ในแต่ละปีมีผู้ตกเป็นเหยื่อ SMS ปลอมเป็นจำนวนมหาศาล คณะกรรมการการการค้ากลางของสหรัฐอเมริกา (FTC) เผยว่าในปี 2021 มูลค่าความเสียหายจากการหลอกลวงทาง SMS สูงกว่า 131 ล้านเหรียญ หรือกว่า 4,400 ล้านบาทเลยทีเดียว

แม้ปัจจุบันจะมีมาตรการให้ธนาคารเลิกส่งลิงก์ใน SMS มีการออกข้อแนะนำและคำเตือนต่าง ๆ และผู้ใช้บริการเองก็ป้องกันตัวอย่างดี แต่นั่นก็อาจไม่ใช่วิธีการแก้ไขการหลอกลวงผ่าน SMS ที่ยั่งยืน

ผู้ไม่หวังดีก็ยังสามารถส่ง SMS ตีเนียนเป็นธุรกิจประเภทอื่น ๆ ได้อยู่ดี เพราะยังมีผู้ประกอบการจำนวนมากที่ใช้ลิงก์ใน SMS เป็นช่องทางสื่อสารกับลูกค้า ทั้งการส่งข้อมูลที่จำเป็น การรับฟังความคิดเห็น และอีกมากมาย

ตัวอย่าง SMS หลอกลวง (ที่มา ธนาคาร OCBC ของสิงคโปร์)

การป้องกันการปลอมแปลง SMS (SMS Spoofing หรือ Smishing) อย่างยั่งยืนไม่สามารถทำได้ในระดับประชาชนผู้ใช้งาน แต่ต้องเป็นความรับผิดชอบระดับรัฐบาล และองค์กรที่เกี่ยวข้องในทุกระดับ มาดูกันว่าปัจจุบันในประเทศต่าง ๆ มีมาตรการอย่างไรบ้าง

ทะเบียนผู้ส่ง SMS

หนึ่งในข้อเสนอการแก้ไขปัญหา SMS ปลอมคือการจัดทำทะเบียนผู้ส่ง SMS (SMS Registry) ที่เป็นของรัฐ โดยเป็นการให้องค์กรต่าง ๆ เข้ามาจดทะเบียนผู้ส่ง SMS เพื่อป้องกันการสวมรอย

ชื่อผู้ส่ง SMS ที่ได้รับการจดทะเบียนแล้วจะไม่สามารถปลอมแปลงโดยการส่ง SMS เป็นชื่อเดียวกันกับชื่อผู้ใช้ที่ได้รับการลงทะเบียนได้ เพราะชื่อผู้ส่งจะยึดกับเบอร์โทรศัพท์ที่จดทะเบียนเท่านั้น

SMS จากผู้ส่งปลอมก็จะไม่มีทางไปอยู่ในกล่องเดียวกันกับผู้ส่งที่ลงทะเบียนกับทางรัฐได้

สหราชอาณาจักรเป็นหนึ่งในผู้นำร่องการพัฒนาและทดสอบใช้ระบบนี้มาตั้งแต่ปี 2018 ซึ่งทำให้สามารถปกป้องชื่อเสียงของหน่วยงานรัฐบาลและธนาคารกว่า 130 องค์กร และมีผู้จดทะเบียนเข้ามาอย่างน้อย 500 ราย

ไอร์แลนด์ และสเปน ก็เป็น 2 ประเทศที่นำระบบนี้มาใช้ ขณะที่ สิงคโปร์ นำระบบนี้มาบังคับให้องค์กรต่าง ๆ ต้องลงทะเบียนเมื่อปี 2022 ที่ผ่านมา

ไม้แข็งของสิงคโปร์

ในกรณีของสิงคโปร์ยกระดับการป้องกัน SMS ปลอมไปอีกระดับ ด้วยการรื้อระบบทะเบียนผู้ส่ง SMS (SMS Sender ID Register – SSIR) ที่มีมาตั้งแต่ปี 2021 ใหม่โดยแทนที่ด้วยระบบ SSIR เต็มรูปแบบตั้งแต่สิ้นเดือนมกราคมของปีนี้

ระบบ SSIR ของสิงคโปร์ (ที่มา IMDA)

ระบบใหม่นี้จะติดป้ายผู้ส่งที่ไม่ได้ลงทะเบียนกับรัฐให้เป็น ‘Likely-SCAM’ (หรือผู้ส่งที่น่าจะหลอกลวง) ในช่วง 6 เดือนแรก หลังจากผ่านพ้นช่วงนี้ไป SMS ที่ถูกส่งจากผู้ใช้งานที่ไม่ได้ลงทะเบียนจะถูกบล็อกทันที

เหตุผลที่ต้องนำระบบใหม่มาใช้ก็เพราะ SSIR แบบเดิมยังเปิดช่องให้ผู้ไม่หวังดีปลอมแปลงชื่อผู้ส่ง SMS ให้คล้ายกับองค์กรที่มีอยู่จริงได้

มาตรการควบคุมผู้ให้บริการเครือข่ายมือถือ

นอกจากระบบการจดทะเบียน SMS แล้ว ในหลายประเทศยังออกกฎหมายบังคับให้องค์กรที่ดูแลโครงข่ายโทรคมนาคมต้องคอยกรอง ติดตาม และปิดกั้นการส่ง SMS หลอกลวงด้วย

ในเดือนมิถุนายน 2022 สำนักงานการสื่อสารและสื่อมวลชนของออสเตรเลีย (ACMA) ออกมาตรการบังคับให้ผู้ให้บริการเครือข่ายต้องใช้ระบบตรวจสอบตัวตนที่ซับซ้อนขึ้นเพื่อกรองการทำธุรกรรมที่ต้องสงสัยว่าเจ้าของบัญชีจะถูกหลอกลวงด้วย

ขณะที่ สหรัฐฯ มีแผนจะกำหนดมาตรการในลักษณะเดียวกันภายในปีนี้ โดยคณะกรรมการการสื่อสารกลาง (FCC) จะบังคับให้ผู้ให้บริการเครือข่ายมือถือปิดกั้นข้อความที่ถูกส่งมาจากเบอร์โทรศัพท์แปลกปลอม

ธนาคารต้องรับผิดชอบด้วย

และเพื่อป้องกันหากประชาชนหลงเชื่อ SMS ปลอมไปแล้วไม่ให้สูญเงินจากบัญชีธนาคาร รัฐบาลออสเตรเลียก็กดดันให้ธนาคารมีมาตรการป้องกันการโอนเงินที่ผิดปกติ และแสดงความรับผิดชอบมากขึ้น

โดยเฉพาะการมีระบบการยืนยันตัวตนเจ้าของบัญชี และการตรวจสอบบัญชีปลายทางที่เงินเคลื่อนย้ายไปที่รัดกุมมากพอ

ประชาชนยังต้องระวังตัว แต่ไม่ใช่รับภาระทั้งหมด

แน่นอนว่าแม้จะมีมาตรการลงทะเบียน SMS ออกกฎบังคับเครือข่ายมือถือและธนาคาร แต่ในท้ายที่สุดผู้ใช้งานเองก็ยังคงต้องระมัดระวังตัวเองอยู่ดี

เพราะอาชญากรสามารถแสวงหากลเม็ดเด็ดพรายใหม่ ๆ มาหลอกเอาเงินและข้อมูลจากผู้ใช้งาน ในรูปแบบที่แซงกฎระเบียบต่าง ๆ ไปก่อนเสมอ

ที่มา SMH (1), SMH (2), Ars Technica, channelnewsasia, sgnic, ACMA

พิสูจน์อักษร : สุชยา เกษจำรัส