การกรอกหมายเลขบัตรเครดิตบนเว็บไม่เข้ารหัสเป็นความเสี่ยงผู้ใช้ และเว็บรับบัตรเครดิตควรบังคับ HTTPS ได้แล้ว

By lew Founder on Tag: AIS, HTTPS
AIS

วันนี้มีประเด็นคุณชิงชัย ชาติมหาเจริญ (@oathth) แจ้งไปยังทาง AIS ว่ากำลังซื้อของจาก AIS Online Store แต่พบว่าเว็บไม่เข้ารหัส ทำให้เบราว์เซอร์ขึ้นเตือนว่าเว็บไม่ปลอดภัยจึงแจ้งทาง @AIS_Thailand ไปแต่ได้รับคำยืนยันว่าเว็บมีความปลอดภัย

ประเด็นเรื่องความปลอดภัยเว็บอาจจะเกินขอบเขตของเจ้าหน้าที่ที่ตอบปัญหาทั่วไปเสียหน่อย แต่เพื่อไม่ให้เกิดความสับสนจาก คงเตือนผู้อ่านทุกคนว่าการกรอกหมายเลขบัตรเครดิตบนเว็บเข้ารหัส เป็นมาตรการความปลอดภัย__ขั้นต่ำสุด__ในสมัยนี้แล้ว การพิมพ์ข้อความลงในเว็บ HTTP ที่ไม่เข้ารหัส ควรถือว่าทุกคนที่อยู่ระหว่างเราและเซิร์ฟเวอร์ (รวมถึงคนรอบตัวเราในกรณีใช้ Wi-Fi ไม่เข้ารหัส) จะสามารถอ่านข้อความได้ทุกคน เมื่อข้อมูลสำคัญเช่นนี้หลุดออกไป ความเสี่ยงจะตกกับตัวผู้ใช้ที่หมายเลขบัตรอาจจะถูกนำไปใช้งานโดยอาชญากร แม้โดยทั่วไปธนาคารจะปกป้องผู้ใช้ แต่การเดินเรื่องและการออกบัตรใหม่ก็เป็นความลำบากอยู่ดี

ตั้งแต่ Chrome 56 เป็นต้นมา ก็เริ่มมีการเตือนเมื่อผู้ใช้กรอกข้อมูลสำคัญ ว่ากำลังใช้เว็บที่ไม่ปลอดภัย

สำหรับ AIS Online Store ผมตรวจสอบดูพบว่าที่จริงแล้ว__เว็บสามารถใช้ HTTPS ได้ครบถ้วน__ดี แต่ไม่ได้บังคับใช้ในหน้ากรอกหมายเลขบัตรเครดิต สามารถเข้าได้ทั้ง https://store.ais.co.th/th/onepage/ และ http://store.ais.co.th/th/onepage/ แม้ว่า__ตัวฟอร์มจะโค้ดไว้ให้ส่งข้อมูลทาง HTTPS เสมอ__ก็ตาม แต่ก็ยังมีความเสี่ยงอยู่ในกรณีที่ข้อมูลเว็บถูกดัดแปลงแก้ไขระหว่างทาง

ผู้ใช้ที่ต้องการซื้อของทาง AIS Online Store มีทางเลือกที่จะใช้งานเว็บผ่าน HTTPS ตลอดเวลาด้วยการติดตั้ง KB SSL Enforcer

upic.me

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

ash_to_ash Tue, 23/05/2017 - 21:36

อันนี้ผมสอบถามนะครับอยากถามมานานละ
กรณีเช่นนี้ การใช้แท็บเว็บไม่ระบุตัวตนเช่น incogtino mode
หรือการใช้ โปรแกรม safe pay อย่างของ Bittdefender หรือ ของ Kaspersky
ช่วยลดความเสี่ยงในกรณีนี้ได้หรือไม่?

