ฉบับที่ 251 SMS หลอกลวง’ และโลกดิจิตอลในมือผู้บริโภค

317 ล้านบาทคือมูลค่าความเสียหายจาก SMS หลอกลวงต่างๆ 131 Sender Name ที่ทางคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) และกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) แถลงร่วมกันเมื่อวันที่ 23 ธันวาคม 2564        เป็นตัวเลขไม่น้อย แต่เชื่อเถอะว่ามูลค่าความเสียหายจริงที่เกิดขึ้น ณ เวลานี้สูงกว่าหลายเท่า                  ปัญหา SMS หลอกลวงไม่ใช่เพิ่งเกิด มันวิวัฒนาการเรื่อยมาตามความเปลี่ยนแปลงของเทคโนโลยี แค่คุณเผลอคลิกลิงค์แปลกที่ปรากฏในกล่องข้อความ ข้อมูลส่วนบุคคลของคุณก็สามารถถูกแฮ็กได้         ถามว่านี่เป็นความรับผิดชอบของใคร ถ้าคำตอบของคุณคือผู้กำกับดูแลและผู้ให้บริการเครือข่าย คำตอบของคุณไม่ผิด แต่ก็ไม่ถูก เพราะเอาเข้าจริงเรื่องนี้มีผู้เล่น 4 ฝ่ายที่นอกจากจะมี 2 รายชื่อแรกที่กล่าวไปแล้ว ยังมีผู้ผลิตโทรศัพท์มือถือและผู้ใช้        ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์บอกว่าคนที่มีบทบาทมากที่สุดก็คือผู้ใช้หรือตัวคุณนั่นเอง ความเดือดร้อนของผู้บริโภค         SMS หลอกลวงมาในหลายรูปแบบ เช่น การแอบอ้างธนาคาร เจ้าหน้าที่ตำรวจ ไปรษณีย์ แอปกู้เงิน ไปจนถึงเว็บการพนัน เว็บที่มีเนื้อหาสำหรับผู้ใหญ่ เป็นต้น ทั้งหมดนี้เรียกร้องให้คุณโอนเงินกลับไปไม่ว่าจะด้วยเหตุผลใดก็ตาม ไม่ก็พยายามล่อหลอกความอยากรู้อยากเห็น ความโลภ หรือใช้ความเดือดร้อนให้คุณคลิกลิงค์เข้าไปก่อนจะตกเป็นเหยื่อในที่สุด         “SMS ปล่อยกู้ก็มีบางคนลองกู้แต่เงินที่ได้ก็ไม่ครบ เมื่อคลิกลิงค์มันจะให้ดาวน์โหลดแอปพลิเคชั่น และจะมีวิธีให้ผู้ใช้ลงทะเบียนเพื่อตรวจสอบสินเชื่อ บางคนก็โดนหลอกว่าถ้าลงทะเบียนผิดต้องปลดล็อคช่วยโอนเงินมาเพื่อปลดล็อค ประเด็นคือพอสมัครไปมันจะให้เราอนุญาตให้เข้าถึงข้อมูลในโทรศัพท์ พอกู้เงินเสร็จก็จะมีคนโทรเข้าไปบอกคนอื่นว่าเราเป็นหนี้หรือไปทวงหนี้กับคนอื่น หรือบางทีก็เอารูปผู้กู้ เนื่องจากตอนที่กู้ต้องส่งรูปบัตรประชาชนให้ มันก็เอาไปขู่” นฤมล เมฆบริสุทธิ์ รองผู้อำนวยการมูลนิธิเพื่อผู้บริโภค กล่าว         ในมุมของนฤมล กสทช. ในฐานะผู้กำกับดูแลหลักดูจะย่อหย่อนและเชื่องช้ากับหน้าที่ส่วนนี้ สิ่งที่เธอเห็นว่า