QR Code PromptPay ปลอม สังเกตอย่างไร ป้องกันได้อย่างไร

QR Code PromptPay เป็นรหัสที่เข้ารหัสข้อมูลบัญชีปลายทางตามมาตรฐาน EMVCo เมื่อลูกค้าสแกน QR Code ด้วยแอปธนาคาร ระบบจะอ่านข้อมูลและนำทางไปยังหน้าโอนเงินให้กับบัญชีที่ระบุไว้ใน QR นั้น ปัญหาคือ QR Code เป็นเพียงรูปภาพที่เข้ารหัสข้อมูลตัวเลข ใครก็สามารถสร้าง QR Code ที่ชี้ไปยังบัญชีใดก็ได้ รวมถึงบัญชีของมิจฉาชีพ

QR Code PromptPay ปลอมคือ QR Code ที่ถูกสร้างขึ้นเพื่อให้เงินโอนเข้าบัญชีของมิจฉาชีพแทนที่จะเข้าบัญชีร้านค้าที่แท้จริง โดยทั่วไปมิจฉาชีพจะสร้าง QR Code ที่มีหน้าตาเหมือน QR Code ทั่วไป แล้วนำไปวางแทนที่ QR Code จริงของร้านค้า เมื่อลูกค้าสแกนและโอนเงิน เงินจะเข้าบัญชีมิจฉาชีพทันที ในขณะที่ร้านค้าคิดว่าลูกค้ายังไม่ได้จ่ายเงิน

ความน่ากลัวของกลโกงนี้คือทั้งร้านค้าและลูกค้าอาจไม่รู้ตัวเลย ลูกค้าเห็นว่าโอนเงินสำเร็จจึงคิดว่าจ่ายเงินเรียบร้อย ส่วนร้านค้าตรวจสอบแล้วไม่มีเงินเข้าจึงเกิดข้อพิพาท สุดท้ายกว่าจะรู้ว่าถูกหลอก เงินก็ถูกถอนออกจากบัญชีมิจฉาชีพไปแล้ว

ปัจจุบันกลโกง QR Code ปลอมพบมากขึ้นเรื่อยๆ โดยเฉพาะในร้านค้าที่มีคนเข้าออกจำนวนมาก เช่น ร้านอาหาร ตลาดนัด ร้านกาแฟ และร้านค้าที่ใช้ QR Code แบบ Static ติดหน้าร้าน การทำความเข้าใจกลโกงเหล่านี้คือก้าวแรกในการป้องกันตัวเอง

มิจฉาชีพมีหลายวิธีในการใช้ QR Code PromptPay หลอกลวง แต่ละวิธีมีระดับความซับซ้อนและความเสี่ยงต่างกัน ร้านค้าควรรู้จักกลโกงเหล่านี้เพื่อจะได้ระวังและป้องกันได้ทัน

นอกจากกลโกง 3 รูปแบบหลักข้างต้น ยังมีกรณีที่มิจฉาชีพส่ง QR Code ปลอมผ่านช่องทางออนไลน์ เช่น ส่ง QR Code ให้ลูกค้าผ่าน LINE หรือ Facebook โดยอ้างว่าเป็น QR Code ของร้านค้า หรือสร้างเว็บไซต์ปลอมที่แสดง QR Code ที่ชี้ไปยังบัญชีมิจฉาชีพ

ร้านค้าออนไลน์ที่ส่ง QR Code ให้ลูกค้าทาง Chat ก็มีความเสี่ยงเช่นกัน หากบัญชี LINE ของร้านถูกแฮกหรือมีคนแอบอ้างเป็นร้านค้า ลูกค้าอาจได้รับ QR Code ปลอมโดยไม่รู้ตัว ดังนั้นทั้งร้านค้าและลูกค้าต้องตระหนักถึงความเสี่ยงนี้และมีวิธีป้องกันที่เหมาะสม

