KNS It Solution Co., Ltd.

12/10/2024

หลักสูตรด้านความมั่นคงปลอดภัยไซเบอร์ระดับผู้เชี่ยวชาญ รุ่นที่ 6

โครงการเร่งรัดการพัฒนาบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ ระยะที่ 2

Thailand National Cyber Academy NCSA Thailand

12/10/2024

หลักสูตรด้านความมั่นคงปลอดภัยไซเบอร์ระดับผู้เชี่ยวชาญ รุ่นที่ 4

โครงการเร่งรัดการพัฒนาบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ ระยะที่ 2
Thailand National Cyber Academy NCSA Thailand

12/10/2024

หลักสูตรด้านความมั่นคงปลอดภัยไซเบอร์ระดับผู้เชี่ยวชาญ รุ่นที่ 2

โครงการเร่งรัดการพัฒนาบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ ระยะที่ 2

Thailand National Cyber Academy NCSA Thailand

10/02/2023

หลักสูตร การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ กรมพัฒนาที่ดิน by อ.อาทิตย์ ซื่อสัตย์สิทธิกร https://www.ldd.go.th/newsm/?cd=4119

30/09/2022

Security Awareness Training😃😃😃 by อ.อาทิตย์ ซื่อสัตย์สิทธิกร

24/01/2022

Training Information Security @ Land Development Operation Center for Royal Project.😃😃😃

นางสาวภัทราภรณ์ โสเจยยะ รองอธิบดีกรมพัฒนาที่ดินด้านบริหาร เปิดการฝึกอบรมโครงการพัฒนาบุคลากรด้านคอมพิวเ...

19/10/2021

#ว่าด้วยเรื่องเงินหายจากบัตรหรือบัญชี
[ใช้เวลาอ่าน: 16 นาที] [+2 นาที ส่วนเพิ่มเติม]

จากข่าวที่แชร์กันสนั่นโลกออนไลน์ช่วงนี้ มีนักแปล 3-4 ท่านสอบถามผมเข้ามาเนื่องจากเงินหายเหมือนกันโดยทราบว่าผมทำงานด้านพัฒนาระบบ (แต่ไม่ได้ถือว่าเป็นผู้เชี่ยวชาญด้านระบบความปลอดภัย) ดังนั้นขออนุญาตนอกเรื่องการแปลและให้ข้อมูลเบื้องต้นไว้ดังนี้

