ปัจจุบันมีผู้คนจำนวนมากขึ้นเรื่อยๆ ที่ชำระเงินด้วยโทรศัพท์มือถือ โดยเฉพาะอย่างยิ่งไอโฟน ในกลุ่มผู้ที่ใช้งานเป็นประจำทุกวัน Apple Pay กลายเป็นเครื่องมือที่ใช้ในชีวิตประจำวันไปแล้ว เหมือนกับการหยิบการ์ดออกจากกระเป๋า ไม่ว่าจะเพื่อซื้อของในร้านค้าจริงหรือสั่งซื้อออนไลน์ ความปกติธรรมดานี้ก็มีด้านที่ไม่น่าพึงใจอยู่เช่นกัน นั่นคือ เมื่อระบบการชำระเงินแพร่หลายมากขึ้น มันก็กลายเป็นเป้าหมายที่น่าดึงดูดใจสำหรับมิจฉาชีพด้วย
เมื่อไม่นานมานี้ พบการฉ้อโกงผ่าน Apple Pay เพิ่มขึ้นอย่างเห็นได้ชัด ในหลายประเทศ อาชญากรไซเบอร์กำลังใช้เทคนิคที่ซับซ้อนมากขึ้นเรื่อยๆ ตั้งแต่ข้อความที่แอบอ้างเป็นธนาคารหรือแอปเปิล ไปจนถึงเว็บไซต์ที่แทบจะเหมือนกับเว็บไซต์ทางการ ทุกอย่างถูกออกแบบมาเพื่อให้ผู้ใช้เผลอใจอ่อนและเปิดเผยข้อมูลของตนเอง ดังที่ได้เปิดเผยไว้ใน [ต่อไปนี้] ฐานข้อมูลและผู้กระทำผิดสามารถเชื่อมโยงบัตร ทำการเรียกเก็บเงินโดยไม่ได้รับอนุญาต หรือควบคุมบัญชีได้อย่างสมบูรณ์
เหตุใด Apple Pay จึงกลายเป็นเป้าหมายที่น่าสนใจเช่นนี้
การเติบโตของการชำระเงินผ่านมือถือได้เปลี่ยนแปลงวิธีการที่เราโอนเงินไปอย่างสิ้นเชิง: ชำระเงินได้ทันทีแบบไร้สัมผัสจากทุกที่อย่างไรก็ตาม ความสะดวกสบายนี้ก็เปิดช่องให้เหล่าอาชญากรพยายามใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยเช่นกัน Apple Pay ซึ่งเป็นหนึ่งในแพลตฟอร์มการชำระเงินที่แพร่หลายที่สุดในโลก ได้กลายเป็นศูนย์กลางของสถานการณ์นี้
หน่วยงานภาครัฐและผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ออกมาเตือนว่า ความเชื่อที่งมงายในเทคโนโลยีปัจจัยนี้ ผนวกกับความรวดเร็วในการทำธุรกรรม ทำให้เกิดสภาพแวดล้อมที่เอื้อต่อการหลอกลวงเป็นอย่างมาก ผู้ใช้หลายคนคิดว่าหากโทรศัพท์ขอรหัสหรือการยืนยัน ทุกอย่างจะปลอดภัย โดยไม่คิดว่าตนเองอาจเข้ามายังเว็บไซต์นั้นผ่านลิงก์ปลอม
สถานการณ์ที่หน่วยงานด้านความมั่นคงในประเทศต่างๆ บรรยายมานั้น สอดคล้องกับสิ่งที่พบเห็นในยุโรปและสเปนเช่นกัน: รูปแบบการหลอกลวงแบบเดิม ๆ ถูกทำซ้ำอีกครั้ง ในสภาพแวดล้อมที่แตกต่างกันอย่างมาก ซึ่งบ่งชี้ว่าแก๊งต่างๆ นำกลยุทธ์เดิมมาใช้ซ้ำโดยปรับเปลี่ยนเล็กน้อยขึ้นอยู่กับตลาดและภาษา
