24 เมษายน 2569
มันเริ่มต้นจากการลงประกาศให้เช่า
ในอัมสเตอร์ดัม มีคนโพสต์ประกาศให้เช่าห้องพักบน Marktplaats ซึ่งเป็นหนึ่งในแพลตฟอร์มประกาศขายสินค้ายอดนิยมของเนเธอร์แลนด์ ผู้เช่าที่สนใจต่างส่งเอกสารตามปกติมา เช่น สำเนาหนังสือเดินทาง สลิปเงินเดือน เพื่อพิสูจน์ว่าพวกเขาสามารถจ่ายค่าเช่าได้ แต่ปัญหาคือห้องพักนั้นไม่มีอยู่จริง และเอกสารประจำตัวของพวกเขากำลังจะถูกใช้เป็นอาวุธ
ชายวัย 34 ปี ใช้บัตรประจำตัวที่ถูกขโมยมาเหล่านั้น รวมถึงบัตรอื่นๆ ที่ได้มาจากโซเชียลมีเดีย เพื่อ เปิดบัญชีธนาคารปลอม 46 บัญชีที่ธนาคาร ABN AMRO ซึ่งเป็นหนึ่งในธนาคารที่ใหญ่ที่สุดในเนเธอร์แลนด์ เขาทำทั้งหมดผ่านขั้นตอนการสมัครใช้แอปพลิเคชันบนมือถือของธนาคาร ซึ่งกำหนดให้ผู้สมัครต้องอัปโหลดบัตรประจำตัวที่มีรูปถ่ายและถ่ายภาพเซลฟี่เพื่อ ยืนยัน ใบหน้า
กลอุบายนั้นตรงไปตรงมา เขาใช้ เทคโนโลยีดีพเฟค (deepfake) สร้างภาพที่คล้ายกับรูปถ่ายในหนังสือเดินทางบนบัตรประจำตัวที่ถูกขโมยมา ระบบอัตโนมัติเปรียบเทียบภาพทั้งสอง พบว่าตรงกัน และอนุมัติบัญชี
ไม่ใช่แค่ครั้งเดียว แต่ถึงสี่สิบหกครั้ง
แผนการหลอกลวงด้วยภาพปลอม (Deepfake) ถูกเปิดโปงได้อย่างไร
แผนการฉ้อโกงนี้ดำเนินมาเป็นเวลาหลายเดือนก่อนที่ความผิดพลาดเพียงครั้งเดียวจะเปิดโปง แอปพลิเคชันหนึ่งใช้รูปถ่ายบัตรประจำตัวประชาชนของผู้หญิง แต่ภาพเซลฟี่กลับเป็นใบหน้าของผู้ชาย เทคโนโลยีดีพเฟคได้ผสมผสานลักษณะใบหน้า ดวงตา และปากของเธอลงบนใบหน้าของเขา แต่ก็ไม่เนียนพอ ทีมงานของ ABN AMRO ตรวจพบความผิดปกติ ตรวจสอบ และเปิดโปงการฉ้อโกงครั้งใหญ่ในที่สุด
เมื่อตำรวจชายแดนหยุดผู้ต้องสงสัยที่ด่านตรวจในเวลาต่อมา หลักฐานก็ชัดเจนมาก เจ้าหน้าที่พบว่าเขากำลังลบแอป Telegram ออกจากโทรศัพท์ ในรถของเขามีซองจดหมายบรรจุบัตรเดบิตและรหัส PIN สำหรับบัญชี ABN AMRO หลายบัญชี บัตรประจำตัวปลอมหลายสิบใบ และ บันทึกการสนทนากับ ChatGPT ซึ่งเขาถามถึงวิธีการหลีกเลี่ยงระบบรักษาความปลอดภัยของธนาคาร ภาพจากกล้องวงจรปิดแสดงให้เห็นว่าเขากำลังฝากเงินสดจำนวนมากเข้าบัญชีปลอม ซึ่งอัยการกล่าวว่าธุรกรรมเหล่านี้เชื่อมโยงกับ การ ฟอก เงิน
อัยการเรียกร้องให้ศาลตัดสินจำคุก 30 เดือน และเรียกค่าเสียหายให้แก่ ABN AMRO เป็นจำนวน 6,240 ยูโร ในเดือนมีนาคม 2026 ศาลแขวงอัมสเตอร์ดัมสั่งให้มีการสอบสวนเพิ่มเติม แทนที่จะตัดสินคดี จำเลยยังคงถูกควบคุมตัวก่อนการพิจารณาคดี และกำหนดวันพิจารณาคดีใหม่ภายในสามเดือน
เหตุใดการตรวจสอบ KYC จึงล้มเหลว?
