ธนาคารกสิกรไทยชี้แจงการโจรกรรมไม่ได้เป็นที่ระบบรักษาความปลอดภัยธนาคาร

By lew Founder on Tag: Kasikorn Bank, Thailand
Kasikorn Bank

หลังจากเมื่อวานมีข่าวพ่อค้าถูกขโมยเงินจากบริกาธนาคารออนไลน์ ผมติดต่อทางธนาคารกสิกรไทยไปเมื่อสอบถามข้อมูลในประเด็นนี้ และได้รับคำชี้แจงเพิ่มเติม โดยระบุว่าจุดโหว่ของการโจรกรรมครั้งนี้มาจากการออกซิมการ์ดเพื่อรับหมายเลข OTP ทำให้สามารถทำธุรกรรมได้ และนอกจากนี้คนร้ายยังเข้าถึงอีเมลของผู้เสียหายได้ทำให้จนนำไปสู่การเข้าถึงบัญชี K-Cyber ได้ในที่สุด

ทางธนาคารแนะนำให้ลูกค้ารักษาข้อมูลความลับ โดยเฉพาะ ชื่อล็อกอิน และรหัสผ่านของบัญชี และไม่มอบเอกสารข้อมูลส่วนตัวให้กับผู้อื่นโดยง่าย

จากการพูดคุยกับทางฝ่ายสื่อสารของธนาคารได้แจ้งผมว่าตอนนี้ทางธนาคารปรับมาตรการความปลอดภัยเพื่อไม่ให้มีกรณีแบบนี้อีกแล้ว อย่างไรก็ดี รายละเอียดกรณีนี้มีข้อมูลเฉพาะของลูกค้าที่ไม่สามารถเปิดเผยได้ และยังมีความเสี่ยงที่จะเป็นการเปิดทางให้อาชญากรรายอื่นเลียนแบบ

ที่มา - แถลงการณ์จากธนาคารกสิกรไทย

นายอดิศวร์ หลายชูไทย รองกรรมการผู้จัดการอาวุโส ธนาคารกสิกรไทย ได้ชี้แจงกรณีมีข่าวเกี่ยวกับลูกค้าถูกทุจริตผ่านบริการเค-ไซเบอร์ แบงกิง จนมีความเสียหายเกิดขึ้นว่า ธนาคารไม่ได้นิ่งนอนใจในการติดตามผู้ทุจริตและดูแลลูกค้าอย่างเต็มที่ โดยที่ผ่านมาได้มีการพูดคุยกับผู้เสียหายแล้ว

สำหรับปัญหาการให้บริการเค-ไซเบอร์ แบงกิง ที่เกิดขึ้นในกรณีนี้ ขอยืนยันว่าไม่ได้เป็นการโจรกรรมระบบรักษาความปลอดภัยของธนาคารแต่อย่างใด ในเบื้องต้นทราบว่ามีสาเหตุมาจาก ผู้ทุจริตนำข้อมูลส่วนตัวของลูกค้าของเคไซเบอร์ไปขอออกซิมการ์ดโทรศัพท์มือถือใหม่ที่ศูนย์บริการเครือข่ายโทรศัพท์มือถือ เพื่อรอรับข้อความเอสเอ็มเอสที่เป็นโอทีพี หรือรหัสผ่านที่ใช้ครั้งเดียว ในการใช้เบิกถอนหรือโอนเงิน จนทำให้มีความเสียหายเกิดขึ้น

ส่วนแนวทางในการป้องกันปัญหาการทุจริตต่างๆ ธนาคารกสิกรไทยขอแนะนำให้ลูกค้ารักษาข้อมูลที่เป็นความลับ ไม่ว่าจะเป็น ชื่อในการใช้ลงทะเบียน ยูสเซอร์ ไอดี, รหัสผ่าน หรือล็อกอิน พาสเวิร์ด ในการเข้าใช้บริการ รวมไปถึงไม่มอบเอกสารสำคัญส่วนตัวให้กับบุคคลที่ไม่รู้จัก เพื่อป้องกันการแอบอ้างโดยกลุ่มผู้ไม่ประสงค์ดี ก็จะสามารถช่วยป้องกันปัญหาไม่ให้เกิดขึ้นได้

อย่างไรก็ตาม ธนาคารพร้อมจะนำเรื่องดังกล่าวมาพิจารณาตามข้อเท็จจริง และหากพบว่า เป็นความบกพร่องของระบบของธนาคาร ทางธนาคารยินดีจะช่วยเหลือชดเชยความเสียหายให้แก่ลูกค้าตามนโยบายของธนาคารแห่งประเทศไทย

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

Holy Thu, 11/08/2016 - 13:09

  • นอกจากนี้คนร้ายยังเข้าถึงอีเมลของผู้เสียหายได้ทำให้จนนำไปสู่การเข้าถึงบัญชี K-Cyber ได้ในที่สุด

