ทุกวันนี้ผู้ใช้งานในประเทศไทยต่างหันมาใช้ “คิวอาร์โค้ด (QR Code)” จำนวนมากขึ้น ทั้งในการชำระค่าสินค้า และการโอนเงิน
ณัฐวิชช์ ว่องสิทธิโรจน์ หัวหน้าฝ่ายเทคนิคประจำภูมิภาค แมเนจเอนจิ้น (ManageEngine) วิเคราะห์ว่า การใช้งานคิวอาร์โค้ดกลายเป็นเรื่องปกติในชีวิตประจำวันที่แพร่หลาย
ไม่ว่าจะในซูเปอร์มาร์เก็ต ร้านค้ารายย่อย ร้านอาหาร ผู้บริโภคเพียงแค่พกโทรศัพท์ติดตัวก็สามารถทำธุรกรรมแบบไร้เงินสดได้
อย่างไรก็ตาม การสแกนคิวอาร์โค้ดโดยไม่ระวังอาจทำให้ผู้ใช้ตกเป็นเป้าหมายของภัยคุกคามทางดิจิทัลที่กำลังเพิ่มมากขึ้น
จากข้อมูลของ สตาทิสต้า คาดว่าอัตราการเข้าถึง (Penetration Rate) ของ ระบบการชำระเงินดิจิทัล (Digital Payment) ในประเทศไทย ซึ่งรวมถึงการใช้ระบบคิวอาร์โค้ด จะเพิ่มสูงขึ้น 14.6%ในช่วงระหว่างปี 2567 ถึง 2571 ขณะที่ในปี 2568 มูลค่าธุรกรรมทั้งหมดในตลาดการชำระเงินดิจิทัลของไทยคาดว่าจะสูงถึงประมาณ 83.24 พันล้านดอลลาร์
ทำความรู้จัก ‘Quishing’
ด้วยการเติบโตอย่างรวดเร็วของระบบการชำระเงินดิจิทัล ความปลอดภัยในการทำธุรกรรมผ่านคิวอาร์โค้ดจึงมีความสำคัญอย่างยิ่งในการปกป้องผู้บริโภค และรักษาความเชื่อมั่นในเศรษฐกิจไร้เงินสดของไทย
การรักษาความปลอดภัยนี้ไม่เพียงช่วยป้องกันความสูญเสียทางการเงิน แต่ยังคุ้มครองผู้ใช้จากภัยคุกคามทางไซเบอร์
การโจมตีแบบ QR Code Phishing คืออะไร? : Quishing หรือ QR Code Phishing เป็นรูปแบบหนึ่งของการโจมตีทางไซเบอร์ที่อาชญากรใช้คิวอาร์โค้ดในการหลอกลวงเหยื่อ
เมื่อผู้ใช้สแกนคิวอาร์โค้ดที่ดูน่าเชื่อถือแต่เป็นของปลอม พวกเขาอาจถูกล่อลวงให้ดาวน์โหลดมัลแวร์หรือเปิดเผยข้อมูลส่วนตัว โดยเฉพาะข้อมูลธนาคารหรือรายละเอียดการชำระเงิน ซึ่งอาจถูกนำไปใช้ในธุรกรรมฉ้อโกงทางการเงินได้
Quishing เทียบกับการโจมตีแบบ Phishing ทั่วไป : การโจมตีแบบ Phishing เป็นกลวิธีหลอกลวงที่มิจฉาชีพใช้เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลส่วนตัว เช่น ชื่อผู้ใช้ รหัสผ่าน และข้อมูลบัญชีธนาคาร ผ่านช่องทางต่างๆ เช่น อีเมลหรือแอปพลิเคชันส่งข้อความ
ขณะที่ Quishing เป็นรูปแบบที่ซับซ้อนขึ้นของ Phishing แบบดั้งเดิม โดยมุ่งเป้าหมายไปยังผู้ใช้ที่ไม่ทันระวังหรืออาจไม่ทราบถึงความเสี่ยงด้านความปลอดภัย
นอกจากนี้ เนื่องจากคิวอาร์โค้ดเป็นภาพ ระบบรักษาความปลอดภัยของอีเมลแบบดั้งเดิมจึงอาจไม่สามารถตรวจจับได้ ทำให้การโจมตีประเภทนี้ยากต่อการป้องกันยิ่งขึ้น
ศึกษาวิธี ‘เหยื่อ’ ถูกล่อลวง
สำหรับ วิธีที่อาชญากรไซเบอร์ใช้ในการโจมตีแบบ Quishing
1.การสร้างคิวอาร์โค้ดที่เป็นอันตราย อาชญากรไซเบอร์สร้างคิวอาร์โค้ดที่ดูเหมือนของจริง แต่เมื่อลูกค้าสแกนแล้วจะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ปลอม หรือถูกล่อให้ดาวน์โหลดมัลแวร์โดยไม่รู้ตัว
