[Editorial] บทเรียนจากนโยบายเปลี่ยนบัตร ATM เป็นชิป มาช้าจนมีคนตกเป็นเหยื่อจำนวนมาก บัตรตกค้างนับล้านใบ

By: lew

on 15 January 2020 - 17:05 Tags:

Topics:

Editorial

Blognone

วันนี้เป็นวันสุดท้ายก่อนการยกเลิกบัตรเอทีเอ็มแบบแม่เหล็กในประเทศไทย หลังจากธนาคารแห่งประเทศไทยเริ่มบังคับธนาคารทุกแห่งต้องให้บริการบัตรชิปมาตั้งแต่ปี 2016 นับเป็นการอัพเกรดเทคโนโลยีความปลอดภัยครั้งใหญ่ที่สุดครั้งหนึ่งในประเทศไทย แม้จะเป็นเรื่องน่ายินดีที่มีการปรับปรุงและจะไม่มีใครเป็นเหยื่อที่ต้องสูญเสียเงิน (อย่างน้อยก็ช่วงเวลาหนึ่ง) ให้กับอาชญากรอีก แต่เราไม่ควรลืมว่าการเปลี่ยนแปลงครั้งนี้เกิดขึ้นหลังมีประชาชนตกเป็นเหยื่อจำนวนมาก, กระบวนการเปลี่ยนผ่านใช้เวลาหลายปี, และในวันนี้เองก็ยังมีบัตรที่ยังไม่ได้เปลี่ยนอีกนับล้านใบ

บัตรแม่เหล็กเป็นเครื่องมือสำหรับยืนยันตัวตนผู้ใช้แบบพิสูจน์จากสิ่งที่ผู้ใช้มี (something you have) โดยที่มาตรฐานการให้บริการ ATM นั้นคือการยืนยันตัวตนสองชั้น คือบัตรร่วมกับรหัสผ่านสี่ตัว แต่ตัวบัตรแม่เหล็กเองเป็นเทคโนโลยีเก่า 50 ปีแล้ว การใช้ยืนยันว่าเป็นสิ่งที่ผู้ใช้มีแทบไม่มีผลในข่วงสิบกว่าปีที่ผ่านมา แต่การขาดการกำกับดูแลทิศทางที่ชัดเจนก็ทำให้ธนาคารในประเทศไทยใช้บัตรแม่เหล็กเป็นวงกว้างโดยไม่มีการเปลี่ยนผ่าน

No Description

ในห้วงสิบปีที่ผ่านมา มีผู้คนตกเป็นเหยื่อของการทำสำเนาบัตรแม่เหล็กจำนวนมาก ตั้งแต่บัตรเครดิตไปจนถึง skimmer ที่ติดตั้งบนตู้เอทีเอ็ม แม้เหยื่อทั้งหมดจะได้เงินคืน แต่แต่ละคนก็ต้องฝ่าฟันกระบวนการของแต่ละธนาคารด้วยตัวเอง หากเป็นคนที่มีความลำบากทางการเงินอยู่แล้ว การตกเป็นเหยื่อเหตุเหล่านี้สร้างความเสียหายได้ร้ายแรงจากการขาดเงินหมุนเวียน แม้เราจะเห็นข่าวอยู่เป็นระยะ แต่เรากลับไม่เคยเห็นการเปิดเผยจำนวนตัวเลขผู้เสียหายหรือการประเมินประสิทธิภาพว่าธนาคารสามารถจัดการปัญหาได้เร็วแค่ไหน แม้ธนาคารจะมีการแจ้งเตือนกันเองว่ามีตู้เอทีเอ็มถูกโจมตีแต่ก็ไม่เปิดเผยให้คนภายนอกรู้ถึงระดับอันตรายที่เพิ่มขึ้น มีเพียงเอกสารหลุดออกมาเป็นครั้งคราวเท่านั้น

