สืบเนื่องจากกระทู้
http://ppantip.com/topic/30599799 ที่ผมเกือบพลาดท่าพวกมิจฉาชีพที่ฝากโทรจันไว้ในเครื่องคอม ให้โหลดโปรแกรม antivirus ปลอม เพื่อดัก OTP จากเครื่องโทรศัพท์มือถือ และหลายท่านได้แลกเปลี่ยนความเห็นและประสบการณ์ ทำให้ได้เห็นถึงจุดอ่อนและความผิดพลาดต่างๆ ในการใช้ internet banking ซึ่งปัจจุบันมีมิจฉาชีพและแฮคเกอร์ทั้งหลายพยายามทุกทางที่จะเล่นงานผู้ใช้บริการอย่างพวกเรา โดยเฉพาะการหลอกดัก OTP จากมือถือ ทำให้ผมนึกถึงประสบการณ์ในอดีตที่เคยใช้งาน internet banking สมัยอยู่ต่างประเทศ ซึ่งมีรูปแบบมาตรการรักษาความปลอดภัยที่ไม่เหมือนกับที่เมืองไทยใช้ในปัจจุบัน จึงขอมาแชร์ประสบการณ์ ในฐานะ "ผู้ใช้งานทั่วไป" ที่ไม่ได้มีความรู้ด้านเทคนิค
สมัยที่เคยทำงานอยู่ที่ชิลีเมื่อหลายปีก่อน เคยใช้บริการ internet banking ของธนาคารสองแห่ง มีรูปแบบ ดังนี้ครับ
1. Banco de Chile
ระบบ internet banking ในหลักการเป็นแบบเดียวกับธนาคารของไทยใช้ คือ "two-factor authentication" สำหรับการยืนยันตัวผู้ใช้งาน ซึ่งประกอบด้วย 1) something the user knows สิ่งที่ผู้ใช้งานรู้หรือทราบ เช่น รหัสผ่าน พาสเวิร์ด pin 2) something the user has สิ่งที่ผู้ใช้งานมี เช่น โทรศัพท์มือถือ สมาร์ตการ์ด และ 3) something the user is สิ่งที่ผู้ใช้เป็น เช่น ลายนิ้วมือ
ปกติแล้ว การใช้งาน Internet banking จะใช้ 2 factors คือ ข้อ 1 และ 2
สำหรับ banco de chile factor ข้อ 2 ใช้เป็น "security token" ที่ชื่อว่า digipass แทนการใช้งานโทรศัพท์มือถือ
อุปกรณ์ขนาดเล็กกว่ากุญแจรีโมตรถยนต์เล็กน้อย ลูกค้าจะได้รับเมื่อเปิดบัญชีกับธนาคาร
วิธีการใช้งาน Internet banking สำหรับทำธุรกรรมเหมือนปกติทั่วไป กล่าวคือ Log-in เข้าสู่ระบบด้วย password จากนั้น หากทำธุรกรรม เช่น โอนเงิน ต้องใส่ pin ซึ่งเป็นรหัสคนละตัวกับ password เข้ารหัส ต่อจากนั้น หน้าจอจะปรากฏแถบให้กรอกรหัสสุดท้าย หรือ OTP จาก digipass ผู้ใช้งานต้องกดปุ่มบน digipass และจะปรากฏตัวเลข OTP บน digipass แล้วให้นำตัวเลขนั้นกรอกในแถบกรอกรหัส และกดยืนยันเป็นอันเสร็จขั้นตอน
ความเข้าใจของผมคือจะต้องมีการ synchronize กันระหว่างเครื่องแม่ข่ายของธนาคารและ digipass เนื่องจากถ้ากด digipass และได้รหัสแล้วแต่ไม่ทำรายการภายในกำหนดเวลา เช่น 3 นาที หรือ กดผิด รหัสนั้นเป็นอันยกเลิก ต้องกดใหม่อีกครั้ง
2. Banco Santander
