ผู้ใช้:Zambo/การฉ้อโกงบัตรเครดิต

จากวิกิพีเดีย สารานุกรมเสรี

การฉ้อโกงบัตรอิเล็กทรอนิกส์ (อังกฤษ: electronic card fraud) เป็นคำที่กินความหมายกว้าง โดยหมายถึงการลักทรัพย์และการฉ้อโกงที่กระทำโดยใช้บัตรอิเล็กทรอนิกส์ บัตรเครดิต หรือสิ่งอื่นใดซึ่งใช้ชำระหนี้ในทำนองเดียวกัน เป็นเครื่องมือให้ได้มาซึ่งเงินจากธุรกรรมหรือบัญชีของผู้อื่น หรือซึ่งสินค้าและบริการโดยไม่ต้องชำระค่าใช้จ่าย การฉ้อโกงบัตรอิเล็กทรอนิกส์นี้เป็นส่วนหนึ่งของอาชญากรรมที่เรียกว่า "การขโมยเอกลักษณ์" (อังกฤษ: identity theft)

สมาคมการชำระหนี้แห่งสหราชอาณาจักร (อังกฤษ: UK Payments Association) รายงานว่า การฉ้อโกงบัตรอิเล็กทรอนิกส์มีมูลค่าต่อปีสูงหลายพันล้านดอลลาร์ และใน พ.ศ. 2549 การฉ้อโกงทำนองนี้ในสหราชอาณาจักรแต่แห่งเดียวกินมูลค่าสี่ร้อยยี่สิบแปดล้านยูโร[1]

ความเป็นมา[แก้]

สันนิษฐานว่าการฉ้อโกงบัตรอิเล็กทรอนิกส์เริ่มขึ้นพร้อม ๆ กับอาชญากรรมการขโมยบัตรอิเล็กทรอนิกส์เป็นใบ ๆ และการนำข้อมูลที่ได้จากการใช้บัตรอิเล็กทรอนิกส์อย่างไม่ระแวดระวังของผู้ถือบัตรไปใช้ในทางมิชอบ เช่น เสมียนแอบคัดลอกใบเสร็จของลูกค้าไปใช้ นอกจากนี้ ความที่การใช้บัตรอิเล็กทรอนิกส์ผ่านอินเทอร์เน็ตได้รับความนิยมเพิ่มขึ้นอย่างรวดเร็วก็ทำให้ข้อมูลเกี่ยวกับบัตรอิเล็กทรอนิกส์มีความสุ่มเสี่ยงที่จะต้องเผชิญกับอาชญากรไซเบอร์มากขึ้น และส่งผลให้การวางระบบรักษาความปลอดภัยให้แก่ข้อมูลดังกล่าวต้องเสียค่าใช้จ่ายหลายแสนหลายล้านก็มี[2] สำหรับการขโมยบัตรอิเล็กทรอนิกส์เป็นใบ ๆ นั้น ผู้ถือบัตรสามารถรายงานผู้เกี่ยวข้องได้ทันที แต่กรณีการนำข้อมูลที่ได้จากการใช้บัตรอิเล็กทรอนิกส์อย่างไม่ระแวดระวังของผู้ถือบัตรไปใช้ในทางมิชอบนั้น คนร้ายอาจเก็บข้อมูลไว้หลายสัปดาห์หรือนานกว่านั้นแล้วจึงค่อยนำออกมาใช้ ทำให้การระบุแหล่งที่ข้อมูลรรั่วไหลออกไปกระทำได้ยาก นอกจากนี้ ผู้ถือบัตรยังอาจไม่รู้ตัวว่าข้อมูลถูกขโมยไปใช้ต่อเมื่อมีใบเสร็จเรียกเก็บค่าบริการส่งมาถึง

ประเทศไทย[แก้]

สำหรับประเทศไทย การฉ้อโกงบัตรอิเล็กทรอนิกส์ไม่พบสถิติว่ามีมากน้อยเพียงไร และเริ่มมีเมื่อไรอย่างไร เพราะเป็นเรื่องใหม่มาก