การที่ธนาคารแห่งประเทศไทยสนับสนุนสังคมไร้เงินสดอย่างเต็มที่ในช่วงหลายปีที่ผ่านมา และประสบความสำเร็จค่อนข้างดี ความสำเร็จนี้จะทำให้ช่องโหว่ความปลอดภัยในอนาคตสร้างความเสียหายเป็นวงกว้างได้มากกว่าเดิมเสียอีก หากยังขาดกระบวนการกำกับดูแลอย่างเป็นรูปธรรม มีการเปลี่ยนผ่านที่ชักช้าไม่ทันการเหมือนการเลิกใช้บัตรแม่เหล็กครั้งนี้

มีการเปลี่ยนผ่านอีกมาก ที่รอการกำหนดแนวทาง หลังจากที่ปลายปีที่แล้วมีการกำหนดห้ามเครื่องที่ root หรือ jailbreak ใช้งาน หรือจำกัดการใช้ระบบปฎิบัติการเก่า คำถามในวงการอีกจำนวนมาก เช่น การใช้ SMS เพื่อยืนยันตัวตนถือว่าปลอดภัยพอหรือ หลังจาก NIST ระบุว่าไม่ปลอดภัยพอ และธนาคารควรเสนอทางเลือกอื่นให้ผู้ใช้ได้หรือยัง, กระบวนการตรวจสอบการฉ้อโกงของธนาคารในประเทศไทยล่าช้าเกินไปหรือไม่ หลังจากมีเหตุผู้ใช้ถูกขโมยข้อมูลบัตรหลายครั้ง แต่ call center บางธนาคารแทบติดต่อไม่ได้ กระบวนการแก้ไขใช้เวลานานนับเดือนไม่มีการติดต่อกลับภายใน 7 วันอย่างที่ธนาคารแห่งประเทศไทยประกาศไว้ หรือการแจ้งเตือนการใช้งานยังไม่ครอบคลุมทุกบริการ

หรือเราต้องรอให้มีผู้เสียหายเป็นวงกว้างอีกหลายๆ รอบแล้วจึงมีมาตรการแบบครั้งนี้

Hiring! บริษัทที่น่าสนใจ

FlowAccount Co., Ltd.

FlowAccount.com ระบบบัญชีออนไลน์ผ่านระบบคลาวด์ ออกแบบมาเพื่อเจ้าของธุรกิจยุคใหม่

Band Protocol 🔥

Band is a protocol for managing and governing data in the Web3 technology stack.

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

Comments

By: rattananen

on 15 January 2020 - 17:25 #1143976

"วัวหายล้อมคอก อย่างมั่งคง ยั่งยืน" คติประจำใจทุกหน่วยงานในประเทศไทย

By: Hoo

on 15 January 2020 - 17:52 #1143982

พื้นฐานความคิดต่อปัญหาของคนไทยเรา มักจะอยู่ในรูปแบบ
หาว่า "ตีตนก่อนไข้" ถ้าออกมาตรการเร็วไป

ต้องรอให้มันเสียหายชัดเจนเป็นวงกว้างก่อน จึงค่อยออกมาตรการออกมา
พร้อมเสียงด่าว่า "วัวหายล้อมคอก"
...?

By: tae_taeez

on 16 January 2020 - 09:32 #1144086 Reply to:1143982

+1 เห็นด้วยเลยครับ

By: sirabhat24

on 18 January 2020 - 07:52 #1144410 Reply to:1143982

+100

By: mrKaqz

on 15 January 2020 - 18:02 #1143984

อยากให้ต่อด้วยบัตรเครดิตด้วย Chip and PIN ต่อเลยได้มั้ยครับ

By: Neroroms

on 15 January 2020 - 19:25 #1143999 Reply to:1143984

อาจจะต้องเป็น Chip and Dale มีสองพี่น้องไปก่อนซักพักแหละท่าน

By: osmiumwo1f

on 15 January 2020 - 22:27 #1144031 Reply to:1143999

Chip & fish ก็อร่อยดีนะ ถ้ากินกับ sour creame ครับ

By: atmas

on 15 January 2020 - 20:27 #1144010 Reply to:1143984

ขอความรู้ได้ไหมครับว่าตอนนี้คือใช้อะไรอยู่ ต่างจากชิพที่ใช้ๆ กันยังไงบ้าง

[S]