Hadakung Tue, 23/05/2017 - 21:46

incogtino mode มีไว้แค่ไม่บันทึกประวัติที่เราอยู่ในโหมดในเครื่องเท่านั้นครับ ไม่ได้ทำให้ปกปิดตัวตนหรืออะไรที่คล้ายๆกันทั้งสิ้น ส่วนพวก safe pay ก็มีฟีเจอร์พยามให้เราเข้าเว็บที่เข้ารหัสเสมอ และตรวจใบรับรองให้ครับ ถ้าคนที่มีความรู้ก็ไม่มีความจำเป็น แต่ก็เหมาะกับคนที่ไม่ค่อยรู้ แต่ก็ต้องระวังช่องโหว่อื่นๆจากตัวเบราเซอร์พวกนี้อีกทีครับ ดังนั้นศึกษาเรื่องพวกนี้ไว้สบายใจกว่า

sonkub Tue, 23/05/2017 - 21:47

ที่ว่ามามันเป็นเพียงวิธีป้องกันตัวเองเวลาใช้เครื่องคนอื่น
เพราะหากใช้ browser ของคนอื่น อาจจะถูกเก็บ auto collect, cookie, หรือข้อมูลอื่นๆที่กรอกบนหน้าเวป ถูกเก็บบันทึกลงเครื่องได้ (ไม่นับกรณีมี keylogger)

แต่ประเด็นของข่าวนี้คือ ข้อมูลที่จะถูกส่งออกไปยัง internet กว่าจะไปถึงปลายทางไม่รู้เลยว่ามันจะผ่านอะไรไปบ้าง เอาง่ายๆเลยถ้าผมเป็น network admin ผมต้องเก็บ log การใช้งาน internet ตามพรบ.อยู่แล้ว พอผมเปิด log ดูก็เห็นข้อมูลครบเลย เพราะมันไม่มีเข้ารหัสอะไรไว้เลย
ยังไม่รวมถึงโดนดักข้อมูลกลางทาง ซึ่งไม่ได้ยากอะไรเท่าไรเลย
และยังไม่รวมถึงปลายทางที่จะต้องเก็บข้อมูลไว้ ซึ่งเก็บเป็นข้อมูลที่ไม่ได้เข้ารหัส คนในจะดูข้อมูลก็ได้ และถ้าโดนเจาะฐานข้อมูลก็ไม่เหลือ เห็นหมด

Perl Tue, 23/05/2017 - 22:04

มี DTAC สมัยก่อนชำระผ่าน Portal ของแบงค์ได้
และก็มี AIS เจ้าเดียวที่ช่องทางการรับชำระห่วยสุด

ไปๆ มาๆ DTAC ยกเลิก Portal ซะงั้น แล้วก็เหลือช่องทางการชำระเท่า AIS
แทนที่จะเพิ่มช่องทางการจ่ายเงินให้ได้มากนี่สุด กลายเป็นว่าไม่มีใครสนเรื่องนี้เลย ทั้งที่เป็นปี 2017 แล้ว

notnull Tue, 23/05/2017 - 22:53

ผมไม่เคยกรอกตามเว็บต่างๆเลย ของเมืองนอกถ้าไม่มีไป paypal ก็ไม่ซื้อ(เว้นเว็บใหญ่จริงๆ พวก Amazon, Google, Appleฯ) เว็บไทยก็มองหา paypal ถ้าไม่มีก็โอนเงินหรือเก็บปลายทางเอา

-Rookies- Wed, 24/05/2017 - 00:18

ถ้าผมจำไม่ผิด TVDirect กับ iTruemart มั้งครับ ผมซื้อของครั้งเดียว ไม่ไปซื้ออีกเลย พี่แกเล่นไม่ถามอะไรเลย กรอกเสร็จกด submit ปุ๊บ ตัดบัตรเลย ไม่มี OTP ด้วย อย่างโหด (แต่จำไม่ได้ละว่า https มั้ย)

lancaster Wed, 24/05/2017 - 00:29

FYI จะบอกว่า OTP แบบพวก VBV/MSC นี่ไม่ได้เพิ่มความปลอดภัยให้ลูกค้านะครับ กลับกันเลยคือเพิ่มความปลอดภัยให้ร้านค้าว่าจะได้เงินแน่ๆเพราะลูกค้าจะปฏิเสธยอดไม่ได้

-Rookies- Wed, 24/05/2017 - 00:34

ยังไงครับ รบกวนขยายคาวมหน่อยครับ ตอนที่ผมใช้ ผมมีความรู้สึกว่า "เฮ้ย ถ้าบัตรตูหาย (หรือบังเอิญเจอบัตรใคร) งี้เข้าเว็บพวกนี้ รูดปรื้ด ๆ เจ้าของบัตรก้ไม่รู้ตัวเลยสิฟระ"