เปลี่ยนผ่านอีเมล์รึเปล่าครับ

rattananen Thu, 11/08/2016 - 14:52

หลังจากนั้น คนร้ายก็โทรไปที่ธนาคารกสิกรไทย ขอเปลี่ยนรหัสโอนเงินบัญชีของนายพันธุ์สุธี

จากข่าวเก่าครับ

Holy Thu, 11/08/2016 - 13:08

ตกลงว่าถ้าเป็นแบบนี้จริงก็ไม่ได้เป็นความผิดธนาคารสิครับ ได้ทั้งอีเมล์ทั้งเบอร์ไป กด Reset Password รหัสผ่าน Internet Banking ก็พอแล้ว

ฝั่งทรูล่ะ....

ketting Thu, 11/08/2016 - 13:51

เมื่อก่อนผมก็กล้วแบบนี้ครับ มียอดเงินเกิน 2000 ผมรีบถอนออก แต่ผมใช้มาตั้งแต่ปี 2008 จนป่านนี้ยังไม่อะไรเกิดขึ้นก็เลยปล่อยมันเกินล้านแล้ว

llerickll Thu, 11/08/2016 - 14:32

ผมใช้ของ K-Cyber banking อยู่ครับ

บริการ K-Secure ใช้แทน SMS-OTP

K-Secure นี้จะคล้ายๆกับ Google Authenticator และของ FB (2-step verification) ครับ

โดยแอพ K-Secure จะ generate OTP ออกมา ไม่ต้องต่อ 3G แต่อย่างใด

คาดว่าคงอ้างอิงกับเวลามั้งนะครับ

lew Thu, 11/08/2016 - 14:55

ไม่ครับ ถ้า implement อย่างถูกต้องและข้อความลับถูกรักษาอย่างถูกต้อง กระบวนการนี้มีใช้งานเป็นเรื่องปกติ

อ่านบทความเก่าทำความเข้าใจการทำงานได้

Ford AntiTrust Thu, 11/08/2016 - 15:06

มันมี RFC หมายเลข 6238 และ 4226 เป็นเหมือนสเปคในการ implement อ้างอิงอยู่นะครับ

6238 - TOTP: Time-Based One-Time Password Algorithm https://tools.ietf.org/html/rfc6238

4226 - HOTP: An HMAC-Based One-Time Password Algorithm
https://tools.ietf.org/html/rfc4226

Google Authenticator ก็ใช้ RFC ข้างต้นในการนำมาใช้เช่นกัน และบริการต่างๆ ที่ใช้ Authenticator ก็มักจะใช้พวกนี้เหมือนกัน ขอแค่อยากให้ private key หลุดก็พอ

crisis_xiii Thu, 11/08/2016 - 13:35

ถ้าสังเกตกันนะครับ การโจรกรรมจาก interenet banking มักเกิดจากคนใกล้ตัว และเป็นความประมาทเลินเล่อของเจ้าของเองซะเป็นส่วนใหญ่ ทำให้ข้อมูลส่วนตัวบางอย่างถูกขโมยและทำให้เกิดปัญหาแบบนี้ขึ้น

ระบบ security ธนาคารพยายามทำทุกวิถีทางแล้วที่จะพัฒนาให้มันปลอดภัยที่สุด แต่ความปลอดภัยที่มากไปก็ไม่มีความสะดวกสบาย และจะเป็นผลเสียต่อลูกค้าแทน เช่น Token เนี่ย สำหรับบริษัทอาจจะเป็นเรื่องปรกติ แต่จะให้รายย่อยมาถือ token แทน OTP คงไม่มีใครสนใจ และ Token เองก็มีค่าใช้จ่ายที่ผู้บริโภคไม่ต้องการด้วย

คนเราถ้ามันตั้งใจจะโกง มันก็หาวิธีโกงได้หมดแหละครับ เจ้าของเงินต้องระมัดระวังข้อมูลตัวเองด้วย

sizeM Thu, 11/08/2016 - 14:36

โอนเงินโดยใชช่องทางออนไลน์ของธนาคารโอนเงิน
แสดงว่าก็ต้อองรู้ user และ password น่ะสิ
หรือว่า น่าจะรู้อีเมล แล้วรีเช็ตรหัสเมล ด้วยเบอร์ที่ผูกกับเมล
จากนั้นก็ไปรีเซ็ตพาสใน K-Cyber

put4558350 Thu, 11/08/2016 - 17:24

น่าจะเป็นอย่างนี้ครับ (ผมไม่เคยไช้ k bank)