กรณีนี้สะท้อนให้เห็นถึงรูปแบบที่กว้างขึ้น นั่นคือ เครื่องมือ AI แบบดั้งเดิมที่เข้าถึงได้ง่ายขึ้นเรื่อยๆ กำลังเอาชนะ โซลูชัน การตรวจสอบตัวตน ที่อ่อนแอกว่าอย่างเป็นระบบ
เมื่อข้อมูลประจำตัวปลอมเข้ามาอยู่ใน ระบบ ตรวจสอบตัวตนลูกค้า (KYC) แล้ว ข้อมูลนั้นสามารถนำไปใช้ในการฟอกเงิน การสนับสนุนทางการเงินแก่การก่อการร้าย หรือการหลีกเลี่ยงมาตรการคว่ำบาตร และอื่นๆ อีกมากมาย ผลกระทบทางการเงินไม่ได้จำกัดอยู่แค่การสูญเสียโดยตรงเท่านั้น ผลกระทบทางด้านกฎระเบียบมักจะมากกว่านั้นมาก:
- ธนาคาร TD Bank ถูกปรับเงิน 3.09 พันล้านดอลลาร์ในปี 2024 เนื่องจากละเลยการปฏิบัติตามกฎระเบียบด้านการป้องกันการฟอกเงิน
- เฉพาะในช่วงครึ่งแรกของปี 2025 หน่วยงานกำกับดูแลได้เรียกเก็บค่าปรับเป็นจำนวนเงิน 1.23 พันล้านดอลลาร์สหรัฐ ซึ่งเพิ่มขึ้น 417% เมื่อเทียบกับปีก่อน หน้า
ABN AMRO ตรวจพบ 46 บัญชี คำถามคือมีอีกกี่บัญชีที่ไม่ถูกตรวจพบ
ขั้นตอนการสมัครใช้บริการ ของ ABN AMRO เป็นไปตามรูปแบบที่พบได้ทั่วไปในระบบธนาคารของยุโรป คือ อัปโหลดบัตรประจำตัวที่มีรูปถ่าย ถ่ายภาพเซลฟี่ แล้วให้ระบบเปรียบเทียบทั้งสองภาพ โดยสมมติว่าหากใบหน้าในภาพเซลฟี่ตรงกับเอกสาร บุคคลนั้นก็คือคนที่พวกเขาอ้างว่าเป็น แต่สมมติฐานนี้จะพังทลายลงทันทีที่มิจฉาชีพสามารถสร้างใบหน้าปลอมที่เชื่อมโยงใบหน้าของตนเองกับรูปถ่ายในบัตรประจำตัวของผู้อื่นได้
และมันก็ง่ายขึ้นเรื่อยๆ ทุกเดือน ปัญญาประดิษฐ์เชิงสร้างสรรค์ (Generative AI) ได้ทำลายอุปสรรคในการเข้าถึง การโจมตีด้วยการปลอมแปลงเอกลักษณ์บุคคล : สิ่งที่เคยต้องใช้ทักษะเฉพาะทางและฮาร์ดแวร์ระดับสูง ตอนนี้สามารถทำได้ด้วยเครื่องมือราคาไม่แพงที่หาซื้อได้ทั่วไป รายงานข่าวกรองภัยคุกคามปี 2026 ของ iProov ได้บันทึกการเพิ่มขึ้น 1,151% เมื่อเทียบกับปีต่อปีของการโจมตีแบบ Injection บน iOS ในช่วงครึ่งหลังของปี 2025 iOS เคยถูกมองว่าเป็นแพลตฟอร์มมือถือที่ปลอดภัยกว่า แต่ข้อสันนิษฐานนั้นไม่เป็นจริงอีกต่อไป สำหรับธนาคารที่ใช้การลงทะเบียนแบบ Mobile-first บนระบบปฏิบัติการใดๆ ก็ตาม ความหมายก็เหมือนกัน: หากระบบตรวจสอบไม่สามารถตรวจจับวิดีโอที่ถูกดัดแปลง ณ จุดที่บันทึกได้ ระบบก็จะอนุมัติวิดีโอนั้น
กรณีของ ABN AMRO แสดงให้เห็นถึงเหตุผลดังกล่าว ระบบตรวจสอบว่าใบหน้าตรงกับเอกสาร แต่ไม่ได้ตรวจสอบว่าใบหน้านั้นเป็นใบหน้าจริงหรือไม่
ส่วนที่ขาดหายไป: การตรวจจับความมีชีวิตที่ใช้งานได้จริง
