แบงค์ชาติระบุเหตุเงินรั่วเกิดจากคนร้ายสุ่มทั้งเลขบัตรและวันหมดอายุบัตร บางเว็บไม่ถามแม้แต่ CVV ระบุโดนโจมตีแค่บางธนาคาร

By lew Founder on Tag: Bank of Thailand
Bank of Thailand

ธนาคารแห่งประเทศไทยโพสชี้แจงเพิ่มเติมถึงเหตุผู้ใช้ถูกเรียกเก็บเงินโดยไม่ได้ใช้งาน ว่าคนร้ายนั้นสุ่มข้อมูล ทั้งหมายเลขบัตร และวันที่หมดอายุ โดยคนร้ายทำสำเร็จเพราะร้านค้าออนไลน์บางประเทศไม่มีการยืนยันข้อมูลด้วย OTP รวมถึงไม่ยืนยันแม้แต่รหัสหลังบัตร CVV นับเป็นการยืนยันว่าการโจมตีช่วงสัปดาห์ที่ผ่านมาคือการโจมตีแบบ Enumeration Attack ตามที่ Visa เคยแจ้งเตือน

โพสนี้ยังระบุว่าเหตุการสุ่มหมายเลขบัตรนี้ไม่ได้เกิดกับทุกธนาคาร โดยไม่ได้แจกแจงเพิ่มเติมว่าธนาคารใดถูกโจมตีหรือไม่ถูกโจมตีบ้าง แต่ระบุว่า "ธนาคารที่ตั้งเกณฑ์การตรวจจับไว้ไม่เข้มอาจจะมีธุรกรรมเหล่านี้หลุดมาได้"

Visa แนะนำให้ร้านค้าอีคอมเมิร์ชเพิ่มมาตรการความปลอดภัยเพื่อป้องกัน Enumeration Attack มาตั้งแต่เดือนกันยายนปีที่แล้ว โดยแนะนำให้เปิด CAPTCHA ป้องกันการสั่งจ่ายอัตโนมัติ, ตรวจสอบอัตราการจ่ายเงินล้มเหลว, ตรวจจับไอพีที่สั่งจ่ายล้มเหลวบ่อยๆ, เปิดบริการ 3D Secure เพื่อใช้ OTP ยืนยันการจ่าย

หลังจากนั้น Visa ออกรายงานแนะนำธนาคารอีกครั้งเมื่อเดือนสิงหาคมที่ผ่านมา แนะนำไม่ให้ออกบัตรโดยหมายเลขบัตรเรียงกันและมีวันหมดอายุตรงกันเป็นชุดๆ, ตรวจสอบการจ่ายเงินล่มเหลวว่ามาจากผู้ค้ารายใดมากเป็นพิเศษ

ที่มา - Bank of Thailand

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

Perl Wed, 20/10/2021 - 14:51

แถลงเหมือนคนไทยไม่มีความรู้
ที่ไปรูด Apple Store เขาไม่ต้องกรอก CCV หรือไง

แล้วสุ่มตั้งขนาดนี้ สุ่มชื่อด้วยเลยไหม บอทจะเทพเกินไปแล้ว
ข้อมูลรั่ว บอกมาตรงๆ มันไม่ตาย คนจะได้รู้ว่ารั่วไหลมาจากไหน

lew Wed, 20/10/2021 - 15:01

อันนี้คือไม่เชื่อว่ามีการโจมตีแบบนี้จริงหรือครับ? เชื่อว่าทั้ง BoT ทั้ง Visa โกหก เป็นการโจมตีที่ไม่มีจริง??