  • ติดต่อซื้อของผ่าน e-mail & เบอร์โทร์ อาจได้เลขบัญชีจากหน้าเวปด้วย
  • ขอสำเนาบัตรประชาชน (โดยอ้างว่าจะซื้อของ)
  • เอาเบอร์โทร์และสำเนาบัตรประชาชนไปขอ sim ใหม่
  • กด Password ผิด 3-5 ครั้งให้ระบบ Lock
  • โทร์ Call Center ขอปลดล็อกรหัส ไช้ข้อมูลส่วนตัวจาก สำเนาบัตรประชาชน
  • รีเช็ตรหัสผ่าน อาจรับรหัสด้วย sim ใหม่
  • โอนเงินออกด้วย sim ใหม่ + รหัสผ่านใหม่

sMaliHug Thu, 11/08/2016 - 15:10

ผมว่าเพราะเชื่อมั่นระบบ OTP มากเกินไป
ที่เข้าถึงอีเมล์ได้ คิดว่า ก็คงเพราะ รีเซ็ต Password อีเมล์ผ่าน OTP เหมือนกัน
พอมีทั้ง SIM และ อีเมล์ ทีนี้ก็ Reset รหัสอื่นๆได้สบาย

wasupak Thu, 11/08/2016 - 16:25

แต่ก่อนผมลืม password e-banking ของ bbl callcenter ก็ไม่ reset ให้นะครับ
ให้ทำผ่านเครื่อง ATM หรือติดต่อตรงที่ธนาคาร ผมก็ไป reset ผ่าน ATM แทน
ปัจจุบันไม่แน่ใจ

ถ้า reset ผ่าน callcenter ได้ก็คิดว่าเสี่ยงอยู่เหมือนกันนะ ถ้ามีข้อมูลหน้าบัตรครบแล้ว ไม่รู้ว่าถามอะไรบ้าง

thanyadol Thu, 11/08/2016 - 16:30

มันน่าจะมีฝ่ายใดฝ่ายหนึ่งให้ข้อมูลไม่หมด เช่น

  • User k-cyber banking เอามาจากไหน (ใช้เบอร์โทรไปขอจาก ธนาคารโดยบอกเลขบัญชี ?)

จากข้อความ "นอกจากนี้คนร้ายยังเข้าถึงอีเมลของผู้เสียหายได้" (ตรงนี้ได้มายังงัย ทั้ง Password Username ? รู้ Username จากเหยื่อ แล้วขอ Reset Password ผ่านเบอร์เดิมซิมไหม่ ที่ทรูออกให้ ?)

  • ทรูผิดตรงที่ออกซิมไหม่เบอร์เดิมโดยไม่ตรวจสอบข้อมูลให้เพียงพอ (สำเนาปิดเลขบัตรประชาชนอีกต่างหาก แต่อาจเปิดวันเกิดไว้ ?)
  • เหยื่อพลาด ? (ตรงนี้ผมเดาไม่ออกว่าเหยื่อพลาดตรงไหน)
  • ธนาคาร อาจจะไม่ผิดเนื่องจากมีการอ้างว่าคนร้ายเข้าถึงบัญชี อีเมลของเหยื่อได้ จนนำไปสู่การเข้าถึง บัญชี K cyber banking

guyshiny Thu, 11/08/2016 - 17:25

แอฟ k mobile ไม่จำเป็นต้องรู้ user pass อะไรเลย ตอนเปลี่ยนเครื่อง แค่ใช้เน็ตจากมือถือเบอร์เดิม ตอนเข้าใช้แค่มี เลขที่บัญชี กับรหัสปชช แค่รู้รหัสพิน 6 หลัก ก็คือจบเข้าใช้งานได้เลย เหมือนโจรโทรไปรีเซ็ทรหัสพินตรงนี้หรือเปล่า คือมีข้อมูลหมด ทั้งเลขที่บัญชี จากที่แสดงให้โอนเงิน ทั้งสำเนาบัตรปชช ที่ใช้อ้างอิงเวลาซื้อขายของ น่าจะโดนจากตรงนี้ไหม ?

Bigkung Thu, 11/08/2016 - 20:19

คือมันจะจับคู่ซิมกับเครื่อง ถ้าเปลี่ยนเครื่องถึงจะใช้ซิมเดิมก็ต้องสมัครใหม่ที่ตู้ ATM ครับ ผมโดนมาแล้วอันนี้ ตอนเปลี่ยนจาก iPad รุ่นที่ 3 ไปเป็น iPad Pro 9.7"ครับ เพราะฉะนั้นต้องมีบัตร ATM แล้วโจรต้องสมัครใหม่ที่ตู้ ATM อยู่ดีครับ สำหรับ K cyber mobile