ในขณะเดียวกัน การเติบโตของตลาดสินค้ามือสองและร้านค้าออนไลน์ได้เพิ่มความเสี่ยงอีกระดับหนึ่ง ในบางกรณี เมื่ออาชญากรได้รับรายละเอียดของบัตรที่เชื่อมโยงกับ Apple Pay พวกเขาไม่เพียงแต่ทำการซื้อสินค้าโดยตรงเท่านั้น แต่ยังสามารถทำการซื้อขายผ่านช่องทางอื่นๆ ได้อีกด้วย พวกเขานำสินค้าไปขายต่อหรือใช้บัญชีในแอปพลิเคชันของบุคคลที่สามเพื่อที่ว่าเหยื่อของการฉ้อโกงจะไม่ใช่บุคคลเดียวกันกับที่เห็นรายการเรียกเก็บเงินในใบแจ้งยอดบัญชีธนาคารของตนเสมอไป
การขโมยข้อมูลส่วนบุคคล: เมื่อมิจฉาชีพแอบอ้างเป็น Apple หรือธนาคารของคุณ
หนึ่งในวิธีการที่แพร่หลายที่สุดคือ การขโมยข้อมูลส่วนบุคคล หรือที่รู้จักกันในชื่อ การปลอมแปลงข้อมูลการโจมตีประเภทนี้ได้รับการวิเคราะห์ใน การขโมยข้อมูลส่วนบุคคลบน iOSกลอุบายนี้เรียบง่ายแต่ได้ผล: อาชญากรปลอมตัวเป็นพนักงานธนาคาร ฝ่ายบริการลูกค้าของแอปเปิล หรือแม้แต่ร้านค้าชื่อดัง และใช้ความกลัวหรือความเร่งด่วนเพื่อทำให้ผู้ใช้กระทำการโดยไม่คิดให้รอบคอบ
การสื่อสารอาจมาถึงผ่านทาง SMS อีเมล หรือการโทรศัพท์ ข้อความมักจะแจ้งเตือนเกี่ยวกับ... มีการกล่าวหาว่ามีการเรียกเก็บเงินผิดปกติและการระงับบัญชี หรือปัญหาด้านความปลอดภัยของ Apple Pay จากนั้นผู้ใช้จะถูกขอให้ "ตรวจสอบ" ข้อมูลหรือยืนยันธุรกรรมเพื่อหลีกเลี่ยงอันตรายเพิ่มเติม
ในการฉ้อโกงประเภทนี้ เป้าหมายคือการทำให้เหยื่อให้ข้อมูลสำคัญแก่เหยื่อ: รหัสยืนยัน รหัสผ่าน หมายเลขบัตร หรือข้อมูลส่วนบุคคลด้วยข้อมูลดังกล่าว ผู้ฉ้อโกงสามารถเชื่อมโยงบัตรกับอุปกรณ์ของตนเอง อนุมัติการชำระเงิน หรือแก้ไขข้อมูลการเข้าถึงบัญชีได้
เพื่อให้ดูน่าเชื่อถือมากขึ้น อาชญากรหลายคนจึงใช้เทคนิคต่างๆ เช่น การปลอมแปลงหมายเลขผู้โทรหรือผู้ส่ง SMSหมายเลขหรือชื่อที่แสดงบนหน้าจอตรงกับของธนาคารหรือแอปเปิล ทำให้การตรวจจับการหลอกลวงทำได้ยากขึ้น โดยเฉพาะอย่างยิ่งสำหรับผู้ใช้ที่ไม่คุ้นเคยกับภัยคุกคามประเภทนี้
ในยุโรปและสเปน ซึ่งกฎระเบียบด้านการธนาคารกำหนดให้มีการยืนยันตัวตนลูกค้าอย่างเข้มงวด กลุ่มอาชญากรจึงมุ่งเป้าไปที่เรื่องนี้โดยเฉพาะ โน้มน้าวให้ผู้ใช้ระบุปัจจัยรักษาความปลอดภัยเพิ่มเติมเหล่านั้นโดยนำเสนอว่าเป็นเพียงขั้นตอนการตรวจสอบตามปกติเท่านั้น
การหลอกลวงและเว็บไซต์ปลอม: เหยื่อล่อชั้นดีสำหรับการขโมยข้อมูลประจำตัว
อีกหนึ่งเทคนิคที่พบได้บ่อยในการฉ้อโกงโดยใช้ Apple Pay คือ... ฟิชชิ่งในกรณีนี้ การติดต่อครั้งแรกมักจะมาทางอีเมลหรือ SMS ข้อความจะแจ้งเตือนเกี่ยวกับการซื้อที่น่าสงสัย การเข้าสู่ระบบที่ผิดปกติ หรือการบล็อกบัญชี Apple หรือบัญชีธนาคาร และมีลิงก์ให้ "ตรวจสอบ" หรือ "ยกเลิก" ธุรกรรมนั้น