โดยกรณีเด่น คือ เมื่อวันที่ 6-8 มีนาคม 2552 พ่อค้าแม่ค้าที่ตลาดอวยชัย หมู่ 4 ตำบลวังตะกอ อำเภอหลังสวน จังหวัดชุมพร และพื้นที่ใกล้เคียง พากันไปกดเงินจากเครื่องรับจ่ายเงินอัตโนมัติ (เอทีเอ็ม) ของธนาคารกรุงเทพ จำกัด (มหาชน) แต่ปรากฏว่าเงินในบัญชีพวกตนสูญหายไปเหลือเพียงเศษสตางค์ไม่กี่บาท จึงเข้าแจ้งความต่อสถานีตำรวจภูธรหลังสวน เบื้องต้นมีเจ้าทุกข์ทั้งหมดยี่สิบราย รวมยอดเงินที่สูญหายกว่าสามล้านบาท ต่อมา ตำรวจนำภาพจากกล้องวงจรปิดในจุดเกิดเหตุมาตรวจสอบ พบรูปพรรณสัณฐานคนร้ายลักษณะเป็นชาวจีน แต่ไม่มีประวัติในแฟ้มอาชญากรชาวไทย จึงประสานตรวจสอบแฟ้มประวัติคนร้ายของประเทศเพื่อนบ้านพบว่ามีลักษณะคล้ายคนร้ายแก๊งหนึ่ง และจากการตรวจสอบทะเบียนรถเก๋งที่จอดใกล้ตู้เอทีเอ็มซึ่งกล้องวงจรปิดบันทึกภาพไว้ได้ พบว่าเป็นรถเช่าในพื้นที่อำเภอหาดใหญ่ จังหวัดสงขลา จึงประสานไปยังนายสาโรจน์ โหยมทรัพย์ อายุสี่สิบสองปี เจ้าของรถให้เช่า เบื้องต้นทราบว่ามีลูกค้ามาเช่ารถเมื่อต้นเดือนมีนาคม และกำหนดส่งคืนรถวันที่ 8 มีนาคม จึงนำกำลังติดตามไปจับกุมผู้ต้องหาไว้ได้ขณะนำรถมาส่งคืน

สอบสวนนายเตียว เก๊ก หลิง ผู้ต้องหาให้การรับสารภาพว่า ร่วมกับนายโก ชิน เฮง เพื่อนร่วมแก๊งชาวมาเลเซียที่หลบหนีไปได้ นำอุปกรณ์เครื่องมืออิเล็กทรอนิกส์ เรียกว่า "แจมมิ่ง" ซึ่งพัฒนาจาก "สกิมมิ่ง" (ดู การลอกข้อมูลบัตร) เดินทางจากประเทศมาเลเซียมาเช่ารถยนต์ที่อำเภแหาดใหญ่ จังหวัดสงขลา ตระเวนไปก่อเหตุที่อำเภอหลังสวน จังหวัดชุมพร ตลอดจนจังหวัดสุราษฎร์ธานี จังหวัดประจวบคีรีขันธ์ และจังหวัดเพชรบุรี กระทำโดยใช้เครื่องลอกข้อมูลซึ่งมีความสามารถลอกข้อมูลจากบัตรอิเล็กทรอนิกส์ไปเก็บไว้จัดทำเป็นบัตรปลอมออกใช้ต่อไป เสร็จแล้วจะตรวจสอบว่าเหยื่อมีเงินในบัญชีเท่าไร รายใดมีมากก็โอนเงินเข้าบัญชีที่จังหวัดสงขลา แล้วโอนต่อไปไว้ในบัญชีเพื่อนร่วมแก๊งที่ประเทศมาเลเซีย จึงค่อยกลับไปแบ่งเงินกัน ทำมาแล้วหลายครั้ง ได้เงินไปไม่ต่ำกว่าสี่สิบล้านบาท หลังก่อเหตุพาเพื่อนร่วมแก๊งกลับไปส่งที่มาเลเซียก่อนย้อนกลับมาส่งคืนรถเช่ากระทั่งถูกตำรวจรวบตัว