By: osmiumwo1f

on 15 January 2020 - 21:18 #1144021 Reply to:1144010

ปกติตอนรูดบัตรในไทยจะใช้ Chip & Signature เอา (บัตรกับลายเซ็นต์) ส่วน Chip & PIN คือเปลี่ยนจากลายเซ็นต์เป็นรหัส PIN แทน ซึ่งมันทำให้คนรับเงินไม่ต้องมาตรวจสอบลายเซ็นต์ครับ

By: mrKaqz

on 15 January 2020 - 23:16 #1144040 Reply to:1144010

ก็เปลี่ยนจากเซ็นมาใช้ รหัสกดเอาครับ เหมือนตอนนี้ที่ใช้กับบ้ตรเดบิตแล้ว
แต่บัตรเครดิตยังเซ็นเหมือนเดิม ซึ่งใครเก็บบัตรได้ ก็เอาไปรูดเลยครับ เซ็นๆไปเถอะ จากการสังเกตุ 90% ไม่มีร้านไหนเช็คว่าลายเซ็นหลังบัตรตรงไหม

ที่เมืองนอกอย่าง อเมริกา เมื่อก่อนถ้ามีบัตรแบบต้องเซ็นต์มา เค้าจะขอดู ID ด้วยเพื่อความชัวร์อีกทีครับ แต่บ้านเรา ไม่เคยมีตรวจอะไรเลย มันคือช่องโหว่ขนาดมหึมาขอคนใช้บัตรเครดิตครับ

By: man2454 on 16 January 2020 - 10:25 #1144108 Reply to:1144040

อเมริกาเช็คจริงจังมาก เค้าดูหลังบัตรแทบจะทุกครั้งเลยครับแต่ยังไม่เคยเจอขอดู ID ครับ

By: osmiumwo1f

on 15 January 2020 - 22:27 #1144019 Reply to:1143984

[deleted]

By: atmas

on 15 January 2020 - 20:28 #1144011

BBL ที่ทำเจ้าแรกๆ จนลูกค้าช่วงนึงกดเงินตู้ธนาคารอื่นไม่กด้ ยังมีบัตรตกค้างเลย

[S]

By: osmiumwo1f

on 15 January 2020 - 22:21 #1144030

สงสัยว่าตอนนี้ถ้าผมลบหรือแก้ไขข้อมูลในแถบแม่เหล็กของบัตร มันจะถือว่าบัตรนั้นเป็นบัตรเสียหรือเปล่าน่อ?

By: gololo

on 15 January 2020 - 23:32 #1144041

ผลกระทบมันมี 2 ด้านเสมอถ้าจะมองว่าการเปลี่ยนแปลงช้าแล้วแย่โดยมีคนโดนโจมตี ก็ต้องมีข้อมูลว่าผลกระทบว่าถ้าเปลี่ยนเร็วจะเกิดความเสียหายอะไรบ้างมาเปรียบเทียบด้วยถ้าที่คิดว่ามันสมควรแล้วหรือความผิดพลาดมันจริงหรือเปล่า ยกตัวอย่าง
คนที่อยู่ไกลไม่สามารถเข้ามาที่ธนาคารได้ง่ายแต่ใช้ตู้ ATM เพื่อกดเงินที่ลูกๆส่งมาซื้อข้าวกิน รถก็ไม่มีร่างกายก็ไม่พร้อม แต่อยู่มาวันนึงกดเงินไม่ได้
การสือสารให้คนรับรู้ว่าต้องเปลี่ยนกับผู้สูงอายุสายตาไม่ดีหรืออ่านหนังสือไม่ได้
ทำยังไงให้ทั่วถึง ขนาด แค่ยกเลิกครื่นยังมีคนจำนวนมากที่ไม่ได้เปลี่ยนซิม
ระยะเวลาในการติดตั่ง และคิดว่าคงมีผลกระทบอื่นๆอีก

