การฉ้อโกงธุรกรรม (Transaction fraud)
การฉ้อโกงทางธุรกรรมหรือการฉ้อโกงการชำระเงินเป็นปัญหาที่เพิ่มมากขึ้นเรื่อยๆ จากการใช้ข้อมูลการชำระเงินของบุคคลอื่นโดยไม่ได้รับความยินยอม เพราะเมื่อดิจิทัลและเทคโนโลยีต่างๆ เข้ามาอำนวยความสะดวกให้การทำธุรกรรมทางการเงินมีความง่ายและสะดวกมากขึ้น การฉ้อโกงทางธุรกรรม (Transaction fraud) มีหลากหลายวิธีและพบได้บ่อยขึ้น โดยเฉพาะในภูมิภาคเอเชียตะวันออกเฉียงใต้ (SEA) ตามรายงานของบริษัทผู้ให้บริการข้อมูลระดับโลก Experian พบว่าบางประเทศในภูมิภาคเอเชียตะวันออกเฉียงใต้ (SEA) มีอัตราการฉ้อโกงสูงกว่า 20 เท่าของค่าเฉลี่ยทั่วโลก ทำให้ในปัจจุบันการทำธุรกรรมออนไลน์จำเป็นต้องมีขั้นตอนทำความรู้จักลูกค้า โดยการยืนยันตัวตน (identity verification) และการพิสูจน์ตัวตน (identity proofing) ตั้งแต่ขั้นตอนการเริ่มต้นใช้งาน (onboarding) ก่อนที่ธุรกรรมต่างๆ จะเกิดขึ้นได้
ซึ่งจริงๆ แล้วนอกจากขั้นตอน Onboarding แล้ว ธุรกิจจำเป็นต้องมีวิธีในการปกป้องตนเองและลูกค้าจากผู้ไม่หวังดีและการฉ้อโกงระหว่างทำที่ธุรกรรม เพราะหากธุรกิจมีแค่วิธีการยืนยันตัวตนแต่เพียงในขั้นตอนแรก ก็ไม่ได้ความว่าความเสี่ยงจะหมด เพราะการฉ้อโกงระหว่างทำธุรกรรมก็มีโอกาสที่จะเกิดขึ้นได้เสมอ ซึ่งในบทความนี้ UpPass ได้รวบรวมในสิ่งที่คุณต้องรู้เกี่ยวกับ “การฉ้อโกงทางธุรกรรม” (Transaction fraud) และวิธีการป้องกันความเสี่ยงก่อนที่ธุรกรรมจะเกิดขึ้นได้
การฉ้อโกงธุรกรรม (Transaction fraud) คืออะไร?
การฉ้อโกงทางธุรกรรม (Transaction fraud) เป็นความเสี่ยงประเภทหนึ่งสำหรับธุรกิจ โดยเฉพาะในช่องทางออนไลน์ การฉ้อโกงทางธุรกรรมนั้น เป็นสิ่งที่แสดงถึงความพยายามแสวงหาผลประโยชน์ทางการเงินอย่างไม่ถูกต้องหรือผ่านการหลอกลวง ซึ่งการฉ้อโกงทางธุรกรรมมีหลายรูปแบบและพัฒนาอย่างรวดเร็ว เมื่อมิจฉาชีพมักมีวิธีใหม่ๆ ในการใช้ประโยชน์จากช่องโหว่ทางดิจิทัล โดยเฉพาะการฉ้อโกงที่กระทำโดยลูกค้าและมีเป้าหมายเป็นธุรกิจ ได้เพิ่มขึ้นขึ้นเรื่อยๆ ไม่ว่าจะเป็น
1. การหลอกโอนเงิน (Money transfer fraud)
การฉ้อโกงการชำระเงินยังคงเป็นปัญหาหลักในเอเชียตะวันออกเฉียงใต้ (SEA) เนื่องจากผู้บริโภคหันมาใช้ E-commerce และระบบชำระเงินออนไลน์มากขึ้น มิจฉาชีพจึงมีโอกาสมากขึ้นในการขโมยข้อมูลการชำระเงินการฉ้อโกงธุรกรรมประเภทนี้มีทั้งแบบได้รับการยินยอมจากเหยื่อและไม่ได้รับความยินยอมจากเหยื่อ ยกตัวอย่างเช่น