Ford AntiTrust Wed, 24/05/2017 - 00:48

การจ่ายผ่านกระบวนการพวก 3-D Secure (พวก Verified by VIS) มันมีขั้นตอนยืนยันตัวตนมากกว่าแค่ข้อมูลหน้าบัตรหรือรูปผ่านบัตรปรกติ ใช้ควบคู่กับพวก OTP, PIN หรือ Token ทำให้เราปฏิเสธจ่ายเงินไม่ได้ หรือยากกว่ามาก และร้านมักชอบการจ่ายแบบนี้ พวกตั๋วเครื่องบินที่ซื้อผ่านหน้าเว็บ มักยอมรับการจ่ายแบบนี้มากกว่าและมักไม่ตรวจบัตรเครดิตเพิ่มเติมเวลา check-in

Wang_Peter Wed, 24/05/2017 - 09:41

3DS มีไว้เพื่อปกป้องทั้งร้านค้าและลูกค้าครับ ได้ประโยชน์ทั้งสองฝ่าย
การที่จะมีหน้าเพจขอ OTP นั่นหมายความว่า ธนาคารผู้ออกบัตรและะนาคารผู้ให้บริการ Payment Gateway กับร้านค้านั้น มีระบบ 3DS เพื่อ Protect Fraud

หากขาใดขานึง ไม่มีระบบ 3DS ขานั้นจะต้องรับคววามเสี่ยงจากธุรกรรมนั้น
การที่หน้าเพจให้คุณกรอก OTP นั่นหมายความว่า ธนาคารเจ้าของบัตรได้ป้องกันคุณจากการถูกขโมยบัตร และร้านค้าก็ป้องกันตัวเองจากลูกค้าที่ขโมยบัตรคนอื่นมา แล้วโดนลูกค้าปฏิเสธการทำรายการในภายหลัง

ลูกค้าสามารถกรอก OTP ถูกต้องและทำรายการผ่าน
แสดงว่าลูกค้าเป็นตัวจริง และ ร้านค้าก็มั่นใจ

sirn Wed, 24/05/2017 - 10:17

3-D Secure มีประโยชน์แค่ฝั่งร้านค้าเท่านั้นครับ ทางฝั่งของเจ้าของบัตรมีแต่ข้อเสีย เพราะจะการเสียสิทธิ์ในการปฏิเสธรายการหนึ่งๆ ไปเมื่อการยืนยันตัวตนผ่าน 3-D Secure สำเร็จ ส่วนใหญ่มักจะเข้าใจผิดในข้อนี้กันว่ามีแล้วมันปลอดภัยกว่า เนื่องจากการใช้งาน OTP โดยทั่วไปเป็นการเพิ่มความปลอดภัยจริง เนื่องจากในกรณีเหล่านั้น OTP ถูกใช้มีโดยพื้นฐานว่าการยืนยันตัวตนปัจจัยที่สองจำเป็นต้องทำถึงสามารถทำธุรกรรมได้

แต่ในกรณีของบัตรเครดิต ถึงคุณจะยืนยันตัวตนผ่าน 3-D Secure สำเร็จในบริการหนึ่งๆ เลขบัตรเดียวกันยังจะสามารถนำไปใช้ในบริการที่ไม่ใช้งาน 3-D Secure ได้อยู่ดี ทำให้การยืนยันตัวตนดังกล่าวไม่ช่วยทำให้ปลอดภัยขึ้นสำหรับตัวผู้ใช้ ให้ยกตัวอย่างก็เหมือนกับเว็บหนึ่งสามารถให้เปิดใช้งาน 2-Factor Authentication ได้ แต่เวลาเข้าสู่ระบบ จะกรอกหรือไม่กรอกก็สามารถเข้าสู่ระบบได้ (ถึงแม้จะตั้ง 2FA ไว้) ถ้าหากถึงตรงนี้คิดว่าแล้วจะให้เซ็ท 2FA ไปทำไม นั่นคือหลักการเดียวกันกับ 3-D Secure ครับ

sirn Thu, 25/05/2017 - 10:55

ไม่ใช่ตัวอย่างซะทีเดียว แต่อธิบายวิธีการทำงานแบบละเอียดๆ ให้ฟังครับ

ก่อนอื่นต้องเข้าใจนิดนึงว่า 3-D Secure มันเป็นขั้นตอนเพิ่มเติมก่อนการกันวงเงินบัตรปกติ โดยวิธีการทำงานของมันเป็นการส่งเลขบัตรไปคุยกับ MPI (Merchant Plug-In) เพื่อเอา payload ชุดหนึ่งที่ต้องส่งแนบไปกับขั้นตอนการกันวงเงิน (UCAF/CAVV) ขั้นตอนนี้เรียกว่า Payer Authentication

