รู้ทันภัย Quishing หลอกสแกน QR ปลอม ดูดข้อมูล
การหลอกลวงผ่าน QR Code หรือที่เรียกว่า Quishing กำลังกลายเป็นภัยคุกคามที่เพิ่มสูงมากขึ้น โดยมักแฝงมาด้วยรหัส QR ที่มุ่งหวังให้เหยื่อถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ปลอม ดาวน์โหลดมัลแวร์ หรือถูกขโมยข้อมูลสำคัญ เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลทางการเงิน
การชำระเงินผ่าน QR Code ในประเทศไทย ได้รับความนิยมเพิ่มขึ้นอย่างรวดเร็ว ผู้คนส่วนใหญ่เริ่มคุ้นเคยกับการใช้เทคโนโลยีนี้เป็นอย่างดี โดยมักถูกนำมาใช้ในการชำระเงินข้ามพรมแดน เนื่องจากเป็นวิธีที่สะดวก รวดเร็ว และเหมาะกับนักเดินทาง ที่สามารถชำระค่าสินค้าและบริการได้ทั้งแบบออนไลน์และออฟไลน์ ผ่านระบบ MyPrompt QR ขณะเดินทาง
อย่างไรก็ตามการหลอกลวงผ่าน QR Code หรือที่เรียกว่า Quishing กำลังกลายเป็นภัยคุกคามที่เพิ่มสูงมากขึ้น โดยมักแฝงมาด้วยรหัส QR ที่มุ่งหวังให้เหยื่อถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ปลอม ดาวน์โหลดมัลแวร์ หรือถูกขโมยข้อมูลสำคัญ เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลทางการเงิน
ณัฐวิชช์ ว่องสิทธิโรจน์ Regional technical head, ManageEngine ให้ข้อมูลกับ การเงินธนาคาร ว่า เทคนิคการหลอกลวงโดยใช้ QR Code หรือ Quishing นั้นมีหลายรูปแบบ แต่โดยหลักแล้วมักจะมีอยู่ 6 แบบคือ
- ใช้ QR Code ปลอมที่ดูเหมือนมาจากแหล่งที่เชื่อถือได้: มิจฉาชีพมักสร้าง QR Code ปลอมที่ดูน่าเชื่อถือ แล้วนำไปติดไว้บนป้ายโฆษณา โปสเตอร์ หรือในอีเมลที่เลียนแบบองค์กรที่มีความน่าเชื่อถือ เช่น หน่วยงานรัฐ บริษัทขนส่ง หรือธนาคาร เพื่อหลอกล่อให้เหยื่อสแกนโดยไม่เอะใจ
- การดัดแปลง QR Code ในที่สาธารณะ: แฮกเกอร์อาจแอบเปลี่ยนหรือปิดทับ QR Code ของจริงที่ใช้ในสถานที่ต่าง ๆ เช่น จุดชำระเงิน หรือเมนูอาหารในร้านอาหาร เพื่อเปลี่ยนเส้นทางผู้ใช้งานไปยังเว็บไซต์ฟิชชิ่งที่ออกแบบมาเพื่อล้วงข้อมูลส่วนตัวหรือข้อมูลทางการเงิน