- การได้รับการยินยอมจากเหยื่อ (Authorised fraud) มิจฉาชีพส่วนใหญ่จะพยายามโน้มน้าวใจโดยใช้จิตวิทยา หรือที่เรียกว่า Social engineering เป็นการหลอกล่อหรือบีบบังคับ เพื่อให้เหยื่อเปิดเผยข้อมูลที่ละเอียดอ่อนและเริ่มชำระเงินด้วยวิธีการต่างๆ เช่น การหลอกลวงการซื้อ การหลอกลวงการลงทุน หรือแอบอ้างเป็นบุคคลอื่น โดยมิจฉาชีพมักจะสวมรอยเป็นหน่วยงานต่างๆ เช่น หน่วยงานรัฐบาล ธนาคาร หรือหน่วยงานติดตามหนี้ และพยายามสร้างสถานการณ์หรือบทสนทนาที่กระตุ้นให้เหยื่อมีการจ่ายเงินเพื่อตอบสนองทันที
- การไม่ได้รับการยินยอมจากเหยื่อ (Unauthorised fraud) มิจฉาชีพส่วนใหญ่มักจะใช้วิธีในรูปแบบต่างๆ ไม่ว่าจะเป็น
- ฟิชชิง (Phishing): การหลอกลวงให้เหยื่อเปิดเผยข้อมูลการชำระเงิน ซึ่งอาจปลอมตัวเป็นนิติบุคคล เช่น ธนาคารหรือแพลตฟอร์ม E-commerce
- มัลแวร์ (Malware) : ซอฟต์แวร์ที่ทำให้อุปกรณ์ของเหยื่อติดไวรัสและขโมยข้อมูลการชำระเงินแ
- ฉ้อโกงการครอบครองบัญชี (ATO) เมื่อสามารถขโมยข้อมูลส่วนตัวหรือเข้าถึงบัญชีของเหยื่อได้ก็จะดำเนินการชำระเงินโดยไม่ได้รับความยินยอมจากเหยื่อ ซึ่งนำไปสู่การเข้าครอบครองบัญชี
- การโจรกรรม (Identity theft) เป็นภัยคุกคามที่อาจเกิดขึ้นได้ในทุก journey ของลูกค้า ที่เกี่ยวข้องกับการขโมยข้อมูลส่วนบุคคลตั้งแต่ ชื่อ ที่อยู่ และวันเดือนปีเกิด โดยไม่ได้รับความยินยอมจากบุคคลนั้นๆ ตั้งแต่การ onboarding ไปจนถึงการทำธุรกรรมการชำระเงิน
2. การฉ้อโกงการชำระเงินผ่านบัตร (Card payment fraud)
การฉ้อโกงการชำระเงินด้วยบัตรเป็นการฉ้อโกงทางการเงินประเภทหนึ่งที่เกิดขึ้น โดยมิจฉาชีพจะใช้บัตรเครดิตหรือบัตรเดบิตของผู้อื่นเพื่อทำการซื้อหรือถอนเงินจากตู้ ATM โดยไม่ได้รับอนุญาต ทั้งจากการไม่แสดงบัตร การปลอมบัตร หรือการโจรกรรมบัตรมาใช้ เพื่อทำการซื้อของออนไลน์หรือทำธุรกรรมทางการเงินต่างๆ ซึ่งนำไปสู่การสูญเสียเงินจำนวนมากและส่งผลเสียต่อคะแนนเครดิต
3. บริการฉ้อโกง (FaaS)
FaaS หรือ Fraud as a Service เป็นรูปแบบบริการคลาวน์ฉ้อโกงทางออนไลน์ ที่อาชญากรสร้างรายได้จากบริการฉ้อโกงทางออนไลน์ การหลอกลวงนั้นสามารถทำซ้ำและเกิดขึ้นได้ง่ายกว่าที่เคย อย่างเช่น