เมื่อได้ payload ดังกล่าวมาแล้ว ขั้นตอนต่อไปคือการกันวงเงิน ซึ่งทำเหมือนปกติทุกอย่าง คือส่งเลขบัตรและจำนวนที่จะกันวงเงินไปยังธนาคารที่รับชำระ โดยมีข้อแตกต่างเพียงแค่เพิ่ม payload ที่ว่านี้ขึ้นมา นั่นหมายถึงในด้านตัวระบบ ขั้นตอนการชำระไม่ได้ปลอดภัยขึ้นเลยสำหรับเจ้าของบัตร ร้านค้าหรือผู้ให้บริการรับชำระยังจำเป็นต้องมีการเก็บเลขบัตร 16 หลัก ดังนั้นหมายความว่าเลขบัตรยังสามารถหลุดได้หากระบบโดนเจาะหรือไม่ปลอดภัยพอ

และมันก็เข้าไปยังเรื่องที่ชี้แจงข้างบนว่า ขั้นตอน 3-D Secure นี้เป็น optional คือจะส่ง payload ไปตอนกันวงเงินหรือไม่ก็ได้ ทำให้ในกรณีที่เลขบัตรหลุดไม่ว่าจาก party ใดๆ เลขบัตรนั้นๆ ก็ยังจะสามารถนำไปใช้ในร้านค้าที่ไม่มีการใช้ 3-D Secure ได้อยู่ดี ซึ่งผลมันก็คือไม่ได้ทำให้เจ้าของบัตรปลอดภัยขึ้น มีผลดีเฉพาะฝั่งร้านค้าเพราะผู้ซี้อปฏิเสธรายการไม่ได้

ตัวอย่างของเคสที่ใช้ 3-D Secure แล้วต้องการปฏิเสธรายการก็เช่น ลูกขโมยบัตรแม่ไปซื้อบัตรเกม มือถือส่วนมากเวลา SMS เข้ามันก็แสดงให้เลยแม้เครื่องจะล็อคอยู่ และเนื่องจากการซื้อบัตรเกมครั้งนั้นใช้ 3-D Secure จึงไม่สามารถปฏิเสธรายการนั้นๆ ได้

ในกรณีของบัตรเครดิต การปฏิเสธรายการเป็นปัญหาของผู้รับชำระกับร้านค้า ร้านค้ามีหน้าที่ในการหาหลักฐานว่าผู้ใช้บริการเป็นเจ้าของบัตรตัวจริง ซึ่งเกณฑ์การตัดสินใจเข้มงวดมาก การใช้ 3-D Secure จะเปลี่ยนให้กลายเป็นปัญหาของบริษัทผู้ออกบัตรกับเจ้าของบัตรไปครับ

ส่วนกรณีของการกรอกบัตรที่อยู่ภายใต้เว็บไซต์ของผู้ให้บริการที่น่าเชือถือ (hosted payment page) อันนี้ปลอดภัยกว่าจริง แต่เป็นคนละเรื่องกับ 3-D Secure (แม้ผู้ให้บริการในลักษณะนี้จะเปิดใช้ 3-D Secure ตลอดก็ตามที) แต่ในแง่ความปลอดภัย การกรอกบัตรในลักษณะนี้ไม่ต่างจากการใช้ iframe ที่บริการรับชำระที่ออกแบบเพื่อแยกขอบเขตรับผิดชอบของร้านค้าก็ใช้อยู่เสียเท่าไหร่ (อาจจะดูยากนิดนึง และต้องอาศัยการ audit ที่ฝั่งผู้รับชำระเล็กน้อยด้วย)

ข้อมูลเปิดเผย: เคยดูแลในส่วนนี้ในบริษัทรับชำระมาก่อน ตอนนี้ออกมาแล้วครับ

paween_a Fri, 26/05/2017 - 16:54

มีคำถามครับว่าถ้าเว็บนั้นบังคับใช้ 3-D Secure เราจะจ่ายเงินด้วยบัตรที่ไม่ได้ลงทะเบียนไม่ได้เลยใช่ไหมครับ?