การสังเกต QR Code ปลอมด้วยตาเปล่านั้นทำได้ยาก เพราะ QR Code ทุกตัวมีหน้าตาคล้ายกันเป็นจุดสี่เหลี่ยมเล็กๆ ที่เรียงตัวเป็นรูปแบบเฉพาะ อย่างไรก็ตามมีวิธีตรวจสอบที่ช่วยลดความเสี่ยงได้อย่างมาก

วิธีแรกที่สำคัญที่สุดคือ ตรวจสอบชื่อบัญชีปลายทางทุกครั้งก่อนโอน เมื่อสแกน QR Code PromptPay ด้วยแอปธนาคาร ระบบจะแสดงชื่อบัญชีปลายทางให้เห็นก่อนยืนยันการโอนเสมอ ลูกค้าควรตรวจสอบว่าชื่อที่แสดงตรงกับชื่อร้านค้าหรือเจ้าของร้านจริง ส่วนร้านค้าควรแจ้งลูกค้าล่วงหน้าว่าชื่อบัญชีที่ถูกต้องคืออะไร เพื่อให้ลูกค้าตรวจสอบได้ง่าย

วิธีที่สองคือ ตรวจสอบสภาพ QR Code ทางกายภาพ สำหรับร้านค้าที่ใช้ QR Code แบบพิมพ์ ควรตรวจสอบเป็นประจำว่ามีสติกเกอร์หรือกระดาษวางทับ QR Code จริงหรือไม่ ลองใช้เล็บหรือนิ้วสัมผัสพื้นผิว QR Code ดูว่ามีความนูนหรือขอบสติกเกอร์หรือเปล่า หาก QR Code ติดอยู่บนกรอบอะคริลิก ให้ตรวจดูว่ากรอบถูกเปิดหรือมีรอยงัดหรือไม่

วิธีที่สามคือ ทดสอบ QR Code ด้วยตัวเอง ก่อนเปิดร้านในแต่ละวัน เจ้าของร้านควรสแกน QR Code ของร้านด้วยแอปธนาคารตัวเอง ตรวจสอบว่าชื่อบัญชีปลายทางยังเป็นของตัวเองอยู่ วิธีนี้ใช้เวลาไม่ถึง 10 วินาที แต่ป้องกันความเสียหายได้มหาศาล

วิธีสุดท้ายคือ เปรียบเทียบ QR Code กับต้นฉบับ ร้านค้าควรเก็บไฟล์ QR Code ต้นฉบับไว้ในมือถือหรือคอมพิวเตอร์ เพื่อใช้เปรียบเทียบกับ QR Code ที่ติดอยู่หน้าร้านเมื่อสงสัย หากรูปแบบจุดของ QR Code แตกต่างจากต้นฉบับ แสดงว่าถูกเปลี่ยนแน่นอน

การป้องกัน QR Code ปลอมต้องทำอย่างเป็นระบบ ไม่ใช่แค่ระวังเป็นครั้งคราว ร้านค้าที่มีกระบวนการป้องกันที่ชัดเจนจะลดโอกาสถูกหลอกลงได้อย่างมาก ต่อไปนี้คือแนวทางปฏิบัติที่ร้านค้าทุกขนาดควรนำไปใช้

พิมพ์ QR Code ใหม่สม่ำเสมอ — ร้านค้าควรพิมพ์ QR Code ใหม่และเปลี่ยนทุก 1-2 สัปดาห์ หรือทันทีที่สงสัยว่าอาจถูกเปลี่ยน การพิมพ์ QR Code ใหม่ไม่มีค่าใช้จ่ายมากนัก แต่ช่วยลดความเสี่ยงได้มาก นอกจากนี้ควรใส่ QR Code ในกรอบที่มีฝาปิดหรือลามิเนต เพื่อให้การแปะทับทำได้ยากขึ้น

ใช้ QR Code แบบ Dynamic — แทนที่จะใช้ QR Code แบบ Static ที่ไม่เปลี่ยนแปลง ร้านค้าควรพิจารณาใช้ QR Code แบบ Dynamic ที่สร้างใหม่ทุกครั้งสำหรับแต่ละรายการ ระบบ POS หรือแอปรับชำระเงินหลายตัวรองรับการสร้าง QR Code แบบ Dynamic ที่ระบุจำนวนเงินชัดเจนสำหรับแต่ละ Transaction วิธีนี้ทำให้ QR Code ปลอมที่วางทับไม่มีผลกระทบ เพราะลูกค้าจะได้รับ QR Code ใหม่ทุกครั้ง

ตรวจสอบยอดเงินเข้าบัญชีทุกครั้ง — นี่คือมาตรการป้องกันที่สำคัญที่สุด ไม่ว่า QR Code จะถูกต้องหรือไม่ ร้านค้าต้องยืนยันว่าเงินเข้าบัญชีจริงก่อนส่งมอบสินค้าหรือบริการ อย่าเชื่อสลิปที่ลูกค้าแสดงเพียงอย่างเดียว ต้องตรวจสอบ Notification จากแอปธนาคาร หรือใช้ระบบตรวจสลิปอัตโนมัติที่ยืนยันกับข้อมูลธนาคารโดยตรง

ตั้งกล้องวงจรปิดบริเวณ QR Code — สำหรับร้านค้าที่มีงบประมาณ การติดกล้องวงจรปิดบริเวณที่วาง QR Code ช่วยป้องกันและติดตามได้หากมีคนพยายามเปลี่ยน QR Code นอกจากนี้ยังเป็นหลักฐานสำคัญหากต้องแจ้งความดำเนินคดี

ไม่ว่าร้านค้าจะป้องกัน QR Code ปลอมได้ดีแค่ไหน สิ่งที่สำคัญที่สุดคือการยืนยันว่าเงินเข้าบัญชีร้านค้าจริง SlipPulse ทำหน้าที่นี้ได้อย่างสมบูรณ์แบบ โดยตรวจสอบทุกสลิปที่ลูกค้าส่งมาว่าเป็นสลิปจริงที่เงินเข้าบัญชีร้านจริงหรือไม่

เมื่อลูกค้าส่งสลิปการโอนเงินเข้า LINE Group ของร้าน SlipPulse Bot จะอ่าน Transaction Reference Number จากสลิป แล้วส่งไปตรวจสอบกับ API ธนาคารทันที ระบบจะยืนยันว่า Transaction นั้นมีอยู่จริง จำนวนเงินถูกต้อง และบัญชีปลายทางเป็นบัญชีของร้าน ทั้งหมดนี้เกิดขึ้นภายใน 3 วินาที และแจ้งผลใน LINE Group ทันที

ในกรณีที่ลูกค้าสแกน QR Code ปลอมและเงินเข้าบัญชีมิจฉาชีพแทน เมื่อลูกค้าส่งสลิปมาให้ร้าน SlipPulse จะตรวจพบทันทีว่ายอดโอนไม่ตรงกับบัญชีร้าน หรือไม่พบ Transaction ที่ตรงกัน ร้านค้าจะได้รับแจ้งเตือนทันทีว่ามีปัญหา ทำให้สามารถหยุดการส่งสินค้าและแจ้งลูกค้าให้ตรวจสอบ QR Code ที่สแกนได้ทันท่วงที

SlipPulse เป็นด่านสุดท้ายที่ช่วยป้องกันความเสียหายจาก QR Code ปลอม แม้ว่า QR Code ของร้านจะถูกเปลี่ยน แต่ถ้าร้านใช้ SlipPulse ตรวจสอบทุกสลิป จะรู้ทันทีว่าเงินไม่ได้เข้าบัญชีร้าน ทำให้สามารถแก้ไขปัญหาได้ก่อนที่จะสูญเสียสินค้าหรือบริการไป

บทความที่เกี่ยวข้อง

คำถามที่พบบ่อย