เว็บไซต์ของธนาคารออมสินถูกแฮก

By: worr

on 4 July 2013 - 22:10 Tags:

Topics:

Security

Hacking

Government Savings Bank

อัพเดต 8 กรกฎาคม 2556 ธนาคารออมสินชี้แจง เว็บไซต์ไม่ได้ถูกแฮกดังที่เป็นข่าว

วันนี้ (4 กรกฎาคม 2556) เวลา 20:50 น. (ขณะที่เขียนข่าวอยู่) เว็บไซต์หลักของธนาคารออมสิน ได้ถูกแฮกโดย TeamFBI โดยได้เปลี่ยนหน้าเว็บเป็นสีดำและมีข้อความเขียนว่า [ HaCkEd By team FBI ] พร้อมชื่อและอีเมลของคนในทีม

อัพเดต 23:06 น. ทางเว็บมาสเตอร์ธนาคารออมสินได้แก้ไขแล้วครับ

alt="ภาพประกอบ"

ที่มา - พันทิป

Hiring! บริษัทที่น่าสนใจ

Miratara Co., Ltd.

ทำงาน จันทร์-ศุกร์ (มี WFH)

AISCB

Joint-venture between AIS&SCB with the goal to improve lives of millions though financial innovation

Digital Health Venture., Ltd

DHV [Digital Health Venture] is an innovation and venture arm of Samitivej Hospital Group.

Comments

By: lancaster

on 4 July 2013 - 22:13 #593732

วางใจได้ครับ

internet banking ของออมสิน ทำไรแทบไม่ได้เลยครับ เป็น read only เกือบหมด - -"

By: raifa

on 4 July 2013 - 22:15 #593733 Reply to:593732

ตกลงพวกแฮคมันทำอะไรได้บ้างครับ

By: lancaster

on 4 July 2013 - 22:16 #593734 Reply to:593733

เท่าที่ดูในพันทิป น่าจะแค่เข้าไปที่ web server แล้ววาง index.html ครับ

ประเด็นคือระบบธุรกรรมของออมสินยังเป็นแบบ paper เกือบทั้งหมด ไม่มีอะไรน่ากลัวถ้าโดนแฮคครับ

By: thaitanatana

on 4 July 2013 - 22:40 #593741 Reply to:593732

ถ้าเป็นแบบนี้ Internet(market)banking ของที่นี่ก็เป็นแค่ช่องทางการโปรโมทตัวธนาคารเท่านั้น โอ้ยอดเลยครับ

By: hisoft

on 5 July 2013 - 01:49 #593818 Reply to:593732

เดี๋ยวนี้เค้าโอนเงินได้แล้วนะครับ

ป.ล. ๑ เฉพาะบัญชีธนาคารออมสินด้วยกันเท่านั้น

ป.ล. ๒ เฉพาะบัญชีที่มีเจ้าของเดียวกันเท่านั้น

ป.ล. ๓ เฉพาะบัญชีที่ถูกผูกอยู่กับ login internet banking เดียวกันเท่านั้น

By: lancaster

on 5 July 2013 - 01:56 #593821 Reply to:593818

(╯°□°)╯︵ ┻━┻

By: hisoft

on 5 July 2013 - 03:13 #593836 Reply to:593821

ตอนผมพยายามจะโอนนี่อารมณ์นี้เลยครับ เพียงแต่ว่าโต๊ะมันหนักจนยกไม่ขึ้น (-*-)

By: superballsj2

on 8 July 2013 - 17:09 #594688 Reply to:593818

อ่าว มันมีด้วยหรอครับ ผมถามเมียผม (ทำงานออมสิน) เค้ายังไม่รู้เลยว่ามี 555

By: hisoft

on 8 July 2013 - 19:58 #594743 Reply to:594688

เหมือนว่าในห้องทำงานผมก็มีไม่กี่คนที่เปิดใช้ครับ - -" (ตอนนั้นผมทำออมสิน) ตอนเปิดใช้ผมมาเปิดที่สาขาพี่สาวของผมเอง ทำกันไม่เป็นเหมือนกันครับ ไม่เคยมีลูกค้าหรือพนักงานเองทำเรื่องเปิดใช้

เปิดมาเสร็จผมก็พอเข้าใจนะ เอาไว้เช็คยอดเงินได้อย่างเดียวใครจะอยากใช้ แต่สำหรับผมได้แค่นั้นก็เอาแล้ว

By: lancaster

on 9 July 2013 - 16:49 #595064 Reply to:594743

ผมเช็คแค่ทุกต้นเดือน 55555

By: hisoft

on 9 July 2013 - 20:57 #595178 Reply to:595064

คนอื่นเค้าได้ข่าวโบนัสออก (หรือเบี้ยตรากตรำ ยังชีพ ฯลฯ) ต้องถ่อออกไปกดตู้กันมืด ๆ ครับ ผมกดเปิดเว็บเลย

