การยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometric Verfication)
ในช่วงไม่กี่ปีที่ผ่านมา การยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometrics) อย่างเช่น การสแกนใบหน้าหรือสแกนลายนิ้วมือได้กลายเป็นวิธีการยืนยันตัวตนผู้ใช้งานมากขึ้นจนกลายเป็นสิ่งที่คุ้นเคยสำหรับผู้ใช้งาน ซึ่งปกติแล้วจะใช้สำหรับการเข้าสู่ระบบหรือการลงทะเบียนใช้บริการออนไลน์ครั้งแรก อีกทั้งยังเป็นวิธีที่สะดวกและรวดเร็วต่อผู้งานเพราะไม่จำเป็นต้องพกบัตรหรือต้องจำรหัสผ่าน อย่างไรก็ตาม เมื่อเทคโนโลยีก้าวหน้าขึ้น แฮ็กเกอร์หรือมิชฉาชีพก็มีวิธีการใหม่ๆ ในการโจรกรรมข้อมูลมากขึ้นเรื่อยๆ ทำให้การยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometrics) ก็อาจไม่เพียงพอต่อการปกป้องข้อมูลและระบบที่ละเอียดอ่อนอีกต่อไป
ไปทำความรู้จักการยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometrics Verification) ให้มากกว่าเดิมกัน
Biometrics Verification คืออะไร
การยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometrics Verification) คือการใช้เทคโนโลยีมาใช้ในการจับคู่ใบหน้าจริงกับรูปถ่ายในเอกสารประจำตัว เช่น บัตรประชาชน หนังสือเดินทาง หรือใบขับขี่ เพื่อยืนยันว่าบุคคลนั้นเป็นใครและเพื่อให้แน่ใจว่าเป็นบุคคลจริง ไม่ใช่รูปถ่ายหรือผ่านการปลอมแปลงมา นอกจากนี้อาจใช้ลักษณะเฉพาะตัวของแต่ละบุคคลที่ไม่ซ้ำใคร เช่น ลายนิ้วมือ รูม่านตา ใบหน้า เสียง ในการเปรียบเทียบ
วิธีพื้นฐานในการยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometrics)
3 รูปแบบ ได้แก่
1. Selfie & Liveness Verification
การพิสูจน์ตัวตนที่มักคุ้นเคยกันผ่านการสแกนใบหน้า โดยการนำ Liveness detection พิสูจน์ว่าบุคคลที่กำลังยืนยันตัวตนอยู่นั้นเป็นคนจริงๆ ด้วยการกำหนดให้กระทำบางอย่าง เช่น การกระพริบตา การหันซ้าย-หันขวา การพยักหน้า ฯลฯ ซึ่งจะสามารถป้องกันปัญหาเรื่อง deepfakes ได้ ซึ่งก็ขึ้นอยู่กับระดับความเสี่ยงของแต่ละธุรกรรมตามที่กฎหมายและข้อบังคับต่างๆได้กำหนดไว้เช่นกัน
2. ID Document Verification
การตรวจสอบเอกสารระบุตัวตนของผู้ใช้งานทางออนไลน์ ไม่ว่าจะเป็น บัตรประจำตัวประชาชน, หนังสือเดินทาง, ใบขับขี่, รายการเดินบัญชีธนาคาร รวมถึงค่าสาธารณูปโภค ฯลฯ ถือเป็นอีกหนึ่งข้อมูลทางเลือก (Alternative Data) ที่ใช้ในการพิจารณาลูกค้าได้ง่ายขึ้น
3. Face Comparison
การใช้เทคโนโลยีจดจำใบหน้า หรือ Face Recognition เป็นการเปรียบเทียบใบหน้ากับฐานข้อมูล พร้อมวิเคราะห์องค์ประกอบต่าง ๆ และเอกลักษณ์ของใบหน้า อย่างเช่น ตา จมูก คิ้ว ปาก โครงหน้า ฯลฯ เพื่อยืนยันว่าใบหน้าที่ตรวจจับได้ถูกต้องและตรงกับบุคคลนั้นๆ