นอกจากนี้ พันตำรวจเองสุพจน์ บุญชูดวง ผู้กำกับการสถานีตำรวจภูธรหลังสวน ยังแถลงว่า สำหรับนายเตียว เก๊ก หลิง ผู้ต้องหา หลังถูกจับกุมพยายามยัดสินบนเป็นเงินสดหนึ่งล้านสองแสนบาทให้ตำรวจเพื่อแลกกับการปล่อยตัว โดยผู้ต้องหาได้ติดต่อไปยังเพื่อนร่วมแก๊งที่มาเลเซียโอนเงินสินบนดังกล่าวมาให้ ตำรวจจึงยึดไว้เป็นหลักฐาน แจ้งข้อหาร่วมกันมีเครื่องมือหรือวัตถุสำหรับปลอมหรือแปลงหรือสำหรับให้ได้ข้อมูลในการปลอมแปลงบัตรอิเล็กทรอนิกส์, ร่วมกันปลอมและใช้บัตรอิเล็กทรอนิกส์ปลอม, ร่วมกันลักทรัพย์ในเวลากลางคืนโดยใช้ยานพาหนะ, และให้ ขอให้ หรือรับว่าจะให้ทรัพย์สินหรือประโยชน์อื่นใดแก่เจ้าพนักงาน เพื่อจูงใจให้กระทำการ ไม่กระทำการ หรือประวิงการกระทำอันมิชอบด้วยหน้าที่[3]

การขโมยบัตรอิเล็กทรอนิกส์เป็นใบ ๆ[แก้]

บัตรอิเล็กทรอนิกส์โดยมากแล้ว เมื่อหายหรือถูกขโมยก็ยังคงใช้การได้อยู่จนกว่าผู้ถือบัตรจะรายงานองค์กรที่ออกบัตรหรือผู้เกี่ยวข้อง เช่น บัตรกดเงินสดก็รายงานธนาคารที่ออกบัตรไม่ว่าสาขาไหนก็ได้ เป็นต้น องค์กรที่ออกบัตรอิเล็กทรอนิกส์มักมีบริการโทรศัพท์สายด่วนที่เปิดรับแจ้งเหตุดังกล่าวตลอดยี่สิบสี่ชั่วโมงโดยไม่เสียค่าใช้จ่าย กระนั้น คนร้ายก็ยังสามารถใช้บัตรที่ขโมยมาได้จนกว่าบัตรจะถูกยกเลิกหรืออายัด เชื่อได้ว่าหากไม่มีมาตรการต่าง ๆ เพื่อความปลอดภัยแล้ว ย่อมเป็นการง่ายที่คนร้ายจะใช้บัตรที่ขโมยไปซื้อสินค้าและบริการต่าง ๆ ได้มากถึงหลายหมื่นหลายแสนบาท ก่อนที่ผู้ถือบัตรหรือองค์กรที่ออกบัตรจะสำเหนียกได้ว่่าบัตรนั้นตกไปอยู่ในมือคนฉ้อฉลเสียแล้ว

ในสหรัฐอเมริกา รัฐบัญญัติกำหนดให้ผู้ถือบัตร

In the United States, federal law limits the liability of card holders to $50 in the event of theft, regardless of the amount charged on the card. [4] In practice, however, many banks will waive even this small payment and simply remove the fraudulent charges from the customer's account if the customer signs an affidavit confirming that the charges are indeed fraudulent. Other countries generally have similar laws aimed at protecting consumers from physical theft of the card.

