ป้องกัน SIM Swap — รู้ทัน หยุด ก่อนสูญเสียทุกอย่าง

ป้องกัน SIM Swap — รู้ทัน หยุด ก่อนสูญเสียทุกอย่าง
SMSCode Team
SMSCode Team
· 5 นาทีในการอ่าน

TL;DR: SIM Swap คือการที่แฮกเกอร์โอนเบอร์มือถือของคุณไปยัง SIM ของตัวเอง ทำให้รับ OTP ทุกอย่างที่ส่งมาได้ รวมถึงรหัสล็อกอินธนาคารและ Crypto Wallet ป้องกันได้ด้วยการใช้ Authenticator App แทน SMS 2FA และใช้เบอร์เสมือนแยกต่างหากสำหรับบัญชีที่ไม่สำคัญ เพื่อลดการเปิดเผยเบอร์จริง

ในปี 2024–2025 มีเหตุการณ์ SIM Swap ในไทยหลายร้อยกรณีที่นำไปสู่การสูญเสียเงินในบัญชีธนาคาร Crypto Wallet ถูกโจรกรรม และบัญชีโซเชียลมีเดียถูกยึด ความเสียหายรวมกันหลายสิบล้านบาท ทั้งที่เหตุการณ์เหล่านี้ป้องกันได้ถ้ารู้วิธี

บทความนี้จะทำให้คุณเข้าใจ SIM Swap อย่างลึกซึ้ง รู้สัญญาณเตือน และมีมาตรการป้องกันที่ลงมือทำได้เลยวันนี้

SIM Swap คืออะไร?

SIM Swap (หรือ SIM Hijacking, Port-Out Scam) คือการที่อาชญากรหลอกให้เครือข่ายมือถือโอนเบอร์โทรศัพท์ของคุณไปยัง SIM การ์ดที่อยู่ในมือของพวกเขา

เมื่อสำเร็จ เบอร์โทรศัพท์ของคุณจะทำงานบนโทรศัพท์ของแฮกเกอร์ โทรศัพท์ของคุณจะไม่มีสัญญาณ (ขึ้น “ไม่มีบริการ” หรือ “SOS Only”) และที่ร้ายแรงที่สุด แฮกเกอร์จะรับ SMS OTP ทุกอย่างที่ส่งมายังเบอร์ของคุณ

จากนั้นพวกเขาจะดำเนินการภายในเวลาเพียงไม่กี่นาที:

  1. ขอ Reset รหัสผ่านธนาคาร → รับ OTP ยืนยัน → โอนเงินออก
  2. ล็อกอิน Crypto Exchange → รับ 2FA OTP → ถอน Crypto ออกทันที
  3. เข้าถึงอีเมล → Reset รหัสผ่านทุกบัญชีที่เชื่อมกับอีเมลนั้น
  4. เข้าถึง LINE หรือ WhatsApp → หลอกเพื่อนและครอบครัวให้โอนเงิน

ความเสียหายส่วนใหญ่เกิดขึ้นภายใน 15–30 นาทีหลัง SIM Swap สำเร็จ เพราะแฮกเกอร์รู้ดีว่าต้องทำเร็วก่อนที่เหยื่อจะรู้ตัว

วิธีที่แฮกเกอร์ทำ SIM Swap

วิธีที่ 1: Social Engineering พนักงานเครือข่าย

แฮกเกอร์โทรหาฝ่ายบริการลูกค้าของเครือข่ายมือถือ (AIS, DTAC/NT, True Move H) แล้วแกล้งทำเป็นเจ้าของบัญชี โดยใช้ข้อมูลที่เก็บมาจาก:

  • ชื่อ-นามสกุล (จากโปรไฟล์ Facebook หรือ LinkedIn)
  • วันเกิด (จาก Facebook ที่มักโชว์สาธารณะ)
  • ที่อยู่ (จากข้อมูลที่รั่วไหลใน Data Breach)
  • 4 ตัวสุดท้ายของบัตรประชาชน (จาก Dark Web)

