การปลอมหน้าเว็บไซต์สถาบันการเงิน
โลกในยุคปัจจุบัน ปฏิเสธไม่ได้เลยว่าเทคโนโลยีเข้ามามีบทบาทอย่างมากในชีวิตประจำวัน
โดยเฉพาะอย่างยิ่งกิจกรรมที่ทำผ่านอินเทอร์เน็ตซึ่งสามารถเข้าถึงได้โดยไม่ถูกจำกัดเรื่องสถานที่ อาทิ การโอนเงิน การจ่ายบิลค่าไฟฟ้า ค่าน้ำ ค่าอินเทอร์เน็ต ซึ่งเดิมต้องไปทำที่ธนาคารอันทำให้เสียเวลา เสียค่าใช้จ่ายในการเดินทาง และค่าธรรมเนียมการทำธุรกรรม แต่ปัจจุบัน หากต้องการทำธุรกรรมทางการเงินจะทำจากสถานที่ใดก็ได้ โดยผ่านช่องทางอินเทอร์เน็ตซึ่งเพิ่มความสะดวกง่ายดายขึ้นมาก
อย่างไรก็ดี ความสะดวกรวดเร็วก็อาจแฝงมาด้วยภัยคุกคามโดยมิจฉาชีพที่ใช้เทคโนโลยีเป็นช่องทางก่ออาชญากรรมในหลากหลายรูปแบบ หนึ่งในนั้นก็คือการกระทำในลักษณะที่เรียกว่า “Phishing (ฟิชชิ่ง)” ซึ่งพ้องเสียงกับคำว่า Fishing ที่แปลว่าการตกปลา
Phishing เป็นอาชญากรรมที่ใช้ความรู้ทางเทคโนโลยี เพื่อโจรกรรมข้อมูลส่วนตัวของผู้ใช้ โดยใช้อีเมลหรือหน้าเว็บไซต์ปลอมซึ่งมีลักษณะคล้ายกับหน้าเว็บไซต์จริงๆ ของธนาคารเกือบทุกประการ เพื่อให้ได้มาซึ่งข้อมูล เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่นๆ แล้วนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบโดยไม่ได้รับอนุญาตเพื่อสร้างความเสียหายในด้านการเงินเป็นหลัก หากเราเปิดแล้วกรอกข้อมูลลงเว็บไซต์ปลอม ก็เท่ากับเราได้ส่งมอบรหัสส่วนตัวให้แก่พวกมิจฉาชีพไปใช้ธุรกรรมการเงินอย่างง่ายดาย
กลวิธีในการหลอกลวงผู้เสียหายมี 2 ประเภท คือ ประเภทแรก ได้แก่ Phishing แบบธรรมดา ที่ไม่ได้ระบุเป้าหมายโดยแน่ชัด เป็นการส่งอีเมลแบบสุ่ม ส่งกระจายไปโดยไม่หวังกลุ่มเป้าหมายที่เฉพาะเจาะจง ส่วนประเภทที่ 2 คือ Spear-Phishing กล่าวคือเป็นรูปแบบที่กำหนดกลุ่มเป้าหมายอย่างแน่ชัด สำหรับกรณี Phishing ไม่ว่าจะเป็นรูปแบบใดก็ตามก็เป็นภัยคุกคามที่เป็นอันตรายและทำให้เกิดความเสียหายแก่ผู้หลงเชื่อ จึงต้องมีมาตรการบางอย่างเพื่อใช้บังคับและให้เกิดผลจริงในทางปฏิบัติ
กรณีศึกษาเกี่ยวกับ Phishing ในประเทศตุรกี สะท้อนให้เห็นถึงความจำเป็นที่จะต้องออกมาตรการทางกฎหมาย โดยกรณีนี้ Onur Kopçak แฮ็คเกอร์หนุ่มชาวตุรกี วัย 26 ปีถูกศาลพิพากษาให้จำคุก ในข้อหาจารกรรมข้อมูลบนโลกออนไลน์และปลอมแปลงเว็บไซต์ธนาคารเพื่อหลอกลวงให้ผู้ใช้บริการที่ไม่ระมัดระวังกรอกข้อมูลเกี่ยวกับบัญชีธนาคาร รวมไปถึงข้อมูลบัตรเครดิต นับว่าเป็นการฉ้อโกงบนโลกออนไลน์ขนาดใหญ่ ซึ่งหลังจากการสอบสวนพบว่ายังมีเพื่อนร่วมทีมอีก 11 คน
สำหรับกฎหมายไทย บทบัญญัติที่สามารถนำมาใช้ลงโทษการกระทำลักษณะ Phishing คือประมวลกฎหมายอาญาในความผิดฐานฉ้อโกง แต่ด้วยบทลงโทษที่ต่ำมากหากเทียบกับความเสียหายทางเศรษฐกิจและผลประโยชน์ที่มิจฉาชีพได้รับ อีกทั้งยังมีความเห็นแย้งถึงการได้ไปของข้อมูลส่วนบุคคลว่า เป็นการตัดกรรมสิทธิ์หรือการครอบครองของเจ้าของข้อมูลหรือไม่ หากไม่ถือเป็นการได้ไปซึ่งกรรมสิทธิ์ในทรัพย์สินนั้น ๆ ก็จะไม่ครบองค์ประกอบความผิดฐานฉ้อโกงตามมาตรา 341 และ มาตรา 343 เทียบคำพิพากษาฎีกาที่ 609/2536