Perl Wed, 20/10/2021 - 15:23

ผมเชื่อว่าข้อมูลหลุดครับ เป็นไปได้ยากที่จะสุ่มถูกพร้อมกันเป็นหมื่นๆ คน
ถ้าแค่คนสองคนผมอาจจะเชื่อครับ

Noblesse Wed, 20/10/2021 - 15:44

  1. เลขบัตรไม่ได้สร้างจากการสุ่ม มันมีอัลกอริทึมที่ใครๆ ก็หาอ่านได้
  2. หากไม่ได้นำเลขบัตรผู้เสียหายทุกคนมาตรวจก็ไม่มีทางสรุปได้
  3. เมื่อเจ้าหน้าที่ที่มีข้อมูลอยู่ในมือสรุปมาแบบนั้น ซึ่งก็มีความเป็นไปได้ไม่แพ้กับทฤษฎีอื่นๆ ก็ควรจะต้องสรุปไปตามนั้น
  4. ยกเว้นว่าคุณจะขอข้อมูลมาวิเคราะห์เองได้ ซึ่งก็ไม่มีทางเป็นไปได้
  5. สรุปความคิดคุณก็เป็นได้แค่ทฤษฎี ซึ่งความเป็นไปได้ก็ไม่ได้ต่างจากทฤษฎีอื่นๆ เพียงแค่คุณก็พิสูจน์ไม่ได้

aomnaruk Wed, 20/10/2021 - 15:29

ผมเชื่อว่าการสุ่มเลขโจมตีมีอยู่จริงแต่ผมกำลังสงสัยว่าเหตุครั้งนี้มันเกิดจากการ"สุ่มเลข"ใช่จริงๆหรือเปล่า?

Zatang Wed, 20/10/2021 - 15:21

ผมว่าเป็นไปได้ตามที่ bot แจ้งนะครับ เห็นเคสบางคนไม่เคยทำธุรกรรมออนไลน์ มีแต่บัญชีและบัตร ATM ที่พ่วง debit card มาก็โดน

Noblesse Wed, 20/10/2021 - 15:29

ชื่อ-นามสกุล ไม่ต้องใช้ บัตรพวกนี้มันใช้แค่ 3 ส่วน รหัสบัตร วันหมดอายุบัตร และ CCV ซึ่งเว็บสุ่มบัตรนี่มีมานานแล้ว (ค้นหาใน Google เอาได้เลย) ไว้ใช้สมัครทดลองใช้บริการที่มันบังคับให้ใส่บัตร เราใส่มั่วๆ ไม่ได้เพราะบัตรพวกนี้มันมีอัลกอริทึมในการคำนวณ แต่ถ้าเว็บไหนมีระบบทดลองตัดยอดก่อนอันนี้ยาก (ถ้าไม่ใช้บอท) เพราะสุ่มบัตรมันเข้าอัลกอริทึมแต่ไม่ใช่บัตรจริงๆ ส่วนวันหมดอายุขอบเขตมันจำกัด อันนี้สุ่มได้ไม่ยาก ส่วน CCV มีแค่ 3 หลัก สรุปใช้เวลาไม่นานก็น่าจะสุ่มได้ไม่ยาก โดยเฉพาะถ้ามี hint จากรหัสบัตรจริงไม่กี่ใบที่อาจจะใช้วิธี Phishing มาอีกที ส่วน OTP นี่ถ้าไม่เคยซื้อของเว็บนอกอาจจะไม่รู้ว่ามันคือ Placebo Effect ที่มีแค่บริการในไทยใช้ จริงๆ ไม่ต้องมี OTP ก็ตัดบัตรได้ทันที

สรุปคือมันหละหลวมตั้งแต่การออกแบบบัตรที่อิงให้ใช้งานง่าย รหัส CVV ก็เปลี่ยนหรือตั้งเองไม่ได้ คล้ายๆ รหัส ATM ที่ตอนหลังเพิ่มจาก 4 หลักเป็น 6 หลัก โดยที่ ATM ใช้ครั้งแรกให้ตั้งรหัสแค่ 4 หลักเพราะเมียของคนที่สร้าง ATM บอกกับผัวเขาว่ารหัส 6 มันยาวไปจำยาก มันเลยเป็น Legacy ที่ต้องให้ปรับแก้ให้เข้ากับโลกที่เปลี่ยนไป

