Tags:
Topics: 
Node Thumbnail

วันนี้ Blognone ไปแลกเปลี่ยนกับองค์กรอื่นๆ ในงาน NBTC Public Forum เพื่อหามาตรการแก้ไขในเชิงระบบ จากกรณีการขโมยเงินออนไลน์ ประเด็นนี้เป็นข่าวตั้งแต่วันที่ 10 สิงหาคมที่ผ่านมา และมีผลกระทบในวงกว้างจากการอาศัยช่องโหว่สำคัญคือกระบวนการออกซิมการ์ดที่หละหลวม จนทำให้มีผู้เสียหายเป็นมูลค่าเกือบหนึ่งล้านบาท

Blognone ในฐานะที่ติดตามทั้งกระบวนการความปลอดภัย และข่าวสิทธิผู้บริโภคจากการใช้บริการธนาคารและโทรศัพท์มือถือ มีความเห็นและข้อเสนอเพื่อสร้างทางแก้ปัญหาในระยะยาว ต่อหน่วยงานต่างๆ ดังนี้

หมายเลขโทรศัพท์: ปัญหาที่ต้องแก้ไขอย่างเป็นระบบ

ไม่ว่าหมายเลขโทรศัพท์จะมีการใช้เพื่อยืนยันตัวตนในบริการทางการเงินหรือไม่ ก็ไม่สามารถปฎิเสธได้ว่าการขโมยความเป็นเจ้าของหมายเลขโทรศัพท์เป็นปัญหาเรื้อรังในสังคมไทย การขโมยหมายเลขโทรศัพท์มีข่าวอยู่เนืองๆ ต่อเนื่องมาหลายปี จากเหตุผลในสมัยก่อนที่มักเป็นเรื่องหมายเลขสวย (1, 2) มาจนถึงการขโมยเพื่อใช้เข้าถึงระบบธนาคารออนไลน์ในกรณีล่าสุด

การแก้ที่รวดเร็วที่สุดคงเป็นการขอให้ผู้ให้บริการทุกราย ปรับปรุงกระบวนการ, ฝึกฝนพนักงานไม่ให้ข้ามกระบวนการตรวจสอบ, และประชาสัมพันธ์ว่ามีช่องทางใดบ้างในการออกซิมการ์ด หรือเปลี่ยนความเป็นเจ้าของโทรศัพท์ แต่ละช่องทางมีการตรวจสอบเช่นใด มีการตรวจสอบภายในอย่างรัดกุมว่าพนักงานทำตามขั้นตอนอย่างถูกต้องจริงหรือไม่

ข้อเสนอเพิ่มเติมของ Blognone คือ ผู้ให้บริการเปิดให้ผู้ใช้เลือกได้ว่าต้องการให้การออกซิมการ์ดมีความเข้มงวดเป็นพิเศษหรือไม่ จากการที่ผู้ให้บริการบางรายมีช่องทางที่สะดวกกว่าปกติ และน่ากังวลว่าจะมีความปลอดภัยเพียงพอหรือไม่

อย่างไรก็ดี กสทช. ในฐานะหน่วยงานกำกับดูแล ควรเข้ามาดูแลให้กระบวนการออกซิมการ์ดและการโอนถ่ายความเป็นเจ้าของหมายเลขโทรศัพท์ มีมาตรฐานความปลอดภัยขั้นต่ำ ข้อเสนอของ Blognone ต่อกสทช. มีดังนี้