นอกเหนือจากความผิดอาญา การ Phishing เป็นการกระทำผ่านระบบหรือเครือข่ายคอมพิวเตอร์ ทำให้มีกฎหมายที่เกี่ยวข้องอีกหนึ่งฉบับคือพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 (แก้ไขฉบับที่ 2) มาตรา 8 ผู้ใดกระทำด้วยประการใดโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับไว้ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้ประโยชน์ได้ ต้องระวางโทษจำคุกไม่เกิน 3 ปี หรือปรับไม่เกิน 6 หมื่นบาท หรือทั้งจำทั้งปรับ
ในมาตรา 14 ผู้ใดกระทำความผิดดังนี้ (1) โดยทุจริต หรือโดยหลอกลวง นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ที่บิดเบือนหรือปลอมไม่ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ประชาชน อันมิใช่การกระทำความผิดฐานหมิ่นประมาทตามประมวลกฎหมายอาญา ต้องระวางโทษจำคุกไม่เกินห้าปีหรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ
จะเห็นได้ว่ากฎหมายทั้ง 2 มาตราจึงเป็นบทบัญญัติที่สามารถใช้ปราบปรามการกระทำในลักษณะ Phishing ซึ่งเป็นความผิดที่ทำให้เกิดความเสียหายต่อเศรษฐกิจและคนจำนวนมาก
มาตรา 14(1) มีที่มาจากอนุสัญญาของคณะมนตรียุโรปว่าด้วยการกระทำผิดบนอินเทอร์เน็ตกำหนดให้เป็นความผิดสำหรับการนำเข้า เปลี่ยนแปลง ลบ หรือยับยั้งซึ่งข้อมูลคอมพิวเตอร์โดยมิชอบ ทำให้ผู้อื่นเข้าใจว่าข้อมูลคอมพิวเตอร์ปลอมนั้นเป็นข้อมูลคอมพิวเตอร์ของจริง เพื่อให้มีความผิดในลักษณะเดียวกับการปลอมเอกสารที่เป็นกระดาษจับต้องได้ อันเป็นการปิดช่องว่างของกฎหมายว่าการปลอมแม้เป็นข้อมูลคอมพิวเตอร์ที่จับต้องไม่ได้ก็เป็นความผิด
จุดประสงค์แรกเริ่มของการออกกฎหมายมาตรา 14(1) ในประเทศไทยก็เพื่อป้องกันและปราบปรามการปลอมแปลงข้อมูลคอมพิวเตอร์และเพื่ออุดช่องว่างของกฎหมายอาญาเรื่องการปลอมแปลงเอกสาร ซึ่งในประมวลกฎหมายอาญาไทยมีความหมายเฉพาะกระดาษหรือวัตถุอื่นใดที่มีรูปร่างและจับต้องได้เท่านั้น ยังไม่ตีความให้ครอบคลุมรวมถึงการปลอมแปลงข้อมูลอิเล็กทรอนิกส์ได้อันเนื่องมาจากการตีความกฎหมายอาญาจำต้องตีความโดยเคร่งครัด
โดยสรุป แม้ว่าประเทศไทยจะมีการออกกฎหมายใหม่เพื่อให้สอดคล้องกับความเจริญก้าวหน้าทางเทคโนโลยีก็ตาม แต่มิจฉาชีพก็มีการปรับเปลี่ยนรูปแบบพฤติกรรมที่ซับซ้อนมากขึ้นเช่นกัน ทำให้การนำตัวผู้กระทำผิดมาลงโทษนั้นอาจจะทำได้ยาก ประชาชนเองควรที่จะต้องมีความระมัดระวังตัวในการเปิดเผยข้อมูลส่วนบุคคล หากพบเบาะแสก็ควรรีบแจ้งเบาะแสให้กับกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี(บก.ปอท.) ผ่านเว็บไซต์ https://tcsd.go.th/
โดย...
ดร.ภาณุพงศ์ เฉลิมสิน
ณัชวา โต๊ะประดู่
ธันยนันท์ จันทร์ศรี
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์