การฉ้อโกงบัญชีใหม่: ปัญญาประดิษฐ์ (AI) กำลังเปลี่ยนแปลงภัยคุกคามอย่างไร และจะหยุดยั้งได้อย่างไร

ลองนึกภาพว่าวันหนึ่งคุณได้รับใบแจ้งยอดแสดงว่าคุณเป็นหนี้บัตรเครดิตหลายพันดอลลาร์ จดหมายฉบับนั้นส่งถึงคุณ แต่คุณเพิ่งเคยได้ยินเรื่องนี้เป็นครั้งแรก เพราะคุณไม่เคยมีบัตรเครดิตกับบริษัทนี้มาก่อนเลย มีคนแอบอ้างเป็นคุณสมัครบัตรเครดิตใหม่และ ใช้ชื่อของคุณทำการใช้จ่ายโดยไม่ได้รับอนุญาต ตอนนี้คุณกำลังเผชิญกับความเครียด ความเสี่ยงทางการเงิน และคะแนนเครดิตที่เสียหาย ซึ่งทำให้การขอสินเชื่อ บัตรเครดิต หรือสินเชื่อบ้านที่คุณต้องการนั้นยากขึ้น

ปัญหานี้เป็นปัญหาที่มีมาโดยตลอด แต่ในปี 2024 รายงานความเสียหายจากการฉ้อโกงบัญชีใหม่พุ่งสูงถึง 6.2 พันล้านดอลลาร์ ซึ่งเพิ่มขึ้นมากกว่าสองเท่าในช่วงทศวรรษที่ผ่านมา วิธีการก็เปลี่ยนไปเช่นกัน จากเดิมที่ผู้ฉ้อโกงอาศัยการขโมยจดหมายและเอกสารปลอม ปัจจุบันพวกเขาใช้ ตัวตนปลอม ที่สร้างขึ้นด้วย AI แบบเจเนอเรทีฟ ภาพปลอมแปลงที่ผ่านการตรวจสอบขั้นพื้นฐาน และการโจมตีแบบแทรกแซงที่หลีกเลี่ยงกล้องของอุปกรณ์ได้อย่างสมบูรณ์

การฉ้อโกงการเปิดบัญชีใหม่คืออะไร?

การฉ้อโกงการเปิดบัญชีใหม่ หรือที่รู้จักกันในชื่อการฉ้อโกงการเปิดบัญชี หรือการฉ้อโกงการสร้างบัญชี เกิดขึ้นเมื่อผู้ฉ้อโกงเปิดบัญชีโดยใช้ข้อมูลประจำตัวที่เป็นเท็จหรือถูกดัดแปลงเพื่อก่ออาชญากรรม ขโมยเงิน ฟอกเงิน หรือเข้าถึงบริการที่ตนเองไม่มีสิทธิ์ได้รับภายใต้ข้อมูลประจำตัวของตนเอง

วิธีการทำงานเป็นดังนี้: อาชญากรจะหาหรือปลอมแปลงข้อมูลส่วนบุคคล ใช้ข้อมูลนั้นเพื่อผ่านการตรวจสอบเบื้องต้น และจากนั้นก็บุกรุกบัญชีนั้นก่อนที่ใครจะรู้ตัวว่ามีอะไรผิดปกติ โดยเฉลี่ยแล้วต้องใช้เวลาถึง 151 วันกว่าจะตรวจพบการฉ้อโกงบัญชีใหม่ได้หลังจากที่สำเร็จแล้ว ซึ่งในช่วงเวลานั้นความเสียหายก็จะทวีคูณขึ้นเรื่อยๆ

องค์กรที่ไม่ตรวจสอบตัวตนที่แท้จริงของผู้สมัครใหม่ทุกคน กำลังเปิดโอกาสให้มิจฉาชีพเข้ามาโดยไม่รู้ตัว หากกระบวนการรับสมัครงานของคุณสามารถทำได้โดยใช้เพียงข้อมูล มิจฉาชีพที่มีเครื่องมือที่เหมาะสมก็สามารถเข้าถึงข้อมูลนั้นได้