- การใช้จิตวิทยาและข้อความเร่งด่วนเพื่อหลอกลวง (Social Engineering): ฟิชเชอร์มักอาศัยเทคนิคด้านจิตวิทยา โดยสร้างข้อความที่กระตุ้นความรู้สึกตื่นเต้น หรือความเร่งด่วน เพื่อจูงใจให้เหยื่อสแกน QR Code อันตรายโดยไม่ทันได้ไตร่ตรอง ตัวอย่างเช่น การชักชวนด้วยข้อเสนอพิเศษ ส่วนลด หรือของรางวัล มิจฉาชีพยังใช้เทคนิคสร้างความกลัว เช่น การแจ้งหนี้ปลอมที่ค้างชำระ การขอให้ยืนยันบัญชีโดยด่วน หรือการเตือนด้านความปลอดภัย เพื่อหลอกให้เหยื่อตื่นตกใจและรีบดำเนินการทันที โดยไม่ทันได้ตรวจสอบหรือไตร่ตรองตามปกติ
- อีเมลและข้อความฟิชชิ่งที่ฝัง QR Code: ผู้โจมตีมักแนบ QR Code ลงในอีเมล ข้อความ หรือแม้แต่การสื่อสารในเชิงธุรกิจแทนการใช้ลิงก์ฟิชชิ่งแบบเดิม พร้อมกับข้อความที่กระตุ้นให้ผู้รับสแกน เช่น เพื่อ "เข้าสู่ระบบอย่างปลอดภัย" ติดตามพัสดุ หรือรับสิทธิ์รางวัลพิเศษ
- QR Code อันตรายบนสื่อสิ่งพิมพ์: มิจฉาชีพอาจแจกใบปลิว โบรชัวร์ หรือแม้แต่นามบัตรที่ฝัง QR Code ซึ่งเชื่อมไปยังเว็บไซต์อันตราย โดยมักแฝงมาในรูปแบบของแบบสอบถาม ลงทะเบียนร่วมงาน หรือโปรโมชั่นพิเศษ เพื่อหลอกล่อให้ผู้ใช้สแกนโดยไม่สงสัย
- โฆษณาออนไลน์และเว็บไซต์ปลอมที่แฝง QR Code: แฮกเกอร์บางรายฝัง QR Code ลงในป๊อปอัปหรือโฆษณาดิจิทัลบนเว็บไซต์ที่ถูกแฮก โดยล่อให้ผู้ใช้คลิกหรือสแกนเพื่อเข้าถึงเนื้อหาพิเศษ ดาวน์โหลดซอฟต์แวร์ หรือรับของฟรี ซึ่งแท้จริงแล้วเป็นการนำผู้ใช้ไปยังเว็บไซต์ฟิชชิ่งหรือเว็บไซต์ที่มีมัลแวร์
ณัฐวิชช์ ให้ข้อมูลเพิ่มว่า ปัจจุบันธนาคารและหน่วยงานกำกับดูแลหลายแห่งได้ออกมาเตือนว่า การหลอกลวงผ่าน QR Code หรือที่เรียกว่า Quishing กำลังเพิ่มจำนวนขึ้นอย่างต่อเนื่อง และสามารถหลอกล่อให้ลูกค้าเปิดเผยข้อมูลทางการเงินได้อย่างแนบเนียน การหลอกลวงลักษณะนี้แพร่หลายมากขึ้นหลังจากที่ QR Code ได้รับความนิยมอย่างรวดเร็วในช่วงการแพร่ระบาดของโควิด-19 ซึ่งถูกนำมาใช้ในชีวิตประจำวัน ตั้งแต่การแสดงพาสปอร์ตวัคซีน ไปจนถึงเมนูอาหารในร้านอาหาร
“หนึ่งในเหตุการณ์ที่ได้รับความสนใจในระดับโลก เกิดขึ้นในปี 2024 เมื่อกลุ่มแฮกเกอร์เปิดปฏิบัติการฟิชชิ่งครั้งใหญ่ โดยส่งอีเมลที่ฝัง QR Code อันตรายเพื่อเจาะระบบของบริษัทพลังงานรายใหญ่ในสหรัฐอเมริกา รวมถึงองค์กรอื่น ๆ ด้วย QR Code เมื่อพนักงานสแกน จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลบัญชีของพนักงาน”
