ทำไมการยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometric) อาจไม่เพียงพออีกต่อไป

ทำไมการยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometric) อาจไม่เพียงพออีกต่อไป
Palm Solution, Thai
การยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometric)

การยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometric Verfication)

ในช่วงไม่กี่ปีที่ผ่านมา การยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometrics) อย่างเช่น การสแกนใบหน้าหรือสแกนลายนิ้วมือได้กลายเป็นวิธีการยืนยันตัวตนผู้ใช้งานมากขึ้นจนกลายเป็นสิ่งที่คุ้นเคยสำหรับผู้ใช้งาน ซึ่งปกติแล้วจะใช้สำหรับการเข้าสู่ระบบหรือการลงทะเบียนใช้บริการออนไลน์ครั้งแรก อีกทั้งยังเป็นวิธีที่สะดวกและรวดเร็วต่อผู้งานเพราะไม่จำเป็นต้องพกบัตรหรือต้องจำรหัสผ่าน อย่างไรก็ตาม เมื่อเทคโนโลยีก้าวหน้าขึ้น แฮ็กเกอร์หรือมิชฉาชีพก็มีวิธีการใหม่ๆ ในการโจรกรรมข้อมูลมากขึ้นเรื่อยๆ ทำให้การยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometrics) ก็อาจไม่เพียงพอต่อการปกป้องข้อมูลและระบบที่ละเอียดอ่อนอีกต่อไป

ไปทำความรู้จักการยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometrics Verification) ให้มากกว่าเดิมกัน

Biometrics Verification คืออะไร

การยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometrics Verification) คือการใช้เทคโนโลยีมาใช้ในการจับคู่ใบหน้าจริงกับรูปถ่ายในเอกสารประจำตัว เช่น บัตรประชาชน หนังสือเดินทาง หรือใบขับขี่ เพื่อยืนยันว่าบุคคลนั้นเป็นใครและเพื่อให้แน่ใจว่าเป็นบุคคลจริง ไม่ใช่รูปถ่ายหรือผ่านการปลอมแปลงมา นอกจากนี้อาจใช้ลักษณะเฉพาะตัวของแต่ละบุคคลที่ไม่ซ้ำใคร เช่น ลายนิ้วมือ รูม่านตา ใบหน้า เสียง ในการเปรียบเทียบ

วิธีพื้นฐานในการยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometrics)

3 รูปแบบ ได้แก่

1. Selfie & Liveness Verification

การพิสูจน์ตัวตนที่มักคุ้นเคยกันผ่านการสแกนใบหน้า โดยการนำ Liveness detection พิสูจน์ว่าบุคคลที่กำลังยืนยันตัวตนอยู่นั้นเป็นคนจริงๆ ด้วยการกำหนดให้กระทำบางอย่าง เช่น การกระพริบตา การหันซ้าย-หันขวา การพยักหน้า ฯลฯ ซึ่งจะสามารถป้องกันปัญหาเรื่อง deepfakes ได้  ซึ่งก็ขึ้นอยู่กับระดับความเสี่ยงของแต่ละธุรกรรมตามที่กฎหมายและข้อบังคับต่างๆได้กำหนดไว้เช่นกัน

2. ID Document Verification

การตรวจสอบเอกสารระบุตัวตนของผู้ใช้งานทางออนไลน์ ไม่ว่าจะเป็น บัตรประจำตัวประชาชน, หนังสือเดินทาง, ใบขับขี่, รายการเดินบัญชีธนาคาร รวมถึงค่าสาธารณูปโภค ฯลฯ  ถือเป็นอีกหนึ่งข้อมูลทางเลือก (Alternative Data) ที่ใช้ในการพิจารณาลูกค้าได้ง่ายขึ้น

3. Face Comparison

การใช้เทคโนโลยีจดจำใบหน้า หรือ Face Recognition เป็นการเปรียบเทียบใบหน้ากับฐานข้อมูล พร้อมวิเคราะห์องค์ประกอบต่าง ๆ และเอกลักษณ์ของใบหน้า อย่างเช่น ตา จมูก คิ้ว ปาก โครงหน้า ฯลฯ เพื่อยืนยันว่าใบหน้าที่ตรวจจับได้ถูกต้องและตรงกับบุคคลนั้นๆ