กสทช. ควรทำและสามารถทำได้ทันทีคือการสั่งผู้ประกอบธุรกิจกิจการโทรคมนาคมบล็อกไม่ให้มิจฉาชีพเข้าถึงโทรศัพท์ของผู้รับได้ ต้องสร้างระบบที่ผู้บริโภคต้องให้ความยินยอมก่อน ไม่ใช่ให้ค่ายโทรศัพท์มือถือนำเบอร์ไปใช้ทำธุรกิจหรือส่งให้ผู้ผลิต Content Provider อื่นๆ         กสทช. ควรบังคับใช้อย่างจริงจังตามอำนาจที่ตนเองมีสั่งปรับค่ายมือถือ มิใช่ปล่อยให้ผู้เสียหายเป็นฝ่ายร้องเรียนไม่จบสิ้น         “แต่ก่อน กสทช. ออกหมายเลขดอกจัน 137 เพื่อยกเลิกข้อความ” นฤมล เล่าถึงปัญหาที่ไม่ถูกแก้ไข “แต่สักพักก็กลับมาอีก เป็นภาระของเราหรือเปล่า มันแก้ปัญหาไม่ได้ก็ร้องเรียน กสทช. ก็จัดการแค่ไกล่เกลี่ย ทั้งที่บางคนถูกละเมิดสิทธิ์เอาข้อมูลเขาไปใช้ทำให้เสียหาย หรือเอาข้อมูลของเขาไปหลอกลวงคนอื่นอีกที”         แต่เรื่องนี้ซับซ้อนกว่าที่คิด Business Model ของการส่ง SMS         นพ.ประวิทย์ ลี่สถาพรวงศา กรรมการ กสทช.ด้านการคุ้มครองผู้บริโภคและส่งเสริมสิทธิเสรีภาพของประชาชน กล่าวว่า เพราะตัวละครมีหลายชั้นการบล็อกข้อความจึงไม่ง่าย เขายกตัวอย่างว่ามีการหารือกับค่ายมือถือเรื่องนี้ ปรากฏว่ามีผู้ใช้บริการไม่ได้รับหมายเลข OTP ที่ใช้เป็นรหัสผ่านจากหน่วยธุรกิจต่างๆ ติดร่างแหด้วย การเข้าใจประเด็นนี้ เขาบอกว่าต้องเข้าใจ Business Model ของการส่ง SMS         ผู้ให้บริการโทรคมนาคมขาย SMS 2 รูปแบบ รูปแบบแรกคือขายเหมาให้แก่หน่วยธุรกิจที่นำไปใช้งานโดยตรง เช่น ธนาคาร ห้างสรรพสินค้า โรงแรม แล้วธุรกิจเหล่านี้จะทำการส่ง SMS ออกไป         รูปแบบที่ 2 คือการขายเหมาผ่านคนกลางซึ่งต้องมีใบอนุญาตจาก กสทช. ตัวอย่างเช่น บริษัทเอซื้อ SMS เหมาจำนวน 50,000 ข้อความ เพื่อขายต่อให้แก่หน่วยธุรกิจอื่นๆ เช่น บริษัทบีซื้อ SMS 10,000 ข้อความ นอกจากบริษัทเอจะขายให้แล้วยังบริการส่งข้อความให้เสร็จสรรพ จุดนี้เองที่มิจฉาชีพสอดแทรกเข้ามา         “เขา (ผู้ที่รับซื้อเหมาไปขายต่อ) บอกว่าจริงๆ แล้วเขาไม่รู้ว่าข้อความที่ส่งมาหลอกลวงหรือเปล่าเพราะโดยหลักแล้วมันเหมือนจดหมาย เขาทำหน้าที่เป็นแค่ไปรษณีย์ ไม่มีอำนาจเปิดซองอ่านข้อความ ตอนนี้ปัญหาเกิดขึ้นอีกชั้นหนึ่งคือคนที่ซื้อเหมามาขายต่ออาจจะไม่ได้ขายกับลูกค้าโดยตรง แต่มีมือสามมือสี่มาซื้อต่อซึ่งพวกนี้ไม่ได้อยู่ภายใต้ใบอนุญาตของ กสทช. พวกมือสามมือสี่ก็ยิ่งไม่ต้องกรองลูกค้าเพราะกำไรมาจากการขายอย่างเดียว จะขายมิจฉาชีพก็ไม่สน หลักการเดียวกันเขาจะอธิบายว่าข้อความนั้นเขาไม่รู้ว่าเป็นมิจฉาชีพเพราะเขาเปิดไม่ได้มีหน้าที่แค่อำนวยความสะดวกในการส่ง ปัญหามันก็เลยยิ่งแก้ยากขึ้นระดับหนึ่ง” นพ.