จากกระทู้กลโกงบัตรเครดิตรูปแบบใหม่ ใครอ่านแล้วคงกลัวกัน ซึ่งผมก็เป็นหนึ่งในคนเหล่านั้น แต่....ผมกลับมีความสงสัยหลังจากอ่านจบว่า Application เกี่ยวกับเงินๆทองๆนี่มันโกงกันได้ ง่ายขนาดนั้นเลยเหรอ?ระบบรักษาความปลอดภัยมันแย่ขนาดนั้นเลยเหรอ? ผมเลยไปหาข้อมูล (เท่าที่มีจากพี่ Google) เอามาบอกต่อกันสักหน่อย ส่วนที่เหลือใครจะว่ามันปลอดภัยพอรึเปล่าไปตัดสินกันเอาเอง
และนี่คือ Application เกี่ยวกับเงินๆทองๆที่มีอยู่ในเครื่องผมซึ่ง 2 ใน 4 เป็นตัวที่ถูกพูดถึงในกระทู้นั้นพอดี มาดูกันว่าระบบ Security แต่ละที่เป็นยังไงกันบ้าง เริ่มที่กสิกรกันก่อน เจ้าพ่อของระบบการให้บริการ Online มีระบบ Lock Triple Lock Security ใช้ระบบตรวจสอบข้อมูล 3 อย่างเพื่อตรวจสอบให้ตรงกันถ้าอย่างใดอย่างหนึ่งไม่ตรงจะไม่สามารถใช้ได้ทุกกรณี
1. ล็อคด้วยหมายเลขมือถือที่ส่งมาโดยตรงจากผู้ให้บริการเครือข่ายขณะที่เราใช้งาน นี่คือเหตุผลสำคัญที่ธนาคารสิกรไทยเขาไม่ยอมให้เราๆ ท่านๆ ใช้ Mobile Banking ผ่าน WIFI เพราะการต่ออินเทอร์เน็ตแบบนี้ จะไม่มีการส่งค่าเบอร์มือถือออกมา จึงเช็คไม่ได้ว่าคนที่ใช้จริงๆ เป็นใคร ปลอมมาหรือเปล่า
2. ล็อคID ของเครื่องโทรศัพท์ที่ใช้งาน เจ้าระบบ Triple Lock Security* นี้มันมีกลไกการอ่าน identity ของเครื่องที่เราๆ ใช้ชนิดเครื่องต่อเครื่อง ถ้าเป็นแนว Smart Phone ก็จะอ่าน Device ID จากเครื่องนั้นๆ มาเก็บข้อมูลไว้ในระบบ หรือถ้าเป็นเครื่องโทรศัพท์ทั่วๆ ไป เจ้าระบบนี้มันจะส่ง Delivery Security Key มาฝังไว้ที่เครื่องตอนเรา download โปรแกรมนั้นลง และทำการ pair เครื่อง นั้นเข้ากับระบบความปลอดภัยของธนาคารกสิกรไทยทันที ทีนี้เมื่อเราเปิดการใช้งานระบบก็จะรู้ได้ว่าเป็นเครื่องนั้นๆ ที่เราใช้จริงๆ
3. ล็อครหัสผ่าน 6 หลัก อันนี้คืออีกจุดนึงที่เป็นความแตกต่างระหว่าง Mobile Banking แท้ๆ และ Internet Banking on Mobile โดยแบบแท้ๆ สามารถใส่ตัวเลขเหมือเวลาเรากดตู้ ATM ได้เลข (ATM มี 4 หลักแต่มือถือมีตั้ง 6 หลัก) แต่แบบหลังจะใช่ user name & password ซึ่งแน่นอนแบบแรกที่ใส่ตัวเลขง่ายกว่า และการให้ใส่ตัวเลขถึง 6 หลักเท่ากับโอกาสที่คนร้ายจะมั่วกดรหัสถูกแทบเป็นไปไม่ได้ (แค่ 4 หลักก็แย่แล้ว) ที่สำคัญคือไม่ต้องกลัวการ Phishing เพราะถึงรู้รหัสไปก็เอาไปใช้ที่ไหมไม่ได้ ถ้าไม่ผ่านสองล็อคข้างต้น
แอพตัวที่ 2 เป็นระบบความปลอดภัยของ iBanking
1. ธนาคารติดตั้ง Firewall หลายชั้น ซึ่งทำหน้าที่ปกป้องข้อมูล เปรียบได้กับทหารรักษา ความปลอดภัยหน้าประตูที่ไม่เปิดรับคนแปลกหน้าเข้า-ออกจากระบบ