เนื่องจากบทความนี้ค่อนข้างยาว หากต้องการอ่านเกี่ยวกับ
* สาเหตุที่คาดเดา ให้อ่านข้อ 1, 3 และ 4
* ทำไมตัดเงินได้แม้ไม่มี OTP ให้อ่านข้อ 8
* เงินหายทำอย่างไร ให้อ่านข้อ 9
* ป้องกันตัวเองอย่างไร ให้อ่านข้อ 10
* อัปเดตเพิ่มเติมจาก ธปท. ให้อ่านข้อ 11 ด้านล่างสุด (19 ต.ค. 21)
* ถ้าว่าง ให้อ่านทุกข้อ
1. #รูปการณ์
เท่าที่อ่านดูตอนนี้จากหลายที่ ข้อมูลสับสนพอสมควร เนื่องจากบางคนกล่าวอ้างว่าโดนจากบัตรเดบิต บัตรเครดิต บัญชีธนาคาร บ้างก็บอกว่ามีผูกบัตรหรือบัญชี บ้างก็บอกว่าไม่เคยผูกที่ใดเลย บางธนาคารมีเคสเยอะ บางธนาคารมีเคสน้อย เรียกว่าปะปนกันไปหมด
การจะไล่หาสาเหตุได้ เราคงต้องใช้ข้อมูลที่แม่นยำพอสมควรเพื่อจำกัดวงปัญหาให้แคบลง
บางเคสบอกว่าเงินหายจากบัญชีทุกเดือนและไม่เคยผูกบัญชีกับที่ใดเลย แต่พอมีคนสอบถามและให้ลองจับภาพหน้าจอมาให้ดู กลายเป็นว่าไม่ใช่เงินหาย แต่เป็น "เงินเข้า" :-)
ที่ชัดเจนคือหลายคนเงินหายจริง แต่รอบนี้แปลกเพราะลักษณะการดูดเงินมีหลากหลายกระบวนท่า มีตั้งแต่ยอดใหญ่เช่นค่าโฆษณา ไปจนถึงยอดเล็กหลายยอดแบบรายชั่วโมงหรือรายวัน พฤติกรรมราวกับว่าคนที่นำไปใช้เป็นบุคคลต่างกลุ่มกัน แต่อาจจะได้ข้อมูลหลุดมาจากที่เดียวกัน แล้วนำไปผูกเพื่อจ่ายเงินกับบริการต่างๆ
ดังนั้นจะทราบสาเหตุก็ต้องกรองเคสและหาจุดร่วมให้ได้ และต้องเป็นข้อมูลจากคนที่มั่นใจจริงๆ เท่านั้นว่าเคยเอาบัตรหรือบัญชีไปใช้ช่องทางใดบ้าง (ซึ่งหากเป็นตัวผมเอง ผมจะทราบทั้งหมดว่า เคยใช้บัตรใบใด วันที่เท่าไร จำนวนเงินเท่าไร และเคยเอาไปผูกบัตรหรือบัญชีกับที่ใด ทั้งหมดไล่ตรวจสอบย้อนหลังได้เกือบ 20 ปี)
2. #รั่วจากธนาคาร?
แถลงการณ์ของธนาคารที่ออกมาปฏิเสธเรื่องนี้ โดยส่วนตัวผมก็อยากเชื่อตามนั้น เพราะรอบนี้โดนกันหลายธนาคาร และปัญหาส่วนใหญ่มักไม่ได้รั่วจากธนาคาร
ผมเคยทำงานพัฒนาระบบร่วมกับธนาคารในบางส่วนและทราบว่ามาตรการความปลอดภัยของธนาคารนั้นค่อนข้างเข้มงวดมากและมีหลายชั้นหลายระดับ
หากมองในมุมการเจาะระบบ ไม่ได้เหมือนในหนังที่แฮกเกอร์มุ่งเจาะธนาคาร เพราะการเจาะระบบที่ 3rd-party นั้นง่ายกว่ามาก เช่นเดียวกับการมุ่งหาช่องโหว่จากผู้ใช้ซึ่งง่ายที่สุด และกรณีนี้โดนกันหลายธนาคาร ดังนั้นโอกาสการหลุดจากหลายธนาคารพร้อมกันจึงเป็นไปได้ยาก
3. #รั่วจากเว็บหรือแอป?
แม้ข่าวที่ออกมาจะมีคนบอกว่าไม่เคยผูกบัญชีกับที่ใดเลยหรือไม่เคยใช้บัตรที่ใดเลย แต่กรณีข้อมูลรั่วโดยส่วนใหญ่มักเกิดจากช่องทางนี้
หากมองจากสภาพการณ์ที่มีความหลากหลาย ผมยังอยากเดาว่าข้อมูลบัตรน่าจะรั่วมาจากเว็บหรือแอปสักแห่ง ซึ่งสเกลนี้น่าจะเป็นรายใหญ่มาก เพราะมีหลายเคสมั่นใจว่าไม่เคยผูกบัตรกับที่ใด
หลายปีก่อนบัตรเครดิตของผมหนึ่งใบก็โดนชาร์จเงินที่เราไม่ได้ทำธุรกรรมเอง ซึ่งก็เคลมคืนมาได้ไม่ยาก ลองค้นกระทู้ Pantip เพื่ออ่านข้อมูลกรณีดังกล่าวได้ ซึ่งครั้งนั้นผมค่อนข้างสงสัยว่ารั่วมาจากสายการบินแห่งหนึ่ง
จะสรุปว่ารั่วจากเว็บหรือแอปใดเป็นเรื่องค่อนข้างยาก เพราะข้อมูลจากฝั่งผู้ใช้เองบางทีก็สับสน ผู้ใช้ส่วนใหญ่จำไม่ได้ว่าเคยใช้บัตรที่ใดบ้าง
และกรณีเงินหายในวันนี้อาจเกิดจากระบบรั่วเมื่อสัปดาห์ที่แล้ว เดือนที่แล้ว หรือปีที่แล้วก็ได้ อารมณ์เดียวกับการทำ Zombie Network ที่แฮกเกอร์แค่ฝังโค้ดไว้บนคอมพิวเตอร์ของผู้ใช้แต่ยังไม่ได้ปลุกขึ้นมาใช้งาน รอจังหวะแล้วเรียกทุกเครื่องขึ้นมาพร้อมกันแล้วโจมตีระบบเป้าหมายด้วย DDoS ทีเดียว
ผมเชื่อว่าธนาคารก็คงทำงานร่วมกันอยู่เพราะคงมีแค่ธนาคารเท่านั้นที่สามารถนำข้อมูลในระบบมาวิเคราะห์ได้ว่าแต่ละเคสมีจุดร่วมจากที่ใด