sirn Fri, 26/05/2017 - 17:12

แล้วแต่ร้านค้าหรือบริการรับบัตรเครดิตที่ใช้ครับ เวลาส่งเลขบัตรที่ไม่ได้ลงทะเบียนไปให้ MPI มันจะทำการคืนค่ามาชุดหนึ่ง บอกถึงสถานะของบัตรและสถานะว่าความรับผิดชอบตกอยู่กับใคร (ร้านค้าหรือธนาคารผู้ออกบัตร) ตรงนี้ร้านค้าหรือบริการรับบัตรฯ สามารถตัดสินใจได้ว่าจะดำเนินการกันวงเงินต่อหรือไม่

-Rookies- Thu, 25/05/2017 - 11:52

ขอบคุณสำหรับคำอธิบายของทุกท่านนะครับ

แต่ผมขอเห็นแย้งขึ้นนิดนึง ผมว่ามี OTP มันก็ปลอดภัยขึ้นนะครับ แต่อาจจะต้องใช้คำว่าปลอดภัยขึ้นนิดนึง (เพราะแฮกเกอร์ต้องไปแฮก SMS หรือ email ด้วย) แต่ในแง่การทวงเงินคืนกรณีถูกแฮกไปได้ ไม่ว่ากรณีใด กลับส่งผลเสียต่อผู้ใช้ เพราะถือว่าโดนยืนยันตัวตนไปแล้ว

ผมเข้าใจถูกมั้ยครับ?

hisoft Thu, 25/05/2017 - 12:28

แต่ผมขอเห็นแย้งขึ้นนิดนึง ผมว่ามี OTP มันก็ปลอดภัยขึ้นนะครับ

ประเด็นคือมันปลอดภัยแค่เว็บนั้นๆ ครับ แต่มันมีเว็บอีกมากมายที่ซื้อได้โดยไม่ต้องใช้ OTP ซึ่งข้อมูลเราก็หลุดไปได้จากเว็บที่ต้องใช้ OTP นั่นแหละครับ แฮกเกอร์ก็ไม่จำเป็นต้องมาแฮกเมลแฮกมือถือเราครับแค่ไปจ่ายกับเว็บที่ไม่ต้องใช้ OTP ก็พอ

jj1977 Tue, 23/05/2017 - 21:50

คนที่มาตอบ tweet คงไม่มีความรู้ด้าน security สักเท่าไหร่
เขาบอกมาว่าปลอดภัยก็ตอบไปตามนั้น

Fourpoint Tue, 23/05/2017 - 23:16

บางอย่างก็ต้องทำความเข้าใจว่า cc คงไม่เข้าใจล่ะครับ

ผมเองเคยเจอssl certificate บนเวบ ACS ของบัตรเครดิตธนาคารเจ้านึงหมดอายุ ทำให้รับ OTP ตอนซื้อ ของonline ไม่ได้(ต้องเปลี่ยนไปใช้บัตรเจ้าอื่นแทน) แจ้งทาง call center ก็รับเรื่องแบบงงๆ แต่รออีกวันกว่าๆก็หาย

Be1con Wed, 24/05/2017 - 01:45

  • ทำ e-commerce แล้วตัวเว็บไม่เข้ารหัส
  • เก็บข้อมูลลูกค้าไว้ในเว็บ แล้วเชื่อม payment gateway ตอน checkout (ซึ่งถ้าไม่ได้เข้ารหัสอะไร ข้อมูลทุกอย่างก็เปิดเผยออกมาได้ง่าย มี OTP ก็ไม่ช่วยอะไร)
  • เว็บฯ โดนแฮ็ก
  • แฮ็กเกอร์เอาบัครเครดิตไปรูดใช้
  • มีคนออกมาเรียกร้องความเสียหาย แต่ทางเว็บฯ ก็ปัดความรับผิดชอบ, payment gateway ระงับการเชื่อมต่อ แต่บริษัทก็หาทางให้เปิดอีกรอบได้
  • จนโดนฟ้องครับ

Cyan Sat, 28/10/2017 - 01:02

น่ากลัวเหมือนกันแฮะ จริงๆ ก็ซื้อของออนไลน์บ่อย แล้วก็จ่ายเงินผ่านบัตรเครดิตทุกครั้งเลย แต่ไม่เคยสังเกตเลยว่ามี HTTPS รึเปล่า ชักกังวลเหมือนกันแล้วนะเนี่ย