  1. ทำสรุปรวมกระบวนการออกซิมการ์ด และการโอนความเป็นเจ้าของหมายเลขโทรศัพท์ของผู้ให้บริการทุกราย ในทุกช่องทางเผยแพร่สู่สาธารณะ พร้อมกับตรวจสอบว่าทุกช่องทางมีความปลอดภัยเพียงพอ รับฟังความเห็นในกรณีที่มีการทักท้วงว่าบางช่องทางไม่ปลอดภัย และสั่งการให้แก้ไข
  2. ออกมาตรฐานความปลอดภัยขั้นต่ำในการออกซิมการ์ดและการโอนความเป็นเจ้าของหมายเลขโทรศัพท์ ให้เป็นมาตรฐานขั้นต่ำที่มีอำนาจบังคับใช้ มีบทลงโทษต่อผู้ให้บริการที่ทำผิดอย่างเป็นรูปธรรม แม้จะยังไม่เกิดความเสียหายร้ายแรงต่อผู้ใช้บริการก็ตาม
  3. ประชาสัมพันธ์ให้ประชาชนเข้าใจถึงมาตรฐานความปลอดภัยขั้นต่ำนั้น ว่าความลำบากที่เพิ่มขึ้นเป็นไปเพื่อความปลอดภัยของประชาชนเอง

สำหรับแนวคิดการใช้ลายนิ้วมือเพื่อเพิ่มความปลอดภัยนั้น แม้จะมีความเป็นไปได้แต่หากนำมาใช้จริง กสทช. ต้องมีมาตรการในการรักษาความปลอดภัยว่าการเข้าถึงลายนิ้วมือนั้นจะเข้าถึงได้เฉพาะบุคคลที่เกี่ยวข้อง, และการบังคับให้กระบวนการพิสูจน์ตัวตนอย่างครบถ้วนก่อนการออกซิมก็ยังเป็นสิ่งที่ต้องทำ

ความปลอดภัยของธนาคารต่อการใช้หมายเลขโทรศัพท์

ช่วงหลายปีที่ผ่านมา การใช้หมายเลข OTP ผ่านโทรศัพท์ ช่วยลดอันตรายต่อการใช้บริการธนาคารออนไลน์ได้อย่างมีประสิทธิภาพ อย่างไรก็ดีเราพบว่ามีความเปลี่ยนแปลงหลายอย่างทำให้การปกป้องบัญชีธนาคารด้วย OTP ผ่าน SMS อาจจะไม่เพียงพออีกต่อไป

  1. อาชญากรปรับตัวมากขึ้น กระบวนการโจรกรรมเงินจากธนาคารออนไลน์รวมเอาการขโมย SMS เป็นส่วนหนึ่งของโจรกรรมอย่างเป็นระบบ การหลอกล่อผู้ใช้เพื่ออ่าน SMS มีมากขึ้นเรื่อยๆ
  2. อาชญากรตระหนักว่าหมายเลขโทรศัพท์มีค่ามากขึ้น และเพิ่มเหตุผลให้มีการทำ social engineering เพื่อให้ได้ครอบครองหมายเลขโทรศัพท์
  3. รายงานการแฮกเครือข่าย SS7 มีรายงานมาตั้งแต่ปี 2015 เพื่อติดตามตำแหน่งมาจนถึงสามารถดักฟัง SMS มีคำถามว่าช่องโหว่เช่นนี้ใช้งานในไทยได้หรือไม่เพราะเคยมีรายงานข่าวว่ามีการสาธิตอุปกรณ์ที่มีความสามารถแบบเดียวกันนี้ในไทย

เงื่อนไขเหล่านี้ไม่ใช่เงื่อนไขพิเศษเฉพาะประเทศไทย NIST หน่วยงานออกมาตรฐานความปลอดภัยของสหรัฐฯ เริ่มเสนอให้เตรียมยกเลิกการใช้ SMS เพื่อยืนยันตัวตน โดยกระบวนการนี้อยู่ระหว่างการพิจารณา

No Description

Blognone เสนอให้มีการเสนอทางเลือกอื่นเพื่อเพิ่มความปลอดภัยให้กับผู้ใช้ ทางเลือกอื่นๆ เช่น hardware token, software token, สร้างโค้ดยืนยันผ่านบัตรชิปธนาคาร หรือทางเลือกอื่นๆ ที่ยังไม่มีรายงานว่ามีความเสี่ยง

การเพิ่มทางเลือกเช่นนี้อาจจะเป็นเริ่มจากการเสนอให้บัญชีที่มีมูลค่าสูงและจึงขยายวงกว้างต่อไปในอนาคต

Get latest news from Blognone

Comments

By: panurat2000
ContributorSymbianUbuntuIn Love
on 8 September 2016 - 13:51 #938406
panurat2000's picture

หรือเปลี่ยนความเป็นเข้าของโทรศัพท์

เข้าของ ?