สิ่งเหล่านี้เป็นเพียงการยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometrics Verfication) ขั้นพื้นฐานสำหรับการ Onboarding ลูกค้าในครั้งแรก แต่ก็ใช่ว่าหลังจากนั้นธุรกิจจะไม่มีความเสี่ยงจากผู้ใช้งานเกิดขึ้น หรืออาจมีแฮ็กเกอร์สวมรอย แล้วสร้างธุรกรรมทางการเงินขึ้นมาใหม่ จากการสำรวจหลังจากวิกฤตการณ์โควิด-19  มีการฉ้อโกงเพื่อครอบครองบัญชี (ATO) ผ่านการทำธุรกรรมออนไลน์ในปี 2565 เติบโตในอัตราที่น่าตกใจสูงถึง 211% เมื่อเทียบกับช่วงเดียวกันของปีที่แล้ว  ซึ่งสร้างมูลค่าความเสียหายเพิ่มขึ้นอย่างรวดเร็ว  โดยเฉพาะในเอเชียตะวันออกเฉียงใต้ (SEA) 

 3 กระบวนการหลักที่ทำให้แฮกเกอร์ประสบความสำเร็จ นั่นก็คือ

1. พยายามเข้าสู่ระบบ (Login) 

มิจฉาชีพส่วนใหญ่พยายามที่จะเข้ายึดบัญชี ผ่านการใช้บอทหรือพยายามปลอมตัวเป็นผู้ใช้ ซึ่งภัยคุมคามทางไซเบอร์ที่พบได้บ่อย อย่างเช่น

  • ฟิชชิง (Phishing): เป็นการหลอกลวงโดยทำให้เหยื่อเชื่อและขอข้อมูลที่สำคัญทางอินเทอร์เน็ต เช่น การส่งอีเมล เพื่อขอรหัสผ่านหรือหมายเลขบัตรเครดิต  โดยแฮกเกอร์จะมีการแนบลิงก์มากับข้อความให้เหยื่อคลิกลิงก์เพื่อนำไปสู่เว็บไซต์ปลอมและหลอกให้กรอกข้อมูลส่วนตัวต่างๆ 
  • Data Leak: เป็นการขโมยข้อมูลส่วนบุคคลจากอินเทอร์เน็ตหรือตามโซเชียลมีเดียโดยไม่ได้รับอนุญาตจากเจ้าของข้อมูล  
  • Social Engineering: เป็นศิลปะในการหลอกลวงผู้อื่น โดยใช้หลักการทางจิตวิทยา เพื่อให้เหยื่อเปิดเผยข้อมูล เช่น การส่ง SMS แจ้งว่าเป็นผู้โชคดีหรือการส่งอีเมลหลอกล่อให้เหยื่อคลิกลิงก์ปลอม ฯลฯ ซึ่งเป็นการโจมตีที่ได้ผลดีมากเมื่อเทียบกับการโจมตีทางไซเบอร์ลักษณะอื่นๆ เพราะเล่นกับจุดอ่อนและความรู้เท่าไม่ถึงการณ์

2. การสวยรอยทำธุรกรรม (Transaction)

หลังจากที่แฮกเกอร์ขโมยข้อมูลส่วนบุคคลและสวมรอยได้แล้ว แฮกเกอร์ก็จะทำการเข้าสู่ระบบและนำข้อมูลที่มีไปสวมรอยทำธุรกรรมทางการเงิน โอนเงินออกจนหมดบัญชีหรือนำข้อมูลบัตรเครดิตเพื่อไปทำธุรกรรมแทนตัวจริงได้

3. การสร้างบัญชีขึ้นมาใหม่ (Account Creation)

การสร้างบัญชีใหม่มาขึ้นจากการสมัครสมาชิกจากข้อมูลที่ได้ขโมยมาก ไม่ว่าจะเป็น วันเดือนปีเกิด ที่อยู่ หรือหมายเลขบัตรประชาชน  หรือการหลอกถามข้อมูลต่างๆ เพื่อเปลี่ยนแปลง Password โดยแฮกเกอร์จะรวมข้อมูลทั้งจริงและเท็จเข้าด้วยกันเพื่อสร้างบัญชีขึ้นมาใหม่ ซึ่งถือเป็นการฉ้อโกงตัวตนแบบ Synthetic Identity Fraud  อย่างหนึ่ง ซึ่งหากบัญชีใหม่ที่สร้างขึ้นมาจากการขโมยข้อมูลส่วนบุคคลมา โดยช่วงแรกจะประพฤติตัวดี ไม่น่าสงสัย ชำระเงินคืนตามปกติ หรือทำธุรกรรมตามปกติเหมือนลูกค้าชั้นดี แต่พอหลังจากที่ได้รับการปรับวงเงินขึ้นหรือได้รับสิทธิพิเศษต่างๆ ก็จะ ใช้วงเงินจนเต็มและไม่ชำระคืน โดยส่วนมากมิจฉาชีพจะเปิดบัญชีเท็จหลายๆบัญชีพร้อมกัน

การยืนยันตัวตนด้วยไบโอเมตริกซ์อาจไม่เพียงพออีกต่อไป (Go beyond Biometrics)