ส่วน K cyber banking จะเข้าไปได้ต้องเข้าถึง Email ที่ผูกกับ user นั้นๆได้ครับ ประมาณว่าถ้าเข้าถึง Email ของผู้ใช้ได้ แถมมีซิมที่เป็นเบอร์ที่ผูกไว้กับ email หลักและบัญชีธนาคารของเจ้าของตัวจริง ก็จะมีโอกาศโดนสอยครับ ซึ่งเอาจริงๆระบบที่ใช้ user กับ password มันก็ใช้กับทุกธนาคารนั้นหล่ะ ถ้า email โดนแฮ็คแถมโดนขโมยเบอร์โทรยังไงก็เสร็จครับ ผมเลยให้ความสำคัญกับเบอร์ต้องไม่ถูกปล้นไปมากกว่า เพราะขนาดเบอร์โทรศัพย์ยังผูกกับ email เลย ไว้รับ OTP ในการเข้าใช้งาน ผมคาดว่า พ่อค้าท่านนี้คงไม่ได้ใช้ 2 factor authentication และ OTP ด้วยมั้งครับถ้า password เป็นแบบง่ายๆอีกก็จบ เพราะจะเหลือแค่ว่า จะรู้ password email ได้ยังไงแค่นั้นเอง ได้มาก็ขอกู้รหัสผ่านได้ทุกอย่างที่ email นี้ผูกไว้ ยิงมีเบอร์โทรไว้รับ sms ด้วยจะแทบไม่เจอปัญหาเลย

xestz Thu, 11/08/2016 - 21:24

มายืนยันครับ เดี๋ยวนี้ถ้าเปลี่ยนเครื่องใหม่แค่กรอกเลขบัญชีกับบัตรปชช (กี่หลักผมจำไม่ได้) ในแอพก็ได้แล้วครับ

Bigkung Thu, 11/08/2016 - 21:43

ง่างั้นผมยอมแระ ตอนผมย้ายจากเครื่องเก่าไปเครื่องใหม่ตอนกลางเดือน 6 ของปีนี้ครับ ตอนนั้นวุ่นวายกับพนักงานที่สาขาพอดูฮ่าๆๆโทรหาส่วนกลางด้วยเพราะผมลืมวิธีการสมัครไปแล้ว เพราะใช้ iPad เลยต้องบอกเขาว่ามันรับ OTP ไม่ได้ ทั้งตัวตัว App ตอนสมัครไม่จำเป็นต้องใช้ OTP หน้าแหกเลยครับตอนนั้น เลยจำได้ว่าตอนนั้นขั้นตอนยุ่งยากสุดๆ

somphong.s Thu, 11/08/2016 - 18:15

ธุรกิจการเงิน ที่ เข้มงวดเรื่อง ความปลอดภัยของเงิน/ข้อมูล ลูกค้า
ดัน ไว้วางใจ ระบบงานธรุการ ของ บริษัทมือถือ

ก็ไม่รู้จะ เรียกกว่า ห่วย แย่ เลอะเทอะ กระจอก หรือ อะไรดี

joecole Fri, 19/08/2016 - 16:57

KBank พยายามแก้ตัวว่า ระบบตัวเองไม่ได้ถูก hack
แต่จริงๆ การที่มีคนโทรมาหลอก ก็เป็นการ hack ชนิดหนึ่งครับ
เขาเรียกว่า social engineering

เพราะฉะนั้น KBank จะปัดความรับผิดชอบไม่ได้เลย

lancaster Sat, 20/08/2016 - 03:30

ยืนยันครับว่าแอพ k-mobile ตอนนี้ เวลาเปลี่ยนมือถือใหม่ (พอดีเพิ่งเปลี่ยนเมื่อ 5 วันก่อน) ขอแค่เปิดแอพด้วยเน็ตจากมือถือเบอร์เดิม กรอกข้อมูล 3 อย่าง

  1. เลขบัตรประชาชน (หายากตรงไหน)
  2. เลขบัญชี (ใครๆก็รู้)
  3. PIN 6 หลัก (ตามข่าวคือ โจรโทรไปรีเซ็ตกับธนาคารได้)

ก็สามารถใช้งาน k-mobile ได้เต็มรูปแบบแล้วครับ เข้าถึงได้ทุกบัญชีที่ผูกไว้กับ k-mobile เลยด้วย

ZeaBiscuit Mon, 22/08/2016 - 08:17

ผมคุ้นๆว่าไม่ใช้ซิมเบอร์เดิม แต่เป็น "ซิมอันเดิม" นะครับ

เพราะเคยมีครั้งที่ซิมเสีย ผมไปออกซิมใหม่เบอร์เดิม ผมต้อง Activate ตัว K-Mobile ใหม่ ผ่านตู้เอทีเอ็ม

แต่นั้นก็นานมาแล้วนะครับ ไม่รู้ตอนนี้เปลี่ยนไปอีกหรือเปล่า