หลักการคล้ายกันกับ Banco de Chile แต่เปลี่ยนจาก digipass เป็นการ์ด "Superclave" มีหมายเลขประจำตัวการ์ดของแต่ละคน ซึ่งได้รับเมื่อเปิดบัญชีธนาคาร เป็นตาราง 9 คอลัมน์ 5 แถว แต่ละช่องจะเป็นตัวเลขสุ่มๆ จำนวนสองหลัก ดังรูป
การใช้งาน super clave สำหรับทำธุรกรรม เกิดขึ้นหลังจาก log-in เข้าระบบ ใส่ Password และ pin ที่ถูกต้อง จากนั้น เมื่อต้องการทำธุรกรรม เช่น โอนเงิน ระบบจะสุ่มถาม คอลัมน์และแถว เช่น C2 F3 H4 ดังรูป
จากนั้น เราก็หยิบการ์ด superclave ประจำตัวขึ้นมากรอก "44 07 24" และกดยืนยันการทำธุรกรรม เป็นอันเสร็จขั้นตอน ถ้ากดผิด ระบบก็จะสุ่มถามคอลัมน์และแถวใหม่ขึ้นมาให้เรากรอกตัวเลขใหม่เข้าไป
----------
จะเห็นได้ว่า internet banking ที่ผมเคยใช้ในต่างประเทศ ในหลักการแล้วก็ไม่ได้แตกต่างกับระบบที่ธนาคารในไทยหลายแห่งใช้กันอยู่ เพียงแต่เปลี่ยนจากการส่ง OTP หรือ dynamic password ผ่านโทรศัพท์มือถือ เป็นผ่าน security token แทน
ที่ผมนึกออก จุดเด่นถ้าเทียบกับการส่ง otp ผ่านโทรศัพท์มือถือ คือ ลดความเสี่ยงจากการถูกโจมตีจากพวกมิจฉาชีพ เนื่องจาก token เหล่านี้ไม่ได้มีการเชื่อมต่อใดๆ กับ Internet หรือต้องดาวน์โหลดโปรแกรมใดๆ จึงไม่น่าจะถูกหลอกให้ดาวน์โหลดโทรจันได้
ส่วนข้อเสียคือหากถูกขโมย หรือทำ token หาย อาจเปิดความเสี่ยงแก่ผู้ใช้บริการ ยิ่งถ้าเป็นคนที่เขียนรหัสผ่านทุกอย่างสำหรับการใช้ internet banking ไว้ที่เดียวกันและถ้าแจ้งธนาคารเพื่อยกเลิก token ไม่ทัน เป็นอันเรียบร้อย ความเสี่ยงอีกอันคือ หากระบบธนาคารถูก hack และมิจฉาชีพสามารถเข้าถึงฐานข้อมูลบัญชีลูกค้าได้ ก็คงสามารถสร้างข้อมูลปลอมเพื่อลวงให้ลูกค้าโอนเงินไปให้มิจฉาชีพได้
ในทางปฏิบัติ ที่เห็นธนาคารสองแห่งนี้เตือนลูกค้าคือ จะไม่มีการสอบถามข้อมูลหรือดำเนินการใดๆ เกี่ยวกับ security token ทางอินเตอร์เนต เช่น จะไม่มีการสอบถามหมายเลขประจำ digipass หรือการ์ด superclave ในกรณีของ superclave มีเคสที่มิจฉาชีพ หลอกถามและให้กรอกตัวเลขทุกตัวที่ปรากฏในการ์ด (เล่นถามกันซื่อๆ ง่ายๆ แบบนี้ แต่ก็มีคนหลงเชื่อนะครับ)
ที่เล่าสู่กันฟังนี้เป็นตัวอย่างประสบการณ์การใช้งาน internet banking ที่ต่างจากไทย เข้าใจว่าธนาคารไทยส่วนใหญ่ไม่ได้ใช้ security token แบบนี้ แต่อาจจะมีธนาคารต่างชาติบางแห่ง เช่น uob ที่ใช้งาน token แบบ digipass
ผมไม่ได้ตัดสินว่าระบบใดดีกว่ากัน เพราะทุกระบบก็มีจุดแข็งจุดด้อยของตัวเอง ส่วนมิจฉาชีพก็คงพยายามทุกทางที่จะหลอกเอาเงินจากเราให้ได้ ท้ายสุดแล้ว ก็เป็นหน้าที่ของผู้ใช้งานที่จะต้องมีสติ รอบคอบ และระมัดระวังในการใช้ Internet banking ส่วนธนาคารก็ต้องพัฒนาระบบให้มีความปลอดภัยและแจ้งเตือนลูกค้าอย่างสม่ำเสมอเพื่อปิดจุดอ่อน