มาจนถึงสามารถดังฟัง SMS

ดังฟัง ?

By: platalay
iPhoneWindows PhoneAndroidWindows
on 8 September 2016 - 14:44 #938430

บัตรหมดอายุยังไม่สนเลยครับ

By: -Rookies-
ContributorAndroidWindowsIn Love
on 8 September 2016 - 16:38 #938471

ตราบใดที่ sms โฆษณายังมาไม่หยุด ผมก็ยังไม่เชื่อมั่นในตัวผู้ให้บริการที่จะเป็นผู้กุมความเป็นส่วนตัวของเราครับ นี่ถ้าให้ใช้ลายนิ้วมือด้วย....แค่คิดก็สยองแล้ว เอาไปขายกันใต้ดินเท่าไหร่หนอ...


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: moonoiz on 8 September 2016 - 19:48 #938537

กสิกรไทยมีแอพ K-Secure อยู่นะครับ แต่ไม่รู้ว่าเป็น time-based OTP หรือไม่และไม่รู้ว่ามีผู้ใช้เยอะแค่ไหน

By: llerickll
AndroidWindows
on 8 September 2016 - 20:39 #938556 Reply to:938537
llerickll's picture

ผมก็ใช้อยู่ครับ จำเป็นต้องใช้เพราะที่ทำงานไม่มีคลื่นโทรศัพท์

KBANK จึงเป็นธนาคารเจ้าเดียวที่ผมสามารถใช้ได้ (เจ้าอื่นใช้ SMS-OTP หมดเลย)

By: lew
FounderJusci's WriterMEconomicsAndroid
on 8 September 2016 - 22:27 #938590 Reply to:938537
lew's picture

ครับ อย่างกสิกรมีนี่ผมโอเคล่ะ แต่สิ่งที่เรียกร้องคือให้ทุกธนาคารมีและเสนอเป็นทางเลือกปกติ พวกแบบต้องคุย อ้างไปต่างประเทศ ฯลฯ แบบนั้นไม่นับ

กรณีที่มีแล้วและมั่นใจระดับหนึ่ง ผมเรียกร้องให้สนับสนุนให้ใช้งานแทน SMS ในกรณีบัญชีมูลค่าสูงอีกอย่างด้วยครับ


lewcpe.com, @public_lewcpe

By: SuPPy
AndroidWindows
on 9 September 2016 - 20:54 #938901 Reply to:938537

แอพนี้ วุ่นวายมาก ตอนนั้นปวดหัวเซ็งสุด มันก็ความผิดเราอะนะ
ตอนนั้นไปตปท แล้วเครื่องเอ๋อๆ เลย factory reset ไป พอกลับมาจะใช้มันก็ติดที่ต้องล็อคอินด้วย k-secure พอเราลงแอพใหม่ มันให้ไป activate ใน k-cyber ก่อน ซึ่งพอในระบบมันเข้าใจว่าเราใช้ k-secure อยู่แล้ว มันก็ไม่ยอมให้ activate ใหม่ (ปุ่ม ok มันจะกดไม่ได้) และจะเปลี่ยนเป็น OTP เพื่อกลับมา QR ก็ไม่ยอมต้องแสกน QR เราก็แบบ เอ๊ะแล้วจะแสกนได้ไง วุ่นวายมาก แล้วคือเปลี่ยนเบอร์โทรอีก ต้องไปสาขาเพื่อเปลี่ยนเบอร์ ถามพนักงานเรื่องเปลี่ยนจาก QR เป็น OTP ธรรมดา พนักงานก็ตอบไม่ได้ ต้องโทรเข้าส่วนกลาง และให้เราคุย แบบเหนื่อยมากตอนนั้น จากนั้นก็เลิกใช้ QR เลย แสกนก็ไม่ค่อยติด แล้วลบออกลงใหม่แล้วเอ๋อ activate ใหม่ไม่ได้ มันคงป้องกันดีเกินไป ตอนนี้เลย OTP ดีกว่า