สิ่งเหล่านี้เป็นเพียงการยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometrics Verfication) ขั้นพื้นฐานสำหรับการ Onboarding ลูกค้าในครั้งแรก แต่ก็ใช่ว่าหลังจากนั้นธุรกิจจะไม่มีความเสี่ยงจากผู้ใช้งานเกิดขึ้น หรืออาจมีแฮ็กเกอร์สวมรอย แล้วสร้างธุรกรรมทางการเงินขึ้นมาใหม่ จากการสำรวจหลังจากวิกฤตการณ์โควิด-19 มีการฉ้อโกงเพื่อครอบครองบัญชี (ATO) ผ่านการทำธุรกรรมออนไลน์ในปี 2565 เติบโตในอัตราที่น่าตกใจสูงถึง 211% เมื่อเทียบกับช่วงเดียวกันของปีที่แล้ว ซึ่งสร้างมูลค่าความเสียหายเพิ่มขึ้นอย่างรวดเร็ว โดยเฉพาะในเอเชียตะวันออกเฉียงใต้ (SEA)
3 กระบวนการหลักที่ทำให้แฮกเกอร์ประสบความสำเร็จ นั่นก็คือ
1. พยายามเข้าสู่ระบบ (Login)
มิจฉาชีพส่วนใหญ่พยายามที่จะเข้ายึดบัญชี ผ่านการใช้บอทหรือพยายามปลอมตัวเป็นผู้ใช้ ซึ่งภัยคุมคามทางไซเบอร์ที่พบได้บ่อย อย่างเช่น
- ฟิชชิง (Phishing): เป็นการหลอกลวงโดยทำให้เหยื่อเชื่อและขอข้อมูลที่สำคัญทางอินเทอร์เน็ต เช่น การส่งอีเมล เพื่อขอรหัสผ่านหรือหมายเลขบัตรเครดิต โดยแฮกเกอร์จะมีการแนบลิงก์มากับข้อความให้เหยื่อคลิกลิงก์เพื่อนำไปสู่เว็บไซต์ปลอมและหลอกให้กรอกข้อมูลส่วนตัวต่างๆ
- Data Leak: เป็นการขโมยข้อมูลส่วนบุคคลจากอินเทอร์เน็ตหรือตามโซเชียลมีเดียโดยไม่ได้รับอนุญาตจากเจ้าของข้อมูล
- Social Engineering: เป็นศิลปะในการหลอกลวงผู้อื่น โดยใช้หลักการทางจิตวิทยา เพื่อให้เหยื่อเปิดเผยข้อมูล เช่น การส่ง SMS แจ้งว่าเป็นผู้โชคดีหรือการส่งอีเมลหลอกล่อให้เหยื่อคลิกลิงก์ปลอม ฯลฯ ซึ่งเป็นการโจมตีที่ได้ผลดีมากเมื่อเทียบกับการโจมตีทางไซเบอร์ลักษณะอื่นๆ เพราะเล่นกับจุดอ่อนและความรู้เท่าไม่ถึงการณ์
2. การสวยรอยทำธุรกรรม (Transaction)
หลังจากที่แฮกเกอร์ขโมยข้อมูลส่วนบุคคลและสวมรอยได้แล้ว แฮกเกอร์ก็จะทำการเข้าสู่ระบบและนำข้อมูลที่มีไปสวมรอยทำธุรกรรมทางการเงิน โอนเงินออกจนหมดบัญชีหรือนำข้อมูลบัตรเครดิตเพื่อไปทำธุรกรรมแทนตัวจริงได้
3. การสร้างบัญชีขึ้นมาใหม่ (Account Creation)
การสร้างบัญชีใหม่มาขึ้นจากการสมัครสมาชิกจากข้อมูลที่ได้ขโมยมาก ไม่ว่าจะเป็น วันเดือนปีเกิด ที่อยู่ หรือหมายเลขบัตรประชาชน หรือการหลอกถามข้อมูลต่างๆ เพื่อเปลี่ยนแปลง Password โดยแฮกเกอร์จะรวมข้อมูลทั้งจริงและเท็จเข้าด้วยกันเพื่อสร้างบัญชีขึ้นมาใหม่ ซึ่งถือเป็นการฉ้อโกงตัวตนแบบ Synthetic Identity Fraud อย่างหนึ่ง ซึ่งหากบัญชีใหม่ที่สร้างขึ้นมาจากการขโมยข้อมูลส่วนบุคคลมา โดยช่วงแรกจะประพฤติตัวดี ไม่น่าสงสัย ชำระเงินคืนตามปกติ หรือทำธุรกรรมตามปกติเหมือนลูกค้าชั้นดี แต่พอหลังจากที่ได้รับการปรับวงเงินขึ้นหรือได้รับสิทธิพิเศษต่างๆ ก็จะ ใช้วงเงินจนเต็มและไม่ชำระคืน โดยส่วนมากมิจฉาชีพจะเปิดบัญชีเท็จหลายๆบัญชีพร้อมกัน