พนักงาน Call Center บางคนอาจถูกหลอกให้โอนเบอร์ไปยัง SIM ใหม่ โดยเฉพาะถ้าผ่านขั้นตอนยืนยันตัวตนเบื้องต้นได้

วิธีที่ 2: เอกสารปลอมในร้านค้าเครือข่าย

แฮกเกอร์ที่มีทรัพยากรมากกว่าจะทำบัตรประชาชนปลอมหรือใช้บัตรที่ดัดแปลงแล้วไปยังร้านเครือข่ายโดยตรง พร้อมอ้างว่า SIM หายหรือเสียหายและขอออก SIM ใหม่

วิธีที่ 3: พนักงานทุจริตในเครือข่าย

กรณีที่น่ากลัวที่สุด — พนักงานภายในบริษัทเครือข่ายที่รับเงินจากกลุ่มอาชญากรเพื่อทำ SIM Swap ให้ พนักงานประเภทนี้สามารถทำได้โดยไม่ต้องผ่านขั้นตอนยืนยันปกติ

วิธีที่ 4: Port-Out Scam

การโอนเบอร์ไปยังเครือข่ายอื่นโดยอ้างว่าต้องการย้ายค่ายมือถือ บางครั้งขั้นตอนการย้ายค่ายมีช่องโหว่ที่แฮกเกอร์ใช้ประโยชน์ได้

สัญญาณเตือนว่ากำลังถูก SIM Swap

สัญญาณเร่งด่วน (ต้องตรวจสอบทันที)

  • โทรศัพท์ขึ้น “ไม่มีบริการ” โดยกะทันหัน ในพื้นที่ที่ปกติมีสัญญาณดี
  • ไม่สามารถโทรออกหรือรับสายได้ ทั้งที่ชาร์จแบตเต็ม
  • ได้รับ SMS แจ้งจากเครือข่าย ว่ามีการย้ายหรือเปลี่ยน SIM ที่คุณไม่ได้ขอ

สัญญาณก่อนหน้า (อาจมองข้ามได้ง่าย)

  • ได้รับโทรศัพท์หรืออีเมลจากเครือข่ายที่ไม่ได้สั่ง
  • มีคนถามข้อมูลส่วนตัวผ่านช่องทางต่างๆ แบบผิดปกติ
  • บัญชีโซเชียลมีเดียส่ง “รหัสยืนยัน” ที่คุณไม่ได้ขอ
  • มีการ Login ล้มเหลวหลายครั้งบนบัญชีสำคัญ

วิธีป้องกัน SIM Swap — 6 มาตรการที่ต้องทำทันที

มาตรการที่ 1: ตั้ง SIM Lock / PIN กับเครือข่าย

เครือข่ายในไทยมีบริการตั้ง PIN พิเศษสำหรับการขอเปลี่ยน SIM ซึ่งใครก็ตามที่ต้องการออก SIM ใหม่ในชื่อของคุณต้องรู้ PIN นี้ด้วย:

AIS: โทร 1175 หรือผ่านแอป myAIS — ขอเพิ่ม “SIM Lock” หรือ “PIN ป้องกัน” DTAC/NT: โทร 1678 หรือผ่านแอป DTAC App True Move H: โทร 1242 หรือผ่านแอป True iService

เมื่อตั้ง SIM PIN แล้ว แม้แฮกเกอร์จะมีข้อมูลส่วนตัวครบ แต่ไม่มี PIN นี้ก็ไม่สามารถทำ SIM Swap ผ่านช่องทางปกติได้

มาตรการที่ 2: เปลี่ยนจาก SMS 2FA เป็น Authenticator App

นี่คือการป้องกันที่สำคัญที่สุดสำหรับบัญชีที่มีมูลค่าสูง:

ไม่แนะนำ: SMS OTP เป็น 2FA สำหรับบัญชีธนาคาร, Crypto Exchange, อีเมล แนะนำ: Google Authenticator, Authy, Microsoft Authenticator