Noblesse Wed, 20/10/2021 - 15:46

มันขึ้นอยู่กับแต่ละเว็บครับ ตัวอย่างเช่น Aliexpress นี่กดบัตรคือตัดเลยไม่มี OTP ส่วนใหญ่จะเป็นเว็บใหญ่ๆ ที่เขียนเอง ถ้าพวกใช้ 3rd party เช่น ของ 2C2P นี่จะมี OTP แต่ว่ามีอีกกรณีที่ทำให้ผมมั่นใจว่ามันเป็น Placebo Effect คือ

หากเคยซื้อของ Shopee ด้วยบัตรปกติมันจะมี OTP เสมอ แต่ถ้าซื้อช่วงที่คนซื้อเยอะๆ จนระบบล่มมันก็ข้าม OTP ไป อันนี้ผมเจอหลายครั้งแล้ว และไม่ใช่คนเดียวที่เป็น คุณอาจจะคิดว่าออเดอร์ขึ้นว่าจ่ายเงินโดยไม่มี OTP แล้วจะได้ของฟรี ไม่เลยครับ มันตัดบัตรเดบิตเครดิตไปเรียบร้อยแล้ว

สรุป OTP เป็นแค่ Placebo Effect ทำให้เราคิดว่าปลอดภัย

TeamKiller Wed, 20/10/2021 - 15:50

Shopee นี่ไม่แน่ใจยังไงเจอบ่อย บางทีก็ไม่ต้อง OTP บางทีก็กรอก OTP ถ่ายซื้อติดๆ กันคงผ่านเลยมั้งครับเดาเอา

แต่จริงไอ OTP นี่เข้าใจว่าเป็นการกันการปฏิเสทช่วยฝั่งร้านค้านะครับ ถ้าแบบโดนตัดแล้วโดนดัก OTP พร้อมกันหมด ธนาคารไม่คืนเงินให้ นะครับ อ่านๆ ตามในคอมเม้น blognone นี่ละครับ คือไม่มี OTP เลยแล้วโดนตัดนี่คืนเงินได้

paween_a Thu, 21/10/2021 - 08:55

ถูกครับ OTP ไม่ได้ช่วยป้องกันเรื่องไม่ให้บัตรถูกขโมย แต่ช่วยร้านค้ายืนยันรายการว่าเจ้าของบัตรเป็นคนจ่ายจริง เพราะคนที่เลือกจะให้มี OTP หรือไม่อยู่กับฝั่งคนรับเงินจะให้เปิด option นี้หรือเปล่า คนจ่ายเงินเลือกไม่ได้

จริง ๆ ยุคนี้ VESA Master น่าจะเปิด 2FA ให้ลูกค้าเลือกได้แล้วนะ

ico Wed, 20/10/2021 - 23:48

เขาเลือกเองครับว่าจะให้กรอกหรือไม่กรอก otp
พวกจ่ายรายเดือนอย่างค่าโทร นี่ก็ส่งแค่เบอร์กับวันหมดอายุ ยังตัดเงินลูกค้าได้เลย
แต่อย่างน้อยต้อง authen ด้วย otp หนึ่งครั้ง

รายการแบบ non otp นี่เวลามีปัญหาร้านค้าต้องรับผิดชอบ
ถ้าคุณจ่ายผ่าน shopee แล้วไม่กรอก otp ระบบเขาก็มองว่าโอกาสที่จะเป็นการฉ้อโกงน้อย คุณอาจจะเคยซื้อของหลายครั้ง หรือราคาไม่สูงเขาก็รับความเสี่ยงเอา

Noblesse Wed, 20/10/2021 - 15:59

Googling: https://pantip.com/topic/39397441

ลองอ่านๆ ดูได้ครับ ถึงทาง Shopee จะบอกเรื่องยอดขั้นต่ำ แต่ของผมและทุกคนที่โดนตัดโดยไม่มี OTP ก็ยอดเกินทั้งนั้น และแม้แต่ยอดต่ำกว่าที่ทาง Shopee บอกก็มี OTP ในช่วงเวลาที่ระบบไม่ล่ม หรือเรียกว่าลดสิ่งที่ไม่จำเป็น (Placebo Effect) ให้ระบบทำงานได้เร็วขึ้นนั่นเอง