The only common security measure on all cards is a signature panel, but signatures are relatively easy to forge. Many merchants will demand to see a picture ID, such as a driver's license, to verify the identity of the purchaser, and some credit cards include the holder's picture on the card itself. However, the card holder has a right to refuse to show additional verification, and asking for such verification may be a violation of the merchant's agreement with the credit card companies. Self-serve payment systems (gas stations, kiosks, etc.) are common targets for stolen cards, as there is no way to verify the card holder's identity. A common countermeasure is to require the user to key in some identifying information, such as the user's ZIP or postal code. This method may deter casual theft of a card found alone, but if the card holder's wallet is stolen, it may be trivial for the thief to deduce the information by looking at other items in the wallet. For instance, a U.S. driver license commonly has the holder's home address and ZIP code printed on it.

Banks have a number of countermeasures at the network level, including sophisticated real-time analysis that can estimate the probability of fraud based on a number of factors. For example, a large transaction occurring a great distance from the card holder's home might be flagged as suspicious. The merchant may be instructed to call the bank for verification, to decline the transaction, or even to hold the card and refuse to return it to the customer.

การนำข้อมูลที่ได้จากการใช้บัตรอิเล็กทรอนิกส์อย่างไม่ระแวดระวังของผู้ถือบัตรไปใช้ในทางมิชอบ[แก้]

Card account information is stored in a number of formats. Account numbers are often embossed or imprinted on the card, and a magnetic stripe on the back contains the data in machine readable format. Fields can vary, but the most common include:

  • Name of card holder
  • Account number
  • Expiration date
  • Verification/CVV code

There have been high profile examples of companies being compromised resulting in large scale identity theft, the largest to date being TJX.[5]

การฉ้อโกงทางอินเทอร์เน็ต[แก้]

The mail and the Internet are major routes for fraud against merchants who sell and ship products, as well Internet merchants who provide online services. The industry term for catalog order and similar transactions is "Card Not Present" (CNP), meaning that the card is not physically available for the merchant to inspect. The merchant must rely on the holder (or someone purporting to be the holder) to present the information on the card by indirect means, whether by mail, telephone or over the Internet when the cardholder is not present at the point of sale.

It is difficult for a merchant to verify that the actual card holder is indeed authorizing the purchase. Shipping companies can guarantee delivery to a location, but they are not required to check identification and they are usually not involved in processing payments for the merchandise. A common preventive measure for merchants is to allow shipment only to an address approved by the cardholder, and merchant banking systems offer simple methods of verifying this information.

Additionally, smaller transactions generally undergo less scrutiny, and are less likely to be investigated by either the bank or the merchant. CNP merchants must take extra precaution against fraud exposure and associated losses, and they pay higher rates to merchant banks for the privilege of accepting cards. Anonymous scam artists bet on the fact that many fraud prevention features do not apply in this environment.

Merchant associations have developed some prevention measures, such as single use card numbers, but these have not met with much success. Customers expect to be able to use their credit card without any hassles, and have little incentive to pursue additional security due to laws limiting customer liability in the event of fraud. Merchants can implement these prevention measures but risk losing business if the customer chooses not to use the measures.

การเข้าครอบงำบัญชี[แก้]

There are two types of fraud within the identity theft category, application fraud and account takeover.

Application fraud occurs when criminals use stolen or fake documents to open an account in someone else's name. Criminals may try to steal documents such as utility bills and bank statements to build up useful personal information. Alternatively, they may create counterfeit documents.

Account takeover involves a criminal trying to take over another person's account, first by gathering information about the intended victim, then contacting their bank or credit issuer — masquerading as the genuine cardholder — asking for mail to be redirected to a new address. The criminal then reports the card lost and asks for a replacement to be sent. The replacement card is then used fraudulently.

Some merchants added a new practice to protect consumers and self reputation, where they ask the buyer to send a copy of the physical card and statement to ensure the legitimate usage of a card.

การลอกข้อมูลบัตร[แก้]

การลอกข้อมูลบัตรอิเล็กทรอนิกส์ (อังกฤษ: skimming) คือ การลอกข้อมูลจากบัตรอิเล็กทรอนิกส์ที่ได้รับการใช้ในธุรกรรมอันชอบด้วยกฎหมาย การฉ้อโกงประเภทนี้มักกระทำโดยลูกจ้างที่คิดไม่ซื่อต่อนายจ้างของตน

The thief can procure a victim’s credit card number using basic methods such as photocopying receipts or more advanced methods such as using a small electronic device (skimmer) to swipe and store hundreds of victim’s credit card numbers. Common scenarios for skimming are restaurants or bars where the skimmer has possession of the victim's credit card out of their immediate view. The thief may also use a small keypad to unobtrusively transcribe the 3 or 4 digit Card Security Code which is not present on the magnetic strip.