เมื่อคลิกลิงก์นั้น ผู้ใช้จะถูกนำไปยังหน้าถัดไป เว็บไซต์ที่เลียนแบบได้อย่างแม่นยำมาก ลักษณะของเว็บไซต์อย่างเป็นทางการ: โลโก้ สี การออกแบบ และบางครั้งแม้แต่ใบรับรองความปลอดภัยที่อาจทำให้ผู้ที่ไม่ตรวจสอบที่อยู่โดเมนอย่างละเอียดเข้าใจผิดได้
เว็บไซต์ปลอมเหล่านี้ขอข้อมูลต่างๆ เช่น... Apple ID, รหัสผ่าน, รหัสยืนยันที่ส่งผ่าน SMS หรือการแจ้งเตือนแบบพุช...และข้อมูลธนาคารเพิ่มเติม หากเหยื่อป้อนข้อมูลเหล่านี้ อาชญากรจะสามารถเข้าถึงบัญชีจริงได้ภายในไม่กี่นาที
ตัวอย่างทั่วไปคือข้อความที่ดูเหมือนจะมาจากธนาคาร แจ้งเตือนคุณเกี่ยวกับการซื้อสินค้าที่ทำด้วย Apple Pay และมีลิงก์ให้ "ยกเลิก" ธุรกรรมนั้น ความรู้สึกเร่งด่วนมีบทบาทสำคัญในเรื่องนี้หลายคนกลัวความเป็นไปได้ที่จะได้รับตำแหน่งสูง จึงคลิกลิงก์โดยไม่ตรวจสอบว่าที่อยู่เว็บไซต์นั้นถูกต้องหรือไม่
เมื่อเข้าไปข้างในแล้ว กระบวนการทั้งหมดดูเหมือนปกติจากมุมมองของผู้ใช้ แม้ว่าหน้าเว็บจะแสดงข้อความสำเร็จหรือยืนยัน แต่ในความเป็นจริง สิ่งเดียวที่เกิดขึ้นคือข้อมูลตกไปอยู่ในมือของมิจฉาชีพแล้ว พวกเขาฉวยโอกาสในช่วงเวลานั้นเพื่อเข้าควบคุมบัญชี และดำเนินการธุรกรรมฉ้อโกงก่อนที่เหยื่อจะทันได้ตอบโต้
แอปปลอม เครือข่าย Wi-Fi สาธารณะ และกลอุบายอื่นๆ เพื่อดักจับข้อมูล
นอกเหนือจากการส่งข้อความและการโทรแล้ว อาชญากรไซเบอร์ยังใช้วิธีการอื่นๆ อีกด้วย แอปพลิเคชันที่เป็นอันตรายและเครือข่าย Wi-Fi ที่ถูกบุกรุก เพื่อพยายามรวบรวมข้อมูลที่เกี่ยวข้องกับ Apple Pay และวิธีการชำระเงินผ่านมือถืออื่นๆ โดยมีเป้าหมายคือให้ตัวอุปกรณ์เองเป็นจุดเริ่มต้นในการใช้งาน
ในกรณีของแอปปลอม มักจะปลอมแปลงเป็นรูปแบบต่างๆ แอปพลิเคชันธนาคาร เครื่องมือบริหารจัดการทางการเงิน หรือโปรแกรมที่อ้างว่าใช้เพื่อรับส่วนลด หรือรางวัลสำหรับการชำระเงินด้วยโทรศัพท์มือถือ บางแอปพลิเคชันดาวน์โหลดจากร้านค้าอย่างเป็นทางการหลังจากผ่านการตรวจสอบความปลอดภัยแล้ว ในขณะที่บางแอปพลิเคชันเผยแพร่ผ่านช่องทางทางเลือกที่ไม่ปลอดภัย และบางครั้งอาจเชื่อมโยงกับภัยคุกคามต่างๆ เช่น มัลแวร์ตัวใหม่ใน WhatsApp ที่ขโมยข้อมูลผู้ใช้
เมื่อติดตั้งแล้ว แอปพลิเคชันเหล่านี้อาจขอสิทธิ์การเข้าถึงมากเกินไป หรือแสดงแบบฟอร์มที่เชิญชวนให้ผู้ใช้ป้อนข้อมูล ข้อมูลประจำตัว รายละเอียดบัตร หรือข้อมูลส่วนบุคคล ซึ่งจะถูกส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี ในบางกรณี มัลแวร์อาจพยายามดักจับการแจ้งเตือนหรืออ่านข้อความที่มีรหัสยืนยันด้วยซ้ำ
