สแกน QR Code ตามร้านค้า เสี่ยงเจอ Qishing ดูดเงินได้จริงไหม

ยุคนี้มองไปทางไหนในเมืองไทย ไม่ว่าจะร้านอาหารหรู คาเฟ่ชิค ๆ หรือแม้แต่ร้านรถเข็นข้างทาง เราก็มักจะเห็นป้าย QR Code แปะอยู่เต็มไปหมดใช่ไหมครับ ทั้งสแกนเพื่อจ่ายเงิน สแกนเพื่อดูเมนู หรือสแกนเพื่อแอดไลน์สะสมแต้ม ความสะดวกสบายตรงนี้กลายเป็นส่วนหนึ่งของชีวิตเราไปแล้ว

แต่ในฐานะคนสายไอที ผมอยากจะมาเตือนภัยเงียบที่กำลังระบาดหนักมากในปัจจุบัน มันเป็นกลโกงที่มิตร(ฉาชีพ)ใช้ช่องว่างความสะดวกนี้มาเล่นงานเรา ซึ่งในวงการไซเบอร์เราเรียกสิ่งนี้ว่า "Qishing" (QR Code Phishing) คำถามคือ แค่สแกนป้ายที่ตั้งอยู่บนโต๊ะเฉย ๆ มันจะแฮกเงินเราได้ยังไง? วันนี้ผมจะมาแกะรอยกลโกงนี้ให้ฟังครับ

1. กลโกง "สลับป้าย" (QR Code Replacement)

นี่คือวิธีที่คลาสสิกแต่ได้ผลที่สุดครับ มิจฉาชีพจะทำทีเป็นลูกค้าเข้ามาใช้บริการในร้าน พอสบโอกาสที่พนักงานเผลอหรือช่วงที่ร้านยุ่ง ๆ พวกนี้จะเอา สติกเกอร์ QR Code ของตัวเอง ไปแปะทับ บนป้ายของทางร้านดื้อ ๆ เลยครับ

• กรณีสแกนจ่ายเงิน: พอเราสแกนป้ายนั้นปุ๊บ ยอดเงินที่เราโอนแทนที่จะเข้าบัญชีเจ้าของร้าน กลับเด้งไปเข้าบัญชีม้าของคนร้ายทันที กว่าร้านจะรู้ตัวว่าเงินไม่เข้า หรือกว่าเราจะรู้ว่าโอนผิดฝั่ง ก็สูญเงินไปเรียบร้อยแล้ว

• กรณีสแกนดูเมนู/ลิงก์: บางร้านใช้ QR Code เพื่อให้ลูกค้าสแกนดูเมนูอาหารออนไลน์ แต่มิจฉาชีพแอบเอาสติกเกอร์ลิงก์ปลอมมาแปะทับ พอเราสแกนป้ายปุ๊บ มันจะเด้งเข้าหน้าเว็บปลอมที่ฝังมัลแวร์ หรือเด้งไปหน้าดาวน์โหลด "แอปดูดเงิน" ทันทีครับ

2. หลุมพราง "สแกนรับสิทธิพิเศษ/แจกโชค"

อีกหนึ่งรูปแบบที่เจอบ่อยตามเสาไฟฟ้า ป้ายรถเมล์ หรือแม้แต่ใบปลิวที่เสียบไว้หน้ารถ คือป้าย QR Code ที่เขียนคำโฆษณาชวนเชื่อ เช่น "สแกนตรงนี้ รับคูปองน้ำมันฟรี 500 บาท" หรือ "สแกนแอดไลน์ รับสิทธิ์กู้เงินด่วนดอกเบี้ย 0%"

พอเราหลงกลสแกนเข้าไป ระบบจะพาเราไปหน้าเว็บที่หน้าตาเหมือนธนาคาร หรือแอปพลิเคชันชื่อดังแบบเป๊ะ ๆ แล้วให้เรา กรอกข้อมูลส่วนตัว เลขบัตรประชาชน หรือรหัส OTP เพื่อรับสิทธิ์ ซึ่งถ้าเราเผลอกรอกลงไปเมื่อไหร่ เท่ากับเรายื่นกุญแจเซฟให้มิจฉาชีพเข้ามาโอนเงินออกจากบัญชีเราทันทีครับ

🛡️ 3 คาถาป้องกันตัว สแกนยังไงให้ปลอดภัย? สไตล์พีรพัฒน์ พีพี

ต่อจากนี้ไป ก่อนที่จะยกมือถือขึ้นมาสแกนอะไรก็ตาม ให้ท่อง 3 ข้อนี้ไว้ให้ขึ้นใจครับ:

1. ส่องป้ายก่อนสแกน: ดูว่าป้าย QR Code นั้นมีรอยสติกเกอร์แปลก ๆ มาแปะทับไหม ป้ายดูบิดเบี้ยวหรือน่าสงสัยหรือเปล่า ถ้าไม่มั่นใจ ให้ถามพนักงานร้านโดยตรงเลยครับ

2. เช็กชื่อบัญชีก่อนกดโอน: ตอนที่ระบบเด้งหน้าจอให้ใส่จำนวนเงิน ให้เสียเวลาวินาทีเช็ก "ชื่อนามสกุล หรือชื่อร้าน" ของผู้รับปลายทางทุกครั้ง ว่าตรงกับชื่อร้านที่เรากำลังซื้ออยู่จริงไหม

3. ดู URL ปลายทางให้ดี: เวลาสแกนแล้วมีลิงก์เด้งขึ้นมา อย่าเพิ่งกดเข้าทันที ให้ดูว่าตัวสะกดของเว็บไซต์นั้นแปลก ๆ ไหม (เช่น scbeasy กลายเป็น scb-easyy.com) และที่สำคัญ ธนาคารไม่มีนโยบายให้สแกน QR Code เพื่อส่งลิงก์ให้กรอกรหัสผ่านหรือ OTP เด็ดขาดครับ!

เทคโนโลยีมีไว้ให้ชีวิตเราง่ายขึ้นครับ แต่ก็ต้องมาพร้อมกับความระมัดระวังด้วย เพื่อน ๆ ในบอร์ดเคยเจอประสบการณ์เจอจับป้าย QR Code ปลอม หรือเคยเกือบหลงกลสแกนอะไรแปลก ๆ บ้างไหมครับ? แวะมาคอมเมนต์เตือนภัยและแชร์ข้อมูลกันได้ด้านล่างนี้เลยนะครับ!

เรียบเรียงและนำเสนอโดย: พีรพัฒน์ พีพี

ขอบคุณข้อมูลเสริมความปลอดภัยจาก: ศูนย์ปราบปรามอาชญากรรมเทคโนโลยีสารสนเทศ