มีวิธีการหลักสองวิธี:

การฉ้อโกงโดยการขโมยข้อมูลส่วนบุคคล

การใช้ข้อมูลของบุคคลจริง ซึ่งโดยทั่วไปได้มาจากข้อมูลที่รั่วไหลหรือซื้อมาจากดาร์กเว็บ เพื่อเปิดบัญชีในชื่อของบุคคลนั้น สำหรับหลายๆ คน ข้อมูลส่วนบุคคลจำนวนมากสามารถพบได้ทางออนไลน์อยู่แล้ว เช่น วันเกิด ที่อยู่ หมายเลขโทรศัพท์ และข้อมูลอื่นๆ ที่สามารถนำมาประกอบกันเพื่อแอบอ้างเป็นตัวเราได้

การฉ้อโกงข้อมูลประจําตัวสังเคราะห์

การนำข้อมูลจริง (เช่น หมายเลขประกันสังคมที่ถูกต้อง) มาผสมผสานกับข้อมูลที่สร้างขึ้นมาเพื่อสร้างบุคคลสมมติขึ้นมาทั้งหมด ถือเป็นหนึ่งในรูปแบบการฉ้อโกงที่ซับซ้อนที่สุด และเป็นหนึ่งในรูปแบบที่เติบโตเร็วที่สุด ปัจจุบัน การฉ้อโกงโดยใช้เอกสารประจำตัวปลอม คิดเป็นประมาณ 30% ของคดีฉ้อโกงข้อมูลส่วนบุคคลทั้งหมด โดยมีการเพิ่มขึ้น 311% ในการฉ้อโกงเอกสารประจำตัวปลอมระหว่างไตรมาสที่ 1 ปี 2024 และไตรมาสที่ 1 ปี 2025

เหตุใดการฉ้อโกงการเปิดบัญชีใหม่จึงเพิ่มขึ้นอย่างรวดเร็ว

มีปัจจัยสามประการที่กำลังรวมกันเพื่อทำให้ปัญหานี้รุนแรงขึ้น:

ปัญญาประดิษฐ์เชิงสร้างสรรค์ได้ทำให้การฉ้อโกงข้อมูลส่วนบุคคลกลายเป็นอุตสาหกรรม

ภาพปลอมแปลง (Deepfakes) และเอกสารที่สร้างโดยปัญญาประดิษฐ์ (AI) ได้เปลี่ยนสิ่งที่เคยเป็นอาชญากรรมที่ต้องใช้แรงงานคนและปริมาณน้อย ให้กลายเป็นปฏิบัติการขนาดใหญ่ รายงานข่าวกรองภัยคุกคาม iProov ปี 2025 พบว่า การโจมตีด้วยการสลับใบหน้าเพิ่มขึ้น 300% เมื่อเทียบกับปีก่อนหน้า และการโจมตีด้วยกล้องเสมือนจริง (Native Virtual Camera Attacks) ซึ่งผู้ฉ้อโกงจะแทรกภาพสังเคราะห์เข้าไปในกระบวนการตรวจสอบโดยตรง เพิ่มขึ้นถึง 2,665%

นี่ไม่ใช่ความเสี่ยงเชิงทฤษฎี การสนทนา ทางวิดีโอปลอมแปลง (deepfake) เพียงครั้งเดียวทำให้บริษัท Arup สูญเสียเงินไป 25 ล้านดอลลาร์ เจ้าหน้าที่จากประเทศที่ถูกคว่ำบาตรโดย OFAC ได้แทรกซึมเข้าไปในบริษัทกว่า 300 แห่งโดยใช้ตัวกรอง deepfake เพื่อผ่านการสัมภาษณ์ทางวิดีโอระยะไกล

