จาก
http://ppantip.com/topic/31074377
http://ppantip.com/topic/31080950
ผมสรุปให้สั้นๆเลยครับ
SCB เป็นธนาคารแรก และเป็นธนาคารเดียว(อาจะเดียวในโลกด้วยซ้ำ) ที่บังคับใช้ Mobile OTP กับระบบ Verify by Visa และ MasterCard Secure ซึ่งผมขอยืนยันว่าระบบ Mobile OTP ไม่ได้ช่วยให้บัตรเครดิตของคุณปลอดภัยขึ้นนะครับ แต่จะช่วยให้ SCB ไม่ต้องรับผิดขอบได้ง่ายขึ้น
เพราะ
ขอโค้ดคำของพี่จุกมาเลยนะครับ
"หนึ่งในสิ่งที่ได้รับการดำเนินการจากทั้งทาง ค่าย VISA /MasterCard คือ การปฏิเสธรายการ
ถ้าเกิดขึ้นภายใต้ การที่ไม่มีการตรวจสอบรหัส ทางค่ายบัตร ยินดีรับเรื่องตรวจสอบ และติดตามการขอเงินคืนจากผู้ให้บริการ และมักจะได้คืนทุกราย
แต่ถ้าเป็นการทำรายการผ่านทาง Website หรือระบบที่มีการตรวจสอบรหัสอีกชั้นไม่ว่าจะเป็นรหัสแบบใดก็ตาม ทางค่ายบัตรจะไม่ยอมรับการปฏิเสธรายการ เนื่องจากถือว่ามีการตรวจสอบรหัสผ่านที่เจ้าของบัตรเท่านั้นที่รู้เองเพียวคนเดียวครับ .... " (
http://ppantip.com/topic/31080950/comment5)
แปลเป็นภาษาง่ายๆ คือ
- ตราบใดที่บัตรเดรดิตคุณไม่ได้เปิดใช้ VBV/MCSC ถ้าบัตรคุณโดนขโมยเอาเลขบัตรไปซื้อของ คุณ
มีสิทธิปฏิเสธรายการได้เต็มที่
- แต่ถ้าคุณดันไปเปิดใช้ VBV/MCSC กับ SCB ไปแล้ว ถ้าบัตรคุณโดนขโมยข้อมูล และคนขโมยเป็น Hacker ที่มีความรู้พอประมาณ เค้าจะสามารถขโมย Mobile OTP ของคุณได้ และนำบัตรของคุณไปใช้
คุณจะไม่มีสิทธิปฏิเสธรายการเลย คุณต้องก้มหน้าก้มตาจ่ายอย่างเดียว
ดังนั้น คุณผู้ถือบัตรคิดเอาเองล่ะกันนะครับ ว่าจะเปิดใช้หรือไม่เปิด ส่วนคนที่เปิดไปแล้วจะปิดหรือไม่ก็แล้วแต่ครับ
ส่วนวิธีขโมย Mobile OTP มีเยอะครับ ผมยกตัวอย่างอันที่เค้าทำกันสำเร็จแล้ว และยังหาทางแก้ไม่ได้ เช่น
1. ทำเอกสารปลอมไปขอเปิดซิมใหม่เบอร์เดิม
2. ส่งโปรแกรมโทรจัน เข้ามาฝังตัวในเครื่อง Smartphone ของคุณๆ
3. ทำ Man in the middle โดยสร้าง Cell site ที่ทำตัวเป็น Proxy เพื่อดักข้อมูลได้ เพราะข้อมูล SMS มันส่งแบบไม่เข้ารหัสอะไรเลย สามารถดักข้อมูลในอากาศได้ดื้อๆเลย (อันนี้ทำได้จริง ใน Defcon เค้าทำโชว์ให้ดูด้วยซ้ำ
http://www.youtube.com/watch?v=xKihq1fClQg)
ปล. ให้ข้อมูลเพิ่มเติม ที่มันน่ากลัวกว่า Internet Banking เพราะ คุณ ผู้ใช้ไม่ได้เป็นคนควบคุมข้อมูลอะไรเลยครับ ข้อมูลบนบัตรอาจจะหลุดไปเมื่อไหร่ก็ได้ และข้อมูล OTP ก็มีวิธีเอาได้ไม่ยาก ต่างจาก Internet Banking ตรงที่ Internet Banking ยังมี Username+Password ของคุณเองอีกตัว