2. ธนาคารได้ติดตั้งซอฟท์แวร์ (Intrusion Detection Software) เพื่อตรวจสอบและแจ้ง ข้อความเตือนทันทีที่มีความผิดปกติเกิดขึ้นในระบบ
3. รหัสผ่านครั้งเดียว (One Time Password - OTP) รหัส OTP คือรหัสลับที่ธนาคาร ส่งให้ทาง SMS ไปยังหมายเลขโทรศัพท์มือถือที่ได้ลงทะเบียนไว้กับธนาคาร เพื่อใช้ยืนยันการทำรายการต่างๆ แถมรหัส OTP ใช้ได้ดพียง 5 นาทีอีกต่างหาก
4. รหัสลับแรกเข้า (PIN) หลังจากเข้าสู่บริการเป็นครั้งแรก ระบบจะให้เราเปลี่ยนรหัสลับ แรกเข้า (PIN) ให้เป็นรหัสลับส่วนตัว (Password) ซึ่งหากต้องการเปลี่ยนรหัสลับ ส่วนตัว (Password) ในภายหลัง สามารถทำได้ทุกครั้งตามต้องการ และถ้าพิมพ์ผิดติดกัน 3 ครั้ง ระบบจะล็อคตัวเองทันที (อันนี้ จขกท.เคยเจอมาแล้ว ต้องไปปลดที่ตู้ ATM ไม่ก็ต้องแจ้งพนักงานเลยทีเดียว)
5. หากระบบรักษาความปลอดภัยกำลังทำงาน จะเห็นไอคอนเป็นรูปกุญแจปิดที่ ด้านล่างขวามือของจอคอมพิวเตอร์ หากเราเลื่อนเมาส์ไว้ที่รูป "กุญแจ" จะปรากฎข้อความ "SSL Secured" ขึ้นมา ซึ่งหมายความว่าข้อมูลของเรากำลังได้รับการเข้ารหัส หากต้องการดูข้อมูลเพิ่มคลิกสองครั้งที่ไอคอนรูปกุญแจปิด
6. ธนาคารไม่มีนโยบาย ส่ง SMS MMS หรืออีเมล์ เพื่อให้ลูกค้าทำการติดตั้งโปรแกรม หากพบมีการส่ง URL ไปยังมือถือของเราเอง แสดงว่าเป็น Pop-up หลอกลวง
ต่อมาเป็นระบบความปลอดภัยของ KTC
1. เมื่อลูกค้าเข้าระบบผ่านเว็บไซต์หรือแอพพลิเคชั่นการเข้าถึงข้อมูล Username และ Password จะมีการแจ้งเตือนไปยังอีเมลทุกครั้ง
2. ระบบ OTP (One Time Password) ส่วนมาก Application ที่เป็นบนมือถือจะมีหมด โดยรหัส OTP ที่จะแจ้งรหัสยืนยันการทาธุรกรรมออนไลน์ต่างๆ ไปยังเบอร์โทรศัพท์ที่ผูกกับระบบไว้ ซึ่งรหัส OTP จะใช้ได้เพียงครั้งเดียวต่อหนึ่งธุรกรรมและไม่สามารถนำกลับมาใช้งานซ้ำได้ รหัส OTP มีอายุการใช้งาน 3 นาทีต่อ 1 รหัส OTP เท่านั้น แถมด้วย Email Notification แจ้งเตือนทุกครั้งที่ทำธุรกรรมออนไลน์ผ่าน TapKTC (ใครใช้ของ KTC บ่อยจะรู้เมลเด้งตลอดๆ)
3. Lock Password กรณีที่มีการใส่รหัสผ่านส่วนตัว (Password) ผิด 3 ครั้ง ระบบจะระงับการใช้บริการของท่าน ทั้งนี้ เพื่อป้องกันการเข้ามาใช้บัญชีของท่านทำรายการทางการเงินโดยไม่สุจริต
และตัวสุดท้าย ระบบความปลอดภัยของ แอพ true wallet
1. ระบบ 2-Factor authentication คือ Password หรือ Pin บวกกับระบบ OTP ทุกครั้งที่ทำธุรกรรม ระบบจะส่งรหัส OTP เพื่อยืนยันการทำธุรกรรมทุกครั้ง (จริงๆอันนี้ชอบมากนะ ไม่ว่าจะทำอะไรถาม OTP ตลอดเนี่ย มันเหมือนกับเช็คทุกครั้งว่าจะทำธุรกรรมจริงๆรึเปล่า)