เว็บไซต์และแอปส่วนใหญ่โดยเฉพาะขนาดเล็กและขนาดกลางไม่ได้ผ่านการทำ Pe*******on Test เพราะค่าใช้จ่ายสูงมากและต้องทำกันต่อเนื่อง และถึงแม้ทำแล้วแต่ก็อาจแก้ไม่ได้ เนื่องจากการแก้ทางเดียวคืออาจต้องทุบระบบทิ้งก็เป็นได้
เว็บขนาดเล็กและขนาดกลางบางแห่งรองรับการชำระค่าสินค้าออนไลน์ แต่กลับเก็บข้อมูลบัตรของลูกค้าเอาไว้ในฐานข้อมูลของตัวเองด้วย ซึ่งหากไม่มีระบบความปลอดภัยที่แน่จริง เราควรส่งข้อมูลไปขอยืนยันวงเงินและตัดบัตรจากธนาคารหรือ 3rd Party Payment Gateway เพียงแค่นั้น ไม่ใช่ว่าฐานข้อมูลกับระบบเว็บส่วนหน้าอยู่บนเซิร์ฟเวอร์ตัวเดียวกัน แต่เก็บมันทุกอย่าง เรียกว่าโดนโจมตีขึ้นมาก็หลุดหมด ซึ่งส่วนใหญ่เกิดขึ้นในกรณีที่โปรแกรมเมอร์ขาดความรู้เรื่องความปลอดภัย (เพราะเรื่องความปลอดภัยเป็นอีกศาสตร์หนึ่งที่ไม่ใช่โปรแกรมเมอร์ทุกคนทราบ) หรือบริษัทไม่มีงบลงทุนด้านนี้ หรือมีงบลงทุนแต่ไม่ใส่ใจเรื่องการป้องกัน
แถมการพัฒนาเว็บ แอป และโปรแกรมในยุคนี้ยังมีมีแนวโน้มไปในแนวทาง "การต่อจิกซอว์" กล่าวคือ หยิบโมดูลนี้จากตรงนั้น หยิบโมดูลนั้นจากตรงโน้น เรียกว่าทุกคนช่วยกันพัฒนาคนละส่วนสองส่วน แล้วหยิบยืมหรือซื้อต่อโค้ดจากกันและกัน ไม่งั้นค่าพัฒนาระบบจะแพงกว่านี้หลายเท่าตัว แต่วิธีดังกล่าวก็ทำให้เกิดสารพัดปัญหาตามมาได้เช่นกัน
ฝากให้คิดนิดนึงว่า ขนาดบริษัทระดับโลกอย่าง Apple, Google, Microsoft ยังต้องออกชุดอัปเดตด้านความปลอดภัยกันถี่ยิบ แล้วประสาอะไรกับเว็บหรือแอปโดยทั่วไปที่บางครั้งไม่เคยอัปเดตด้านความปลอดภัยเลย
ที่สำคัญอย่าตามหาคำว่า "ปลอดภัย 100%" เพราะคำนี้เป็นไปไม่ได้ในทุกกรณี
4. #รั่วจากระบบบริการชำระเงิน
อาจพอทราบว่าการชำระเงินออนไลน์นั้น ไม่ได้ผ่านธนาคารเพียงฝ่ายเดียว แต่จะมีตัวกลางเข้ามาทำหน้าที่รวมบริการชำระเงินหลายรูปแบบเพื่อความสะดวกของร้านค้าและของลูกค้า
เคสนี้ก็อาจเป็นไปได้หรือไม่ว่าระบบชำระเงินออนไลน์บางแห่งทำข้อมูลหลุดหรือโดนโจมตี เพราะท้ายสุดแล้วตอนส่งข้อมูลยืนยันธุรกรรมว่าอนุมัติหรือไม่นั้นก็ต้องส่งผ่านตัวกลางที่ว่าหรือก็คือ 3rd Party Payment Gateway ซึ่งมีหลากหลายค่ายในไทย ทั้งรายใหญ่ กลาง และเล็ก ดังนั้นระบบรักษาความปลอดภัยก็แตกต่างกันไป
เช่นเดียวกับบริการแอปวอลเล็ตต่างๆ ที่อาจเป็นต้นตอ เพราะรอบนี้บัตรเดบิตโดนกันค่อนข้างเยอะ และคนที่ใช้วอลเล็ตก็มักผูกเข้ากับบัตรเดบิตหรือบัญชีธนาคาร ยิ่งถ้ามองสภาพความหลากหลายของเคสต่างๆ ยิ่งรู้สึกว่าต้นตอน่าจะเป็นระบบหรือบริการที่รับข้อมูลบัตรหรือบัญชีเข้ามาอย่างหลากหลายเช่นกัน
แต่ผมก็คอมเมนต์ในมุมนี้ได้ไม่เยอะ เพราะที่ผ่านมามีแต่ให้น้องที่ออฟฟิศช่วยผูกระบบพวกนี้ ไม่ได้มีความรู้เบื้องลึกมากนัก แต่เท่าที่ทราบและเคยสัมผัสเองก็คือ มาตรการความปลอดภัยของบริษัทบางแห่งยังมีช่องโหว่พอสมควร เช่น ก่อนหน้านี้บางรายยอมให้ร้านค้าสามารถเปลี่ยนบัญชีรับเงินได้โดยไม่ต้องยืนยันตัวตนใดๆ หรือไม่มีการแจ้งเตือนธุรกรรมโอนออกจากระบบแต่ปัดภาระให้โปรแกรมเมอร์ต้องไปเขียนเพิ่มเติมเอง เป็นต้น
5. #รั่วจากผู้ใช้?
การรั่วจากผู้ใช้ก็เป็นสิ่งที่เกิดขึ้นได้ เพราะผู้ใช้โดยส่วนใหญ่แยกแยะไม่ออกว่า Phishing คืออะไร แอปหรือเว็บไหนน่าไว้วางใจ และคงไม่มีใครมานั่งเปิดดู SSL Certificates บนเว็บไซต์เหมือนผมทุกครั้ง
ผู้ใช้จำนวนมากโหลดแอปสารพัด และแอปที่มักเป็นตัวปัญหาส่วนใหญ่ก็บรรดาแอปบันเทิงต่างๆ ที่ให้บริการฟรี แต่งหน้าบ้าง รีทัชบ้าง ฟรีวอลเปเปอร์บ้าง
บางคนถึงขนาดกล้าติดตั้งแอปบนมือถือแบบไม่ผ่านสโตร์ กล้าโหลดโปรแกรมฟรีจากเว็บผิดกฎหมาย และอาจไม่เคยอัปเดตความปลอดภัยของระบบปฏิบัติการบนเครื่องเลย