ประวิทย์ อธิบาย หลายหน่วยงาน หลายกฎหมาย หลายขั้นตอน         เรื่องหน่วยงานกำกับดูแลก็ทำให้การแก้ปัญหาไม่เป็นเอกภาพ นพ.ประวิทย์ กล่าวยอมรับว่า หน้าที่ของ กสทช. จริงๆ คือรับหน้าเสื่อผู้บริโภคและการจัดการกับผู้ให้บริการเครือข่าย รวมถึงผู้ให้บริการลำดับถัดไป ไม่มีอำนาจดูแลเนื้อหาในส่วนโทรคมนาคม        กรณีแอปเงินกู้หลอกลวงหรือคิดดอกเบี้ยผิดกฎหมาย ส่วนนี้อยู่ในความดูแลของธนาคารแห่งประเทศไทย         กรณี SMS ที่หลอกให้คลิกลิงค์แล้วถูกแฮ็กข้อมูล ส่วนนี้อยู่ภายใต้ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2560 ซึ่งมีกระทรวงดิจิตอลดูแลอยู่         นอกจากนี้ การเอาผิดมิจฉาชีพก็ยังติดขัดในแง่กระบวนการทางกฎหมายที่ต้องมีเจ้าทุกข์ร้องเรียน การค้นหาต้นทาง SMS สามารถทำได้ แต่เจ้าหน้าที่ตำรวจจะดำเนินคดีได้ต้องมีผู้เสียหายมาแจ้งความ ซึ่งกรณี SMS หลอกลวงส่วนใหญ่มีการร้องเรียน แต่ไม่มีการแจ้งความ         “เพราะไม่รู้ว่าแจ้งความแล้วจะได้อะไรขึ้นมา ยกตัวอย่างเป็น SMS หลอกลวงว่าเป็นธนาคาร จริงๆธนาคารนั้นต้องเป็นผู้เสียหายเพราะถูกแอบอ้างชื่อปรากฏว่าธนาคารก็ไม่ยอมเป็นผู้เสียหายมาแจ้งความ เพราะถ้าแจ้งความจะเป็นภาระต้องไปดำเนินคดีต่อและเสียภาพลักษณ์ซึ่งจะทำให้ลูกค้าเสียความมั่นใจ ธนาคารจึงทำไม่รู้ไม่เห็น ทำเรื่องให้เงียบที่สุด”         ยิ่งไม่ต้องพูดถึงกรณีผู้เสียหายเป็นผู้บริโภครายบุคคล ซึ่งการเข้าสู่กระบวนการทางกฎหมายมีต้นทุนสูงเกินกว่าจะยอมรับ             “ดังนั้น ปัญหา SMS จึงต้องมานั่งวิเคราะห์ว่ามีกี่แบบเพราะแต่ละแบบมีหน่วยงานที่เกี่ยวข้องไม่เหมือนกัน” นพ.ประวิทย์ กล่าว หนทางออก         อ่านแล้วเหมือนไม่มีหวัง ก็ไม่เชิง มีมาตรการบางอย่างที่ กสทช. ทำได้เพื่อป้องปรามและป้องกัน นพ.