By: sirabhat24

on 18 January 2020 - 07:54 #1144411 Reply to:1144041

+10

By: panurat2000

on 16 January 2020 - 09:49 #1144089

การใช้ยืนยันว่าเป็นสิ่งที่ผู้ใช้มีแทบไม่มีผลในข่วงสิบกว่าปีที่ผ่านมา

ในข่วง => ในช่วง

By: udornrt

on 16 January 2020 - 10:09 #1144098

ประกาศมาหลายปีมาก ไม่ทำก็ต้องยอมรับกติกา

By: McKay

on 16 January 2020 - 10:34 #1144118

ผมเข้าใจว่าประกาศให้เปลี่ยนมาปีกว่าเกือบสองปีนะครับ รวมถึงเข้าใจว่าสั่งให้ตู้ ATM แจ้งเตือนให้เปลี่ยนทุกครั้งด้วย แถมออกมาตรการเปลี่ยนฟรีอีก อันนี้คงจะเรียกว่านโยบายช้าไม่ได้

ที่ควรเสริมคือการทำให้ประชาชนตระหนักถึงปัญหาว่าทำไมต้องเปลี่ยนมากกว่าครับ ประชาชนรู้แค่ต้องเปลี่ยนใหม่ แต่ไม่รู้ว่าทำไมต้องเปลี่ยน ดีกว่าเดิมยังไง เมื่อไม่รู้ก็ขี้เกียจเปลี่ยน กลายเป็นบัตรตกค้างนี่แหละ

Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)

By: lancaster

on 16 January 2020 - 22:16 #1144217 Reply to:1144118

ผมพยายามไปเปลี่ยนหลายที เจอธนาคารอ้างว่าบัตรธรรมดาหมดทุกครั้ง เหลืออยู่แต่บัตรแพงที่พ่วงสิทธิ พ่วงประกัน เลยไม่เปลี่ยนมันละ เลิกใช้ถาวรเลย

เชื่อว่าคนส่วนใหญ่ในประเทศก็คงเจอปัญหาคล้ายๆกับผมเลยไม่เปลี่ยนกัน

By: paween_a

on 17 January 2020 - 10:38 #1144280 Reply to:1144217

เป็นเหมือนกัน ผมมีบัตรของธ.กสิกรไทย บัตรเก่านี่โดนปีละ 100 บัตรใหม่นี่เริ่ม 250 แต่บัตรหมด มีแต่ 350 ก็เลยเดินออกมาอย่างมึน ๆ

สุดท้ายเข้าไปค้นเจอว่าสั่งอาญัติบัตรแล้วไม่ต้องเสียค่าธรรมเนียมต่อ เหมือนยกเลิกบัตรไปเลยผ่าน app K+ ได้ ก็เลยกดอาญัติไปซะ จบเรื่องไป ถอนผ่าน app แทน

By: sabayjoo_ on 17 January 2020 - 11:28 #1144294 Reply to:1144280

พึ่งรู้ว่ายกเลิกผ่าน App ได้ ขอบคุณมากๆครับ

By: lew

on 16 January 2020 - 22:22 #1144219 Reply to:1144118

สิงคโปร์สั่งให้ธนาคารออกบัตรชิปทั้งหมดตั้งแต่ 2014 ครับ บัตร 20-40 ล้านใบ สั่งวันนี้ มันไม่หมดในวันนี้อยู่แล้ว

ต่อให้ออกบัตรชิป 2014 เท่ากัน วัน cut-off ก็อาจจะวันนี้เหมือนเดิม แต่ที่จะเกิดขึ้นคือ 1) การโจมตีแต่ละครั้งจะส่งผลกระทบน้อยลง คนที่กดประจำจะเปลี่ยนบัตรก่อน รวมถึงคนที่โดนโจมตีไปแล้วครั้งหนึ่งก็แปลี่ยน 2) การโจมตี "น่าจะ" น้อยลง เพราะข้อหนึ่ง effective ของการโจมตีต่ำลง 3) วัน cut-off วันนี้คนจะเหลือบัตรน้อยลง