หลายคนยังใช้วินโดวส์เถื่อนและติดตั้งโปรแกรมเถื่อน หลายคนบอกว่าใช้งานมาไม่เคยมีปัญหา
ครับ ไม่มีปัญหาเมื่อก่อน ไม่ได้หมายถึงว่าไม่มีปัญหาในวันนี้หรือวันข้างหน้า
ลองถามโปรแกรมเมอร์คนไหนดูก็ได้ว่า ในเชิงการเขียนโปรแกรมแล้ว เราทำอะไรกับเครื่องของผู้ใช้ได้บ้าง มันสารพัดอย่างจริงๆ
บางทีไม่จำเป็นต้องเจาะเครื่องผู้ใช้ด้วยซ้ำ และกรณีส่วนใหญ่ก็เป็นเช่นนั้น เพราะการใช้เทคนิค Social Engineering ง่ายกว่ามาก แถมยังทำได้ในวงกว้างไม่เปลืองแรงแฮกเกอร์
คอมพิวเตอร์บางเครื่องไม่เคยติดตั้งแอนตีไวรัสหรือถ้าจะมีก็ดันใช้ของเถื่อนอีก อย่างเมื่อวานนี้ตอน Zoom เรื่อง CAT Tools ถ้าใครสังเกตหน้าจอผมจะเห็นว่ามีอยู่ช่วงนึงที่ระบบแจ้งผมว่า มีโปรแกรมบางอย่างกำลังพยายามส่งข้อมูลออกจากเครื่อง (หากต้องการทราบอะไรแบบนี้ ต้องติดตั้ง Firewall พ่วงด้วยหรือทางการตลาดส่วนใหญ่เรียกว่า Security Suite) ซึ่งโดยปกติผมจะคลิกตรวจสอบทันที แต่เคสนั้นผมปล่อยผ่านเนื่องจากกำลังบรรยาย
อย่างไรก็ดีเคสรอบนี้ผมไม่คิดว่าจะเป็นการรั่วทางนี้
6. #รั่วจากร้านค้าทั่วไป?
เดาว่าโอกาสเป็นไปได้น้อยในกรณีนี้เพราะปัญหาเกิดขึ้นเป็นวงกว้าง
แต่ก็ไม่ใช่ว่าจะเกิดขึ้นไม่ได้ ดังนั้นทุกครั้งที่ร้านค้าพยายามขอจดเลขบัตรเครดิตหรือรหัสหลังบัตร ผมถึงไม่อนุญาตในทุกกรณี ไม่นับรวมที่โดนแอบจดโดยไม่รู้ตัว
ร้านค้าเองก็ควรเลิกพฤติกรรมเช่นนั้นได้แล้วถ้ายังทำอยู่โดยเฉพาะปั๊มน้ำมัน
ปัญหาเรื่องการดูดข้อมูลจากเครื่องรูดบัตรก็อาจเกิดขึ้นได้ แต่ดูสถานการณ์แล้วก็ยังคิดว่าไม่น่าใช่สำหรับกรณีนี้
7. #ปัญหาจากหลายสาเหตุ
มีแว่บนึงที่แอบคิดว่าปัญหาอาจเกิดขึ้นจากหลายสาเหตุปนกัน เช่น รั่วมาจากหลายแอปหรือหลายร้านค้าออนไลน์ แล้วเพิ่งนำมาโจมตีพร้อมกัน
แนวทางนี้ก็ไม่ใช่เรื่องใหม่เพราะแฮกเกอร์จัดอยู่ในกลุ่มคนที่ฉลาดสุดขั้วอยู่แล้ว (ไม่นับ Script Kiddie) อีกทั้งยังทำให้การติดตามสืบหาต้นทางทำได้ยาก
อย่างไรก็ดีการจะสรุปแบบนี้ได้นั่นหมายถึงต้องมีเคสจำนวนมากที่หาจุดร่วมกันไม่ได้ ซึ่งผมไม่อยากให้สถานการณ์ออกมาเป็นเช่นนี้
8. #ทำไมถึงตัดเงินได้ ไม่เห็นได้ OTP
ประเทศไทยเป็นประเทศที่มีการใช้ OTP ค่อนข้างเข้มข้น แต่โปรดทราบว่าการใช้ OTP ไม่ได้เป็นเรื่องบังคับ ดังนั้นยังมีระบบอีกจำนวนมากที่ไม่ได้พึ่งพา OTP ซึ่งเป็นเรื่องที่ควบคุมไม่ได้
Facebook, Google, Amazon บริษัทเหล่านี้ก็ไม่ได้บังคับให้กรอก OTP ทุกครั้ง อย่างกรณีของ Amazon ตั้งแต่ผมใช้บริการมาเกิน 20 ปี ไม่เคยต้องกรอก OTP แม้แต่ครั้งเดียว
ดังนั้นไม่แปลกที่การเติมเงิน ซื้อไอเท็ม จ่ายค่าโฆษณา จะทะลวงเข้ามาทำรายการในบัญชีหรือบัตรของเราได้โดยไม่รู้ตัว เพียงแค่มีเลขบัตร วันหมดอายุ และรหัสหลังบัตร
หากข้อมูลบัตรหลุดไป และมิจฉาชีพนำไปใช้ชำระเงินกับเว็บไซต์หรือแอปหรือบริการที่ไม่บังคับให้ต้องกรอก OTP ก็เท่ากับว่าผ่านฉลุย ซึ่งการกำหนดว่าจะต้องกรอกหรือไม่กรอก OTP นั้น ธนาคารไม่ได้เป็นผู้กำหนด แต่ร้านค้าดังกล่าวเป็นผู้เลือกเอง
ผมจำเงื่อนไขเรื่อง OTP ไม่ได้ชัด ไม่แน่ใจว่าจะโดนคิดค่าธรรมเนียมเพิ่มขึ้นหรือไม่ในฝั่งผู้ค้า และหากเกิดปัญหาขึ้นมา คุ้นๆ ว่าผู้ค้าน่าจะต้องรับผิดชอบการคืนเงินโดยปฏิเสธได้ยากขึ้น และบางทีอาจเป็นข้อตกลงระหว่างธนาคารกับร้านค้าด้วยหรือไม่อันนี้ไม่ทราบเหมือนกัน เพราะมี OTP นั่นหมายถึงมีต้นทุนเพิ่มเติมทุกธุรกรรมทันที
9. #เงินหายไปแล้ว ทำอย่างไร
สิ่งสำคัญที่สุดก็คือการรีบแจ้งธนาคารหรือสถาบันการเงินผู้ออกบัตร เพื่อทำเรื่องปฏิเสธธุรกรรมที่ไม่ใช่ของเรา เพราะมีกฎของ VISA กับ MASTERCARD บางข้อที่เอื้อในเรื่องนี้อยู่ ซึ่งแม้ผมจะไม่แน่ใจในรายละเอียด แต่ค่อนข้างเชื่อมั่นว่ากรณีรั่วแบบ CNP หรือ Card Not Present เราได้รับความคุ้มครองพอสมควร