- Professional refunder: เป็นการการขอคืนเงินจากการหลอกลวงในปริมาณมาก โดยมิจฉาชีพมักจะทำโฆษณาบนโซเชียลมีเดียจำนวนมาก โดยมีข้อเสนอ อย่างเช่น ส่วนลดจำนวนมาก ที่จูงใจให้เหยื่อซื้อสินค้า แต่ลูกค้าจะต้องแลกกับค่าธรรมเนียมในการจัดการ ซึ่งมิจฉาชีพจะกำหนดเป้าหมายไปยังร้านค้าที่ไม่ระมัดระวังและขาดโยบายการคืนสินค้าที่ชัดเจน โดยมิจฉาชีพจะใช้ประโยชน์จากคำสั่งซื้อที่ถูกต้องตามกฎหมายที่ได้รับจากลูกค้าจริง และขอเงินคืนโดยที่ตั้งใจที่จะไม่คืนสินค้า หากการหลอกลวงล้มเหลว มิจฉาชีพก็จะมีตัวเลือกสำรองในการยื่นขอปฏิเสธการชำระเงิน
- Fake returns: การหลอกลวงประเภทนี้ เป็นการพยายามที่จะใช้ประโยชน์จากจุดอ่อนในกระบวนการคลังสินค้าและขั้นตอนการส่งคืน โดยมิจฉาชีพจะการปลอมแปลงการคืนสินค้า เช่น การส่งสินค้าที่มีขนาดและน้ำหนักใกล้เคียงกัน หรือการส่งคืนสินค้าลอกเลียนแบบที่มีคุณภาพต่ำกว่ามาตรฐาน
4. การฉ้อโกงโดยการปฏิเสธการชำระเงิน (Chargeback fraud)
การทุจริตโดยการปฏิเสธการชำระเงิน (Chargeback fraud) หรือ Friendly fraud ซึ่งเมื่อผู้ฉ้อโกงได้รับสินค้าหรือบริการครบถ้วนแล้ว จะยื่นเรื่องปฏิเสธรายการต่อธนาคารผู้ออกบัตรแทนการติดต่อกับร้านค้าโดยตรง เพื่อขอคืนเงิน (refund) ตามปกติ โดยเกิดได้จากหลายสาเหตุ อย่างเช่น
- หวังผลประโยชน์โดยไม่เสียค่าตอบแทน
- การที่คืนเงินเกินจำนวนครั้งที่กำหนดแล้ว
- บัตรเครดิตถูกขโมยหรือถูกใช้โดยไม่ได้รับความยินยอม
- สินค้าหรือบริการมีข้อบกพร่อง เสียหายหรือไม่เป็นไปตามที่อธิบายไว้
- ลืมว่าได้ซื้อสินค้าไป
5. การฉ้อโกงแบบ Sleeper (Sleeper fraud)
คำว่า “sleeper” หมายถึงบัญชีฉ้อฉล หรือ Synthetic Identity Fraud ซึ่งดูเหมือนจะเป็นบัญชีที่มีเครดิตดี แต่อันที่จริงแล้วเป็นบัญชีฉ้อโกง ซึ่งการโกงประเภทนี้มักมีการไตร่ตรองล่วงหน้า เป็นการฉ้อโกงทางการเงินประเภทหนึ่งที่เป็นแบบใหม่และมีความท้าทายเพิ่มขึ้นเรื่อยๆ เพราะมิจฉาชีพจะค่อยๆ สร้างประวัติการชำระเงินอย่างตรงเวลา เมื่อมีประวัติหรือเครดิตที่ดีแล้ว ก็จะสมัครขอสินเชื่อ โดยขอวงเงินกู้สูงสุด จนในที่สุดก็จะฉวยโอกาสและหายไปพร้อมกับเงิน และทิ้งร่องรอยของหนี้ที่ยังไม่ได้ชำระไว้ โดยทั่วไปแล้วมักพบในผลิตภัณฑ์อย่างเช่น สินเชื่อส่วนบุคคล บัตรเครดิตและบริการซื้อก่อนจ่ายที่หลัง (BNPL) เป็นการฉ้อโกงที่ส่งผลให้เกิดความสูญเสียอย่างมากต่อธุรกิจรวมถึงผู้ที่ตกเป็นเหยื่อที่ถูกขโมยข้อมูลประจำตัวเพื่อสร้างบัญชีฉ้อโกง
“การสร้างความไว้วางใจในโลกดิจิทัลนี้เป็นสิ่งที่จำเป็นสำหรับความสำเร็จของธุรกิจ”