แนะนำลูกค้าบัตรเครดิต SCB อย่าโง่เปิดใช้ VBV/MCSC เลยครับ ผมเตือนด้วยความหวังดี
http://ppantip.com/topic/31074377
http://ppantip.com/topic/31080950
ผมสรุปให้สั้นๆเลยครับ
SCB เป็นธนาคารแรก และเป็นธนาคารเดียว(อาจะเดียวในโลกด้วยซ้ำ) ที่บังคับใช้ Mobile OTP กับระบบ Verify by Visa และ MasterCard Secure ซึ่งผมขอยืนยันว่าระบบ Mobile OTP ไม่ได้ช่วยให้บัตรเครดิตของคุณปลอดภัยขึ้นนะครับ แต่จะช่วยให้ SCB ไม่ต้องรับผิดขอบได้ง่ายขึ้น
เพราะ
ขอโค้ดคำของพี่จุกมาเลยนะครับ
"หนึ่งในสิ่งที่ได้รับการดำเนินการจากทั้งทาง ค่าย VISA /MasterCard คือ การปฏิเสธรายการ
ถ้าเกิดขึ้นภายใต้ การที่ไม่มีการตรวจสอบรหัส ทางค่ายบัตร ยินดีรับเรื่องตรวจสอบ และติดตามการขอเงินคืนจากผู้ให้บริการ และมักจะได้คืนทุกราย
แต่ถ้าเป็นการทำรายการผ่านทาง Website หรือระบบที่มีการตรวจสอบรหัสอีกชั้นไม่ว่าจะเป็นรหัสแบบใดก็ตาม ทางค่ายบัตรจะไม่ยอมรับการปฏิเสธรายการ เนื่องจากถือว่ามีการตรวจสอบรหัสผ่านที่เจ้าของบัตรเท่านั้นที่รู้เองเพียวคนเดียวครับ .... " (http://ppantip.com/topic/31080950/comment5)
แปลเป็นภาษาง่ายๆ คือ
- ตราบใดที่บัตรเดรดิตคุณไม่ได้เปิดใช้ VBV/MCSC ถ้าบัตรคุณโดนขโมยเอาเลขบัตรไปซื้อของ คุณมีสิทธิปฏิเสธรายการได้เต็มที่
- แต่ถ้าคุณดันไปเปิดใช้ VBV/MCSC กับ SCB ไปแล้ว ถ้าบัตรคุณโดนขโมยข้อมูล และคนขโมยเป็น Hacker ที่มีความรู้พอประมาณ เค้าจะสามารถขโมย Mobile OTP ของคุณได้ และนำบัตรของคุณไปใช้ คุณจะไม่มีสิทธิปฏิเสธรายการเลย คุณต้องก้มหน้าก้มตาจ่ายอย่างเดียว
ดังนั้น คุณผู้ถือบัตรคิดเอาเองล่ะกันนะครับ ว่าจะเปิดใช้หรือไม่เปิด ส่วนคนที่เปิดไปแล้วจะปิดหรือไม่ก็แล้วแต่ครับ
ส่วนวิธีขโมย Mobile OTP มีเยอะครับ ผมยกตัวอย่างอันที่เค้าทำกันสำเร็จแล้ว และยังหาทางแก้ไม่ได้ เช่น
1. ทำเอกสารปลอมไปขอเปิดซิมใหม่เบอร์เดิม
2. ส่งโปรแกรมโทรจัน เข้ามาฝังตัวในเครื่อง Smartphone ของคุณๆ
3. ทำ Man in the middle โดยสร้าง Cell site ที่ทำตัวเป็น Proxy เพื่อดักข้อมูลได้ เพราะข้อมูล SMS มันส่งแบบไม่เข้ารหัสอะไรเลย สามารถดักข้อมูลในอากาศได้ดื้อๆเลย (อันนี้ทำได้จริง ใน Defcon เค้าทำโชว์ให้ดูด้วยซ้ำ http://www.youtube.com/watch?v=xKihq1fClQg)
ปล. ให้ข้อมูลเพิ่มเติม ที่มันน่ากลัวกว่า Internet Banking เพราะ คุณ ผู้ใช้ไม่ได้เป็นคนควบคุมข้อมูลอะไรเลยครับ ข้อมูลบนบัตรอาจจะหลุดไปเมื่อไหร่ก็ได้ และข้อมูล OTP ก็มีวิธีเอาได้ไม่ยาก ต่างจาก Internet Banking ตรงที่ Internet Banking ยังมี Username+Password ของคุณเองอีกตัว