By: lew 
on 4 November 2022 - 16:26
Tags:
Topics:
หลังจากสำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.) ได้ออกมาตรการบังคับให้มีการยืนยันตัวตนก่อนฝากเงินในเครื่องรับฝากอัตโนมัติ จนกระทั่งผู้ใช้ต้องมีบัตรเดบิตของธนาคารจึงใช้งานได้ ล่าสุด ปปง. และธนาคารแห่งประเทศไทยก็ปรับมาตรการ เป็นการยืนยันตัวตนผ่าน OTP ของโทรศัพท์มือถือโดยไม่มีค่าใช้จ่าย
มาตรการใหม่นี้ผู้ใช้จะต้องกรอกหมายเลขบัตรประชาชน และหมายเลขโทรศัพท์มือถือที่หน้าเครื่อง จากนั้นรอรับ OTP เพื่อยืนยันตัวตนก่อนฝากเงิน โดยไม่มีค่าใช้จ่ายเพิ่มเติม เนื่องจากกสทช.และผู้ให้บริการเครือข่ายโทรศัพท์ทุกรายได้การสนับสนุน
มาตรการนี้เริ่มวันที่ 1 มิถุนายน 2566 เป็นต้นไป
ที่มา - ธนาคารแห่งประเทศไทย
ภาพโดย mrganso
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
สรุปก็คือวิธีนี้เป็นทางเลือกเสริมจากแบบเดิมที่ต้องใช้บัตรเครดิต/เดบิต/เอทีเอ็ม อย่างเดียวเป็นการยืนยันสินะครับ
แล้วกรณีนี้คิดว่ามีช่องโหว่มั้ยครับ กรณี OTP นี่
แค่มนุษย์คนนึงที่อยากรู้เกี่ยวกับวงการไอที
ผมว่าเบ้อเริ่มเลยครับ
ยังคิดว่าคีย์เลข ปชช. กับเลขหลังบัตรยังจะดีกว่าอีก - -)
บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P
ถ้าเลขบัตรที่กรอกหน้าตู้กับเลขบัตรที่ลงทะเบียนเบอร์โทรศัพท์ไม่ตรงกัน ยึดเลขอะไรเป็นหลัก (เดาว่าธนาคารคงยึดเลขที่กดหน้าตู้เป็นหลัก มีเรื่องค่อยไปขอเลขบัตรจากค่ายมือถืออีกทีแบบนี้รึเปล่า)
หรือถ้าหลังบ้าน verify ตรงนั้นเลย หากไม่ตรงกันจะทำรายการต่อได้มั้ยนะ
ถ้าไม่มีมือถือใช้บัตรประชาชน Dip Chip ที่ตู้ฝากที่มี KYC ได้ไหม?
จากข่าวเก่า เขาบอกไว้ว่าจะทำให้รองรับการเสียบบัตรประชาชนในอนาคตครับ
Pitawat's Blog :: บล็อกผมเองครับ
คือถ้าคนมันตั้งใจจะฟอกเงินจริงๆ มันก็เอาเลขบัตรม้า+เบอร์ม้าอยู่ดี
น่าจะให้กรอกแค่เบอร์ก็พอ นี่ต้องกรอกเลขบัตรเพิ่มด้วย กลัวจะยิ่งช้าคิวนาน
เพราะยังไงตอนนี้ทุกเบอร์ก็ต้องมีผูกบัตรที่เป็นเจ้าของเบอร์อยู่แล้ว
พ่อค้าแม่ค้า ที่รับเงินสดเท่านั้นอาจจะบ่น ส่วนร้านที่่รับสแกนจ่าย ก็คงชิว ๆ ไป (มโน)
ปวดหัวเลย Data Accuracy อยู่ที่ไหนเนี่ย?? จะเสียบบัตร หรือ OTP มันก็มีช่องโหว่ไหม? แค่บอก PIN ให้คนฝากก็จบล่ะ ถึงแม้จะบอกว่า คนกด OTP จะเป็นผู้รับผิดชอบก็เถอะ แต่ถ้าจะเอาให้แบบ 100% เลย ก็ควรจะเป็นบัตรประชาชน+ลายนิ้วมือ ไหม?