การยืนยันตัวตนด้วยไบโอเมตริกซ์อาจไม่เพียงพออีกต่อไป (Go beyond Biometrics)
การทำธุรกรรมการเงินออนไลน์ที่สะดวกสบายในปัจจุบัน แม้จะมีขั้นตอนยืนยันตัวตัวตนโดยใช้ sms หรือ otp เพื่อความปลอดภัย แต่ก็ความเสี่ยงที่อาจถูกสวมรอยทำธุรกรรมผ่านบัญชีได้ ดังนั้น เพื่อลดความเสี่ยง (fraud) ที่มีโอกาสเกิดขึ้นทั้งต่อธุรกิจและลูกค้า ธุรกิจสามารถใช้โซลูชันในการป้องกันความเสี่ยง (Fraud services) หรือยืนยันผ่านข้อมูล Local Third Party เพื่อช่วยในการระบุและยืนยันตัวตนลูกค้าอีกครั้งจาก
- ฐานข้อมูลอัตลักษณ์ท้องถิ่น (Local Identity Database)
- ลายนิ้วมือ (Device fingerprinting)
- การตรวจสอบการฉ้อโกงที่อยู่อีเมล (Email address fraud checks)
- ตรวจสอบการฉ้อโกงหมายเลขโทรศัพท์มือถือ (Mobile number fraud checks)
- การตรวจสอบการทำธุรกรรมผ่านธนาคาร (Bank Transaction Verification)
- การทำความรู้จักธุรกิจ (Know Your Business)
- การตรวจสอบการฟอกเงิน (AML Check)
- การตรวจสอบบิลค่าสาธารณูปโภค (Utility Data for Residency Verification)
- การยืนยันบัญชีร้านค้า (Merchant Account Verification)
แม้การยืนยันตัวตนด้วยไบโอเมตริกซ์ (Biometrics) จะช่วยปกป้องผู้บริโภค จากการถูกโจรกรรมข้อมูลและอาชญากรรมทางไซเบอร์ได้ แต่ในขณะเดียวก็พบการเพิ่มขึ้นของการฉ้อโกงตัวตน มีคนจำนวนมากตกเป็นเหยื่อจากภัยคุกคามไซเบอร์ สิ่งสำคัญก็คือธุรกิจต้องทำความเข้าใจว่าโอกาสที่จะเกิดความเสี่ยง (Fraud) นั้น ป้องกันแค่เพียงขั้นตอนแรกอาจไม่เพียงพอ เพราะการปกป้องข้อมูลประจำตัวเป็นกระบวนการต่อเนื่อง ดังนั้น การรับรองความถูกต้องด้วยหลายปัจจัย (Multifactor Authentication) ก็จะเป็นเสมือนการเพิ่มชั้นการป้องกันพิเศษให้กับข้อมูล ที่สามารถตรวจสอบได้มากกว่าไบโอเมตริกซ์ (Biometrics) ซึ่ง UpPass ก็เป็นหนึ่งในโซลูชันที่ช่วยป้องกันความเสี่ยงให้กับธุรกิจได้ โดยที่ธุรกิจสามารถ Integrate ข้อมูลเหล่านี้ไว้ใน User Journey ได้ตั้งแต่ขั้นตอนการลงทะเบียน เข้าสู่ระบบ ชำระเงินหรือหลังจากรีเซ็ตรหัสผ่าน ซึ่งเป็นวิธีช่วยป้องกันการฉ้อโกงและลดการปลอมแปลงข้อมูลได้
หากธุรกิจของคุณต้องการขอคำปรึกษาเกี่ยวกับโซลูชันที่ช่วยลดความเสี่ยงให้กับธุรกิจ สามารถติดต่อได้ที่ support@uppass.io หรือนัดหมายและขอชม Demo
อ่านบทความอื่นเพิ่มเติมได้ที่ https://blog.uppass.io