Instances of skimming have been reported where the perpetrator has put a device over the card slot of a ATM (automated teller machine), which reads the magnetic strip as the user unknowingly passes their card through it. These devices are often used in conjunction with a pinhole camera to read the user's PIN at the same time.[6]

Skimming is difficult for the typical card holder to detect, but given a large enough sample, it is fairly easy for the bank to detect. The bank collects a list of all the card holders who have complained about fraudulent transactions, and then uses data mining to discover relationships among the card holders and the merchants they use. For example, if many of the customers used one particular merchant, that merchant's terminals (devices used to authorize transactions) can be directly investigated. Sophisticated algorithms can also search for known patterns of fraud. Merchants must ensure the physical security of their terminals, and penalties for merchants can be severe in cases of compromise, ranging from large fines to complete exclusion from the merchant banking system, which can be a death blow to businesses such as restaurants which rely on credit card processing.

การแปลงข้อมูลบัตร[แก้]

Carding is a term used for a process to verify the validity of stolen card data. The thief presents the card information on a website that has real-time transaction processing. If the card is processed successfully, the thief knows that the card is still good. The specific item purchased is immaterial, and the thief does not need to purchase an actual product; a Web site subscription or charitable donation would be sufficient. The purchase is usually for a small monetary amount, both to avoid using the card's credit limit, and also to avoid attracting the bank's attention. A website known to be susceptible to carding is known as a cardable website.

In the past, carders used computer programs called "generators" to produce a sequence of credit card numbers, and then test them to see which were valid accounts. Another variation would be to take false card numbers to a location that does not immediately process card numbers, such as a trade show or special event. However, this process is no longer viable due to widespread requirement by internet credit card processing systems for additional data such as the billing address, the 3 to 4 digit Card Security Code and/or the card's expiry date, as well as the more prevalent use of wireless card scanners that can process transactions right away.[ต้องการอ้างอิง] Nowadays, carding is more typically used to verify credit card data obtained directly from the victims by skimming or phishing.

A set of credit card details that has been verified in this way is known in fraud circles as a phish. A carder will typically sell data files of the phish to other individuals who will carry out the actual fraud. Market price for a phish ranges from US$1.00 to US$50.00 depending on the type of card, freshness of the data and credit status of the victim.

ส่วนได้ ส่วนเสีย และโทษทัณฑ์[แก้]

ส่วนเสีย[แก้]

U.S. federal law can hold the cardholder victim responsible for up to $50. Merchants in high-risk industries anticipate a certain amount of credit card fraud, and set prices accordingly. These higher costs are then passed onto the customer. The FBI's Financial Report to the Public for 2007 report losses of $52.6 billion, affecting 9.91 million Americans.

บริษัทบัตรอิเล็กทรอนิกส์[แก้]

In the case of fraud, the merchant and not the credit card company pays the full cost of the fraud plus a chargeback fee or the merchant's chargeback insurance covers it. In addition credit card companies have to pay for preventing fraud while maintaining a good customer experience.

Merchants have the ability to sign up for services offered by Visa and Mastercard i.e. "Verified By Visa" or "MasterCard SecureCode" to prevent being "charged back" for fraud transactions.

Often enough online merchants do not take adequate measures to protect their websites from fraud attacks, for example by being blind to sequencing. In contrast to more automated product transactions, a clerk overseeing "card present" authorization requests must approve the customer's removal of the goods from the premise in real time.