แต่ยังไงก็ตามอันนี้ก็รับได้ ธนาคารก็รับจบเรื่องค่าใช้จ่าย SMS ไป แล้วช่วงนี้ SMS บางค่ายก็ดีเลย์หนักเลย งานนี้ OTP ไม่เข้าได้มีการกดรัว ๆ แน่ ๆ
เรื่มมาถูกทางหละ เหลือแค่ใช้กล้องจากตู้ ATM จับใบหน้าคู่กับเสียบบัตรประชาชน หรือลายนิ้วมือตามความเห็นอื่น ก็น่าจะปิดช่องโหว่เรื่องใช้บัตรคนอื่นได้แล้วนะ
ความล้มเหลว คือจุดเริ่มต้นสู่ความหายนะ มีผลกระทบมากกว่าแค่เสียเงิน เวลา อนาคต และทรัพยากรที่เสียไป - จงอย่าล้มเหลว
ถ้าเคยไปใช้บริการเพื่อให้ได้รูปจากกล้องขอบอกเลยว่ายากสุดๆครับ
กว่าจะผ่านด่านต้องมีใบแจ้งความ ต้องมีใบคำร้อง ต้องมีคนเซ็น ต้องดำเนินเรื่องเอง ต้องเป็นเวลาราชการ
พอจบครบขั้นตอนไปหาไฟล์กล้องวงจรปิด ปรากฏว่าเลยเวลาที่บันทึกของกล้องไปแล้ว กล้องบันทึกวนซ้ำเวลาที่เกิดเหตุไปแล้ว
งงครับถามเลยนะ
1.ระบบที่คิดมามีการทดลองใช้ทดลองหาช่องโหว่หรือข้อผิดพลาดบ้างหรือป่าว
2.ระบบที่ว่านี้หากมีปัญหาใครรับผิดชอบ
3.ขั้นตอนที่และขั้นหากมีช่องโหว่ที่ทำให้เกิดปัญหาใครรับผิดชอบเกิดเรื่องขึ้นแล้วผู้รับผิดชอบจะชดเชยชดใช้ปัญหาที่ตามมาได้ใหม
4.หากเกิดปัญหาขึ้นผู้ได้รับผลกระทบที่เกิดจากระบบต่างๆจะได้รับการเยียวยาใน 24.ชมเลยหรือไม่หรือต้องรอตรวจสอบเป็นเดือนเป็นปี
ใครเสนอลายนิ้วมือผมบอกเลยว่าไม่ได้เพราะต้องเอานิ้วมือไปทาบไหนจะต้องเช็ดออกอีก ลืมมาคือคนมารอข้างหลังนี้เราสก็อตเทปลอกลายนิ้วมือไปได้เลย การบันทึกกล้องคงไม่มีใครมานั่งดูหรอกถ้าช่วงนั้นไม่เกิดปัญหาจนต้องเรียกดู ปกติก่อนทาบนิ้วก็ต้องเช็ดตรงตัวสแกนก่อนไม่งั้นอาจไม่ผ่านขึ้นอยู่ครับนิ้วมือใครมันเยิ้มแค่ไหน ไหนจะมีใครวิกลจริตอมนิ้วแล้วมาทาบอีก ใครจะกล้าใช้ ต่างประเทศเขาเลยใช้ระบบสแกนหน้าไงครับ
เสียบบัตรประชาชนยังจะง่ายกว่าอีก ให้สแกน QR เป็นอีกทางเลือกก็ได้ กรอก OTP คือสิ่งที่โคตรจะยุ่งยากและไม่ practical สุด ๆ
OTP คือพัฒนาแค่ software ครับ
จะบอกว่า OTP เป็น MVP (minimum viable product) ของฟีเจอร์นี้ก็ได้ จะเสียบบัตรได้อาจต้องทำฮาร์ดแวร์เพิ่ม ยิ่งตู้เยอะยิ่งลำบาก ค่าใช้จ่ายยิ่งสูง
ตู้ฝากเงินในไทยทุกตู้น่าจะอ่านบัตรได้อยู่แล้วไม่ใช่เหรอครับ?