บริการแจ้งเบาะแสอาชญากรรมทำให้การฉ้อโกงเป็นเรื่องง่ายสำหรับทุกคน

เครื่องมือโจมตีที่ซับซ้อนไม่ได้จำกัดอยู่เฉพาะแฮกเกอร์ผู้เชี่ยวชาญอีกต่อไปแล้ว เครือข่ายบริการอาชญากรรมออนไลน์ (Crime-as-a-Service) จำหน่ายชุดเครื่องมือฉ้อโกงสำเร็จรูปให้กับผู้ใช้งานที่มีทักษะต่ำ รายงานข่าวกรองภัยคุกคามของ iProov ระบุถึงรูปแบบการโจมตีที่เป็นไปได้มากกว่า 115,000 รูปแบบ จากเครื่องมือทั่วไปเพียงสามชนิดเท่านั้น

การตรวจสอบการรับเข้าใช้งานแบบดั้งเดิมไม่สามารถตรวจจับการโจมตีสมัยใหม่ได้

หลายองค์กรพยายามต่อสู้กับการฉ้อโกงโดยการขอข้อมูลเพิ่มเติมระหว่างขั้นตอนการรับพนักงานใหม่ เช่น การถามคำถามเพิ่มเติม การขอเอกสารเพิ่มเติม หรือการตรวจสอบโดยใช้ความรู้มากขึ้น แต่ข้อมูลใดๆ ที่สามารถพิมพ์ได้ก็สามารถถูกขโมยได้ การตรวจสอบโดยใช้ความรู้มีความเปราะบางอย่างยิ่ง เนื่องจากข้อมูลที่ใช้เป็นพื้นฐานนั้นถูกบุกรุกในวงกว้างอยู่แล้ว

การตรวจสอบด้วยระบบไบโอเมตริกเท่านั้นที่จะสามารถแก้ไขช่องโหว่ที่การตรวจสอบด้วยข้อมูลแบบดั้งเดิมยังคงเปิดช่องว่างไว้ได้ ซึ่งเป็นการยืนยันตัวตนที่แท้จริงของบุคคลที่อยู่หลังหน้าจอ

ต้นทุนที่องค์กรและผู้บริโภคต้องแบกรับ

สำหรับผู้บริโภค: นอกเหนือจากความเสียหายทางการเงินแล้ว ผู้เสียหายยังต้องเผชิญกับคะแนนเครดิตที่เสียหาย และต้องใช้เวลาเฉลี่ย 10 ชั่วโมงในการแก้ไขปัญหาการฉ้อโกงแต่ละครั้ง คะแนนเครดิตที่ไม่ดีจากการไม่ชำระหนี้สินเชื่อที่กู้ยืมในชื่อของคุณ อาจทำให้คุณไม่สามารถเข้าถึงบริการที่คุณต้องการได้อย่างแท้จริง

สำหรับองค์กร: ความเสียหายไม่ได้จำกัดอยู่แค่บัญชีที่ใช้จนเต็มวงเงินแล้วถูกบุคคลปลอมทิ้งไปเท่านั้น ลูกค้าปลอมทุกรายที่คุณรับเข้ามาจะใช้ทรัพยากรในการประมวลผล KYC บริการลูกค้า และการตรวจสอบการปฏิบัติตามกฎระเบียบ ซึ่งควรจะใช้ในการให้บริการลูกค้าจริง ในอุตสาหกรรมที่มีการควบคุม การตรวจสอบการรับลูกค้าใหม่ที่ไม่เพียงพออาจทำให้เกิด ความล้มเหลวในการปฏิบัติตามกฎระเบียบ KYC ค่าปรับ และความเสียหายต่อชื่อเสียง และบัญชีปลอมที่เปิดได้สำเร็จจะกลายเป็นจุดเริ่มต้นสำหรับการก่ออาชญากรรมเพิ่มเติมในภายหลัง เช่น การฟอกเงิน การฉ้อโกงการชำระเงินแบบพุช หรือการเตรียมการสำหรับห่วงโซ่การฉ้อโกงที่ซับซ้อนยิ่งขึ้น

ที่น่าสังเกตคือ ปัจจุบันมีเพียงหนึ่งในสามขององค์กรทางการเงินเท่านั้นที่ตรวจพบการฉ้อโกงส่วนใหญ่ได้ตั้งแต่ขั้นตอนการเปิดบัญชีลูกค้าใหม่ ส่วนใหญ่ตรวจพบในภายหลังในขั้นตอนการทำธุรกรรม ซึ่งในเวลานั้นความเสียหายได้เกิดขึ้นแล้ว