Authenticator App สร้าง OTP บนอุปกรณ์ของคุณโดยตรง ไม่ผ่านเครือข่ายมือถือ แม้แฮกเกอร์จะ SIM Swap สำเร็จ ก็ไม่ได้รับ OTP จาก Authenticator App เหล่านี้

บัญชีที่ควรเปลี่ยนเป็น Authenticator App ทันที:

  • ธนาคารออนไลน์ (Krungthai NEXT, K PLUS, SCB EASY, ttb touch — ถ้ารองรับ)
  • Crypto Exchange: Bitkub, Binance, OKX, Bybit
  • Gmail และ Outlook
  • Facebook, Instagram, Twitter/X
  • LINE (ใช้ Passkey หรือ Email 2FA ถ้าไม่มี TOTP)
  • LINE BK และ Rabbit LINE Pay

Authenticator App ที่แนะนำ:

  • Authy — สำรองข้อมูลข้ามอุปกรณ์ได้ (แนะนำมากที่สุด)
  • Google Authenticator — เรียบง่าย ใช้งานง่าย
  • Microsoft Authenticator — เหมาะสำหรับผู้ใช้ Microsoft 365
  • 1Password — Password Manager ที่มี TOTP ในตัว

มาตรการที่ 3: ใช้เบอร์เสมือนแยกต่างหากสำหรับบัญชีที่ไม่สำคัญ

วิธีที่ชาญฉลาดคือใช้ เบอร์เสมือน จาก SMSCode สมัครบัญชีที่ไม่สำคัญ แทนเบอร์มือถือจริง

เหตุผลที่ทำให้ปลอดภัยมากขึ้น:

  • เบอร์เสมือนไม่ผูกกับ SIM ของคุณ — แฮกเกอร์ไม่สามารถ SIM Swap เบอร์เสมือนได้ เพราะไม่ใช่ SIM ในระบบเครือข่ายไทย
  • ลดการเปิดเผยเบอร์จริง — ยิ่งเบอร์จริงของคุณอยู่ในฐานข้อมูลน้อยเท่าไหร่ โอกาสที่แฮกเกอร์จะได้เบอร์มาก็น้อยลง
  • แยกบัญชีออกจากกัน — ถ้าบัญชีหนึ่งถูก Compromise บัญชีอื่นที่ใช้เบอร์ต่างกันยังปลอดภัย

บัญชีที่ควรสมัครด้วยเบอร์เสมือน:

  • แอปโซเชียลมีเดีย (TikTok, Instagram บัญชีสำรอง)
  • แอปส่งอาหาร (Grab, LINE MAN, Foodpanda — บัญชีทดสอบ)
  • แพลตฟอร์ม E-commerce (Shopee, Lazada บัญชีสำรอง)
  • Newsletter หรือบริการที่ส่ง SMS Marketing
  • บัญชีเกมออนไลน์ (Steam, Garena)

ดูบทความ ความปลอดภัยเบอร์เสมือน สำหรับรายละเอียดเพิ่มเติม

มาตรการที่ 4: จำกัดข้อมูลส่วนตัวบน Social Media

แฮกเกอร์รวบรวมข้อมูลจาก Facebook, Instagram, LinkedIn เพื่อใช้ Social Engineer เครือข่ายมือถือ:

  • อย่าโพสต์วันเกิดแบบสาธารณะ — ซ่อนจาก Profile หรือตั้งให้เฉพาะเพื่อนเห็น
  • ระวังการใช้ภาพที่มีเอกสารสำคัญ — ห้ามถ่ายรูปบัตรประชาชนหรือเอกสารแล้วโพสต์
  • ตรวจสอบว่าอีเมลรั่วไหลไหม — เข้าไปตรวจที่ haveibeenpwned.com เพื่อดูว่าอีเมลของคุณอยู่ใน Data Breach ไหน
  • ระวัง Check-In ที่แสดงข้อมูลที่อยู่อาศัยถาวร

มาตรการที่ 5: เปิด Account Alerts ทุกธุรกรรม

เปิดการแจ้งเตือนจาก App ธนาคารทุกแห่งสำหรับ:

