่าแฮ็กเกอร์ทั่วโลก จ้องมองอาเซียนเป็นบ่อเงินบ่อทอง โดยเฉพาะในกลุ่มร้านค้าเล็กๆที่ใช้ QR Code รับเงินกันอย่างแพร่หลาย แต่ระบบป้องกันอาจจะยังไม่แข็งแกร่งเท่าธนาคารใหญ่ จุดนี้เองคือห่วงโซ่อุปทาน ที่แฮ็กเกอร์ใช้เป็นสะพานเจาะเข้าไปยังระบบการเงินส่วนกลาง
ทางรอดในยุคหน้า ต้องเปลี่ยนวิธีคิดใหม่
เมื่อการสแกนหน้าอย่างเดียวเริ่มเอาไม่อยู่ ManageEngine ได้ให้ Blueprint หรือแนวทางปฏิบัติที่น่าสนใจ ซึ่งธุรกิจด้านการเงินของไทยเรา ควรนำไปปรับใช้
- เลิกใช้แค่อัตลักษณ์ยืนยัน แต่ให้ดูพฤติกรรม โดยระบบป้องกันยุคใหม่ต้องฉลาดพอที่จะบอกว่าปกติเราไม่เคยโอนเงินตอนตี 3 ไปประเทศแถบตะวันออกกลางนะ แม้จะสแกนหน้าผ่าน แต่ระบบต้องกล้าที่จะบล็อกทันทีเพราะพฤติกรรมมันผิดปกติ
- Identity is the New Perimeter อัตลักษณ์คือปราการด่านใหม่ ไม่ใช่รั้วไฟร์วอลล์อีกต่อไป เราต้องจัดการทั้งสิทธิ์ของคนและบอทให้เข้มงวดแบบ Just-in-Time ซึ่งจะเป็นการให้สิทธิ์เฉพาะตอนใช้ ทำเสร็จยึดคืน
ส่วนคนทั่วไป ในยุคที่ AI กำลังกลายเป็นบอทรับใช้โจร Techhub อยากให้ทุกคนนึกถึง กฎ 5 วินาทีหยุดดู ก่อนกดยอมรับ
มิจฉาชีพยุค AI มักใช้จังหวะนรก คือทำให้เราตกใจหรือรีบจนไม่มีเวลาคิด
- วิธีระวังตัวคือ หากมีแจ้งเตือนให้สแกนหน้าหรือกดยอมรับ เด้งขึ้นมาในมือถือ โดยที่เราไม่ได้เป็นคนเริ่มทำธุรกรรมนั้นเองในวินาทีนั้น ให้สันนิษฐานไว้ก่อนว่าเป็นมิจฉาชีพ
- ท่องไว้ว่า “ธนาคารไม่มีนโยบายโทรมาเพื่อให้เรากดยอมรับรายการผ่านหน้าจอ ในขณะที่กำลังคุยสาย หากมีคนโทรมาสั่งให้กด ให้วางสายทันทีแล้วเช็กกับแอปฯ ธนาคารโดยตรงครับ
สรุปส่งท้าย โลกการเงินในอีก 1-2 ปีข้างหน้าจะเต็มไปด้วยความสะดวกสบายที่มาพร้อมความเสี่ยงที่มองไม่เห็นด้วยตาเปล่า AI Deepfake ไม่ได้เป็นแค่ฟิลเตอร์ตลกๆ ในโซเชียล แต่มันคืออาวุธที่ใช้เจาะหน้าของเราได้
สิ่งที่สำคัญที่สุดไม่ใช่การเลิกใช้เทคโนโลยี แต่คือการมีสติและการเลือกใช้เครื่องมือที่รู้เท่าทัน AI และก็หวังว่าองค์กรด้านการเงินไทย รวมถึงธุรกิจต่าง ๆ จะมีระบบที่สามารถเข้าใจพฤษติกรรมของผู้บริโภคอย่างเราได้ดีมากขึ้น
ที่มาข้อมูล
งานแถลงข่าว ManageEngine
