บทเรียนครั้งใหญ่ เมื่อ SCB ต้องรับผิดชอบคืนเงินลูกค้าที่ถูกแฮกผ่านขั้นตอนออนไลน์

เมื่อต้นเดือนที่ผ่านมา เกิดเหตุการณ์ที่ผู้ใช้งานแอป SCB Easy โดนมิจฉาชีพปลอมตัวเป็นธนาคารและส่งฟิชชิ่งไปหลอกลูกค้าของ SCB Easy ทำให้ธนาคารไทยพาณิชย์ ต้องประกาศยกระดับมาตรการความปลอดภัยของลูกค้า
วิธีการคือ มิจฉาชีพได้ปลอมตัวเป็นธนาคาร ส่งข้อความว่าไปหาลูกค้าว่าจะมีการอัปเดทเกี่ยวกับแอป SCB Easy และต้องให้ผู้ใช้งานอัปเดตข้อมูลทันที พร้อมกับแนบลิ้งก์มาให้ เมื่อกดลิ้งก์แล้ว มันจะนำเราไปสู่หน้าเว็บปลอมที่ให้ผู้ใช้กรอกข้อมูลส่วนตัวต่าง ๆ ลงไป จากนั้นแฮกเกอร์ได้ทำการเพิ่มอุปกรณ์ในบัญชีและขโมยเงินจากบัญชีผู้ใช้ไป จนตอนนี้ SCB ต้องปิดระบบการเพิ่ม Device ชั่วคราว แต่หากจำเป็น ต้องไปทำที่สาขาเท่านั้น ไม่สามารถเพิ่มผ่านแอปได้เหมือนที่ผ่านมา
โดย SCB ได้ส่งหนังสือประชาสัมพันธ์ถึงสื่อต่าง ๆ ว่าจะรับผิดชอบเงินที่ลูกค้าแต่ละรายถูกขโมยไป รวมเป็นมูลค่ากว่า 30 ล้านบาท ซึ่งธนาคารจะเริ่มติดไปที่ลูกค้าในละแต่รายในอีกไม่นาน
เรื่องนี้นับว่าเป็นบทเรียนใหญ่ของธนาคาร แต่ในความเป็นจริงแล้ว ผู้ที่มีส่วนผิดในเหตุการณ์นี้่ ธนาคารก็เป็นส่วนหนึ่งที่ทำระบบได้ไม่รัดกุมพอนะ แต่ผมว่าส่วนหนึ่งก็มาจาก USER Aware ที่อาจไม่ได้ระมัดระวังตัวในเรื่องนี้ และที่สำคัญไม่ได้มีการตรวจสอบจาก Call Center ของธนาคารก่อนจะกรอกข้อมูลส่วนตัวลงไป ทำให้มีช่องเล่นงานจากมิจฉาชีพได้
เรื่องนี้ค่อนข้างชัดเจนว่า ถึงเวลาแล้วหรือยังที่คนไทยจะต้องหันมาใส่ใจกับเรื่องความปลอดภัยส่วนบุคคล ต้องหัดสังเกตข้อความหรือ ลิ้งก์แปลก ๆ และไม่ใจร้อนต่อคำขู่ใด ๆ ในข้อความ เพราะการโจมตีในลักษณะฟิชชิ่ง (Phishing) มักจะมีส่วนอยู่สามสิ่งหลัก ๆ คือ 1. มักมีจะมีลิ้งก์มากด (ส่วนใหญ่เป็นลิ้งก์ที่ย่อมา) 2. มักจะมีเนื้อหาให้เรารีบกดลิ้งก์ เช่น ทำทันที เปลี่ยนทันที กดทันที 3. มักจะมีภาษาแปลก ๆ เพราะส่วนใหญ่จะเป็นชาวต่างชาติที่เข้ามาเป็นมิจฉาชีพ (การแปลมาไทยภาษาอาจจะไม่ลื่นนัก)