อีเมลเหล่านี้ถูกออกแบบมาอย่างแนบเนียน ทั้งรูปแบบ การใช้ภาษา และโลโก้ราชการ ทำให้หลายคนเชื่อว่าเป็นอีเมลจริงจากหน่วยงานรัฐ เมื่อคลิกเข้าไปแล้วกรอกข้อมูลตามที่ถูกขอ ไม่ว่าจะเป็นเลขบัตรประชาชน เลขบัญชี หรือ OTP ก็มีโอกาสสูงที่จะถูกขโมยเงินออกจากบัญชี หรือถูกนำข้อมูลไปใช้ในคดีอาชญากรรมไซเบอร์ เช่น เปิดบัญชีม้า หรือปลอมตัวเพื่อกู้เงินในชื่อของเหยื่อ
อีเมลปลอมคืออะไร ?
อีเมลปลอมลักษณะนี้เป็นส่วนหนึ่งของวิธีการโจมตีแบบ Phishing Attack ซึ่งมิจฉาชีพจะปลอมตัวเป็นหน่วยงานที่ดูน่าเชื่อถือ เช่น กรมสรรพากร ธนาคารแห่งประเทศไทย หรือกระทรวงการคลัง จากนั้นส่งอีเมลแนบลิงก์ที่อ้างว่าเป็นช่องทางยืนยันตัวตน รับเงินภาษีคืน หรืออัปเดตข้อมูลผู้เสียภาษี
เว็บไซต์ปลอมที่มิจฉาชีพสร้างขึ้นจะมีหน้าตาคล้ายของจริงอย่างมาก ทำให้หลายคนเข้าใจผิดว่าเป็นเว็บทางการ เมื่อกรอกข้อมูลลงไป ข้อมูลนั้นจะถูกส่งตรงสู่มิจฉาชีพทันที
ช่วงยื่นภาษีคือช่วงเวลาที่ประชาชนต้องจัดการข้อมูลส่วนตัวจำนวนมาก ทั้งการตรวจสถานะภาษี การแก้ไขข้อมูล และการรอเงินคืน พอได้รับอีเมลจาก “กรมสรรพากร” หลายคนจึงมักคลิกทันทีโดยไม่พิจารณาว่าเป็นของจริงหรือไม่
ทำไม Phishing Mail ที่แอบอ้างเป็นการยื่นภาษีจึงอันตราย ?
- ข้อมูลส่วนบุคคลถูกนำไปใช้ทำอาชญากรรมได้ง่าย: ข้อมูลที่มิจฉาชีพขอ เช่น เลขบัตรประชาชน วันเกิด เลขบัญชี หรือ OTP สามารถนำไปเปิดบัญชีม้า ทำธุรกรรมปลอม หรือแอบอ้างตัวตนเพื่อทำผิดกฎหมายได้ทันที
- เกี่ยวข้องกับเงินโดยตรง: เพราะหลายคนกำลัง “รอเงินภาษีคืน” จึงมีแนวโน้มสูงที่จะหลงเชื่อ และกดลิงก์โดยไม่ตรวจสอบ
- เทคนิคปลอมตัวสมจริงขึ้นทุกปี: มิจฉาชีพใช้กราฟิกและภาษาในแบบราชการ จนผู้รับอีเมลแยกไม่ออกว่าเป็นของปลอมหรือของจริง
- การอ้างชื่อหน่วยงานรัฐช่วยสร้างความน่าเชื่อถือ: คำว่า “กรมสรรพากร” ทำให้ผู้เสียภาษีเชื่อโดยอัตโนมัติว่าข้อความดังกล่าวเป็นเรื่องจริง แม้จะส่งจากอีเมลแปลก ๆ ก็ตาม
ภาพตัวอย่างอีเมลปลอมที่ส่งมาแจ้งว่าได้รับสิทธิรับภาษีเงินคืน
วิธีสังเกตว่าอีเมลกรมสรรพากรเป็นของปลอมหรือไม่ ?
- ตรวจดูที่อยู่อีเมลผู้ส่ง: แม้ชื่อผู้ส่งจะเขียนว่า “กรมสรรพากร” แต่เมื่อคลิกดูอีเมลจริงกลับพบว่าเป็นโดเมนที่ไม่เกี่ยวข้อง เช่น saleswo seomarketingus.com@shared1.ccsend.com ขณะที่
หน่วยงานรัฐไทยใช้โดเมน .go.th เท่านั้น
- การใช้ภาษาที่ผิดธรรมชาติ: ข้อความเช่น “เรียน ผู้มีสิทธิ์รับเงินคืนภาษี” เป็นลักษณะที่กรมสรรพากรไม่ใช้ หากเป็นการติดต่อจริง กรมสรรพากรจะระบุชื่อผู้เสียภาษีอย่างชัดเจน
- ปุ่มสำหรับกดลิงก์: ปุ่มที่เขียนว่า “ดำเนินการรับเงินคืนภาษี” หรือ “กดเพื่อยืนยันข้อมูล” มักพาไปสู่เว็บปลอม เพื่อดึงข้อมูลส่วนตัว เลขบัญชี หรือรหัส OTP
หากเผลอกดลิงก์หรือกรอกข้อมูลไปแล้ว ต้องรีบทำอย่างไร?
- ติดต่อธนาคารเพื่ออายัดบัญชีทันที แจ้งพนักงานว่ามีความเสี่ยงข้อมูลรั่วไหล ให้ธนาคารบล็อกธุรกรรมชั่วคราวทันที
- เปลี่ยนรหัสผ่านของบัญชีสำคัญทั้งหมด ทั้ง Mobile Banking, อีเมล, Facebook, LINE เพื่อป้องกันการเข้าถึง
- เก็บหลักฐานทุกอย่าง ถ่ายภาพหน้าจออีเมล ลิงก์ และเวลาที่กดไว้ทั้งหมด เพื่อใช้ยืนยันกับเจ้าหน้าที่หากเกิดความเสียหาย
- ตรวจสอบเครดิตบูโร เพื่อดูว่ามีการนำข้อมูลไปเปิดบัญชีหรือขอสินเชื่อหรือไม่ หากพบความผิดปกติให้รีบแจ้ง สายด่วน AOC 1441
ทั้งนี้ กรมสรรพากรยืนยันชัดเจนว่าไม่เคยส่งอีเมลให้กดลิงก์ยืนยันภาษี หรือให้กรอกข้อมูลส่วนตัวใด ๆ หากได้รับอีเมลดังกล่าว ให้สันนิษฐานว่าเป็นอีเมลปลอมทันที ประชาชนสามารถตรวจสอบข้อมูลทางการได้ที่เว็บไซต์กรมสรรพากร https://www.rd.go.th