เครือข่าย Wi-Fi สาธารณะยังก่อให้เกิดความเสี่ยงเพิ่มเติมอีกด้วย เมื่อคุณเชื่อมต่อกับเครือข่ายดังกล่าว จุดเชื่อมต่อที่ไม่มีการป้องกันหรือถูกดัดแปลงผู้ใช้อาจส่งข้อมูลผ่านโครงสร้างพื้นฐานที่ควบคุมโดยอาชญากรเอง แม้ว่า Apple Pay จะได้รับการออกแบบให้ทำงานด้วยมาตรฐานความปลอดภัยสูง แต่บริการอื่นๆ ที่เกี่ยวข้องกับการชำระเงิน (อีเมล SMS การเข้าถึงบัญชีธนาคาร) อาจมีความเสี่ยง
ในสถานที่ต่างๆ เช่น ร้านกาแฟ สถานีรถไฟ หรือสนามบิน เรามักพบการเชื่อมต่อที่ดูเหมือนถูกต้องตามกฎหมาย แต่ในความเป็นจริงแล้วถูกสร้างขึ้นเพื่อจุดประสงค์บางอย่าง ดักจับการรับส่งข้อมูลและข้อมูลประจำตัวการเข้าถึงดังนั้น ทางการจึงยืนยันว่า เมื่อพูดถึงธุรกรรมทางการเงิน ควรใช้การเชื่อมต่อข้อมูลมือถือหรือเครือข่ายที่เชื่อถือได้จะดีกว่า
การซื้อสินค้าด้วยบัตรที่ถูกขโมยและการฉ้อโกงบนแพลตฟอร์มสินค้ามือสอง
เมื่ออาชญากรสามารถเข้าถึงบัตรที่เชื่อมโยงกับ Apple Pay หรือเชื่อมโยงบัตรนั้นกับอุปกรณ์ของตนเองได้ พวกเขาไม่ได้จำกัดตัวเองอยู่แค่การซื้อสินค้าโดยตรงจากร้านค้าทั่วไปเสมอไป การฉ้อโกงบางส่วนเกิดขึ้นผ่านช่องทางตลาดออนไลน์ และร้านค้าออนไลน์ ที่มีการแลกเปลี่ยนเงินและสินค้าอย่างรวดเร็ว
ในสถานการณ์เช่นนี้ มิจฉาชีพจะนำบัตรที่ถูกขโมยไปชำระเงินในบริการขายสินค้ามือสองหรือตลาดออนไลน์ พวกเขาได้รับสินค้าอย่างถูกต้องตามกฎหมายในขณะที่ผู้ถือบัตรยังไม่รู้ตัวจนกว่าจะตรวจสอบบัญชีธนาคารและพบรายการเรียกเก็บเงินที่ไม่รู้จัก กรณีที่คล้ายกันนี้เคยเกิดขึ้นในธุรกรรมที่... หน่วยรักษาความปลอดภัยพลเรือนได้ทำลายแผนการดังกล่าว มุ่งเน้นการขายที่ฉ้อฉล
เมื่อผู้เสียหายยื่นเรื่องร้องเรียนและสถาบันการเงินยกเลิกการชำระเงิน ผู้ขายที่ซื่อสัตย์บนแพลตฟอร์มอาจสูญเสียทั้งเงินและสินค้าไปในที่สุดเนื่องจากสินค้าได้ถูกจัดส่งและส่งมอบไปแล้ว การฉ้อโกงจึงก่อให้เกิดปฏิกิริยาลูกโซ่ที่ส่งผลกระทบต่อหลายคน
สถานการณ์เหล่านี้ทำให้กระบวนการเรียกร้องค่าสินไหมทดแทนซับซ้อนขึ้น เพราะสัญญาที่ทำขึ้นระหว่างบุคคลทั่วไป นโยบายคุ้มครองผู้ซื้อและผู้ขาย และการกระทำของแพลตฟอร์มเอง ล้วนมีส่วนเกี่ยวข้อง จึงไม่ใช่เรื่องง่ายเสมอไป กำหนดว่าใครจะเป็นผู้รับภาระความสูญเสียทางเศรษฐกิจซึ่งทำให้การก่ออาชญากรรมประเภทนี้เป็นอันตรายอย่างยิ่ง