ช่องโหว่ที่สำคัญในกระบวนการรับลูกค้าใหม่ของ ABN AMRO คือการขาด ระบบตรวจจับความมีชีวิต ขั้นสูง หากไม่มีระบบนี้ ระบบก็ไม่สามารถแยกแยะใบหน้าของมนุษย์จริงออกจากภาพที่ถูกดัดแปลงทางดิจิทัลได้
ระบบที่มีประสิทธิภาพไม่ได้แค่เปรียบเทียบใบหน้าเท่านั้น แต่ยังทดสอบด้วยว่ามีบุคคลจริงอยู่ ณ ขณะทำการบันทึกภาพหรือไม่ โดยใช้ การตรวจสอบแบบสุ่มครั้งเดียวแบบไม่เชิงรุก ณ ขณะยืนยันตัวตน และใช้โมเดลการเรียนรู้เชิงลึกที่เรียนรู้จากเวกเตอร์การโจมตีที่เปลี่ยนแปลงไปเรื่อยๆ หากทำได้อย่างถูกต้อง ระบบจะยืนยันสามสิ่งพร้อมกัน ได้แก่ ผู้ใช้เป็นบุคคลที่ถูกต้อง เป็นบุคคลจริง และยืนยันตัวตนแบบเรียลไทม์
วิธีการนี้สามารถตรวจจับช่องทางการโจมตีหลักทั้งสามช่องทางได้:
- การโจมตีด้วยการนำเสนอข้อมูล เกี่ยวข้องกับการถือรูปถ่าย วิดีโอ หรือหน้ากากไว้ต่อหน้ากล้อง
- การโจมตีแบบแทรกข้อมูลดิจิทัล จะส่งภาพปลอม (deepfake) เข้าสู่กระบวนการตรวจสอบโดยตรง โดยไม่ต้องผ่านกล้องเลย นี่เป็นรูปแบบการโจมตีที่ร้ายแรงและสามารถขยายวงกว้างได้มากที่สุด
- การโจมตีแบบ Replay Attack คือการนำข้อมูลไบโอเมตริกที่บันทึกไว้ก่อนหน้านี้มาใช้ซ้ำ เช่น การบันทึกการตรวจสอบตัวตนที่ถูกต้อง เพื่อปลอมตัวเป็นผู้ใช้จริง
รายงานข่าวสาธารณะเกี่ยวกับคดี ABN AMRO ไม่ได้ระบุวิธีการส่งข้อมูลทางเทคนิคที่แน่ชัด แต่ไม่ว่าภาพเซลฟี่ที่ถูกดัดแปลงจะถูกอัปโหลดหรือแทรกเข้าไป ผลลัพธ์ก็เหมือนกัน คือ การตรวจสอบการจับคู่ใบหน้าไม่สามารถแยกแยะ ใบหน้าที่สร้างขึ้น จากใบหน้าจริงได้ นั่นคือสิ่งที่การตรวจจับความมีชีวิตถูกออกแบบมาเพื่อป้องกัน
ปัจจุบันมีมาตรฐานที่เป็นอิสระซึ่งผู้ซื้อควรคาดหวังว่าผู้ขายจะต้องปฏิบัติตาม ซึ่งรวมถึง:
- มาตรฐาน CEN/TS 18099 ระดับสูง และการตรวจจับการโจมตีแบบฉีดของ Ingenium ระดับ 4 สำหรับความต้านทานต่อการโจมตีแบบฉีด
- และ NIST SP 800-63-4 ซึ่งในปี 2025 กำหนดให้การตรวจจับการโจมตีแบบฉีดข้อมูลเป็นเป้าหมายการควบคุมที่บังคับใช้สำหรับระดับความมั่นใจที่สูงขึ้น การกล่าวอ้างของผู้ขายโดยปราศจากการทดสอบที่เป็นอิสระและได้รับการรับรองตามมาตรฐานเหล่านี้ไม่ใช่หลักฐานของความยืดหยุ่น แต่เป็นเพียงการตลาด
หากขั้นตอนการเปิดบัญชีของ ABN AMRO มีการตรวจสอบในลักษณะนี้ ภาพเซลฟี่ที่ถูกดัดแปลงโดยมิจฉาชีพก็จะถูกตั้งข้อสงสัย ไม่ใช่เพราะใบหน้าไม่ตรงกับบัตรประจำตัว แต่เพราะใบหน้านั้นไม่ใช่ใบหน้าจริงหรือไม่ได้ปรากฏอยู่จริง