จะเห็นได้ว่าค่าใช้จ่ายจากมูลค่าความเสียหายของการฉ้อโกงธุรกรรม (Transaction fraud) หากมีการยืนยันตัวตนหรือตรวจสอบลูกค้าในขั้นตอน Onboarding อย่างเดียวก็อาจไม่เพียงพออีกต่อไป เพราะในทุกๆ Journey ของการทำธุรกรรมมีโอกาสที่จะเกิดขึ้นและมูลค่าความเสียหายไม่ใช้น้อยๆ ซึ่งเป็นปัญหาที่เพิ่มขึ้นในเอเชียตะวันออกเฉียงใต้ (SEA)
วิธีการป้องกันการฉ้อโกงธุรกรรม (Transaction fraud)
1. การหลอกโอนเงิน (Money transfer fraud)
เป็นเรื่องยากที่จะหลีกเลี่ยงคุณถูกเป็นเหยื่อของ Social Engineering แต่สำหรับธุรกิจก็สามารถมีมาตรการในการป้องกันเบื้องต้นได้ เช่น บริษัทต้องสื่อสารถึงนโยบายและช่องทางการติดต่อ ไม่ว่าจะเป็น ผ่านหน้าเว็บไซต์หลักของบริษัทหรือส่ง SMS แจ้งเตือนให้ลูกค้าได้รับรู้ ส่วนสำหรับลูกค้าเองก็ต้องตระหนักถึงรูปแบบถึงการ Phishing และความเป็นไปได้หากถูกถามถึงข้อมูลสำคัญ เช่น ชื่อผู้ใช้และรหัสผ่าน ผ่านทางลิงก์ อีเมลหรือผ่านทางโทรศัพท์ อาจจะยังไม่ต้องทำอะไรทั้งสิ้น แต่ควรยืนยันสถานการณ์ให้แน่ชัดเสียก่อน
2. การฉ้อโกงการชำระเงินผ่านบัตร (Card payment fraud)
การใช้ MFA หรือระบบยืนยันตัวตนเพิ่มเติมแบบหลายปัจจัย ตั้งแต่ 2FA หรือ 3FA สำหรับตรวจสอบและยืนยันความถูกต้อง เพราะการใส่รหัสผ่านแบบขั้นตอนเดียวอาจไม่เพียงพออีกต่อไป ซึ่งการมีโซลูชัน MFA จะช่วยในการตรวจจับพฤติกรรมผิดปกติและน่าสงสัยได้ เช่น หลังจากที่มีการการชำระเงินผ่านบัตรเครดิต ก็มีระบบยืนยันตัวตนเพื่อให้กรอกรหัส SMS-OTP ที่ส่งให้ตามเบอร์โทรศัพท์ที่ลูกค้าเคยลงทะเบียนไว้
3. บริการฉ้อโกง (FaaS)
เป็นเรื่องยากที่จะทำการตรวจสอบหากธุรกิจต้องเจอกับ บริการฉ้อโกง (FaaS) เพราะมิจฉาชีพจะใช้ประโยชน์จากคำสั่งซื้อที่ถูกต้องที่ได้รับจากลูกค้าจริง ทำให้ธุรกิจยากที่จะบอกปฏิเสธและเมื่อสินค้าคืนที่รับคืนมาไม่ใช่สินค้าจริงๆ หรือเป็นสินค้าคนละอย่าง ก็ทำให้เกิดความเสียหายทางการเงินต่อธุรกิจ ซึ่งอาจจะต้องใช้เครื่องมือในการจับ Frauds ในแต่ละกรณี เช่น
- รับรองและตรวจสอบความถูกต้องสำหรับผู้ซื้อ (Authenticate Buyer) สำหรับตรวจสอบแยกในแต่ละกรณีที่มีการคืนสินค้า นอกจากนี้ธุรกิจสามารถตรวจสอบธุรกรรมของลูกค่เป็นประจำเพื่อตรวจหากิจกรรมที่น่าสงสัยเพื่อป้องกันการฉ้อโกง เช่น คำสั่งซื้อจำนวนมากผิดปกติหรือคำสั่งซื้อหลายรายการจากที่อยู่ IP เดียวกัน