และอย่างที่ผมบอกตาม ความคิดเห็นที่ 5 ในลิงก์พันทิปว่าเว็บใหญ่ๆ ที่เขียนระบบเองไม่ต้องใช้ OTP ด้วยซ่ำไม่ว่าจะยอดหลักร้อยหรือหมื่นก็ตาม (AliExpress for example)

ปกติเคยซื้อของออนไลน์ด้วยบัตรบ้างไหมครับ ผมว่าไม่เคยเจอกรณีไม่ขอ OTP นี่แปลกกว่าอีกนะ 555

pepporony Wed, 20/10/2021 - 16:55

ถ้าตามข่าวที่เตือนไม่ให้ธนาคารออกบัตร+วันหมดอายุต่อๆกัน ก็น่าจะเดาได้ว่า บัตรที่โดนอาจจะเป็นเลขใกล้ๆกันและมาจากธนาคารเดียวกัน (เพราะออกเป็นชุดๆ)

ravipon Wed, 20/10/2021 - 16:58

น่าจะเพราะ pattern ตัวเลขรึเปล่าครับ แต่ละธนาคาร แต่ละค่ายก็จะมี pattern เลข 4-6 ตัวแรกไม่เหมือนกัน
เช่น ธนาคาร A บัตร VISA เป็น 4012 34XX XXXX XXXX ทุกใบ ธนาคาร B บัตร VISA เป็น 4023 45XX XXXX XXXX

Zatang Wed, 20/10/2021 - 16:58

"ธนาคารที่ตั้งเกณฑ์การตรวจจับไว้ไม่เข้มอาจจะมีธุรกรรมเหล่านี้หลุดมาได้" แต่ละธนาคารตั้งเกณฑ์ไว้ไม่เหมือนกัน เป็นไปได้ว่าบางธนาคารไม่โดนเพราะติดเกณฑ์

frameonthai Wed, 20/10/2021 - 20:50

ถ้าต้นเหตุเกิดจากการสุ่มเลขบัตรจริง

  1. ทำไมถึงมาเกิดขึ้นหนักตอนนี้ ทั้งๆ มันเป็นการโจมตีที่สามารถทำได้ตั้งนานแล้ว
  2. 16(เลขหน้าบัตร) + 4(MM/YY) + 3(CVV) ทั้งหมด 23 หลัก
    คิดเล่นๆ ก็คือ 10,000,000,000,000,000,000,000 Combinations (1 หมื่นล้านล้านล้าน)
    ยกตัวอย่าง ถ้าผู้เสียหาย 100,000 คน ก็ 1 ใน 10,000,000,000,000,000 (1 หมื่นล้านล้าน)
    และถ้าสุ่มจริง แล้วมีผู้เสียหายเฉพาะในไทย ก็คงฟลุ๊คเกินไป

โดยส่วนตัวผมคิดว่ารั่วแน่ๆ แต่ไม่รู้ว่ารั่วจากไหน

lew Thu, 21/10/2021 - 01:50

เฉพาะข้อ 2

  • เลขบัตร 6-8 หลักเลข คือเลขประเภทบัตร + เลขธนาคาร/ชนิดบัตรครับ (บัตร Visa ขึ้นด้วยเลข 4 บัตร mastercard เลข 5) ถ้าใช้ SCB Platinum ก็จะเลขเหมือนๆ กัน 6 หลักอะไรแบบนั้น
  • หลักสุดท้ายคือ checksum

เหลือเลขบัตรจริงๆ 7-9 หลัก

ข่าวร้ายคือ Visa ไม่บังคับกระบวนการออกเลขบัตร ดังนั้นธนาคารจะออกเลขบัตร 0000 0001 ไล่ไปเรื่อยๆ จนถึง 0010 0000 เลยก็ได้ (ผมเว้นเลขธนาคาร/เลข checksum เอาไว้) ดังนั้นถ้าผู้รู้ธนาคารที่ออกเลขบัตรแบบหละหลวมเช่นนี้ ผมก็ไปหาเลขบัตรของจริงสักใบ ไล่ไปข้างหน้ากับถอยหลังเอา เดือน/ปี หมดอายุก็ตรงกันหมดทั้งชุด