นี่ ไม่ใช่ กรณีเดียวของการฉ้อโกงด้วยภาพปลอม (Deepfake)
กรณีของ ABN AMRO เป็นกรณีล่าสุดในบรรดากรณีฉ้อโกงทางการเงินที่ใช้เทคโนโลยีดีพเฟคซึ่งมีจำนวนเพิ่มมากขึ้นเรื่อยๆ
ในเดือนเมษายน ปี 2025 ตำรวจฮ่องกงจับกุมผู้ต้องสงสัย 8 คนในแก๊งฉ้อโกง ที่ใช้เทคโนโลยีดีพเฟค (deepfake) โดยใช้บัตรประจำตัวประชาชนฮ่องกงที่ถูกขโมยมา 21 ใบ เพื่อยื่นขอเปิดบัญชีธนาคาร 44 บัญชี ซึ่งประมาณ 30 บัญชีได้รับการอนุมัติ กลุ่มคนร้ายได้นำใบหน้าของตนเองมาซ้อนทับบนรูปถ่ายบัตรประจำตัวประชาชนที่ถูกขโมยมาเพื่อหลีกเลี่ยงการตรวจสอบการจดจำใบหน้า ซึ่งเป็นเทคนิคเดียวกับที่ใช้กับธนาคาร ABN AMRO และบัญชีเหล่านั้นเชื่อมโยงกับการฟอกเงินและการใช้บัตรเครดิตในทางที่ผิด
นี่แสดงให้เห็นถึงการเปลี่ยนแปลงเชิงโครงสร้างในวิธี การทำงาน ของการฉ้อโกงบัญชีใหม่ ซึ่งเครื่องมือมีราคาถูก ทักษะที่จำเป็นมีน้อย และระบบการตรวจสอบที่ธนาคารส่วนใหญ่ใช้ไม่ได้ถูกสร้างมาเพื่อรับมือกับภัยคุกคามนี้
สิ่งที่สถาบันการเงินควรจดจำไว้
- การหลอกลวงทางสังคมและสื่อสังเคราะห์ทำงานร่วมกัน ผู้ฉ้อโกงไม่ได้ใช้เพียงแค่ภาพปลอม (deepfake) เท่านั้น เขายังใช้ประกาศให้เช่าปลอมเพื่อรวบรวมเอกสารยืนยันตัวตนจริงจากบุคคลจริง ระบบตรวจสอบความถูกต้องจำเป็นต้องคำนึงถึงข้อเท็จจริงที่ว่าเอกสารที่นำเสนออาจเป็นของจริง แม้ว่าบุคคลที่นำเสนอเอกสารนั้นจะไม่ใช่บุคคลจริงก็ตาม
- การตรวจสอบแบบคงที่นั้นไม่เพียงพอ การตรวจสอบรูปเซลฟี่เพื่อยืนยันตัวตนโดยใช้กฎเกณฑ์เดิมเหมือนตอนเปิดตัวนั้นเป็นเพียงเกณฑ์ขั้นต่ำ ไม่ใช่สิ่งกีดขวางการเข้าถึง สถาบันการเงินต้องการการตรวจสอบที่ พัฒนาไปเพื่อรับมือกับเทคนิคการโจมตีใหม่ๆ รวมถึงภัยคุกคามที่ขับเคลื่อนด้วย AI ซึ่งกำลังเติบโตเร็วที่สุด
คำถามได้เปลี่ยนจาก “ การฉ้อโกง KYC ที่ใช้เทคโนโลยี deepfake จะส่งผลกระทบต่อสถาบันของคุณหรือไม่” ไปเป็น “ เมื่อไหร่ ” และคุณจะตรวจพบได้ก่อนที่จะมีการเปิดบัญชีจำนวนมากถึง 46 บัญชี หรือมากกว่านั้นอีกหลายพันบัญชีหรือไม่
ขั้นตอนการลงทะเบียนลูกค้าใหม่ของ ABN AMRO เป็นขั้นตอนที่พบได้ทั่วไปในวงการธนาคาร ดังนั้นช่องโหว่ที่เกิดขึ้นจึงมีมากขึ้นเรื่อยๆ ดูว่า Dynamic Liveness ของ iProov ตรวจจับการโจมตีแบบ Injection Attack, Deepfake และ Replay Attack ได้อย่างไร ซึ่งวิธีการจับคู่ภาพเซลฟี่กับบัตรประจำตัวแบบดั้งเดิมไม่สามารถทำได้ จองการสาธิตสดได้เลย