ท่านใดที่มีประสบการณ์การใช้ internet banking แบบนี้ หรือความรู้ด้านเทคนิคในเรื่องนี้ จะแลกเปลี่ยนความเห็นกันก็ทำได้ตามอัธยาศัยครับ
ภาคต่อจาก "เตือนภัยตัวอย่างโทรจัน" ใน internet banking : ประสบการณ์จาก internet banking ในต่างประเทศ
สมัยที่เคยทำงานอยู่ที่ชิลีเมื่อหลายปีก่อน เคยใช้บริการ internet banking ของธนาคารสองแห่ง มีรูปแบบ ดังนี้ครับ
1. Banco de Chile
ระบบ internet banking ในหลักการเป็นแบบเดียวกับธนาคารของไทยใช้ คือ "two-factor authentication" สำหรับการยืนยันตัวผู้ใช้งาน ซึ่งประกอบด้วย 1) something the user knows สิ่งที่ผู้ใช้งานรู้หรือทราบ เช่น รหัสผ่าน พาสเวิร์ด pin 2) something the user has สิ่งที่ผู้ใช้งานมี เช่น โทรศัพท์มือถือ สมาร์ตการ์ด และ 3) something the user is สิ่งที่ผู้ใช้เป็น เช่น ลายนิ้วมือ
ปกติแล้ว การใช้งาน Internet banking จะใช้ 2 factors คือ ข้อ 1 และ 2
สำหรับ banco de chile factor ข้อ 2 ใช้เป็น "security token" ที่ชื่อว่า digipass แทนการใช้งานโทรศัพท์มือถือ
อุปกรณ์ขนาดเล็กกว่ากุญแจรีโมตรถยนต์เล็กน้อย ลูกค้าจะได้รับเมื่อเปิดบัญชีกับธนาคาร
วิธีการใช้งาน Internet banking สำหรับทำธุรกรรมเหมือนปกติทั่วไป กล่าวคือ Log-in เข้าสู่ระบบด้วย password จากนั้น หากทำธุรกรรม เช่น โอนเงิน ต้องใส่ pin ซึ่งเป็นรหัสคนละตัวกับ password เข้ารหัส ต่อจากนั้น หน้าจอจะปรากฏแถบให้กรอกรหัสสุดท้าย หรือ OTP จาก digipass ผู้ใช้งานต้องกดปุ่มบน digipass และจะปรากฏตัวเลข OTP บน digipass แล้วให้นำตัวเลขนั้นกรอกในแถบกรอกรหัส และกดยืนยันเป็นอันเสร็จขั้นตอน
ความเข้าใจของผมคือจะต้องมีการ synchronize กันระหว่างเครื่องแม่ข่ายของธนาคารและ digipass เนื่องจากถ้ากด digipass และได้รหัสแล้วแต่ไม่ทำรายการภายในกำหนดเวลา เช่น 3 นาที หรือ กดผิด รหัสนั้นเป็นอันยกเลิก ต้องกดใหม่อีกครั้ง
2. Banco Santander
หลักการคล้ายกันกับ Banco de Chile แต่เปลี่ยนจาก digipass เป็นการ์ด "Superclave" มีหมายเลขประจำตัวการ์ดของแต่ละคน ซึ่งได้รับเมื่อเปิดบัญชีธนาคาร เป็นตาราง 9 คอลัมน์ 5 แถว แต่ละช่องจะเป็นตัวเลขสุ่มๆ จำนวนสองหลัก ดังรูป
การใช้งาน super clave สำหรับทำธุรกรรม เกิดขึ้นหลังจาก log-in เข้าระบบ ใส่ Password และ pin ที่ถูกต้อง จากนั้น เมื่อต้องการทำธุรกรรม เช่น โอนเงิน ระบบจะสุ่มถาม คอลัมน์และแถว เช่น C2 F3 H4 ดังรูป