- รับรองและตรวจสอบความถูกต้องสำหรับการคืนเงิน (Authenticate Refund) มีขั้นตอนในการตรวจสอบสิทธิ์เพิ่มเติมเพื่อยืนยันตัวตนของลูกค้าก่อนที่จะดำเนินการคืนเงิน หรือหากธุรกิจมีนโยบายในการไม่รับคืนสินค้า ควรแสดงให้ลูกค้าเห็นอย่างชัดเจน
4. การฉ้อโกงโดยการปฏิเสธการชำระเงิน (Chargeback fraud)
- รับรองและตรวจสอบความถูกต้องสำหรับผู้ซื้อ (Authenticate Buyer) หรือมีช่องทางในการตรวจสอบความถูกต้องระหว่างผู้ซื้อและผู้ที่เปิดบัญชีในแต่ละธนาคาร เช่น มี SMS-OTP ผ่านเบอร์โทรศัพท์หรืออีเมลเพื่อยืนยันก่อนชำระเงิน หรือยืนยันตัวตนผู้ซื้อด้วย Liveness Verification ทั้งใบหน้าและบัตรประชาชนของผู้ซื้อก่อนชำระเงิน เพื่อยืนยันว่าเป็นคนๆ เดียวกันและหลีกเลี่ยงการปฏิเสธจากลูกค้าในภายหลังว่าไม่ได้เป็นคนซื้อ
- มีนโยบายการคืนเงินและการคืนสินค้าที่ชัดเจนและเข้าใจง่าย ซึ่งอาจแสดงไว้อย่างชัดเจนผ่านเว็บไซต์หรือเพจต่างๆ ของธุรกิจ สิ่งนี้จะสามารถช่วยป้องกันไม่ให้ลูกค้ามีข้อโต้แย้งการเรียกเก็บเงินเนื่องจากความไม่พอใจ
5. การฉ้อโกงแบบ Sleeper (Sleeper fraud)
การฉ้อโกงแบบ Sleeper เป็นวิธีการฉ้อโกงที่แนบเนียนมาก จนแทบจะดูด้วยตาเปล่าไม่ออกได้ ทำให้ธุรกิจจำเป็นที่จะต้องมีโซลูชัน AI อย่างเช่น
- ใช้ Biometrics สำหรับ Onboarding ผู้ใช้งานใหม่
- Facial Liveness Detection และ Document Spoofing Detection เพื่อป้องกันการปลอมแปลงบัตร เช่น จากการถ่ายรูปบัตรประชาชนผ่านจอหรือถ่ายรูปบัตรประชาชนจากภาพถ่ายสำเนาเอกสาร
- Cross Validation กับ Local Third Party Data ตรวจสอบความถูกต้องระหว่างแหล่งข้อมูล (Cross check) กับข้อมูลที่จำเป็นเพิ่มขึ้นอีกขั้น เช่น ข้อมูลจากหน่วยงานรัฐที่น่าเชื่อถือ รายการเดินบัญชีธนาคาร (Bankstatement) หรือข้อมูลการชำระบิลค่าสาธารณูปโภคต่างๆ (Utility Bill)
หากธุรกิจของคุณกำลังมองหา เครื่องมือในการจับ Fraud สำหรับขั้นตอนพิสูจน์และยืนยันตัวตนหรือตรวจจับความผิดปกติระหว่างที่มีการทำธุรกรรมเกิดขึ้น UpPass ก็เป็นหนึ่งในโซลูชันที่มีเครื่องมือในการป้องกันการฉ้อโกงธุรกรรม (Transaction fraud) ในรูปแบบต่างๆ ได้ ถึงเวลาแล้วที่ธุรกิจจะพิจารณา Strategy ในการป้องกันความเสี่ยงแบบหลายชั้น 3 กลยุทธ์สำคัญในการป้องกันธุรกิจจากการฉ้อโกง
หากคุณสนใจ UpPass สามารถ ทดลองใช้ฟรี หรือ ขอชม demo
อ่านบทความอื่นเพิ่มเติมได้ที่ https://uppass.io/blog/