ประวิทย์ บอกว่า         “หนึ่งใครที่ขายต่อ SMS ต้องขออนุญาตทุกคน และสองกำหนด ID ผู้ส่งหรือ ID Sender ต้องมีการลงทะเบียนกลาง ถ้าใครจะมาส่งในนามของธนาคารต้องมีเอกสารหลักฐานถูกต้อง ไม่ใช่เหมือนตอนนี้ที่ใครจะตั้งอะไรก็ได้ ดังนั้น มิจฉาชีพก็ไปซื้อจากค่ายนี้ตั้งชื่อหนึ่ง ไปซื้อจากอีกค่ายก็ตั้งอีกชื่อหนึ่ง บล็อกชื่อหนึ่งมันก็ยังโผล่มาอยู่ดี    “ถ้าเราจัดการเรื่อง ID ของผู้ส่งได้ต่อไปมิจฉาชีพก็จะสวมรอยไม่ได้หรือส่งมาก็จะถูกบล็อก ID ของผู้ส่งนี้ก็จะหายไป พอรู้ว่า ID นี้ส่ง SMS หลอกลวงค่ายมือถือก็บล็อกไม่ให้ส่ง ถ้าจะขอ ID ผู้ส่งใหม่ก็ต้องไปพิสูจน์กันใหม่ มีการยืนยันตัวตน ถ้าทำระบบนี้สุดท้ายตำรวจจะจับได้เพราะขึ้นทะเบียนไว้หมดแล้วว่าใครส่ง แต่ตอนนี้ ID ผู้ส่งเป็นเสรีภาพอยากจะใช้ชื่ออะไรค่ายไหนก็ได้ ถ้าทำlv’ข้อนี้ผมคิดว่าปัญหาจะลดลงไปส่วนหนึ่ง ที่เหลือก็คือเรื่องการดำเนินคดี ประสานกับผู้เสียหายอาจจะต้องมีการอำนวยความสะดวกให้”        ย้อนกลับไปที่นฤมล เธอเรียกร้องการแก้ปัญหา 3 ข้อ ได้แก่        1. กสทช. ต้องตรวจสอบผู้ประกอบธุรกิจและมีคำสั่งให้ทำเอกสารให้ผู้บริโภคยินยอมในการรับส่งข้อมูล         2. การบังคับใช้กฎหมายของ กสทช. ต้องทำอย่างจริงจัง ไม่ใช่รอให้มีเรื่องร้องเรียนแล้วจึงบังคับใช้กฎหมาย        3. บังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562         “พ.ร.บ.ข้อมูลส่วนบุคคลจะทำให้ทาง Operator และ Content Providers ทั้งหลายรวมทั้งร้านค้าออนไลน์มีความระแวดระวังต่อข้อมูลของลูกค้ามากขึ้นในการที่จะเอาไปให้ Third Party ทำธุรกิจหรือทำ Big Data Analytics  หรือการส่งโปรโมชั่นการขาย” ปริญญา หอมเอนก กรรมการผู้ทรงคุณวุฒิ ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ กล่าว         หัวใจหลักของกฎหมายฉบับนี้ก็คือการที่หน่วยธุรกิจจะนำข้อมูลส่วนบุคคลไปใช้ทำธุรกิจหรือให้แก่หน่วยธุรกิจอื่นจะต้องได้รับความยินยอม (Consent) จากเจ้าของข้อมูลเสียก่อน มิฉะนั้นจะถือว่าผู้ที่นำข้อมูลไปใช้โดยไม่ได้รับความยินยอมกระทำผิดกฎหมาย         ปริญญา ย้ำด้วยว่าเจ้าของข้อมูลมีสิทธิที่จะให้หรือไม่ให้ก็ได้ หน่วยธุรกิจไม่สามารถกำหนดว่าต้องยินยอมเพียงอย่างเดียว         พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จึงเป็นกฎหมายอีกฉบับหนึ่งที่จะมีส่วนช่วยแก้ไขปัญหา SMS หลอกลวง อย่างไรก็ตาม ยังต้องรอดูการบังคับใช้และเจตจำนงทางการเมืองของรัฐด้วยว่าจะเป็นไปเพื่อคุ้มครองหรือเพื่อความมั่นคงของฝ่ายรัฐ Digital Literacy เพราะการควบคุมอยู่ในมือผู้ใช้         ดังที่กล่าวไปตอนต้น ปัญหา SMS หลอกลวงมีผู้เล่น 4 ฝ่าย เราจะเก็บผู้ใช้ไว้หลังสุด ตอนนี้มาดูกันก่อนว่าผู้เล่น 3 ฝ่ายมีบทบาทหน้าที่อย่างไร ปริญญา อธิบายตัวอย่างว่า         หน้าที่ของผู้ผลิตคือเปิด Default หรือค่าตั้งต้นทุกอย่างไว้เพื่อให้ผู้ใช้ปิดเองว่าต้องการกรองข้อมูลใดให้เข้ามาหรือไม่ หรือผู้ผลิตร่วมมือกับ Third Party ในการกลั่นกรองสแปม         หน้าที่ของผู้ให้บริการเครือข่ายซึ่งมีเทคโนโลยีที่ทำให้รู้ว่าแหล่งที่มาของสแปมมาจากที่ไหน ทำให้สามารถบล็อกจากแหล่งที่มาได้เลย และขึ้นเป็น IP Blacklist ซึ่งเป็นหน้าที่ของผู้ให้บริการเครือข่ายที่ทำได้         หน้าที่ของผู้กำกับดูแลอาจออกกฎว่าถ้ามี SMS สแปม ผู้ให้บริการเครือข่ายต้องลงทุนใช้เทคโนโลยีอะไรบ้างในการบรรเทาความเดือดร้อนแก่ประชาชน         แต่ถึงที่สุดแล้ว ปริญญากล่าวปัญหา SMS หลอกลวงไม่มีทางแก้ได้แบบหมดจด 100 เปอร์เซ็นต์ เพราะเมื่อใดที่ทำแบบนั้นหมายความว่า SMS ทั่วไปจะถูกบล็อกด้วย         “ผู้ใช้เป็นส่วนหนึ่งของความสำเร็จในการแก้ปัญหาเรื่องนี้ วันนี้ผู้ใช้โทรศัพท์สามารถควบคุมได้เกินกว่าครึ่ง แต่เราไม่เคยรู้ก็เลยคิดว่าเป็นหน้าที่ของคนอื่น ต้องเข้าใจว่าพลังอำนาจในการควบคุมกลับมาอยู่ในฝั่งผู้บริโภคหรือผู้ใช้ ผู้ใช้ต้องรู้ว่าตนเองมีสิทธิ์ ต้องรู้ว่าอำนาจในการควบคุมทุกอย่างอยู่ที่ตนเอง ประการที่สองคือเมื่อตอบตกลงไปแล้วสามารถเปลี่ยนได้”         ปริญญาเน้นย้ำกลับไปที่ประเด็น Cyber Literacy หรือ Digital Literacy หรือความรู้เท่าทันในเทคโนโลยีดิจิตอลของผู้บริโภคที่ต้องเรียนรู้และเพิ่มทักษะด้านนี้ติดตัวอยู่ตลอดเวลา ซึ่งถือว่ามีความสำคัญยิ่งไม่ใช่เฉพาะเรื่อง SMS หลอกลวงเท่านั้น         ส่วนคำแนะนำเบื้องต้นที่ปฏิบัติได้ทันที นฤมลบอกว่าถ้าได้รับข้อความแปลกจากเบอร์ที่ไม่รู้ อย่าคลิกเข้าไปอ่าน ลบ และบล็อกเบอร์นั้นทันที

อ่านเพิ่มเติม >

ฉบับที่ 251 ระวัง! SMS ชวนหารายได้เสริมแบบใหม่ สูญเงินเกือบ 3 แสน