Credit card merchant associations, like Visa and MasterCard, and their member banks receive profit from transaction fees, with the lowest known in the industry as the discount, mid-qualified, and non-qualified rates. The discount rate is a percentage of the amount of the transaction, with typical merchants receiving discount rates in the range of 2% to 4%.[ต้องการอ้างอิง] Merchant associations are thus motivated to pursue policies which increase the aggregate amount of money transferred by their systems. Many merchants believe this pursuit of revenue generation reduces the incentive for credit card banks to implement procedures to reduce credit card crime, particularly since the cost of investigating fraud is usually higher than the cost of a write-off.[ต้องการอ้างอิง] However, merchant associations are not assuming these costs; they are instead passed on to merchants as "chargebacks". This results in substantial additional costs: not only has the merchant been defrauded for the amount of the transaction, but he is also obligated to pay a chargeback fee, and to make matters worse, the merchant is not even reimbursed for his transaction fees. [ต้องการอ้างอิง]

Merchants have begun to request changes in state and federal laws to protect consumers and merchants from fraud, but the credit card industry has opposed many of the requested laws.[ต้องการอ้างอิง] In many cases, merchants have little ability to fight fraud, and must simply accept a certain percentage of fraud as a cost of doing business.[ต้องการอ้างอิง]

Because all card-accepting merchants and card-carrying customers are bound by contract law, according to the agreements they sign with their processing / issuing banks, respectively, State and Federal law has a smaller role in preventing merchants from being tricked.[ต้องการอ้างอิง] Payment transfer associations enact regulatory changes, and issuing / acquiring banks, merchants, and cardholders are contractually bound to these new regulations.[ต้องการอ้างอิง]

ผู้ค้า[แก้]

The merchant loses the goods or services sold, the payment, the fees for processing the payment, any currency conversion commissions, and the chargeback penalty. For obvious reasons, many merchants take steps to avoid chargebacks — such as not accepting suspicious transactions. This may spawn collateral damage, where the merchant additionally loses legitimate sales by incorrectly blocking legitimate transactions.

อาชญากร[แก้]

In the U.S., persons that commit credit card crime largely go unpunished and repeatedly victimize consumers and businesses.[ต้องการอ้างอิง] The Secret Service handles crimes involving the U.S. money supply; they have a limit of $150,000 before investigating each crime.[ต้องการอ้างอิง] Most credit card criminals know this and keep purchases from any one business below $150,000. Credit card fraud can be reported to the Federal Trade Commission (FTC) and to local and regional authorities. It is the standing policy of the FTC not to investigate reports where the value of fraud does not exceed $2000. Local law enforcement may or may not further investigate a credit card fraud, depending on the amount, type of fraud, and where the fraud originated from.

ดูเพิ่ม[แก้]

อ้างอิง[แก้]

  1. The UK Payments Association. (2007). Fraud: the facts. [Online]. Available: <http://www.apacs.org.uk/resources_publications/documents/FraudtheFacts2007.pdf>. (Accessed: 10 March 2009).
  2. Court filings double estimate of TJX breach. (2007). [Online]. Available: <http://www.securityfocus.com/news/11493>. (Accessed: 10 March 2008).
  3. ไทยรัฐ. (2552, 10 มีนาคม). โจรดูดเอทีเอ็ม เหิมยัดเงินตร. 1.2 ล้านแลกอิสระ. [ออนไลน์]. เข้าถึงได้จาก: <http://www.thairath.co.th/offline.php?section=hotnews&content=127030>. (เข้าถึงเมื่อ: 10 มีนาคม 2552).
  4. Section 901 of title IX of the Act of May 29, 1968 (Pub. L. No. 90-321), as added by title XX of the Act of November 10, 1978 (Pub. L. No. 95-630; 92 Stat. 3728), effective May 10, 1980
  5. FTC - TJX Security Breach Settlement
  6. Manipulated ATMs — heise Security

External links[แก้]

Reporting credit card fraud over the Internet[แก้]

General fraud information[แก้]

เข้าถึงจาก "https://th.wikipedia.org/w/index.php?title=ผู้ใช้:Zambo/การฉ้อโกงบัตรเครดิต&oldid=3061713"