ทำไมมาเกิดกับไทยตอนนี้นี่ผมไม่ทราบครับ แต่มันเกิดได้ และเกิดกับคนอื่นแล้ว Visa ถึงออกเอกสารเตือน และธนาคารอื่นในโลกที่โดนกันเขาก็ใช้เลข 16 หลักเหมือนไทยนี่ล่ะครับ

จักรนันท์ Thu, 21/10/2021 - 08:07

ความคิดส่วนตัวผม ปัญหานี้ควรแก้ไขที่ VISA ครับ (เป็นต้นทางของปัญหา)
เมื่อ "สุ่ม" ได้ ยิ่งแปลว่าเป็นปัญหาของ VISA ชัดๆ ครับ ที่วาง Algo เรื่อง Identity ของบัตรไว้ตั้งแต่ยุคยังไม่ Online ทั่วไปแบบนี้ ปฏิเสธไม่ได้ว่าแก้ที่ VISA ที่เดียวจบครับ
ถ้า VISA เป็นบริษัทผม อย่างน้อย ผมจะรีบสั่งการให้ออกแบบแนวทางที่เพิ่มตัวอักษร A~Z ลงไปในเลขบัตรแล้วล่ะครับ เป็นแนวทางที่กระทบผู้ถือบัตรอยู่แล้วน้อยที่สุด ตัว EDC ก็แก้ไขแค่ Firmware ตลอดจน Payment gateway ทั้งหมดก็แก้ที่ Software อย่างเดียว ส่วนผู้ถือบัตรเดิมอยู่แล้วก็ทยอยเปลี่ยนกันไปตามสะดวก ถ้าบัตรใครไม่ได้รั่วก็ใช้ต่อไปจนหมดอายุก่อนได้
เจอ A~Z เข้าอีก 26 ตัว คราวนี้สุ่มยากขึ้นอีกโขเลย

torataro Fri, 22/10/2021 - 14:22

ผมไม่คัดค้านข้อเสนอนี้ครับ แต่ลกระทบกับโปรแกรมอื่นที่เกี่ยวข้องอาจจะสูงมากไม่น้อย เช่นโปรแกรมเครื่องคิดเงิน หรือโปรแกรมอื่นๆ ที่อาจจะมีการตรวจสอบความถูกต้องของ pattern บัตร

Fourpoint Fri, 22/10/2021 - 22:45

ผมได้ยินแผนขยายdigitมา อย่างน้อยตั้งแต่ 5ปีที่แล้ว แต่ก็เลื่อนมาโดยตลอด เพราะมันกระทบวงกว้างสุดๆเลยล่ะ

แต่กระทบ โปรแกรมแวดล้อม ของmerchant รวมไปถึงโปรแกรมของbank ต่างๆทั้งหมดเลยล่ะครับ

แค่โปรแกรมพิมพ์บิล แบบตัดแสดงแค่สิบหลัก ก็ต้องแก้ไขกันแล้ว บางอันมันฝังในPOS ไม่ใช่updateกันง่ายๆด้วย

ฝั่งแบ๊งค์เอง EDC รุ่นเก่าๆก็ไม่น่าจะรองรับการupdate เรายังมีเครื่องแบบเสียบสายโทรศัพท์บ้านหรือใช้เนท2G ด้วยซ้ำ (ยังดีที่เข้าใจว่ายกเลิกเครื่องรูดแบบ zipzap ไปแล้วนะ? แบบที่เป็นสลิปคาร์บอนออกมาแล้วโทรไปยืนยันcodeน่ะ)ต้นทุนการเปลี่ยนเฉพาะเครื่องEDC ก็ไม่น้อย บางกรณีอาจจะเป็นหลายสิบล้านต่อธนาคาร(ในกรณีที่updateไม่ได้)