By: pxk
AndroidWindows
on 9 September 2016 - 05:51 #938628

something you know + something you have

ถ้าอาชญากรสามารถไปแย่งซิมเรา หรือดักข้อความ SMS ของเรามาได้ อาชญากรก็ have
และถ้าอาชญากรสามารถไปขอเปลี่ยนรหัสโอนเงินได้ อาชญากรก็ know

เห็นด้วยว่าควรเปลี่ยนไปใช้เป็น software หรือ hardware token แทน
อย่างน้อยก็น่าจะปิดตรง something you have ได้ดีกว่า การใช้ซิมหรือ SMS

By: crisis_xiii
iPhone
on 9 September 2016 - 09:53 #938691
crisis_xiii's picture

ผู้บริโภคทุกคนไม่ได้ต้องการความปลอดภัยขนาดนั้น และต้องการความสะดวกสบายมากกว่า
เพราะงั้น การเป็นแค่ทางเลือกคือคำตอบที่ดรที่สุด และก็มีค่าใช้จ่ายนิดหน่อยตามสมควรของธนาคาร

ผมยังชอบ OTP มากกว่า token นะ เพราะผมเชื่อว่าผมดูแลข้อมูลตัวเองได้ในระดับนึง แค่ OTP ก็ปลอดภัยมากๆแล้ว

By: lew
FounderJusci's WriterMEconomicsAndroid
on 9 September 2016 - 10:35 #938721 Reply to:938691
lew's picture

เช่นเดียวกับผู้บริโภคไม่ต้องการบัตรชิป บัตรแม่เหล็กก็ "ปลอดภัยมากๆแล้ว" ครับ อันนี้เข้าใจได้ ผู้บริโภคต้องการสะดวกที่สุดเท่าที่จะเป็นไปได้ ตราบใดก็ตามที่ตัวเองไม่ได้โดนโจมตี

ในแง่ของการออกนโยบาย และการเตรียมการล่วงหน้า ผมไม่คิดว่าเราควรรอให้เกิดการโจมตีครั้งใหญ่ๆ มีผู้เสียหายเป็นวงกว้างแบบเดียวกับ skimmer อีก


lewcpe.com, @public_lewcpe

By: tekkasit
ContributorAndroidWindowsIn Love
on 9 September 2016 - 12:56 #938775 Reply to:938691
tekkasit's picture

จริงๆ มันคือความตระหนักรู้เรื่องสิทธิ์ขั้นพื้นฐานเรื่องความปลอดภัยของผู้ใช้งาน

ตราบใดที่คุณยังไม่ตกเป็นเหยื่อการโจมตี คุณก็อาจจะคิดแบบนี้ก็ไม่ใช่เรื่องแปลก

เหมือนมีบ้าน แต่ไม่เคยล็อกกุญแจบ้าน ประตูทุกบานยันห้องนอนปิดไว้เฉยๆ ไม่ล็อก เพราะไม่เคยโดนขโมยขึ้นบ้าน?!? แต่ถ้าโดนขโมยขึ้นบ้านขึ้นมา จะซื้อสายยูคล้องประตูบ้าน?!?

By: plen007
iPhoneAndroidWindows
on 9 September 2016 - 15:28 #938832 Reply to:938691

อารมณ์มันเหมือนกับไม่เห็นโรงศพไม่หลั่งน้ำตาครับ ตอนยังไม่โดนก็ว่าแค่นี้ปลอดภัยแล้ว พอโดนขึ้นมาก็โทษกับธนาคารว่าทำไมทำระบบไม่รัดกุมไม่ปลอดภัย

ผมเห็นด้วยกับการให้เป็นทางเลือกครับว่าใครอยากจะ secure ขนาดไหนก็เลือกกันไปโดยธนาคารควรนำเสนอให้ลูกค้าทราบถึงความปลอดภัยในแต่ละระดับด้วยแล้วก็ลงชื่อใน agreement กัน