2. การขอดูหมายเลขบัตร Wecard บนมือถือของเรา เพื่อนำบัตรเสมือนนี้ไปใช้อะไรก็ช่าง จะมีการส่ง OTP หรือรหัสป้องกันความปลอดภัยให้ใส่ก่อนเสมอ
3. ใช้ระบบสแกนลายนิ้วมือเพื่อ Log in เข้าสู่ระบบ (จริงๆของธนาคาร กสิกร กับกรุงเทพ ก็มีนะ ลืมบอกไป)
4. สามารถเปิด-ปิดการใช้งานบัตรเสมือนหรือบัตร Wecard ได้เองจาก Application เพื่อความปลอดภัย ไม่ต้องโทรรังับบัตรให้วุ่นวาย หากบัตรหายก็สามารถปิดบัตรจากตัวแอพพลิเคชั่นได้เลย
5. วงเงินที่ใช้ได้ใน Wallet ถูกจำกัดวงเงิน ไม่สามารถเติมได้มากกว่า 30,000 บาท จะบอกว่าเป็นข้อดีไหม? ก็ดีนะที่ไม่สามารถทำธุรกรรมกับเงินก้อนใหญ่ๆได้ ถ้าอยากโอนเงินมากกว่านั้นไปทำที่แบงค์เหอะ
จากที่พูดมาทั้งหมด ก็จะมีระบบความปลอดภัยที่แตกต่างกัน แต่ที่สำคัญก็อยู่ที่ตัวเราเป็นหลัก อย่าทำ มือถือหาย เปลี่ยน Password บ่อยๆ และอย่าเก็บ Username และ Password ไว้ในโน้ต และมือถือของเรา ก็ควรที่จะมีรหัสเพื่อเข้าใช้งานด้วย เพราะหากเราทำมือถือหายและเก็บข้อมูลไว้ในนั้นหมด ระบบล๊อคป้องกันแค่ไหนก็เอาไม่อยู่นะครับ
ใครใช้แอพอะไรอยู่ก็มาแชร์กันได้นะครับ ของผมหลักๆ จะมีอยู่ 4 แอพนี่และครับ
กสิกร> ไว้ใช้โอนเงิน เติมเงิน
กรุงเทพ> ไว้เช็คยอดเงินเดือน โอนเงิน
KTC > ไว้เช็ควงเงินในการใช้จ่ายที่ใช้รูดซื้อของต่างๆ
True wallet >ไว้ใช้จ่ายบิลรายเดือนต่างๆ ที่ใช้แอพตัวนี้จ่ายเพราะบางธุรกรรม มันฟรี (และชอบมีกิจกรรมแจกเงินใน App มาให้เล่นบ่อยๆอีกตั่งหาก อิอิ)
ระบบรักษาความปลอดภัย Mobile Apps & Wallet อันไหนดีอันไหนเจ๋ง มาดูกัน
และนี่คือ Application เกี่ยวกับเงินๆทองๆที่มีอยู่ในเครื่องผมซึ่ง 2 ใน 4 เป็นตัวที่ถูกพูดถึงในกระทู้นั้นพอดี มาดูกันว่าระบบ Security แต่ละที่เป็นยังไงกันบ้าง เริ่มที่กสิกรกันก่อน เจ้าพ่อของระบบการให้บริการ Online มีระบบ Lock Triple Lock Security ใช้ระบบตรวจสอบข้อมูล 3 อย่างเพื่อตรวจสอบให้ตรงกันถ้าอย่างใดอย่างหนึ่งไม่ตรงจะไม่สามารถใช้ได้ทุกกรณี
1. ล็อคด้วยหมายเลขมือถือที่ส่งมาโดยตรงจากผู้ให้บริการเครือข่ายขณะที่เราใช้งาน นี่คือเหตุผลสำคัญที่ธนาคารสิกรไทยเขาไม่ยอมให้เราๆ ท่านๆ ใช้ Mobile Banking ผ่าน WIFI เพราะการต่ออินเทอร์เน็ตแบบนี้ จะไม่มีการส่งค่าเบอร์มือถือออกมา จึงเช็คไม่ได้ว่าคนที่ใช้จริงๆ เป็นใคร ปลอมมาหรือเปล่า