ในอดีตที่ผมเคยโดนมา เคลมเงินคืนได้ทุกกรณี ที่อาจจะเคลมไม่ได้ก็คงเป็นกรณีซึ่งพิสูจน์ได้ชัดเจนว่าเป็นความประมาทของผู้ถือบัตรหรือเจ้าของบัญชี เช่น หยิบยื่นข้อมูลให้กับผู้ร้ายโดยไม่รู้ตัว
ถัดมาก็ควรแจ้งไปยังต้นทางที่ชาร์จบัตรหรือเรียกเก็บเงินเข้ามา แนะนำว่าหากเป็นบริษัทใหญ่ เช่น Facebook, Google, Apple .. อย่าไปเสียเวลาโทรติดต่อ ให้ส่งอีเมลไปเพราะทุกที่มีช่องทางการยื่นเรื่องอยู่แล้ว อีกทั้งจะได้มีหลักฐานเก็บไว้ที่ตัวเราด้วยอีกทาง
นอกจากนั้นก็ควรทบทวนพฤติกรรมตัวเองและปรับเปลี่ยนบางอย่างเพื่อเพิ่มความปลอดภัยในอนาคต ซึ่งลองเลือกปฏิบัติได้จากข้อ 10
10. #ป้องกันตัวเองอย่างไร
ถ้าคุ้นเคยกันจะรู้ว่าผมคำนึงถึงเรื่องความปลอดภัยมาก ทุกอย่างด้านล่างคือสิ่งที่ผมทำ แต่ไม่ได้บอกให้ทำตามทั้งหมด ไม่งั้นคงบ้าตาย ปล่อยให้ผมบ้าไปคนเดียวก็พอ
#จดทุกธุรกรรมการใช้บัตรและการโอนเงินออก เงินเข้าผมไม่ค่อยสนใจในเรื่องความปลอดภัย (แต่ก็จดหมด) วินัยในการลงบัญชีส่วนตัวทำให้ผมย้อนกลับไปดูได้ว่าเมื่อ 15 ปีที่แล้วผมใช้บัตรเครดิตใบนี้ซื้อสินค้าชิ้นนี้ในราคาเท่านี้กับเว็บไซต์แห่งนี้หรือแห่งไหน หรือเมื่อสองวันที่แล้วผมโอนเงินจากบัญชีนี้ไปให้ใครเป็นค่าอะไรและปลายทางเลขที่บัญชีอะไร ; บางคนบอกว่าไม่จำเป็นต้องจดเพราะมีข้อมูลอยู่ในธนาคารหรือในแอป แต่สำหรับผมไม่วางใจใคร และอยากถามว่าแอปของใครดูย้อนหลัง 5 ปีได้บ้าง?
#แยกโทรศัพท์ ผมแยก OTP ไว้เครื่องหนึ่งและแอปธนาคารไว้อีกเครื่องหนึ่ง เพราะในเชิงโปรแกรมมิงแนวทางนี้ทำให้เกิดการทะลวงผ่านได้ยากขึ้น แต่ปัจจุบันบางธนาคารบังคับให้แอปต้องอยู่บนมือถือที่ใช้เบอร์เดียวกันเท่านั้น ก็ต้องปรับตัวกันไป อย่างไรก็ดีการแยกโทรศัพท์สำหรับการทำธุรกรรมทางการเงินยังถือเป็นแนวทางที่ดี ใช้มือถือเครื่องเก่าบวกกับซิมเติมเงิน (เติม 10 บาท อยู่ได้ 30 วัน) และมือถือเครื่องดังกล่าวไม่ลงแอปอื่นใด ก็จะเพิ่มความปลอดภัยได้มาก ส่วนมือถืออีกเครื่องที่อยากจะติดตั้งโน่นนี่เพราะห้ามใจไม่ไหว ก็อย่าเอาเรื่องการเงินเข้าไปยุ่ง
#ลบแอปที่ไม่ใช้และอย่าลงแอปมั่วซั่ว ช่วยลดความบันเทิงลงหน่อย บรรดาแอปแต่งหน้าแปลกๆ หรือแอปจากผู้พัฒนาที่ดูแล้วไม่มีตัวตน ไม่ว่าจะรีวิวออกมาอย่างไร (เพราะผู้ใช้ส่วนใหญ่ก็รีวิวแค่ว่า ใช้ดี ใช้สนุก แต่ไม่มีใครรีวิวว่าแอปนี้ปลอดภัย) เพราะวันนี้มือถือสำหรับหลายคนเป็นมากกว่าแค่การติดต่อสื่อสาร เพิ่มความระมัดระวังให้มากเพราะเงินของคุณอยู่ในนั้น และอะไรก็ตามที่ติดตั้งบนเครื่อง มันทำอะไรได้หลายอย่างจริงๆ ดังนั้นทางป้องกันที่ดีที่สุดก็คือ ไม่ให้มันเข้ามาตั้งแต่แรก
#อย่าให้สิทธิ์แอปมั่วซั่ว ขนาดแอปธนาคารผมยังไม่ให้สิทธิ์ในการบันทึกสลิปลงบนเครื่องเลยครับ ผมอาจไว้ใจธนาคารแต่บอกไม่ได้ว่าผมไว้ใจโปรแกรมเมอร์และเอาต์ซอร์สทุกคนที่เขียนโปรแกรมให้กับธนาคาร โค้ดเป็นแสนเป็นล้านบรรทัด แม้จะมีการรีวิว แต่ใช่ว่าจะไม่มีโอกาสหลุดรอด ดังนั้นผมจะอนุญาตสิทธิ์เฉพาะเท่าที่จำเป็น และแอปไหนขอสิทธิ์เยอะเกินจำเป็น ผมเลือกที่จะไม่ใช้งานหรือไม่ก็นำไปใช้กับมือถือเครื่องที่ไม่มีเรื่องการเงิน
#อย่าผูกวอลเล็ตเยอะเกินไป บางคนถูกใจเพราะจับจ่ายง่าย แต่อย่าลืมว่าผู้ให้บริการกระเป๋าเงินอิเล็กทรอนิกส์ไม่ใช่ธนาคาร ดังนั้นระบบตรวจสอบภายในจึงไม่ได้เข้มข้นเท่าธนาคารแม้จะมีมาตรฐานที่ต้องผ่านเกณฑ์ก็ตาม ดังนั้นอย่าเห็นแก่โปรส่วนลดต่างๆ หากต้องการใช้ก็เก็บไว้แค่หนึ่งระบบก็เพียงพอแล้ว จำไว้ว่า "ความสะดวก" ตรงกันข้ามกับ "ความปลอดภัย" เสมอ อันนี้เป็นหลักการเบื้องต้นในแทบทุกกรณี อะไรที่สะดวกกับคุณมากก็รั่วได้ง่าย