ด้วยเหตุนี้จึงแนะนำให้ใช้ความระมัดระวังเป็นอย่างยิ่งเมื่อผู้ซื้อเสนอราคา วิธีการชำระเงินที่ผิดปกติ ความเร่งรีบที่มากเกินไป หรือเงื่อนไขที่เป็นประโยชน์มากเกินไป เมื่อปิดธุรกรรม แม้ว่าการฉ้อโกงจะไม่เกี่ยวข้องกับ Apple Pay โดยตรงเสมอไป แต่บัตรและบัญชีที่เชื่อมโยงกับบริการนี้อาจเป็นส่วนหนึ่งของแผนการอาชญากรรมได้
วิธีลดความเสี่ยงเมื่อใช้ Apple Pay
แม้จะมีสถานการณ์เช่นนี้ แต่ก็ยังมีโอกาสที่จะลดโอกาสที่จะตกเป็นเหยื่อของการหลอกลวงได้อย่างมาก คำแนะนำจากหน่วยงานตำรวจไซเบอร์และองค์กรคุ้มครองผู้บริโภคมีความคล้ายคลึงกัน โดยมีรายละเอียดแตกต่างกันเล็กน้อย แต่ทั้งหมดล้วนมีแก่นสารเดียวกันคือ: กลับมาควบคุมข้อมูลที่เราแบ่งปันได้อีกครั้ง และเกี่ยวกับช่องทางที่เราใช้
กฎพื้นฐานข้อหนึ่งคือห้ามแบ่งปันเด็ดขาด รหัสยืนยัน รหัสผ่าน หรือรายละเอียดบัญชีธนาคาร ไม่มีบริษัทที่ถูกต้องตามกฎหมายใดขอข้อมูลประเภทนี้ผ่านทางโทรศัพท์ ข้อความ SMS หรืออีเมล ไม่ว่าบุคคลปลายสายจะอ้างว่าเป็นพนักงานของ Apple หรือสถาบันการเงินก็ตาม
นอกจากนี้ยังจำเป็นอย่างยิ่ง ตรวจสอบกิจกรรมที่น่าสงสัยได้โดยตรงจากแอปอย่างเป็นทางการของธนาคารหรือจากการตั้งค่า Apple Payแทนที่จะคลิกลิงก์ในข้อความ หากมีปัญหาเกิดขึ้นจริง ปัญหานั้นจะปรากฏขึ้นแม้กระทั่งเมื่อเข้าถึงเว็บไซต์ผ่านช่องทางปกติ
อีกหนึ่งมาตรการป้องกันที่สำคัญคือ การยืนยันตัวตนสองขั้นตอนและการแจ้งเตือนแบบเรียลไทม์ การใช้งาน รหัสความปลอดภัยสำหรับ Apple ID ของคุณ มันเป็นการเพิ่มเกราะป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต และทำให้การโจมตีแบบฟิชชิ่งประสบความสำเร็จได้ยากขึ้น
สุดท้ายนี้ แม้ว่าอาจดูเหมือนเป็นรายละเอียดเล็กน้อย แต่ก็คุ้มค่าที่จะเสียเวลาเพิ่มอีกสักสองสามวินาทีเพื่อตรวจสอบดู ตรวจสอบที่อยู่เว็บเพจให้ถูกต้อง ซึ่งเราต้องป้อนข้อมูลประจำตัว รวมถึงหลีกเลี่ยงการเข้าถึงบริการทางการเงินจากเครือข่าย Wi-Fi สาธารณะหรือที่ไม่รู้จัก
โดยรวมแล้ว ทุกอย่างบ่งชี้ว่าความสำเร็จของการฉ้อโกง Apple Pay ไม่ได้เกิดจากข้อบกพร่องทางเทคนิคของระบบมากนัก แต่เกิดจากทักษะของผู้ฉ้อโกงมากกว่า การใช้ประโยชน์จากความไว้วางใจ ความรีบร้อน และการขาดการตรวจสอบ จากผู้ใช้บางราย การมีวิจารณญาณที่ดี ระมัดระวังการติดต่อที่ไม่คาดคิด และพึ่งพาช่องทางที่เป็นทางการเสมอ ยังคงเป็นวิธีที่ดีที่สุดในการใช้โทรศัพท์มือถือเพื่อชำระเงินโดยไม่ทำให้กลายเป็นช่องทางให้มิจฉาชีพ