2. ล็อคID ของเครื่องโทรศัพท์ที่ใช้งาน เจ้าระบบ Triple Lock Security* นี้มันมีกลไกการอ่าน identity ของเครื่องที่เราๆ ใช้ชนิดเครื่องต่อเครื่อง ถ้าเป็นแนว Smart Phone ก็จะอ่าน Device ID จากเครื่องนั้นๆ มาเก็บข้อมูลไว้ในระบบ หรือถ้าเป็นเครื่องโทรศัพท์ทั่วๆ ไป เจ้าระบบนี้มันจะส่ง Delivery Security Key มาฝังไว้ที่เครื่องตอนเรา download โปรแกรมนั้นลง และทำการ pair เครื่อง นั้นเข้ากับระบบความปลอดภัยของธนาคารกสิกรไทยทันที ทีนี้เมื่อเราเปิดการใช้งานระบบก็จะรู้ได้ว่าเป็นเครื่องนั้นๆ ที่เราใช้จริงๆ
3. ล็อครหัสผ่าน 6 หลัก อันนี้คืออีกจุดนึงที่เป็นความแตกต่างระหว่าง Mobile Banking แท้ๆ และ Internet Banking on Mobile โดยแบบแท้ๆ สามารถใส่ตัวเลขเหมือเวลาเรากดตู้ ATM ได้เลข (ATM มี 4 หลักแต่มือถือมีตั้ง 6 หลัก) แต่แบบหลังจะใช่ user name & password ซึ่งแน่นอนแบบแรกที่ใส่ตัวเลขง่ายกว่า และการให้ใส่ตัวเลขถึง 6 หลักเท่ากับโอกาสที่คนร้ายจะมั่วกดรหัสถูกแทบเป็นไปไม่ได้ (แค่ 4 หลักก็แย่แล้ว) ที่สำคัญคือไม่ต้องกลัวการ Phishing เพราะถึงรู้รหัสไปก็เอาไปใช้ที่ไหมไม่ได้ ถ้าไม่ผ่านสองล็อคข้างต้น
แอพตัวที่ 2 เป็นระบบความปลอดภัยของ iBanking
1. ธนาคารติดตั้ง Firewall หลายชั้น ซึ่งทำหน้าที่ปกป้องข้อมูล เปรียบได้กับทหารรักษา ความปลอดภัยหน้าประตูที่ไม่เปิดรับคนแปลกหน้าเข้า-ออกจากระบบ
2. ธนาคารได้ติดตั้งซอฟท์แวร์ (Intrusion Detection Software) เพื่อตรวจสอบและแจ้ง ข้อความเตือนทันทีที่มีความผิดปกติเกิดขึ้นในระบบ
3. รหัสผ่านครั้งเดียว (One Time Password - OTP) รหัส OTP คือรหัสลับที่ธนาคาร ส่งให้ทาง SMS ไปยังหมายเลขโทรศัพท์มือถือที่ได้ลงทะเบียนไว้กับธนาคาร เพื่อใช้ยืนยันการทำรายการต่างๆ แถมรหัส OTP ใช้ได้ดพียง 5 นาทีอีกต่างหาก
4. รหัสลับแรกเข้า (PIN) หลังจากเข้าสู่บริการเป็นครั้งแรก ระบบจะให้เราเปลี่ยนรหัสลับ แรกเข้า (PIN) ให้เป็นรหัสลับส่วนตัว (Password) ซึ่งหากต้องการเปลี่ยนรหัสลับ ส่วนตัว (Password) ในภายหลัง สามารถทำได้ทุกครั้งตามต้องการ และถ้าพิมพ์ผิดติดกัน 3 ครั้ง ระบบจะล็อคตัวเองทันที (อันนี้ จขกท.เคยเจอมาแล้ว ต้องไปปลดที่ตู้ ATM ไม่ก็ต้องแจ้งพนักงานเลยทีเดียว)
5. หากระบบรักษาความปลอดภัยกำลังทำงาน จะเห็นไอคอนเป็นรูปกุญแจปิดที่ ด้านล่างขวามือของจอคอมพิวเตอร์ หากเราเลื่อนเมาส์ไว้ที่รูป "กุญแจ" จะปรากฎข้อความ "SSL Secured" ขึ้นมา ซึ่งหมายความว่าข้อมูลของเรากำลังได้รับการเข้ารหัส หากต้องการดูข้อมูลเพิ่มคลิกสองครั้งที่ไอคอนรูปกุญแจปิด
6. ธนาคารไม่มีนโยบาย ส่ง SMS MMS หรืออีเมล์ เพื่อให้ลูกค้าทำการติดตั้งโปรแกรม หากพบมีการส่ง URL ไปยังมือถือของเราเอง แสดงว่าเป็น Pop-up หลอกลวง
ต่อมาเป็นระบบความปลอดภัยของ KTC
1. เมื่อลูกค้าเข้าระบบผ่านเว็บไซต์หรือแอพพลิเคชั่นการเข้าถึงข้อมูล Username และ Password จะมีการแจ้งเตือนไปยังอีเมลทุกครั้ง