#ใช้บัตรเครดิต #ลดการใช้บัตรเดบิตหรือผูกบัญชีอัตโนมัติ ผมยอมจ่ายทุกค่าธรรมเนียมเพื่อให้ได้บัตรเอทีเอ็มแต่ไม่เอาบัตรเดบิตโดยเด็ดขาด หรือถ้าเลี่ยงไม่ได้ก็ต้องหาทางปิดการรูดบัตรเดบิต หรือช่วงหลังคือไม่ทำบัตรเดบิตเลย เช่นเดียวกับการผูกบัญชีตัดเงินอัตโนมัติ ; ถ้าจะมีก็คือเป็นบัญชีที่แยกไว้แล้วเป็นพิเศษหรือมีธุรกรรมเข้าออกไม่มากเพื่อให้สังเกตความผิดปกติได้ชัด เช่นเดียวกับบัตรเครดิตที่ผมแยกระหว่างใบที่ใช้ตอนเดินทาง ใบที่ใช้ซื้อสินค้าออนไลน์ ใบที่ใช้ลงโฆษณาให้กับลูกค้า ใบที่ใช้จ่ายค่าระบบต่างๆ และใบใดที่นำไปผูกกับที่ใด ควรจดไว้ให้ละเอียด ที่สำคัญหากเลี่ยงได้ก็ยอมเสียเวลากรอกเองทุกครั้งจะดีกว่าการเก็บข้อมูลบัตรของเราไว้ในระบบของใคร ; นอกจากนี้ควรมีบัตรและบัญชีเฉพาะที่จำเป็น ใบใดที่ไม่ได้ใช้ก็ปิดทิ้งไป ; การใช้บัตรเครดิตหมายถึงเรายังไม่ต้องจ่ายเงินแม้ในกรณีที่มีปัญหา แต่การใช้บัตรเดบิตหมายถึงเงินเราหายไปเรียบร้อยตั้งแต่เกิดปัญหา ; คุณคิดว่าธนาคารและร้านค้าจะออกแรงตามเรื่องให้เราในกรณีไหนมากกว่ากัน?
#สงวนข้อมูลส่วนตัว พ่อค้าแม่ค้ารายไหนบอกให้โพสต์สลิป ผมไม่ซื้อสินค้าด้วยในแทบทุกกรณี ข้อมูลส่วนตัวทั้งชื่อ นามสกุล เบอร์โทรส่วนตัว อีเมล บัตรประชาชน เลขที่บัญชี ของพวกนี้ผมพยายามเปิดเผยให้น้อยที่สุด อย่างเสาร์อาทิตย์ที่ผ่านมามีการจัดอบรมทาง Zoom หลายท่านคงเห็นแล้วว่าแม้แต่ใบเช็คชื่อของผมก็ยังเป็น "รายการอีเมล" ของแต่ละท่านที่โดนตัดทอนบางส่วนทิ้งไป ผมเชื่อว่าบางคนก็คงงง เหตุผลก็เพราะอะไรแบบนี้นั่นละครับ
#แยกบัญชีสมาชิกและอีเมล #รหัสผ่านที่ปลอดภัย แนวคิดเดียวกับการแยกบัตร ผมมีไฟล์เข้ารหัสตัวหนึ่งซึ่งในนั้นมี Username & Password หลายร้อยรายการ เรียกว่าแต่ละเว็บ ผมแทบไม่ตั้งชื่อผู้ใช้หรือรหัสผ่านซ้ำกัน และรหัสผ่านอีเมลควรมีความแข็งแรงสูงสุด ทั้งยาวทั้งเต็มไปด้วยสัญลักษณ์ เพราะมีหลายกรณีที่ข้อมูลเราหลุดจากเว็บหนึ่งแล้วแฮกเกอร์สามารถนำไปใช้เข้าเว็บอื่นๆ ได้ ; อีเมลที่ใช้ร่วมกับธนาคารก็เป็นชุดนึง เว็บซื้อขายสินค้าก็อีกชุดนึง เว็บบันเทิงก็อีกชุดนึง เว็บชั่วคราวก็อีกชุดนึง ; ใครใช้ Google Chrome หรือ Microsoft Edge ลองดูในหัวข้อ Settings > Password ซึ่งจะมีแจ้งรายงานว่ารหัสผ่านของเราตัวใดเคยหลุดไปอยู่ในฐานข้อมูลแฮกเกอร์ ให้รีบเปลี่ยนใหม่อย่ารีรอ
#ไม่เชื่อ (เว็บ, SMS, โทร) เนื่องจากเป็นแฟนซีรีส์ The X-Files ดังนั้นจึงอยากฝากวลี "Trust No One" เอาไว้ ซึ่งเหมาะกับเรื่องความปลอดภัยอย่างมาก ถ้าจะเข้าเว็บธนาคารก็ให้พิมพ์ URL เองและตรวจสอบอีกรอบว่าพิมพ์ถูกต้อง อย่าคลิกลิงก์ใดๆ (เพราะปลอมลิงก์ได้และผู้ใช้ส่วนใหญ่ดูไม่ออก) ; บรรดา SMS หรือสายที่โทรมาบอกว่าบัญชีมีปัญหาและขอข้อมูลส่วนตัวสุดๆ เช่น รหัสผ่าน หรือให้เราแจ้ง OTP พวกนี้หลอกหลวงแทบทั้งนั้น ; ขอชื่อ ตำแหน่ง หน่วยงาน เบอร์โทรติดต่อกลับ และบอกว่าขออัดเสียงไว้ด้วย ส่วนใหญ่มิจฉาชีพจะไม่อยากยุ่ง ถ้ากระอึกกระอักก็ยิ่งมั่นใจได้ว่าของปลอม ; ท่องไว้ว่าธนาคารทั่วโลกไม่ขอรหัสผ่านของลูกค้า อย่างเว็บไซต์ที่ผมพัฒนา พวกเราเองก็ไม่ทราบรหัสผ่านของลูกค้าเพราะเข้ารหัสไว้ ทำได้แค่การรีเซ็ตรหัสผ่านเท่านั้น ดังนั้นใครมาขอรหัสผ่านหรือขอให้กรอกรหัสผ่านทางหน้าเว็บแบบจงใจ หรืออะไรในทำนองเดียวกันหรือบอกให้เราทำอะไรบางอย่าง แนะนำให้ตั้งสติ แล้วใช้วิธีโทรติดต่อกลับไปตามเบอร์ของธนาคาร ไม่ใช่เบอร์ที่มิจฉาชีพให้มา