  • ทุกธุรกรรม (ไม่ว่าจะเล็กหรือใหญ่)
  • Login จากอุปกรณ์ใหม่
  • การเปลี่ยนรหัสผ่านหรือข้อมูลบัญชี
  • การเพิ่มผู้รับเงินใหม่

ถ้าเห็น Alert ที่ผิดปกติ ให้โทรหาธนาคารทันที

มาตรการที่ 6: Hardware Security Key สำหรับบัญชีสำคัญสูงสุด

สำหรับบัญชีที่มีมูลค่าสูงมาก เช่น Exchange Crypto ที่มีเงินหลายล้านบาท หรืออีเมลธุรกิจ ควรใช้ Hardware Security Key:

  • YubiKey — มาตรฐานอุตสาหกรรม ราคา 1,500–3,000 บาท
  • Google Titan Security Key — ทางเลือกจาก Google

แม้แต่ SIM Swap ก็ไม่สามารถเอาชนะ Hardware Security Key ได้ เพราะต้องมีกุญแจฮาร์ดแวร์จริงๆ

ความแตกต่างระหว่าง SMS 2FA กับ TOTP App

คุณสมบัติSMS OTPAuthenticator App (TOTP)
ผ่านเครือข่ายมือถือใช่ — เสี่ยง SIM Swapไม่ — สร้างในอุปกรณ์
Intercept ได้ไหมได้ (SS7 Attack)ไม่ได้
ทำงานแม้ไม่มีสัญญาณไม่ใช่ — ทำงาน Offline
ง่ายต่อการใช้ง่ายมากง่าย (เมื่อติดตั้งแล้ว)
แนะนำสำหรับบัญชีสำคัญไม่ใช่

ถ้าถูก SIM Swap แล้ว — ต้องทำอะไรทันที?

ภายใน 5 นาทีแรก:

  1. โทรหาเครือข่ายมือถือจากโทรศัพท์อื่น (ยืมเพื่อนหรือโทรศัพท์บ้าน)
  2. แจ้งว่า SIM ถูก Swap และขอระงับทันที
  3. โทรแจ้งธนาคารทุกแห่งให้ระงับธุรกรรมออนไลน์ชั่วคราว

ภายใน 30 นาที:

  1. เปลี่ยนรหัสผ่านบัญชีสำคัญทั้งหมดจากอุปกรณ์อื่น (คอมพิวเตอร์ที่บ้าน)
  2. แจ้ง Exchange Crypto ให้ระงับการถอน
  3. ตรวจสอบธุรกรรมย้อนหลัง 24 ชั่วโมง

ภายใน 24 ชั่วโมง:

  1. แจ้งความที่สถานีตำรวจหรือตำรวจไซเบอร์ (https://www.thaipoliceonline.com)
  2. เปลี่ยนจาก SMS 2FA เป็น Authenticator App ทุกบัญชี
  3. แจ้ง DSI (กรมสอบสวนคดีพิเศษ) หากมีความเสียหายทางการเงินสูง

หน่วยงานที่ติดต่อได้:

  • สายด่วนตำรวจไซเบอร์: 1441
  • ธนาคารแห่งประเทศไทย: 1213
  • ศูนย์ AOC (Anti Online Scam Operation Center): 1441

กรณีศึกษา: SIM Swap ที่เกิดขึ้นในไทย

กรณีที่ 1 — Crypto ถูกโจรกรรม: ชาวไทยคนหนึ่งมี Bitcoin บน Exchange ไทยมูลค่ากว่า 2 ล้านบาท วันหนึ่งสังเกตว่ามือถือไม่มีสัญญาณ กว่าจะโทรแจ้งเครือข่ายและ Exchange ได้ แฮกเกอร์ถอน Bitcoin ไปแล้วทั้งหมดภายใน 20 นาที

กรณีที่ 2 — ธนาคารถูกโอนเงิน: พนักงานบริษัทในกรุงเทพฯ ถูก SIM Swap ผ่าน Call Center เครือข่าย แฮกเกอร์ใช้ SMS OTP Reset รหัสผ่าน Mobile Banking แล้วโอนเงินออก 150,000 บาทภายใน 10 นาที