ผมไม่ได้อยากให้เราเลิกใช้เทคโนโลยีเดิมเร็วๆ เท่าไหร่นะครับ โลกความเป็นจริงมันมีคนไม่ยอมเปลี่ยนนี่เรารู้อยู่แล้ว แต่เราจัดการได้ดีกว่านี้ถ้าเราเพิ่ม alternative เข้ามาเร็ว วันนี้ถ้าเรายังใช้บัตรแม่เหล็กอยู่เราอาจจะบีบกดเงินได้ไม่เกินวันละหมื่น แล้วใช้ต่อก็น่าจะพอไหว หรือแอนดรอยด์หมดซัพพอร์ตเราจะไม่ตัดเขาทั้งหมดแต่ลดการโอนออกเหลือวันละ 5000 อะไรแบบนั้นก็ว่าไป

อยากเรื่อง SMS การ มี/เสนอ ทางเลือกให้ลูกค้า อาจจะบังคับในบางกรณี (ขอเพิ่มวงเงินรายวันสูงมากๆ) ไว้ล่วงหน้า แล้วค่อยๆ เปลี่ยนผ่าน ถ้าพรุ่งนี้มีข่าวช่องโหว่ใหม่ (หรือช่องโหว่ SS7 เดิมๆ นี่ล่ะ) จาก SMS แล้วมีคนโดนขโมยเงินสักพันคน เรามีทางเลือกให้คน "เฮโล" กันไปหาช่องทางใหม่ได้นี่ดีกว่ามากๆ

ผมเองใช้บัตรชิปมานาน 15 ปีแล้ว มันก็ให้บริการกันมาได้ แสดงว่าต้นทุนไม่ได้สูงเกินไป (เช่นเดียวกัน HW/SW Token นี่หลายธนาคารก็ให้บริการกันแล้ว) แต่การไม่มีนโยบายเป็นศูนย์กลาง มันทำให้มีไม่กี่ธนาคารมีทางเลือก และคนจำนวนมากมันเปลี่ยนธนาคารไม่ได้

lewcpe.com, @wasonliw

By: Wang_Peter

on 16 January 2020 - 13:11 #1144155

ที่มันล่าช้า ส่วนนึงเพราะการกำหนดให้ใช้ Application ในชิพที่ไม่ใช่มาตรฐานสากล ไปใช้มาตรฐานจีน (UPI)แล้วก่อตั้งบริษัทชื่อ TPN ขึ้นมา ความเดือดร้อนจึงบังเกิด เพราะธนาคารส่วนใหญ่ไม่ได้เป็น member UPI และ TPN ทำให้เกิดดราม่าพอสมควรเพราะต้องสมัครเป็น member TPN
ต้องทำระบบให้รองรับ TPN ทั้งระบบการออกบัตร, ตู้ ATM, เครื่อง EDC
ถ้าใช้มาตรฐาน VISA/Mastercard ตั้งแต่แรกเรื่องนี้จะไม่เกิด
สุดท้ายทางออกคือ ITMX ออกบัตร Prompt Card เป็นอีก 1 ทางเลือก ไม่ให้ TPN ผูกขาด
และยังร่วมมือกับ Mastercard ในการออกบัตร Cobadge ในประเทศวิ่งผ่าน ITMX
เวลาไปใช้ต่างประเทศ ก็วิื่งผ่าน Mastercard
VISA ก็ทำการจดทะเบียนเป็น บริษัทไทย และ ใช้ network ITMX สำหรับรายการในประเทศ
TPN ใครถือหุ้นบ้างก็ไปลองหาข้อมูลละกันครับ

By: sundance on 16 January 2020 - 20:50 #1144207 Reply to:1144155

ผมเจออันนี้

https://www.thansettakij.com/content/33286

เลยตามไปอ่านประวัติของประธานฯ

รบวนถามครับ
ผมเข้าใจว่า ตัวแปรของปัญหานี้ ก็คือบัวหลวงเอง ใช่หรือเปล่าครับ.

Main menu