 

การตรวจสอบด้วยไบโอเมตริกช่วยป้องกันการฉ้อโกงในการเปิดบัญชีใหม่ได้อย่างไร

การตรวจสอบใบหน้าด้วยระบบไบโอเมตริกซ์ช่วยแก้ไขจุดอ่อนพื้นฐานของการลงทะเบียนแบบดั้งเดิม: เป็นการยืนยันว่าผู้สมัครเป็นบุคคลที่กล่าวอ้าง เป็นมนุษย์จริง และอยู่ ณ สถานที่จริงในขณะที่ทำการตรวจสอบ

ผู้ใช้สแกนเอกสารยืนยันตัวตนที่เชื่อถือได้ (เช่น หนังสือเดินทางหรือใบขับขี่) จากนั้นทำการสแกนใบหน้าอย่างรวดเร็ว ระบบจะเปรียบเทียบใบหน้าจริงกับรูปถ่ายในเอกสารและยืนยันตัวตนที่แท้จริง – ทั้งหมดนี้ใช้เวลาเพียงไม่กี่วินาที

นี่เป็นการหยุดยั้งการฉ้อโกงบัญชีใหม่ตั้งแต่ต้นตอ หากอาชญากรมีเอกสารประจำตัวของคุณ รูปถ่ายจะไม่ตรงกับใบหน้าจริงของพวกเขา มีเพียงคุณเท่านั้นที่สามารถให้ข้อมูลไบโอเมตริกที่ตรงกันได้ ตัวตนสังเคราะห์ไม่มีมนุษย์จริงอยู่เบื้องหลัง และ การตรวจจับความมีชีวิต ขั้นสูงจะระบุและบล็อก deepfake การสลับใบหน้า และสื่อที่ถูกแทรกเข้ามาทางดิจิทัล

แต่ไม่ใช่ว่าการตรวจสอบด้วยไบโอเมตริกทุกแบบจะมีประสิทธิภาพเท่ากัน ความซับซ้อนของการโจมตีในยุคปัจจุบันหมายความว่าการตรวจสอบความมีชีวิตขั้นพื้นฐาน – เช่น การตรวจสอบเพียงว่าใบหน้าเป็น "ใบหน้าจริง" ไม่ใช่รูปถ่าย – นั้นไม่เพียงพออีกต่อไปแล้ว

เหตุใดวิธีการของ iProov จึงหยุดยั้งสิ่งที่วิธีการอื่นมองข้ามไปได้

เทคโนโลยี Dynamic Liveness ของ iProov ถูกสร้างขึ้นมาโดยเฉพาะเพื่อรับมือกับภัยคุกคามที่ก่อให้เกิดการฉ้อโกงบัญชีใหม่ในปัจจุบัน โดยผสานรวมความสามารถสี่ประการเข้าด้วยกันเพื่อสร้างการป้องกันที่ฟีเจอร์ใดฟีเจอร์หนึ่งเพียงอย่างเดียวไม่สามารถเทียบได้:

การตรวจจับความมีชีวิตและการโจมตีแบบฉีดที่ได้รับการรับรอง

เทคโนโลยี Flashmark ที่ได้รับการจดสิทธิบัตรของ iProov จะส่องแสงไปยังใบหน้าของผู้ใช้ด้วยลำดับสีที่ไม่ซ้ำกันและคาดเดาไม่ได้ในแต่ละครั้ง การสะท้อนของแสงจากใบหน้าของผู้ใช้จะถูกวิเคราะห์เพื่อยืนยันตัวตนที่แท้จริงแบบเรียลไทม์ แต่ละครั้งจะสร้างข้อมูลไบโอเมตริกที่ไม่ซ้ำกัน ซึ่งไม่สามารถเล่นซ้ำ ดักจับ หรือบันทึกไว้ล่วงหน้าได้ iProov เป็นผู้จำหน่ายรายแรกและรายเดียว ที่ได้รับการรับรองอย่างอิสระตามมาตรฐาน NIST SP 800-63-4 และเป็นรายแรกที่ได้รับการรับรอง ระดับ CEN/TS 18099 ระดับสูง สำหรับ การตรวจจับการโจมตีแบบฉีดข้อมูล – ในระหว่างการทดสอบที่ได้รับการรับรองมากกว่า 40 วัน ไม่พบวิธีการโจมตีที่ประสบความสำเร็จใดๆ