ผลพวงจากภัย Quishing ทำให้หลายประเทศตื่นตัวในการรับมือ ตัวอย่างเช่น ในธนาคารส่วนใหญ่ในประเทศสิงคโปร์ได้วางระบบรักษาความปลอดภัยสำหรับการชำระเงินผ่าน QR Code โดยผู้ใช้งานต้องเปิดแอปพลิเคชั่นชำระเงินก่อน จึงจะสามารถสแกน QR Code ได้ และจะมีขั้นตอนให้ตรวจสอบข้อมูลผู้รับเงินก่อนอนุมัติการชำระเงิน ซึ่งช่วยลดโอกาสที่ผู้ใช้จะโอนเงินให้มิจฉาชีพโดยไม่รู้ตัวหลังจากสแกน QR ปลอม ซึ่งรัฐมนตรีว่าการกระทรวงมหาดไทยและรัฐมนตรีว่าการกระทรวงกฎหมายของสิงคโปร์ได้กล่าวว่า มาตรการเหล่านี้ช่วยให้ผู้บริโภคมีโอกาสตรวจสอบและตัดสินใจก่อนดำเนินธุรกรรมจริง
นอกจากนี้ รัฐบาลสิงคโปร์ยังจัดแคมเปญให้ความรู้ประชาชน เช่นโครงการ"Spot the Signs. Stop the Crimes." ที่เน้นให้ความรู้ในการสังเกตพฤติกรรมที่น่าสงสัยและหลีกเลี่ยงการตกเป็นเหยื่อ โดยมีการจัดกิจกรรมในชุมชน และการสื่อสารผ่านช่องทางดิจิทัล โดยเฉพาะกลุ่มผู้สูงอายุซึ่งมักเป็นกลุ่มเสี่ยง
ณัฐวิชช์ ให้ข้อมูลต่อว่า สำหรับประเทศไทยนั้น ธนาคารแห่งประเทศไทย (ธปท.) ได้กำหนดให้ธนาคารและผู้ให้บริการแอปพลิเคชั่นธนาคารบนมือถือ ต้องมีการอัปเกรดระบบรักษาความปลอดภัยอย่างสม่ำเสมอ โดยเฉพาะการใช้เทคโนโลยียืนยันตัวตนแบบ Biometric Authentication เช่น การสแกนใบหน้า ตัวอย่างของแนวปฏิบัตินี้ ได้แก่ การกำหนดให้ลูกค้าต้อง สแกนใบหน้าเพื่อยืนยันตัวตน ในกรณีการเปิดบัญชีใหม่ผ่านแอปฯ หรือเมื่อต้องการทำธุรกรรมที่มีมูลค่าเกิน 50,000 บาท เพื่อป้องกันไม่ให้ผู้ไม่หวังดีแอบอ้างหรือใช้บัญชีผู้อื่นในการทำธุรกรรมโดยไม่ได้รับอนุญาต
อย่างไรก็ตามองค์กรทางการเงินควรส่งเสริมให้ลูกค้าเปิดใช้ระบบ การยืนยันตัวตนหลายขั้นตอน (Multi-Factor Authentication – MFA) โดยเฉพาะเมื่อทำธุรกรรมทางการเงิน หรือเข้าถึงข้อมูลสำคัญ เพื่อเพิ่มระดับความปลอดภัย ขณะที่ผู้ใช้งานเองก็ควรติดตั้งแอปพลิเคชั่นด้านความปลอดภัยจากผู้พัฒนาที่เชื่อถือได้ลงในสมาร์ตโฟน เพื่อช่วยป้องกันมัลแวร์หรือภัยคุกคามที่อาจแฝงมากับลิงก์หรือ QR Code
ในส่วนของธนาคาร สามารถพัฒนาแอปพลิเคชันของตนให้มี ตัวสแกน QR Code โดยเฉพาะ ที่สามารถตรวจจับและแจ้งเตือนผู้ใช้งานเมื่อมีการสแกน QR Code ที่น่าสงสัย โดยตัวสแกนสามารถวิเคราะห์ URL ที่ซ่อนอยู่ ว่ามีลักษณะเข้าข่ายฟิชชิ่งหรือเป็นเว็บไซต์ที่เคยถูกรายงานว่าเป็นอันตรายหรือไม่