เรื่องแบบนี้นึกถึงสมัยY2K เลยก็ว่าได้

จักรนันท์ Sat, 23/10/2021 - 08:09

แต่ถ้าเขาไม่ทำเสียที "นี่อาจจะเป็นสัญญาณการล่มสลาย" ของ VISA ได้นะครับ (เล่นบ้าง เห็นคุณๆ เล่นกันมาหลายปีแล้ว)
เป็นการเปิดโอกาสให้ Credit Account Identity ชนิดใหม่ บริษัทใหม่ หน้าใหม่ เกิดขึ้นมาแข่งขันได้ทันที ซึ่งอาจไม่ใช่ในรูปแบบบัตรเหมือนเดิมอีกต่อไป

อีกอย่าง ข้อเสนอของผม ไม่ได้เพิ่ม digit นะครับ! หน้าบัตร 16 หลัก+หลังบัตร 3 หลักเหมือนเดิมครับ
ฝั่ง Software และ Firmware ต้องแก้ไขแน่ๆ คือ Numeric field เลขเหล่านี้ต้องแก้ไขเป็น Character filed ครับ (String)

ข้อเสนอของผม คิดโดยยึดผู้บริโภคเป็นศูนย์กลาง ผู้ให้บริการทุกฝ่ายต้องเสียสละเพื่อการเปลี่ยนแปลงครับ

ผมแย้มความคิดเพิ่ม ในฐานะผู้ประกอบการประสบการณ์สูงนะครับ ถ้าคุณคิดว่า "เปลี่ยนแปลง" คุณจะคิดว่ากระทบเยอะ ยุ่งยาก
แต่ถ้าคุณคิดมุมใหม่ ใช้การตลาดเข้าช่วย ว่าคือการออกผลิตภัณฑ์ใหม่ บัตรชนิดใหม่ ประกาศออกมาให้โลกรู้เลย มันจะไม่ใช่เรื่องยากเลย ก็จะกลายเป็นแคมเปญเช่น

"บัตร VISA+ บัตรรุ่นใหม่เพื่อความปลอดภัยขั้นสูงสุดของทุกคน... ฯลฯ"

"แค่" หลายสิบล้าน แต่ได้แคมเปญออกผลิตภัณฑ์ใหม่เหยียบคู่แข่ง ถูกมากครับ! เศษเงินเลย!

ฉวยวิกฤติให้เป็นโอกาส!

Fourpoint Sat, 23/10/2021 - 13:06

แผนที่ผมพูดถึงคือการเพิ่มdigit ครับ ทุกbankรับทราบมานานแล้ว แต่ก็เลื่อนไปเรื่อยๆ หรือถ้าเปลี่ยนเป็นตัวอักษร ยิ่งแก้เยอะกว่าเดิมซะอีก data type เปลี่ยน กระทบรุนแรงกว่าขยายdigit ครับ ในมุมของโปรแกรมเก่าๆ(ระบบหลักอยู่บน mainframe เขียนด้วย cobalt ด้วยซ้ำครับ)

บัตรใหม่ merchantอาจต้องซื้อEDCใหม่นะครับ แม้EDCรุ่นใหม่จะถูกลงเยอะ(มีพวก android based ด้วย) แต่ใครจะรับภาระส่วนนี้? เป็นคำถามที่ไม่มีใครอยากตอบ

จริงๆ มันมี 3D secure หรือ OTP หรือแม้แต่บังคับให้กดpin แต่ผู้ใช้ส่วนใหญ่ ไม่ชอบความยุ่งยาก มันเลยเกิดช่องสำหรับmerchantเจ้าใหญ่ๆที่ไม่ต้อง ยืนยันยุ่งยาก เพราะเขารับภาระความเสี่ยงเอง(เปิดdisputeง่ายกว่าเจ้าเล็กที่บังคับOTP)

ยังไม่นับว่าmerchantเอง ก็ไม่ได้มีกฎหมายบังคับอะไร บางเจ้าใช้หน้ากรอกเลขบัตรเครดิตแบบง่อยๆ ไม่ยอมส่งต่อไปpayment gatewayแต่แรก เพราะไม่มีกฎหมายบังคับโดยตรง ผิดกับฝั่งbank ที่มีข้อบังคับมากกว่า บังคับcompile pci dss เป็นพื้นฐานมีaudiotor มาตรวจประจำ (ถ้าข้อมูลหลุดผมให้น้ำหนักว่าหลุดจากฝั่งmerchant มากกว่า...)