        “สวัสดี เรามาจากกระทรวงพาณิชย์ของ shopee เราขอเชิญคุณทำงานเสริมที่บ้าน หาเงินง่ายๆ วันละ 3,000 บาทด้วยมือถือ แล้วเงินเดือนออกวันเดียวกัน สนใจสมัครแอดไลน์มาได้เลย ID:863690”         นี่เป็นข้อความ SMS หลอกลวงในรูปแบบใหม่อีกแล้ว หากใครได้รับละก็ แนะนำว่าอย่าหลงเชื่อและให้ลบทิ้งไปเลย ไม่อย่างนั้นคุณอาจต้องสูญเงินแสนเหมือนอย่างคุณพรรณีก็เป็นได้         เมื่อปลายปี 2564 คุณพรรณีได้รับข้อความ SMS เชิญชวนนี้ก็สนใจ เธอจึงแอดไลน์ไอดีนั้นไป ปรากฏข้อความขึ้นว่า ”สวัสดีฉันชื่อเทสซ่า คุณมาสมัครงานใช่หรือไม่?” แล้วแนะนำว่าเป็นแพลตฟอร์มของ shopee ต้องการพนักงานจำนวนมาก เพื่อช่วยผู้ค้าเพิ่มปริมาณการทำธุรกรรม พร้อมกับส่งลิงค์มาให้ลงทะเบียน เธอกรอกชื่อ-สกุล เบอร์ติดต่อ และกำหนดรหัสผ่านลงไป จากนั้นก็ได้รับบัญชีเพื่อทำภารกิจ งานที่ว่านี้ก็คือ การกดคู่สินค้าในแอปพลิเคชั่น เพื่อรับกำไร 7% จากราคาสินค้าต่อชิ้นที่จับคู่ได้ แต่มีเงื่อนไขว่าเธอต้องเติมเงินก่อนเริ่มทำภารกิจ โดยโอนเข้าบัญชีของบุคคลหนึ่ง (ชื่อบัญชีนายชัยศักดิ์ เสาวิบูลย์ ) เมื่อทำภารกิจเสร็จสิ้นก็จะถอนเงินจากบัญชีได้         ว้าว! เพียงครั้งแรกก็ได้กำไรมาเหนาะๆ เกือบ 300 บาท เมื่อเห็นว่าทำง่ายได้เงินจริง เธอจึงเติมเงินเพื่อทำภารกิจต่อ แต่ครั้งนี้แอดมินแจ้งเงื่อนไขใหม่ว่าจะต้องทำภารกิจทั้งหมด 30 ด่านก่อน ถึงจะถอนเงินจากบัญชีได้ เธอก็ทำตามนั้นโดยได้โอนเงินไปรวมทั้งสิ้น 279,607.49 บาท แต่หลังจากจับคู่สินค้าครบ 30 ภารกิจแล้ว เธอกลับถอนเงินออกมาไม่ได้ ครั้นสอบถามไป แอดมินก็แจ้งว่าเธออาจกดลิงค์ผิด ดังนั้นต้องทำเพิ่มอีก 20 ภารกิจถึงจะถอนเงินได้ เธอคิดว่าน่าจะไม่ชอบมาพากลซะแล้ว จึงไม่ได้ทำตามเงื่อนไขใหม่นี้ หลังจากนั้นแอดมินไลน์ก็เงียบหายเข้ากลีบเมฆไปเลย คุณพรรณีเป็นกังวลมากจึงขอความช่วยเหลือมาที่มูลนิธิเพื่อผู้บริโภค   แนวทางการแก้ไขปัญหา         มูลนิธิฯ แนะนำให้คุณพรรณีรีบไปแจ้งความ โดยรวบรวมเอกสารที่เกี่ยวข้องในการทำธุรกรรมนี้ทั้งหมด ได้แก่ หลักฐานข้อความสนทนากันในไลน์ สลิปการโอนเงิน โดยในสลิปจะมีชื่อบุคคลที่รับโอนเงิน ซึ่งข้อมูลตรงนี้สามารถให้ตำรวจเรียกบุคคลดังกล่าวมาพบ และอาจขอให้ตำรวจทำหนังสือถึงธนาคารให้ระงับบัญชีดังกล่าวได้         อย่างไรก็ตามเพื่อเป็นการตัดไฟแต่ต้นลม ผู้บริโภคอย่าหลงเชื่อกลลวงจาก SMS ในลักษณะที่ต้องโอนเงินไปให้ก่อนเด็ดขาด เพราะในที่สุดแล้วก็จะได้ไม่คุ้มเสีย

อ่านเพิ่มเติม >