อ่านบัตรได้นี่มันไม่ยืนยัน "ความตั้งใจจะฝากเงิน" นะครับ (บัตรหาย เอาบัตรคนอื่นมาเสียบ ฯลฯ) แค่ยืนยันว่าอยู่หน้าตู้ยังไม่ได้เลย ถ้าจะลากยาวไปอีกต้องทำ face recognition ที่หน้าตู้นี่ก็ไปไปอีกขั้น
เทียบกับ SMS ว่า "รหัสฝากเงินของท่านคือ XXXXX อย่าบอกรหัสนี้แก่ใครหากท่านไม่ใช่ผู้ฝากเงิน"
lewcpe.com, @wasonliw
อันนี้พูดถึงแค่กรณีว่า OTP พัฒนาแค่ software น่ะครับว่าการอ่านบัตรก็น่าจะเป็นการพัฒนาแค่ software เหมือนกันเฉยๆ 😅
ผมเห็นด้วยทุกประการนะ จากประสบการณ์เคยเห็นเจ้าหนี้ยึดบัตร ATM ที่เงินเดือนลูกหนี้อยู่ในนั้นมาแล้ว
แต่ผมกำลังพูดถึงความสะดวกในการใช้งาน ซึ่ง OTP มันโคตะระจะยุ่งยากสุด ๆ ทำ App สแกน QR Code โดยเฉพาะก็ได้ เพราะในเมื่อมือถือมันไม่ได้แชร์กันไปมาง่าย ๆ (เหมือนในอินเดีย) และความซับซ้อนในการแฮกก็เท่ากับ OTP อยู่แล้ว
ทำ app สแกน QR ยุ่งยากกว่ามากครับ จะ on board ยังไง จะยืนยันตัวตนเจ้าของยังไง โทรศัพท์รุ่นไหนรองรับได้บ้าง ครอบคลุมกลุ่มคนที่ไม่มีบัตรไหม
ทำไมถึงคิดว่าทำแอปแยกอีกอันมันจะง่ายกว่า?
lewcpe.com, @wasonliw
ผมไม่ได้พูดถึงเวลาพัฒนา นั่นเป็นปัญหาของระบบ ผมพูดถึงปัญหาการใช้งานล้วน ๆ เป็นแอปแล้วแค่จิ้มขึ้นมาสแกนใช้งานได้เลย จะบังคับให้ธนาคารทำฟังก์ชันนี้ขึ้นมาบนแอปเดิมก็ได้
พอเป็น OTP ไหนจะต้องรอรหัส ไหนจะต้องกรอกเลขที่ได้จาก OTP ลงเครื่องอีก บางเครื่อง ATM นี่ปุ่มช่างอำนวยความสะดวกมากเหลือเกิน พอเป็น app QR จิ้มเข้าแอปแยกสแกนจากจอได้เลย
วิธีการหลอกขอ OTP
1. สร้างโพสต์รับสมัครงานออนไลน์รายได้ดี จะมีเหยื่อมาติดต่อจำนวนมาก
2. ถามข้อมูลเลขบัตรประชาชน และเบอร์โทรศัพท์ของคนที่มาสมัครงาน
3. ไปฝากเงินหน้าตู้ กรอกข้อมูลของเหยื่อ และหลอกเหยื่อว่าขอ OTP เพื่อยืนยันตนสำหรับสมัครงาน
4. ธนาคารจะปรากฎข้อมูลของเหยื่อเป็นผู้ฝากเงิน
SMS ของธนาคารมันมีอันไหนไม่บอกวัตถุประสงค์ของ OTP รึเปล่าครับ