จากนั้น เราก็หยิบการ์ด superclave ประจำตัวขึ้นมากรอก "44 07 24" และกดยืนยันการทำธุรกรรม เป็นอันเสร็จขั้นตอน ถ้ากดผิด ระบบก็จะสุ่มถามคอลัมน์และแถวใหม่ขึ้นมาให้เรากรอกตัวเลขใหม่เข้าไป
----------
จะเห็นได้ว่า internet banking ที่ผมเคยใช้ในต่างประเทศ ในหลักการแล้วก็ไม่ได้แตกต่างกับระบบที่ธนาคารในไทยหลายแห่งใช้กันอยู่ เพียงแต่เปลี่ยนจากการส่ง OTP หรือ dynamic password ผ่านโทรศัพท์มือถือ เป็นผ่าน security token แทน
ที่ผมนึกออก จุดเด่นถ้าเทียบกับการส่ง otp ผ่านโทรศัพท์มือถือ คือ ลดความเสี่ยงจากการถูกโจมตีจากพวกมิจฉาชีพ เนื่องจาก token เหล่านี้ไม่ได้มีการเชื่อมต่อใดๆ กับ Internet หรือต้องดาวน์โหลดโปรแกรมใดๆ จึงไม่น่าจะถูกหลอกให้ดาวน์โหลดโทรจันได้
ส่วนข้อเสียคือหากถูกขโมย หรือทำ token หาย อาจเปิดความเสี่ยงแก่ผู้ใช้บริการ ยิ่งถ้าเป็นคนที่เขียนรหัสผ่านทุกอย่างสำหรับการใช้ internet banking ไว้ที่เดียวกันและถ้าแจ้งธนาคารเพื่อยกเลิก token ไม่ทัน เป็นอันเรียบร้อย ความเสี่ยงอีกอันคือ หากระบบธนาคารถูก hack และมิจฉาชีพสามารถเข้าถึงฐานข้อมูลบัญชีลูกค้าได้ ก็คงสามารถสร้างข้อมูลปลอมเพื่อลวงให้ลูกค้าโอนเงินไปให้มิจฉาชีพได้
ในทางปฏิบัติ ที่เห็นธนาคารสองแห่งนี้เตือนลูกค้าคือ จะไม่มีการสอบถามข้อมูลหรือดำเนินการใดๆ เกี่ยวกับ security token ทางอินเตอร์เนต เช่น จะไม่มีการสอบถามหมายเลขประจำ digipass หรือการ์ด superclave ในกรณีของ superclave มีเคสที่มิจฉาชีพ หลอกถามและให้กรอกตัวเลขทุกตัวที่ปรากฏในการ์ด (เล่นถามกันซื่อๆ ง่ายๆ แบบนี้ แต่ก็มีคนหลงเชื่อนะครับ)
ที่เล่าสู่กันฟังนี้เป็นตัวอย่างประสบการณ์การใช้งาน internet banking ที่ต่างจากไทย เข้าใจว่าธนาคารไทยส่วนใหญ่ไม่ได้ใช้ security token แบบนี้ แต่อาจจะมีธนาคารต่างชาติบางแห่ง เช่น uob ที่ใช้งาน token แบบ digipass
ผมไม่ได้ตัดสินว่าระบบใดดีกว่ากัน เพราะทุกระบบก็มีจุดแข็งจุดด้อยของตัวเอง ส่วนมิจฉาชีพก็คงพยายามทุกทางที่จะหลอกเอาเงินจากเราให้ได้ ท้ายสุดแล้ว ก็เป็นหน้าที่ของผู้ใช้งานที่จะต้องมีสติ รอบคอบ และระมัดระวังในการใช้ Internet banking ส่วนธนาคารก็ต้องพัฒนาระบบให้มีความปลอดภัยและแจ้งเตือนลูกค้าอย่างสม่ำเสมอเพื่อปิดจุดอ่อน
ท่านใดที่มีประสบการณ์การใช้ internet banking แบบนี้ หรือความรู้ด้านเทคนิคในเรื่องนี้ จะแลกเปลี่ยนความเห็นกันก็ทำได้ตามอัธยาศัยครับ