การจัดการภัยคุกคามเชิงรุกผ่าน iSOC

ศูนย์ปฏิบัติการด้านความปลอดภัยของ iProov (iSOC) ตรวจสอบรูปแบบการโจมตีแบบเรียลไทม์ในทุกกลุ่มลูกค้า ทุกภูมิภาค และทุกแพลตฟอร์ม เมื่อมีวิธีการโจมตีใหม่ๆ เกิดขึ้น การอัปเดตระบบป้องกันจะถูกนำไปใช้ทั่วโลกโดยไม่หยุดชะงัก ระบบป้องกันของ iProov พัฒนาอย่างต่อเนื่อง ซึ่งมีความสำคัญอย่างยิ่งเมื่อเทคนิคการฉ้อโกงเปลี่ยนแปลงเร็วกว่าการอัปเดตซอฟต์แวร์ประจำปี

การตรวจสอบยืนยันบนระบบคลาวด์

การตรวจสอบทั้งหมดเกิดขึ้นในระบบคลาวด์ ไม่ใช่บนอุปกรณ์ ซึ่งจะแยกกระบวนการตรวจสอบออกจากช่องโหว่ระดับอุปกรณ์ และช่วยให้สามารถตรวจสอบแบบเรียลไทม์ได้ ซึ่งเป็นหัวใจสำคัญของ iSOC

ประสบการณ์การใช้งานที่ง่ายดายและเข้าถึงได้สะดวก

กระบวนการทั้งหมดเป็นแบบอัตโนมัติ – ไม่มีการหันศีรษะ พยักหน้า กระพริบตา หรือคำสั่งใดๆ iProov เป็นไปตามมาตรฐาน WCAG 2.2 AA และ Section 508 โดยอัลกอริทึมได้รับการทดสอบประสิทธิภาพในทุกช่วงอายุ เพศ และสีผิว องค์กรต่างๆ สามารถใช้มาตรการป้องกันการฉ้อโกงอย่างเข้มงวดตั้งแต่เริ่มต้นใช้งานโดยไม่สูญเสียลูกค้าที่แท้จริงไปเพราะความยุ่งยาก อัตราความสำเร็จของ iProov โดยทั่วไปสูงกว่า 98%

นอกเหนือจากการเริ่มต้นใช้งานของลูกค้า: การระบุตัวตนของพนักงาน

การฉ้อโกงการเปิดบัญชีใหม่ไม่ได้จำกัดอยู่แค่บริการที่ผู้บริโภคใช้งานเท่านั้น เทคนิคเดียวกันนี้ เช่น การสร้างภาพปลอม (deepfakes), ตัวตนปลอม (synthetic identities), และข้อมูลประจำตัวที่ถูกขโมย (morift credentials) กำลังถูกนำมาใช้เพื่อแทรกซึมเข้าไปในองค์กรผ่านกระบวนการสรรหาบุคลากรด้วยเช่นกัน

ชุดโซลูชัน iProov Workforce Solution Suite ขยายขอบเขตการตรวจสอบตัวตนของมนุษย์อย่างแท้จริงตลอดวงจรชีวิตของข้อมูลประจำตัวพนักงาน: การจ้างงานและการปฐมนิเทศระยะไกล การเข้าถึงอุปกรณ์ที่ใช้ร่วมกัน การตรวจสอบสิทธิ์ขั้นสูงสำหรับการดำเนินการที่มีสิทธิ์พิเศษ และการกู้คืนบัญชี โซลูชันนี้แก้ไขช่องว่างเชิงโครงสร้างในระบบข้อมูลประจำตัวขององค์กรที่ออกแบบมาเพื่อตรวจสอบข้อมูลประจำตัวและอุปกรณ์ ไม่ใช่ตัวบุคคลที่อยู่เบื้องหลัง