นอกจากนี้ ธนาคารยังสามารถเพิ่มฟีเจอร์ให้ลูกค้าสามารถ ระงับการใช้งานบัญชีธนาคารหรือบัตรได้ทันที ผ่านแอป หากสงสัยว่ามีธุรกรรมผิดปกติเกิดขึ้น เพื่อจำกัดความเสียหายได้อย่างทันท่วงที
แนวทางปฏิบัติเพื่อให้มั่นใจว่า QR Code ของตนปลอดภัย ไม่ถูกมิจฉาชีพดัดแปลงหรือปลอมแปลง
- เปิดใช้ระบบยืนยันตัวตนหลายขั้น (Multi-Factor Authentication - MFA) เพื่อเสริมความปลอดภัยให้กับข้อมูลส่วนบุคคล
- ระมัดระวัง QR Code ที่แนบมากับอีเมล เนื่องจากอาจเป็นส่วนหนึ่งของแคมเปญฟิชชิ่ง
- ใช้ระบบกรองเว็บไซต์ (Web Filtering) ผ่านซอฟต์แวร์ด้านความปลอดภัยที่เชื่อถือได้ เพื่อบล็อกเว็บไซต์ที่มีความเสี่ยงหรือเป็นอันตราย ซึ่งอาจถูกฝังไว้ใน QR Code
- ใช้โปรแกรมป้องกันมัลแวร์และฟิชชิ่ง แอปพลิเคชั่นประเภทนี้สามารถช่วยตรวจจับ QR Code ที่เป็นอันตรายได้ทันที พร้อมป้องกันภัยคุกคามทางไซเบอร์ในรูปแบบอื่น ๆ
- ติดตั้งโซลูชันความปลอดภัยสำหรับอุปกรณ์เคลื่อนที่ โดยเฉพาะระบบที่สามารถวิเคราะห์ลิ้งค์ที่เกี่ยวข้องกับการหลอกลวง
ณัฐวิชช์ กล่าวว่า นอกจากการใช้เทคโนโลยีเพื่อป้องกันการโจมตีผ่าน QR Code แล้ว การสร้างความตระหนักรู้ (Cybersecurity Awareness) ก็มีบทบาทสำคัญอย่างยิ่งในการป้องกันภัย Quishing องค์กรควรจัดการฝึกอบรมพนักงานเป็นประจำ เพื่อให้รู้เท่าทันเทคนิคใหม่ ๆ ของมิจฉาชีพ เช่น
- วิธีสังเกต QR Code ที่ถูกดัดแปลงหรือปลอมแปลง
- แนวทางการตรวจสอบความถูกต้องก่อนการสแกน
- การระมัดระวังที่จะไม่สแกน QR Code จากแหล่งที่ไม่น่าเชื่อถือ เช่น ในอีเมล ข้อความ เว็บไซต์ หรือโปสเตอร์ที่ไม่มีที่มาชัดเจน
มิจฉาชีพไซเบอร์มักพัฒนาเทคนิคใหม่ ๆ ที่มองไม่เห็นและคาดไม่ถึง ผู้ใช้งานทั่วไปสามารถป้องกันภัยคุกคามนี้ได้ด้วยการติดตามข้อมูลข่าวสารอย่างต่อเนื่อง ข้อมูลทุกอย่างที่เกี่ยวข้องกับโลกไซเบอร์และดิจิทัลที่บริโภคควรถูกอัปเดตอยู่เสมอ โดยควรมีรายละเอียดเกี่ยวกับแนวโน้มด้านความปลอดภัยไซเบอร์ล่าสุดและแนวทางปฏิบัติที่ดีที่สุด พร้อมทั้งรักษาความเข้าใจอย่างรอบด้านเกี่ยวกับเหตุการณ์การหลอกลวงที่เกิดขึ้นในปัจจุบันด้วย