บทเรียน: ทั้งสองกรณีป้องกันได้ถ้าเปลี่ยนจาก SMS 2FA เป็น Authenticator App ก่อนหน้านั้น

สรุป: Checklist ป้องกัน SIM Swap

  • ตั้ง SIM Lock / PIN กับเครือข่ายมือถือ (AIS / DTAC / True)
  • เปิด Authenticator App สำหรับบัญชีธนาคารและ Crypto Exchange
  • เปิด Authenticator App สำหรับอีเมลหลัก (Gmail, Outlook)
  • ใช้เบอร์เสมือนสำหรับบัญชีที่ไม่สำคัญ
  • ซ่อนวันเกิดบน Facebook และ Instagram
  • เปิด Account Alerts ทุกธุรกรรม
  • บันทึกเบอร์ฉุกเฉินของเครือข่ายในสมุดโทรศัพท์

FAQ

SIM Swap เกิดขึ้นบ่อยไหมในไทย?

เกิดขึ้นบ่อยขึ้นเรื่อยๆ โดยเฉพาะในกลุ่มผู้ใช้ Crypto Exchange ที่มีเงินจำนวนมาก เพราะผลตอบแทนสูงกว่าการ Hack ธนาคารทั่วไป ธนาคารแห่งประเทศไทยออกประกาศเตือนผู้บริโภคเกี่ยวกับ SIM Swap หลายครั้งในปี 2024–2025

ธนาคารในไทยป้องกัน SIM Swap ได้ไหม?

ธนาคารหลายแห่งในไทยยังใช้ SMS OTP เป็น 2FA หลัก ซึ่งเสี่ยงต่อ SIM Swap ควรตรวจสอบว่าธนาคารของคุณรองรับ Biometric หรือ Authenticator App ไหม ถ้ารองรับให้เปิดใช้ทันที

VoIP Number (เช่น Google Voice) ป้องกัน SIM Swap ได้ไหม?

VoIP ดีกว่าเบอร์จริงในแง่ที่ไม่โดน SIM Swap ตรงๆ แต่ยังถูก Account Hijack ได้ผ่านการ Reset Password อีเมล ถ้าอีเมลที่ผูกกับ VoIP ถูก Compromise ก็จบเหมือนกัน

เบอร์เสมือนจาก SMSCode ถูก SIM Swap ได้ไหม?

ไม่ เพราะเบอร์เสมือนไม่ใช่ SIM ในระบบเครือข่ายมือถือไทย การ SIM Swap ทำได้เฉพาะกับ SIM การ์ดที่ลงทะเบียนกับ Operator เท่านั้น เบอร์เสมือนไม่มีในระบบของ AIS, DTAC หรือ True

ถ้าไม่มีโทรศัพท์สำรอง จะโทรแจ้งเครือข่ายได้อย่างไร?

ยืมโทรศัพท์จากคนในบ้านหรือเพื่อนบ้านได้ทันที หรือใช้ LINE/Skype โทรจากคอมพิวเตอร์ก็ได้ ในกรณีฉุกเฉิน โทรศัพท์สาธารณะยังใช้ได้ในหลายพื้นที่ ควรบันทึกเบอร์ฉุกเฉินของเครือข่ายไว้ในที่ที่เข้าถึงได้โดยไม่ต้องพึ่งมือถือ

อย่ารอให้ถูก SIM Swap ก่อนค่อยป้องกัน เริ่มเปลี่ยน SMS 2FA เป็น Authenticator App ทันที และพิจารณาใช้ เบอร์เสมือน จาก SMSCode สำหรับบัญชีที่ไม่สำคัญเพื่อลดการเปิดเผยเบอร์จริง สมัครฟรี

#ความปลอดภัย#sim-swap#2fa#crypto#ป้องกัน

พร้อมลอง SMSCode แล้วหรือยัง?

สร้างบัญชีแล้วรับเบอร์เสมือนแรกของคุณภายในไม่ถึงสองนาที

เริ่มต้นใช้งาน →