2.การใช้เทคนิคทางจิตวิทยาสังคม มิจฉาชีพ หรือฟิชเชอร์ มักใช้ข้อความที่โน้มน้าวใจเพื่อหลอกลวงผู้ใช้ให้สแกนคิวอาร์โค้ดอันตราย ข้อความเหล่านี้อาจสัญญาถึงรางวัล ส่วนลด หรือเตือนภัยเร่งด่วน เพื่อกระตุ้นให้ผู้ใช้รู้สึกถึงความเร่งด่วนหรือความตื่นเต้นจนตกเป็นเหยื่อได้ง่ายขึ้น
3.การใช้ช่องทางต่างๆ การกระจายข้อมูล คิวอาร์โค้ดอันตรายถูกแจกจ่ายผ่านหลายช่องทาง เช่น อีเมลฟิชชิ่ง และโฆษณาปลอม รวมถึงอาจปรากฏบนสื่อสิ่งพิมพ์ต่างๆ เช่น โปสเตอร์ และใบปลิว อาชญากรไซเบอร์ใช้วิธีนี้เพื่อหลอกลวงเหยื่อทั้งในโลกออนไลน์ และออฟไลน์
4.เทคนิคการพรางตัว อาชญากรมักจะ ซ่อนตัวคิวอาร์โค้ดอันตรายให้ดูเหมือนกับคิวอาร์โค้ดที่ถูกต้อง โดยการเลียนแบบแบรนด์ โลโก้ และองค์ประกอบการออกแบบต่างๆ เพื่อหลอกลวงผู้ใช้ ซึ่งทำให้การตรวจจับคิวอาร์โค้ดอันตรายเป็นเรื่องยากขึ้น
5.เปลี่ยนเส้นทางไปยังเว็บไซต์ปลอม เมื่อสแกนคิวอาร์โค้ด เหยื่อจะถูกนำไปยังเว็บไซต์ปลอมที่เลียนแบบเว็บไซต์จริง ที่นั่น พวกเขาอาจถูกหลอกให้ป้อนข้อมูลสำคัญ เช่น ชื่อผู้ใช้ รหัสผ่าน หรือรายละเอียดทางการเงิน ซึ่งอาจนำไปสู่การฉ้อโกงหรือขโมยข้อมูลได้
6.ดาวน์โหลดมัลแวร์โดยไม่รู้ตัว ในบางกรณี การสแกนคิวอาร์โค้ดอันตรายอาจทำให้มัลแวร์ถูกติดตั้งลงบนอุปกรณ์ของผู้ใช้ ซึ่งอาจส่งผลกระทบต่อความปลอดภัยของข้อมูล และเพิ่มความเสี่ยงต่อการถูกโจมตีทางไซเบอร์มากยิ่งขึ้น
7.การขโมยข้อมูล และการปลอมแปลงตัวตน มิจฉาชีพจะรวบรวมข้อมูลที่เหยื่อกรอกลงบนเว็บไซต์ปลอม ซึ่งอาจนำไปสู่การขโมยตัวตน ความเสียหายทางการเงิน หรือการเข้าถึงบัญชีส่วนตัวโดยไม่ได้รับอนุญาต
วิธีรับมือกลโกง ‘คิวอาร์โค้ด’
ขณะที่ วิธีป้องกันผู้ใช้จากกลโกงคิวอาร์โค้ด สามารถรับมือกับภัยคุกคามจากคิวอาร์โค้ดได้ด้วยวิธีต่อไปนี้ เพื่อปกป้องผู้ใช้จากความเสี่ยงที่เพิ่มมากขึ้น
อันดับแรก อัปเดตระบบความปลอดภัย และระบบปฏิบัติการ บนสมาร์ตโฟนให้เป็นเวอร์ชันล่าสุดเสมอ พร้อมเปิดใช้งาน การยืนยันตัวตนหลายขั้นตอน (MFA) บนบัญชีที่มีความสำคัญ เพื่อเสริมความปลอดภัยของข้อมูลส่วนตัว, ระมัดระวังคิวอาร์โค้ดในอีเมล เนื่องจากอาจเป็นส่วนหนึ่งของการโจมตีแบบฟิชชิ่ง
ที่ขาดไม่ได้ ต้องมีการติดตามข่าวสารเกี่ยวกับภัยคุกคามจากคิวอาร์โค้ด ผ่านแหล่งข้อมูลด้านความปลอดภัย เพื่ออัปเดตแนวโน้ม และรูปแบบการหลอกลวงล่าสุด
ขณะเดียวกัน ผู้ใช้ควรใช้ความระมัดระวังด้วยการไม่เปิดเผยข้อมูลส่วนตัวทางการเงิน หลีกเลี่ยงการเข้าเว็บไซต์ที่น่าสงสัยหรือไม่น่าเชื่อถือ และตรวจสอบแหล่งที่มาของคิวอาร์โค้ดให้แน่ใจก่อนสแกนทุกครั้ง
ส่วนภาคธุรกิจควรตรวจสอบคิวอาร์โค้ดที่โพสต์ไว้เป็นประจำ เพื่อให้แน่ใจว่าไม่ถูกแก้ไขหรือปลอมแปลงเพื่อป้องกันการฉ้อโกงทางการเงิน
เมื่อทั้งผู้บริโภค และธุรกิจมีความตื่นตัว และรู้เท่าทันภัยคุกคาม ก็จะสามารถใช้ระบบชำระเงินดิจิทัลได้อย่างปลอดภัย พร้อมรับประโยชน์จากความสะดวก และความรวดเร็วของการชำระเงินดิจิทัลได้อย่างปลอดภัย
พิสูจน์อักษร....สุรีย์ ศิลาวงษ์