ผมใช้มาหลายแห่งบอกหมดว่าทำอะไร จ่ายให้ใคร อย่างมากก็บังเลขบัญชีปลายทาง
lewcpe.com, @wasonliw
มีวัตถุประสงค์บอกครับ แต่เหยื่อมักจะไม่ทราบถึง scope ที่แท้จริงของ OTP SMS นั้นๆครับว่าจะมีพันธะอะไรหรือมีผลอะไรบ้าง
สมมุติว่าโดนหลอกว่าคุณต้องแจ้งรหัส 6 หลักเพื่อยืนยันการสมัครงาน หรือ เพื่อกู้เงิน เหยื่อก็ยินยอมให้ครับ
ผมเจอ fraud จากวัยรุ่นที่ถูกหลอกจากการสมัครงานหรือขอกู้เงิน
ถึงขั้นที่โดนสั่งให้ไปสมัครสมาชิกเว็บไซต์อื่นเพื่อทำธุรกรรม (ยืนยัน OTP รวมถึง KYC ให้เรียบร้อย)
แล้วส่งบัญชีเว็บไซต์นั้นๆให้มิจฉาชีพไปใช้ทำธุรกรรมต่อ อยู่บ่อยๆครับ
ยังคงเชียร์ให้เลียนแบบระบบถอนเงินไม่ใช้บัตร
คือ gen qrcode บนจอเครื่องฝากเงิน
แล้วใช้แอปธนาคารไหนก็ได้ หรือแอปกระเป๋าตังค์ก็ได้ สแกนเพื่อยืนยัน
จากนั้นก็ทำรายการต่อตามปกติ คือ ให้ใส่เบอร์บัญชีที่จะฝากโดยไม่จำเป็นต้องเป็นของเจ้าตัวที่ยืนยันตัว
ใส่เงินเข้าเครื่อง .. จบ
เห็นด้วนทุกประการครับ เหมือนอย่างที่โพลนี้ว่าไว้เลย
https://chng.it/gK7fSJqC
+1
กดตังค์ใน K+ สะดวกมาก แตะถอนเงินไม่ใช้บัตรในแอป แล้วยกกล้องมือถือส่องที่ตู้เอทีเอ็ม เงินก็ออกมาเลย
ไม่เหมือน KTB ยังจะต้องมาให้กด เบอร์โทร รหัสถอนเงินอีก 🥲
แบบกรอกเบอร์โทร และกรอกรหัส เพื่อถอนเงินแทนแสกน QR มันสามารถประยุกต์ส่งให้คนอื่นถอนเงินจำนวนนั้นแทนได้
เห็นมีคนทำแคมเปนล่ารายชื่ออยู่ ผมเห็นด้วยนะครับที่ควรจะให้เป็นขั้นตอนเดียวกับการถอน คือจะใช้บัตรหรือใช้แอพก็ได้ เพราะข้อมูลการทำธุรกรรมผ่านแอพก็มีอยู่แล้วว่าเป็นใครทำรายการที่ตู้ไหน จำนวนเงินเท่าไหร่ ไม่ควรจะทำให้มีขั้นตอนยุ่งยากพิษดาร ถ้าใครเห็นด้วยไปลงชื่อกันได้ครับ https://chng.it/gK7fSJqC
แบบเดิม ก็ดีอยุ่แล้วนะ โอนง่าย ไม่ระบุชื่อว่าใครโอน ไม่ต้องลงทุนเยอะด้วย
ปัญหามันอยู่ตรงนั้นไงครับ
วัตถุประสงค์ที่ทำขึ้นมา เพราะอยู่ในข้อความของคุณเลยครับ
เขาอยากรู้ว่าใคร ฝากเงิน 😅