การทำธุรกรรมการเงินออนไลน์ที่สะดวกสบายในปัจจุบัน แม้จะมีขั้นตอนยืนยันตัวตัวตนโดยใช้ sms หรือ otp เพื่อความปลอดภัย  แต่ก็ความเสี่ยงที่อาจถูกสวมรอยทำธุรกรรมผ่านบัญชีได้ ดังนั้น เพื่อลดความเสี่ยง (fraud) ที่มีโอกาสเกิดขึ้นทั้งต่อธุรกิจและลูกค้า ธุรกิจสามารถใช้โซลูชันในการป้องกันความเสี่ยง (Fraud services) หรือยืนยันผ่านข้อมูล Local Third Party  เพื่อช่วยในการระบุและยืนยันตัวตนลูกค้าอีกครั้งจาก

  • ฐานข้อมูลอัตลักษณ์ท้องถิ่น (Local Identity Database)
  • ลายนิ้วมือ (Device fingerprinting)
  • การตรวจสอบการฉ้อโกงที่อยู่อีเมล (Email address fraud checks)
  • ตรวจสอบการฉ้อโกงหมายเลขโทรศัพท์มือถือ (Mobile number fraud checks)
  • การตรวจสอบการทำธุรกรรมผ่านธนาคาร (Bank Transaction Verification)
  • การทำความรู้จักธุรกิจ (Know Your Business)
  • การตรวจสอบการฟอกเงิน (AML Check)
  • การตรวจสอบบิลค่าสาธารณูปโภค (Utility Data for Residency Verification)
  • การยืนยันบัญชีร้านค้า (Merchant Account Verification)

 แม้การยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometrics) จะช่วยปกป้องผู้บริโภค จากการถูกโจรกรรมข้อมูลและอาชญากรรมทางไซเบอร์ได้ แต่ในขณะเดียวก็พบการเพิ่มขึ้นของการฉ้อโกงตัวตน มีคนจำนวนมากตกเป็นเหยื่อจากภัยคุกคามไซเบอร์ สิ่งสำคัญก็คือธุรกิจต้องทำความเข้าใจว่าโอกาสที่จะเกิดความเสี่ยง (Fraud) นั้น ป้องกันแค่เพียงขั้นตอนแรกอาจไม่เพียงพอ เพราะการปกป้องข้อมูลประจำตัวเป็นกระบวนการต่อเนื่อง ดังนั้น การรับรองความถูกต้องด้วยหลายปัจจัย (Multifactor Authentication) ก็จะเป็นเสมือนการเพิ่มชั้นการป้องกันพิเศษให้กับข้อมูล ที่สามารถตรวจสอบได้มากกว่าไบโอเมตริกซ์ (Biometrics) ซึ่ง UpPass ก็เป็นหนึ่งในโซลูชันที่ช่วยป้องกันความเสี่ยงให้กับธุรกิจได้ โดยที่ธุรกิจสามารถ Integrate ข้อมูลเหล่านี้ไว้ใน User Journey ได้ตั้งแต่ขั้นตอนการลงทะเบียน เข้าสู่ระบบ ชำระเงินหรือหลังจากรีเซ็ตรหัสผ่าน  ซึ่งเป็นวิธีช่วยป้องกันการฉ้อโกงและลดการปลอมแปลงข้อมูลได้

หากธุรกิจของคุณต้องการขอคำปรึกษาเกี่ยวกับโซลูชันที่ช่วยลดความเสี่ยงให้กับธุรกิจ สามารถติดต่อได้ที่ [email protected] หรือนัดหมายและขอชม Demo

อ่านบทความอื่นเพิ่มเติมได้ที่ https://uppass.io/blog/

Palm is the co-founder of UpPass, an innovative platform providing end-to-end eKYB, eKYC, and compliance solutions. He is passionate about no-code technology and Gen AI for automation. Prior to UpPass, he's worked in the fraud and data analytics fields at multiple unicorn startups in Silicon Valley.

Related Posts

กฎหมายการฟอกเงิน ร้านทอง เพชร อัญมณี เครื่องประดับ
AML Compliance, Regulatory Compliance, Solution, Thai

กฎหมายการฟอกเงิน ร้านทองคำ อัญมณี เพชรพลอย ควรรู้

บทลงโทษต่อการเพิกเฉยกฎหมายฟอกเงิน ร้านทอง อัญมณี เครื่องประดับ จำคุก 1-10 ปี ปรับ 20,000-200,000 บาท ไม่รายงานการซื้อขาย โทษปรับไม่เกิน 1,000,000 บาท หรือปรับวันละ 10,000 บาท จนกว่าจะทำถูกต้อง

Palm

Jun 28, 2024
Read More

แท็กยอดนิยม

#AI#Automation#Fraud#Compliance#NocodeGenerative AI#Verification#SyntheticFraud#RiskDecision#DigitalTransformation#Biometrics#RiskManagement#Technology#DecisonFlowAML Screening