รายงานข่าวกรองภัยคุกคาม iProov ปี 2025 รวบรวมข้อมูลเกี่ยวกับวิธีการโจมตีที่ก่อให้เกิดการฉ้อโกงบัญชีใหม่ในปัจจุบัน ดาวน์โหลดรายงานฉบับเต็มได้ที่นี่

หากต้องการเรียนรู้ว่า iProov สามารถรักษาความปลอดภัยกระบวนการลงทะเบียนผู้ใช้งานใหม่ของคุณจากการฉ้อโกงได้อย่างไร โปรดจองการสาธิต

---

คำถามที่พบบ่อยเกี่ยวกับการฉ้อโกงบัญชีใหม่

AI ทำให้การฉ้อโกงการเปิดบัญชีใหม่แย่ลงได้อย่างไร?

ปัญญาประดิษฐ์เชิงสร้างสรรค์ (Generative AI) ช่วยให้ผู้ฉ้อโกงสามารถสร้างภาพปลอม (deepfake) เอกสารประจำตัวปลอม และการสลับใบหน้าที่เหมือนจริงได้อย่างมหาศาล เครื่องมือเหล่านี้สามารถหลีกเลี่ยงการตรวจสอบตัวตนขั้นพื้นฐานที่อาศัยภาพถ่ายเอกสารหรือการตรวจจับการมีชีวิตอยู่แบบง่ายๆ เครือข่ายบริการปราบปรามอาชญากรรม (Crime-as-a-Service) ทำให้เครื่องมือที่ขับเคลื่อนด้วย AI เหล่านี้เข้าถึงได้ง่ายสำหรับผู้ปฏิบัติงานที่มีทักษะต่ำ ซึ่งเพิ่มปริมาณและความซับซ้อนของการโจมตีอย่างมาก

องค์กรต่างๆ จะป้องกันการฉ้อโกงการเปิดบัญชีใหม่ได้อย่างไร?

วิธีการป้องกันที่มีประสิทธิภาพที่สุดคือการตรวจสอบใบหน้าด้วยระบบไบโอเมตริกซ์พร้อมการตรวจจับตัวตนที่แท้จริง ณ จุดลงทะเบียน วิธีนี้จะยืนยันว่ามีมนุษย์ตัวจริงอยู่ ณ ที่นั้น โดยจะเปรียบเทียบใบหน้ากับเอกสารประจำตัวที่เชื่อถือได้ และป้องกันการโจมตีด้วยการปลอมแปลงข้อมูล (deepfakes) และการโจมตีแบบแทรกข้อมูล (injection attacks) องค์กรควรเลือกใช้โซลูชันที่ได้รับการรับรองอย่างอิสระตามมาตรฐานต่างๆ เช่น NIST SP 800-63-4 และ CEN/TS 18099 พร้อมระบบการจัดการภัยคุกคามเชิงรุกที่พัฒนาไปตามวิธีการโจมตีที่เปลี่ยนแปลงไป

การฉ้อโกงบัญชีใหม่กับการยึดบัญชีแตกต่างกันอย่างไร?

การฉ้อโกงการสร้างบัญชีใหม่เกี่ยวข้องกับการสร้างบัญชีใหม่โดยใช้ข้อมูลส่วนบุคคลที่ถูกขโมยหรือปลอมแปลง ส่วน การฉ้อโกงการเข้ายึดบัญชี เกี่ยวข้องกับการเข้าถึงบัญชีที่มีอยู่โดยไม่ได้รับอนุญาต ทั้งสองอย่างเป็นภัยคุกคามที่เพิ่มขึ้น แต่ต้องใช้กลยุทธ์การป้องกันที่แตกต่างกัน: การฉ้อโกงการสร้างบัญชีใหม่ควรรับมือตั้งแต่ขั้นตอนการลงทะเบียนด้วยการตรวจสอบตัวตน ในขณะที่การเข้ายึดบัญชีควรรับมือด้วยการตรวจสอบสิทธิ์อย่างต่อเนื่อง