- ทิ้งท้าย -
จริงๆ ยังมีอีกหลายเรื่อง เช่น เปิด 2FA สำหรับบัญชีสำคัญ ไม่ใช้ Wi-Fi ของคนอื่น ไม่ใช้คอมพิวเตอร์ของคนอื่น ไม่ให้ใครใช้คอมพิวเตอร์ของเราเอง ไม่ซื้อของจากเว็บหรือแอปที่ดูแล้วไม่น่าปลอดภัยในเชิงระบบ ฯลฯ แต่แค่นี้ก็คิดว่าบทความนี้ก็คงยาวเกินกว่าที่ทุกคนจะอ่านจนจบถึงบรรทัดนี้อยู่แล้ว เอาเป็นว่าจบไว้เพียงเท่านี้ก็แล้วกันครับ
ย้ำอีกครั้งว่า ความปลอดภัย 100% เป็นไปไม่ได้ ไม่ต้องไปตามหาจากใครก็แล้วแต่
ปัญหาแบบนี้เกิดขึ้นตลอดมาและมีอยู่เป็นประจำ ไม่เฉพาะไทยแต่เกิดขึ้นกับทั่วโลก กรณี CNP แบบนี้มีแนวโน้มสูงขึ้นตลอดมา
ถามว่าทำไมไม่ป้องกันให้ดีกว่านี้ ทำไมเว็บไม่ลงทุนด้านความปลอดภัย ทำไมโน่นทำไมนี่ ..
เหตุผลเดียวกับที่บริษัทดังทั่วโลกยังโดนแฮก เหตุผลเดียวกับที่ iOS และ Android ยังต้องออกอัปเดตความปลอดภัยเรื่อยมา คือ ถ้ารอให้ปลอดภัยสูงสุด (ซึ่งไม่มีจริง) ก็คงรอไปจนชาติหน้า และถึงแม้ทำได้จริง ค่าระบบทุกอย่างบนโลกใบนี้จะแพงขึ้นอีกเป็นสิบเป็นร้อยเท่าอย่างแน่นอน (เอาเฉพาะค่าทำ Pen Test แต่ละครั้งก็หลักแสนหลักล้านแล้วครับ ปีนึงทำ 2-3 ครั้ง ต้นทุนบาน ทางออกก็คือ ถัวไปคิดเงินเพิ่มจากลูกค้า ซึ่งก็โดนด่าอีก)
อ่านบางคอมเมนต์ก็ก่นด่าธนาคารว่า ชอบทำอะไรให้ยุ่งยาก ต้องไปยืนยันตัวตนที่ธนาคาร เสียเวลา .. อย่างที่บอกว่า อะไรที่ยุ่งยากนั่นละครับ ปลอดภัย ดังนั้นปัจจัยหนึ่งในการเลือกธนาคารของผมก็คือ ธนาคารที่เข้มงวดอย่างมากในการเปลี่ยนข้อมูลต่างๆ ไม่ว่าจะเล็กน้อยเพียงใดก็ตาม
และอย่าไปคาดหวังว่าธนาคารจะให้คำตอบได้ว่าหลุดจากไหน ถึงรู้ก็คงไม่บอก และกว่าจะรู้ก็คงอีกนาน มันไม่ใช่คำถามว่า 1+1 เท่ากับเท่าไรที่จะตอบได้ทันที อาจกินเวลาเป็นสัปดาห์ เป็นเดือน เป็นปี .. แนวทางที่ทำได้จริงโดยไม่ต้องรอใครก็คือ ทำตัวเองให้ปลอดภัยที่สุด
ขอให้เงินในบัญชีและบัตรยังคงอยู่กันจนครบ ถ้าไม่ครบก็รีบติดต่อทั้งสองทางตามข้อ 9 ซึ่งผมค่อนข้างมั่นใจว่าเคสแบบนี้ได้เงินคืนกันถ้วนหน้า แต่เคสเยอะคงใช้เวลาเคลียร์กันนานพอสมควร
11. #อัปเดตเพิ่มเติมจาก ธปท. (สรุปบางส่วน) (19 ต.ค. 64)
ก. โดยสาเหตุสำคัญเกิดจากการที่มิจฉาชีพสุ่มข้อมูลบัตรและนำไปสวมรอยทำธุรกรรมผ่านร้านค้าออนไลน์ต่างประเทศที่ไม่มีการใช้ OTP
ข. ยกระดับการตรวจจับธุรกรรมผิดปกติ เพิ่มการแจ้งเตือนลูกค้าในการทำธุรกรรมตั้งแต่รายการแรก คืนเงินให้ลูกค้าบัตรเดิตใน 5 วันทำการ หรือยกเลิกรายการกรณีใช้บัตรเครดิต เร่งหารือกับ VISA และ Mastercard เพื่อกำหนดให้ใช้การยืนยัน OTP กับบัตรเดบิต
ค. ประชาชนควรตรวจสอบธุรกรรมอย่างสม่ำเสมอ ระวังการผูกบัตรเดบิตกับแพลตฟอร์มที่ไม่มีการยืนยันตัวตนก่อนใช้งานหรือไม่มี OTP
ความคิดเห็นส่วนตัว:
หากเกิดจากการสุ่มข้อมูลบัตรจริง ถือเป็นเรื่องที่ใหญ่มาก นั่นหมายถึงว่าแพทเทิร์นของเลขบัตรอาจหลุดจนคำนวณได้หรือไม่? และผมยังแปลกใจว่าแพลตฟอร์มต่างๆ จะไม่มีระบบกันธุรกรรมซ้ำที่ยิงเข้ามาแบบสุ่มเลยหรืออย่างไร ระบบที่ว่าโดยมากเราใช้ป้องกันการล็อกอินด้วยการสุ่มรหัสผ่าน เช่น หากเดารหัสผ่านของบัญชี X ไม่ถูกต้องทั้งหมด 10 ครั้งก็จะล็อกบัญชีทันที ดังนั้นเมื่อพูดว่า "สุ่ม" แสดงว่าต้องมีรายการของทำธุรกรรมโดยใช้หมายเลขบัตร วันหมดอายุ และรหัสหลังบัตร ที่ "ไม่ถูกต้อง" เข้ามาจำนวนมาก ซึ่งความผิดปกติที่ว่านี้น่าจะสังเกตในระบบของร้านค้าหรือแพลตฟอร์มได้ไม่ยาก
ถ้าจะให้เดาว่าทำได้จริง แสดงว่า
- คนร้ายสลับที่อยู่ IP ไปมาทุกครั้งที่สุ่มเลขบัตรแบบนั้นหรือ?
- แสดงว่าแพลตฟอร์มต่างๆ ไม่มีระบบตรวจจับธุรกรรมผิดปกติอย่างนั้นหรือ?
- หรือแปลว่าการสุ่มอาจได้ผลลัพธ์ที่ดีมากคือสุ่มถูกต้องโดยส่วนใหญ่เช่นนั้นหรือ?
ที่จริงเรื่องสุ่มเลขบัตรไม่ใช่เรื่องใหม่ ค้นบน Google แป๊บเดียวก็เจอเว็บเหล่านี้แล้ว แต่พวกนั้นมันไม่ได้สมบูรณ์ขนาดที่ว่าเอาไปใช้ได้จริงเพราะมีตัวตรวจสอบอีกหลายส่วน (ซึ่งผมก็ไม่แน่ใจแต่ไม่คิดว่ามันควรจะง่ายขนาดนั้น) และถ้าเป็นกรณีที่ว่าก็ยังอยากเชื่อว่าไม่ใช่การสุ่ม แต่เป็นข้อมูลบัตรที่หลุดบนเว็บและค้นได้บน Google (ซึ่งมีบทความเก่าราว 5-6 ปีที่แล้วพูดถึงและแสดงหลักฐานของเรื่องนี้ ลองค้นบทความของ Gergely Kalman ดูครับ) หรือไม่ก็หลุดจากแพลตฟอร์มหรือหลุดจากคนใน ดูมีน้ำหนักมากกว่าการสุ่มบัตรตามความเห็นของคนที่มีความรู้อันน้อยนิดในเรื่องนี้อย่างผม
#ที่สำคัญหากสาเหตุหลักเป็นตามข้อ ก. ดังนั้นการป้องกันตนเองของประชาชนตามข้อ ค. จึงไม่น่าจะช่วยได้เลย เพราะข้อ ค. ไม่เกี่ยวกับประชาชน แต่เกี่ยวกับแพลตฟอร์มที่เลือกที่จะไม่ใช้ OTP
ค้นหาข่าวเกี่ยวกับการสุ่มบัตรและใช้โจมตี ไม่เจออะไรที่น่าสนใจ หรือเพราะผมหาไม่เจอ? ข่าวต่างประเทศส่วนใหญ่มักเป็นกรณีเรื่องข้อมูลหลุด และหากเป็นเพราะโดนสุ่มบัตร ก็ยังสงสัยว่าทำไมเคสของธนาคารบางแห่งถึงดูเหมือนว่ามีมากกว่าธนาคารแห่งอื่นๆ (หรือเพราะว่าธนาคารบางแห่งนั้นมีลูกค้าบัตรเดบิตมากกว่าธนาคารอื่น?)
ที่น่ากลัวอีกเคสคือกรณีของสิงคโปร์ที่ไม่นานมานี้โดนเจาะ OTP ได้โดยสามารถสับช่องทางการส่ง OTP จากธนาคารไปยังเครือข่ายมือถือต่างประเทศได้ เรียกว่าเป็นเทคนิคขั้นสูงทีเดียว
ปวดหัว !!
เพิ่มเติมเรื่องการสุ่มบัตร น่าอ่าน:
ภาพรวม: https://www.facebook.com/nat.lueng/posts/10158118950001751

ตัวอย่าง: https://www.facebook.com/permalink.php?story_fbid=365608415254473&id=100054159539347
18 ตุลาคม 2564 (ตื่นเที่ยงคืนมาเขียนบทความโดยเฉพาะ)
#เพจนี้เพื่อนักแปล

25/06/2021

Online Training by อ.อาทิตย์ ซื่อสัตย์สิทธิกร

24/03/2021

Network and Internet Security by อ.อาทิตย์ ซื่อสัตย์สิทธิกร

😆😆😆

10/03/2021

Linux System & Network Administration by อ.อาทิตย์ ซื่อสัตย์สิทธิกร

30/09/2020

โครงการยกระดับทักษะวิชาชีพบุคลากร

ด้านเทคโนโลยีดิจิทัลในภาคธุรกิจและอุตสาหกรรม

https://www.nstdaacademy.com/webnsa/index.php/in-house-training/depa-eec2020-1