ในแต่ละปีมีผู้ตกเป็นเหยื่อ SMS ปลอมเป็นจำนวนมหาศาล คณะกรรมการการการค้ากลางของสหรัฐอเมริกา (FTC) เผยว่าในปี 2021 มูลค่าความเสียหายจากการหลอกลวงทาง SMS สูงกว่า 131 ล้านเหรียญ หรือกว่า 4,400 ล้านบาทเลยทีเดียว
แม้ปัจจุบันจะมีมาตรการให้ธนาคารเลิกส่งลิงก์ใน SMS มีการออกข้อแนะนำและคำเตือนต่าง ๆ และผู้ใช้บริการเองก็ป้องกันตัวอย่างดี แต่นั่นก็อาจไม่ใช่วิธีการแก้ไขการหลอกลวงผ่าน SMS ที่ยั่งยืน
ผู้ไม่หวังดีก็ยังสามารถส่ง SMS ตีเนียนเป็นธุรกิจประเภทอื่น ๆ ได้อยู่ดี เพราะยังมีผู้ประกอบการจำนวนมากที่ใช้ลิงก์ใน SMS เป็นช่องทางสื่อสารกับลูกค้า ทั้งการส่งข้อมูลที่จำเป็น การรับฟังความคิดเห็น และอีกมากมาย
การป้องกันการปลอมแปลง SMS (SMS Spoofing หรือ Smishing) อย่างยั่งยืนไม่สามารถทำได้ในระดับประชาชนผู้ใช้งาน แต่ต้องเป็นความรับผิดชอบระดับรัฐบาล และองค์กรที่เกี่ยวข้องในทุกระดับ มาดูกันว่าปัจจุบันในประเทศต่าง ๆ มีมาตรการอย่างไรบ้าง
ทะเบียนผู้ส่ง SMS
หนึ่งในข้อเสนอการแก้ไขปัญหา SMS ปลอมคือการจัดทำทะเบียนผู้ส่ง SMS (SMS Registry) ที่เป็นของรัฐ โดยเป็นการให้องค์กรต่าง ๆ เข้ามาจดทะเบียนผู้ส่ง SMS เพื่อป้องกันการสวมรอย
ชื่อผู้ส่ง SMS ที่ได้รับการจดทะเบียนแล้วจะไม่สามารถปลอมแปลงโดยการส่ง SMS เป็นชื่อเดียวกันกับชื่อผู้ใช้ที่ได้รับการลงทะเบียนได้ เพราะชื่อผู้ส่งจะยึดกับเบอร์โทรศัพท์ที่จดทะเบียนเท่านั้น
SMS จากผู้ส่งปลอมก็จะไม่มีทางไปอยู่ในกล่องเดียวกันกับผู้ส่งที่ลงทะเบียนกับทางรัฐได้
สหราชอาณาจักรเป็นหนึ่งในผู้นำร่องการพัฒนาและทดสอบใช้ระบบนี้มาตั้งแต่ปี 2018 ซึ่งทำให้สามารถปกป้องชื่อเสียงของหน่วยงานรัฐบาลและธนาคารกว่า 130 องค์กร และมีผู้จดทะเบียนเข้ามาอย่างน้อย 500 ราย
ไอร์แลนด์ และสเปน ก็เป็น 2 ประเทศที่นำระบบนี้มาใช้ ขณะที่ สิงคโปร์ นำระบบนี้มาบังคับให้องค์กรต่าง ๆ ต้องลงทะเบียนเมื่อปี 2022 ที่ผ่านมา
ไม้แข็งของสิงคโปร์
ในกรณีของสิงคโปร์ยกระดับการป้องกัน SMS ปลอมไปอีกระดับ ด้วยการรื้อระบบทะเบียนผู้ส่ง SMS (SMS Sender ID Register – SSIR) ที่มีมาตั้งแต่ปี 2021 ใหม่โดยแทนที่ด้วยระบบ SSIR เต็มรูปแบบตั้งแต่สิ้นเดือนมกราคมของปีนี้
ระบบใหม่นี้จะติดป้ายผู้ส่งที่ไม่ได้ลงทะเบียนกับรัฐให้เป็น ‘Likely-SCAM’ (หรือผู้ส่งที่น่าจะหลอกลวง) ในช่วง 6 เดือนแรก หลังจากผ่านพ้นช่วงนี้ไป SMS ที่ถูกส่งจากผู้ใช้งานที่ไม่ได้ลงทะเบียนจะถูกบล็อกทันที
เหตุผลที่ต้องนำระบบใหม่มาใช้ก็เพราะ SSIR แบบเดิมยังเปิดช่องให้ผู้ไม่หวังดีปลอมแปลงชื่อผู้ส่ง SMS ให้คล้ายกับองค์กรที่มีอยู่จริงได้
มาตรการควบคุมผู้ให้บริการเครือข่ายมือถือ
นอกจากระบบการจดทะเบียน SMS แล้ว ในหลายประเทศยังออกกฎหมายบังคับให้องค์กรที่ดูแลโครงข่ายโทรคมนาคมต้องคอยกรอง ติดตาม และปิดกั้นการส่ง SMS หลอกลวงด้วย
ในเดือนมิถุนายน 2022 สำนักงานการสื่อสารและสื่อมวลชนของออสเตรเลีย (ACMA) ออกมาตรการบังคับให้ผู้ให้บริการเครือข่ายต้องใช้ระบบตรวจสอบตัวตนที่ซับซ้อนขึ้นเพื่อกรองการทำธุรกรรมที่ต้องสงสัยว่าเจ้าของบัญชีจะถูกหลอกลวงด้วย
ขณะที่ สหรัฐฯ มีแผนจะกำหนดมาตรการในลักษณะเดียวกันภายในปีนี้ โดยคณะกรรมการการสื่อสารกลาง (FCC) จะบังคับให้ผู้ให้บริการเครือข่ายมือถือปิดกั้นข้อความที่ถูกส่งมาจากเบอร์โทรศัพท์แปลกปลอม
ธนาคารต้องรับผิดชอบด้วย
และเพื่อป้องกันหากประชาชนหลงเชื่อ SMS ปลอมไปแล้วไม่ให้สูญเงินจากบัญชีธนาคาร รัฐบาลออสเตรเลียก็กดดันให้ธนาคารมีมาตรการป้องกันการโอนเงินที่ผิดปกติ และแสดงความรับผิดชอบมากขึ้น
โดยเฉพาะการมีระบบการยืนยันตัวตนเจ้าของบัญชี และการตรวจสอบบัญชีปลายทางที่เงินเคลื่อนย้ายไปที่รัดกุมมากพอ
ประชาชนยังต้องระวังตัว แต่ไม่ใช่รับภาระทั้งหมด
แน่นอนว่าแม้จะมีมาตรการลงทะเบียน SMS ออกกฎบังคับเครือข่ายมือถือและธนาคาร แต่ในท้ายที่สุดผู้ใช้งานเองก็ยังคงต้องระมัดระวังตัวเองอยู่ดี
เพราะอาชญากรสามารถแสวงหากลเม็ดเด็ดพรายใหม่ ๆ มาหลอกเอาเงินและข้อมูลจากผู้ใช้งาน ในรูปแบบที่แซงกฎระเบียบต่าง ๆ ไปก่อนเสมอ
บทความโดย เเบไต๋
ที่มา SMH (1), SMH (2), Ars Technica, channelnewsasia, sgnic, ACMA
————————————————————————————————————————-
ที่มา : เเบไต๋ / วันที่เผยแพร่ 9 พ.ค. 2566
Link : https://www.beartai.com/article/tech-article/1245329