ไม่แน่ใจว่าเคยมีคนเจอแบบนี้หรือยัง
วันนี้จะทำธุรกรรม แต่ในหน้าจอดันมีเบอร์มือถือสำหรับ OTP ให้เลือก 2 เบอร์ แต่ 2 เบอร์นี้ลงท้ายเหมือนกัน เช่น xx-555
เราก็งงว่าทำไมมี 2 อันให้เลือก ก็ไม่ได้คิดอะไร เดาว่าสงสัยโปรแกรมมันดึงข้อมูลซ้ำมาเป็น 2 รายการ ซึ่งมันก็คงเป็นเบอร์เดียวกัน เพราะเราก็แจ้งธนาคารไปเบอร์เดียว ก็ไม่ได้เลือก ใช้อันที่มัน default ให้คืออันแรก
รอซักพัก OTP ไม่มา ก็แปลกใจ ก็ส่งซ้ำ แต่ก็ยังไม่ได้ OTP เหมือนเดิม ไม่ได้คิดจะเลือกเบอร์ที่สอง เพราะนึกว่ามันคือเบอร์เดียวกัน เลยโทรไปถาม call center
ทาง call center ก็บอกว่า อีกเบอร์นึงมีการเพิ่มเข้ามาเมื่อเดือน พฤษภา คือ เบอร์เหมือนเบอร์เราทุกอย่าง แต่ต่างกันตรงของเรา 088 แต่อีกเบอร์เป็น 083 คิดว่าสงสัยพนักงานคงคีย์ผิด เราก็งงว่าพนักงานมีสิทธิ์เพิ่มเบอร์มือถือสำหรับ OTP โดยที่เราไม่ได้ทำเรื่องขอเพิ่มเองได้อย่างไร เพราะมันอันตรายมาก
เราเลยคิดไปว่า ถ้ามิจฉาชีพใช้วิธีทำโปรแกรม keyboard มาให้เราใช้ ซึ่งโปรแกรม keyboard ของ android ก็มีให้โหลดเยอะแยะ เราก็ไม่รู้ว่าอันไหนเป็นมิจฉาชีพหรือเปล่า เค้าก็สามารถดักเอา username password เราไปได้ แล้วยิ่งถ้าเค้าสามารถมีวิธีการไปทำให้ธนาคารเพิ่ม OTP ได้โดยที่เราไม่รู้ (ซึ่งเราก็ไม่รู้ว่าเค้าจะใช้วิธีไหนอ่ะนะ แต่ที่แน่ ๆ คือเบอร์มือถือนี้เพิ่มมาโดยเราไม่รู้แน่ ๆ แล้วดันลงท้ายเหมือนกันอีก) คราวนี้ก็จบกัน เค้าก็ login แก้ email ได้ โดยใช้ OTP ไปที่มือถือเค้า ต่อไปเราก็จะไม่มี notification อะไรได้เลยทั้ง OTP และมือถือ เค้าก็รอจังหวะดีๆ โอนเงินออกไปโดยที่เราไม่รู้เรื่องก็ได้
สรุปคือ ธนาคารไม่ควรให้พนักงานเพิ่มเบอร์มือถือสำหรับ OTP เองได้ ถ้าลูกค้าไม่ได้ขอ เพราะพอสอบถามไปทาง call center ว่าเพิ่มโดยใคร เพิ่มได้ยังไง เค้าก็ตอบไม่ได้ กรณีนี้อาจจะเป็นความผิดพลาดในการคีย์ของพนักงานก็ได้ แต่ขอบอกว่ามันเป็นช่องโหว่ที่เราเห็น
ช่องโหว่ของระบบ SCB Easy Net กรุณาปรับปรุงด่วน
วันนี้จะทำธุรกรรม แต่ในหน้าจอดันมีเบอร์มือถือสำหรับ OTP ให้เลือก 2 เบอร์ แต่ 2 เบอร์นี้ลงท้ายเหมือนกัน เช่น xx-555
เราก็งงว่าทำไมมี 2 อันให้เลือก ก็ไม่ได้คิดอะไร เดาว่าสงสัยโปรแกรมมันดึงข้อมูลซ้ำมาเป็น 2 รายการ ซึ่งมันก็คงเป็นเบอร์เดียวกัน เพราะเราก็แจ้งธนาคารไปเบอร์เดียว ก็ไม่ได้เลือก ใช้อันที่มัน default ให้คืออันแรก
รอซักพัก OTP ไม่มา ก็แปลกใจ ก็ส่งซ้ำ แต่ก็ยังไม่ได้ OTP เหมือนเดิม ไม่ได้คิดจะเลือกเบอร์ที่สอง เพราะนึกว่ามันคือเบอร์เดียวกัน เลยโทรไปถาม call center
ทาง call center ก็บอกว่า อีกเบอร์นึงมีการเพิ่มเข้ามาเมื่อเดือน พฤษภา คือ เบอร์เหมือนเบอร์เราทุกอย่าง แต่ต่างกันตรงของเรา 088 แต่อีกเบอร์เป็น 083 คิดว่าสงสัยพนักงานคงคีย์ผิด เราก็งงว่าพนักงานมีสิทธิ์เพิ่มเบอร์มือถือสำหรับ OTP โดยที่เราไม่ได้ทำเรื่องขอเพิ่มเองได้อย่างไร เพราะมันอันตรายมาก
เราเลยคิดไปว่า ถ้ามิจฉาชีพใช้วิธีทำโปรแกรม keyboard มาให้เราใช้ ซึ่งโปรแกรม keyboard ของ android ก็มีให้โหลดเยอะแยะ เราก็ไม่รู้ว่าอันไหนเป็นมิจฉาชีพหรือเปล่า เค้าก็สามารถดักเอา username password เราไปได้ แล้วยิ่งถ้าเค้าสามารถมีวิธีการไปทำให้ธนาคารเพิ่ม OTP ได้โดยที่เราไม่รู้ (ซึ่งเราก็ไม่รู้ว่าเค้าจะใช้วิธีไหนอ่ะนะ แต่ที่แน่ ๆ คือเบอร์มือถือนี้เพิ่มมาโดยเราไม่รู้แน่ ๆ แล้วดันลงท้ายเหมือนกันอีก) คราวนี้ก็จบกัน เค้าก็ login แก้ email ได้ โดยใช้ OTP ไปที่มือถือเค้า ต่อไปเราก็จะไม่มี notification อะไรได้เลยทั้ง OTP และมือถือ เค้าก็รอจังหวะดีๆ โอนเงินออกไปโดยที่เราไม่รู้เรื่องก็ได้
สรุปคือ ธนาคารไม่ควรให้พนักงานเพิ่มเบอร์มือถือสำหรับ OTP เองได้ ถ้าลูกค้าไม่ได้ขอ เพราะพอสอบถามไปทาง call center ว่าเพิ่มโดยใคร เพิ่มได้ยังไง เค้าก็ตอบไม่ได้ กรณีนี้อาจจะเป็นความผิดพลาดในการคีย์ของพนักงานก็ได้ แต่ขอบอกว่ามันเป็นช่องโหว่ที่เราเห็น