อีกอย่างปัญหาส่วนใหญ่จริงๆมันเกิดจากระบบ debit card ไม่ใช่credit แม้จะเป็นpayment cad systemเหมือนกัน แต่ข้อกำหนด การกำกับดูแล รวมไปถึงกฎหมายต่างๆ มันsecure ยังต่างกันเยอะจริงๆครับ เอาแค่การติดตามเงินคืนก็เห็นๆว่าต่างแล้ว

จริงๆระบบมันก็upgrade security มากขึ้นเรื่อยๆ ตั้งแต่สมัยmagnetic tape จนมาเป็นchip สุดท้ายยังไงก็ต้องไป เพียงแต่จะมีตัวเร่งจากการhack หรือหลุดรั่วของข้อมูล หรือการกำกับดูแลจากภาครัฐต่างๆด้วยหรือเปล่า?

อย่างกฎหมายPDPAที่กำลังจะบังคับใช้(เมื่อไร?)ก็อาจจะช่วยได้ส่วนหนึ่งในการบังคับ เรื่องการเก็บข้อมูลsensitive ของฝั่งmerchant แต่จริงๆก็ไม่ได้เขียนชัดเจนเท่า pci dss ว่าต้องเก็บข้อมูลเข้ารหัสอย่างแข็งแรง และบังคับเปลี่ยนแปลงมาตรฐานตามรอบเวลาไม่ให้ตกยุคด้วย

Noblesse Thu, 21/10/2021 - 07:06

  1. เลข 16 หลักนี่มันมี Docs อยู่ ไปหาอ่านได้ครับ มันไม่ได้สุ่มทุกตัว
  2. MM/YY มันมีไม่กี่ชุดเองครับ อายุบัตรมันตายตัวอยู่แล้ว เดือนก็มีแค่ 12 เดือน

เข้าใจว่าเกลียด เข้าใจว่าโกรธ แต่ต้องมีสติ อย่าด้อยค่าตัวเอง

big50000 Thu, 21/10/2021 - 04:23

แสดงว่าไม่ได้ออกบัตรเกิน 1 ใบ ส่วนตัวเคยออกบัตรมา 4 ธนาคาร ทั้งหมดนั้นเลขคล้ายกันมาก

7 Thu, 21/10/2021 - 05:13

คิดเล่นๆเลยไม่รอบคอบเท่าไหร่ อย่างเช่น(MM/YY)มันต้องเป็นอนาคตเท่านั้น ย้อนหลังไม่ได้ และวนแค่ไม่กี่ตัว 12เดือน-ปีก็ไปข้างหน้าได้ไม่กี่ปี คุณจะเอาไปคูณแบบนั้นได้ไง(00-99/00-99) ความเป็นไปได้มันน้อยมาก

frameonthai Fri, 22/10/2021 - 14:49

งั้นผมตอบรวบยอดคอมเม้นของคุณ Noblesse, big50000, 7 ตรงนี้เลยล่ะกันนะครับ
อันนี้ผมขอโทษด้วยผมลืมคิดและลืมดูอะไรไปหลายๆ อย่าง
ถ้าอย่างนี้ความเป็นไปได้ที่จะสุ่มถูกก็สูงขึ้นมาก
แต่สุดท้ายก็ย้อนกลับไปข้อ 1 แหละครับ
ทำไมมันถึงมาเกิดขึ้นหนักๆ ในไทยตอนนี้ (ซึ่งอย่างที่คุณ lew บอก คือไม่มีใครรู้)

zerocool Thu, 21/10/2021 - 09:25

ถ้าไม่ต้องใช้ CVV แล้วทางธนาคารอนุมัติรายการซื้อขายนั้น ๆ ได้ด้วยเหรอครับ ? เว้นเสียแต่กรณีที่มีการอนุญาตผ่านช่องทางอื่นแล้ว เช่น การตัดเงินรายเดือนอัตโนมัติ (ซึ่งปกติก็ต้องขอ CVV ในครั้งแรกที่ทำรายการอยู่ดี)