2. ระบบ OTP (One Time Password) ส่วนมาก Application ที่เป็นบนมือถือจะมีหมด โดยรหัส OTP ที่จะแจ้งรหัสยืนยันการทาธุรกรรมออนไลน์ต่างๆ ไปยังเบอร์โทรศัพท์ที่ผูกกับระบบไว้ ซึ่งรหัส OTP จะใช้ได้เพียงครั้งเดียวต่อหนึ่งธุรกรรมและไม่สามารถนำกลับมาใช้งานซ้ำได้ รหัส OTP มีอายุการใช้งาน 3 นาทีต่อ 1 รหัส OTP เท่านั้น แถมด้วย Email Notification แจ้งเตือนทุกครั้งที่ทำธุรกรรมออนไลน์ผ่าน TapKTC (ใครใช้ของ KTC บ่อยจะรู้เมลเด้งตลอดๆ)
3. Lock Password กรณีที่มีการใส่รหัสผ่านส่วนตัว (Password) ผิด 3 ครั้ง ระบบจะระงับการใช้บริการของท่าน ทั้งนี้ เพื่อป้องกันการเข้ามาใช้บัญชีของท่านทำรายการทางการเงินโดยไม่สุจริต
และตัวสุดท้าย ระบบความปลอดภัยของ แอพ true wallet
1. ระบบ 2-Factor authentication คือ Password หรือ Pin บวกกับระบบ OTP ทุกครั้งที่ทำธุรกรรม ระบบจะส่งรหัส OTP เพื่อยืนยันการทำธุรกรรมทุกครั้ง (จริงๆอันนี้ชอบมากนะ ไม่ว่าจะทำอะไรถาม OTP ตลอดเนี่ย มันเหมือนกับเช็คทุกครั้งว่าจะทำธุรกรรมจริงๆรึเปล่า)
2. การขอดูหมายเลขบัตร Wecard บนมือถือของเรา เพื่อนำบัตรเสมือนนี้ไปใช้อะไรก็ช่าง จะมีการส่ง OTP หรือรหัสป้องกันความปลอดภัยให้ใส่ก่อนเสมอ
3. ใช้ระบบสแกนลายนิ้วมือเพื่อ Log in เข้าสู่ระบบ (จริงๆของธนาคาร กสิกร กับกรุงเทพ ก็มีนะ ลืมบอกไป)
4. สามารถเปิด-ปิดการใช้งานบัตรเสมือนหรือบัตร Wecard ได้เองจาก Application เพื่อความปลอดภัย ไม่ต้องโทรรังับบัตรให้วุ่นวาย หากบัตรหายก็สามารถปิดบัตรจากตัวแอพพลิเคชั่นได้เลย
5. วงเงินที่ใช้ได้ใน Wallet ถูกจำกัดวงเงิน ไม่สามารถเติมได้มากกว่า 30,000 บาท จะบอกว่าเป็นข้อดีไหม? ก็ดีนะที่ไม่สามารถทำธุรกรรมกับเงินก้อนใหญ่ๆได้ ถ้าอยากโอนเงินมากกว่านั้นไปทำที่แบงค์เหอะ
จากที่พูดมาทั้งหมด ก็จะมีระบบความปลอดภัยที่แตกต่างกัน แต่ที่สำคัญก็อยู่ที่ตัวเราเป็นหลัก อย่าทำ มือถือหาย เปลี่ยน Password บ่อยๆ และอย่าเก็บ Username และ Password ไว้ในโน้ต และมือถือของเรา ก็ควรที่จะมีรหัสเพื่อเข้าใช้งานด้วย เพราะหากเราทำมือถือหายและเก็บข้อมูลไว้ในนั้นหมด ระบบล๊อคป้องกันแค่ไหนก็เอาไม่อยู่นะครับ
ใครใช้แอพอะไรอยู่ก็มาแชร์กันได้นะครับ ของผมหลักๆ จะมีอยู่ 4 แอพนี่และครับ
กสิกร> ไว้ใช้โอนเงิน เติมเงิน
กรุงเทพ> ไว้เช็คยอดเงินเดือน โอนเงิน
KTC > ไว้เช็ควงเงินในการใช้จ่ายที่ใช้รูดซื้อของต่างๆ
True wallet >ไว้ใช้จ่ายบิลรายเดือนต่างๆ ที่ใช้แอพตัวนี้จ่ายเพราะบางธุรกรรม มันฟรี (และชอบมีกิจกรรมแจกเงินใน App มาให้เล่นบ่อยๆอีกตั่งหาก อิอิ)