ถ้าเว็บมันล่ม นั่นแหละ มันออกจริง ๆ ครับ (T^T)

By: superballsj2

on 10 July 2013 - 11:42 #595408 Reply to:595178

โถ่ ถัง นึกว่าจะเทพ ดูยอดได้เลย -*-

By: hisoft

on 10 July 2013 - 22:30 #595608 Reply to:595408

จะเปิดดูยอดได้เลยหรือไม่ได้เลย ปลายทางมันก็สรุปได้เหมือนกันนั่นแหละครับ 555

By: HudchewMan

on 4 July 2013 - 22:28 #593737

คาดว่าเป็นการเอาไฟล์ index ไปใส่ใน root

แต่สงสัยว่าเป็น index.อะไร เพราะว่าเข้าจากหน้า http://www.gsb.or.th/index.html กับ http://www.gsb.or.th/index.php ได้

แต่ http://www.gsb.or.th/index.htm เข้าไม่ได้

ลอง .asp .jsp ก็ไม่ได้ ยังเหลือนามสกุลอะไรที่ทำงานก่อน .php .html ได้อีก?

~ HudchewMan's Station & @HudchewMan~

By: mr_tawan

on 4 July 2013 - 23:21 #593757 Reply to:593737

เป็นพวก Servlet หรือ ASP.Net หรือเปล่า?

9tawan.net บล็อกส่วนตัวฮับ

By: LazarusSP1

on 4 July 2013 - 23:02 #593748

ออมสินจ้างบริษัทไหนทำ Pen Test เนี่ย

By: PowerBerry

on 4 July 2013 - 23:29 #593765

แค่ผมจะโอนเงินเข้า ธ.ออมสิน ผ่าน Internet Banking ของ ธ.อื่น ยังโอนไม่ได้เลยเลขบัญชีไม่เหมือนชาวบ้านเขา

By: ตะโร่งโต้ง

on 4 July 2013 - 23:43 #593773

หน้าและหลังเครื่องหมายวงเล็บ เว้นวรรคด้วยครับ
กรฎาคม --> กรกฎาคม
20.50 --> 20.50 น.
เวบไซต์ --> เว็บไซต์

ภาพประกอบมองไม่เห็นเลยอ่ะคับ

ช่างไฟสมัครเล่น (- -")

By: worr

on 5 July 2013 - 00:15 #593788 Reply to:593773

แก้ไขแล้วครับ

By: Charin Tapang

on 5 July 2013 - 00:23 #593793 Reply to:593788

ตรงที่มาให้ใส่เครื่องหมาย แบบนี้ ที่มา: พันทิป หรือแบบนี้ ที่มา - พันทิป

ไม่ต้องใส่ภาาพใน Thumbnail ครับ

By: worr

on 5 July 2013 - 00:31 #593798 Reply to:593793

แก้แล้วครับ

By: ตะโร่งโต้ง

on 5 July 2013 - 02:14 #593826 Reply to:593798

รบกวนใส่เบรคก่อนภาพประกอบด้วยครับ :)

ช่างไฟสมัครเล่น (- -")

By: worr

on 5 July 2013 - 03:33 #593837 Reply to:593826

หมายถึง < br > รึเปล่าครับ

By: nuntawat

on 5 July 2013 - 06:42 #593849 Reply to:593837

ในหน้าเขียนข่าวจะมีปุ่ม "Split summary at cursor" อยู่ ให้วางเคอร์เซอร์ไว้จุดใดก็ได้บนภาพตามที่ต้องการ แล้วกดปุ่มดังกล่าว

อีกอย่าง Update -> อัพเดต

By: hisoft

on 5 July 2013 - 01:56 #593822 Reply to:593788

ยังไม่ได้เว้นวรรคหน้าวงเล็บเปิดครับ

By: hisoft

on 5 July 2013 - 01:51 #593819 Reply to:593773

20.50 น. => 20:50 น.

By: worr

on 5 July 2013 - 02:03 #593824 Reply to:593819

แก้ไขแล้วครับ

By: freeriod on 5 July 2013 - 00:31 #593799

อันตราย ไม่กล้าฝากละแบงค์นี้

By: hisoft

on 5 July 2013 - 01:55 #593820 Reply to:593799

แม้แต่ me by TMB ที่เป็นธนาคารบนคลาวด์ (เรียกแบบนี้ก็ไม่น่าผิดมั้งครับ) ยังเคยโดนเลยนะครับ หน้าเว็บธนาคารปกติที่ไม่ใช่ internet banking การรักษาความปลอดภัยมันต่างกันคนละระดับชั้นเลย

By: Persuader

on 5 July 2013 - 05:21 #593847 Reply to:593820

ไม่ไหวอยู่ดีครับแบบนี้
ถ้าธนาคารไม่ไล่ฝ่ายที่ทำเว็บออก
อีกหน่อยพอจะทำให้มันโอนเงินออกบัญชีบุคคลอื่นได้ มันก็ต้องหน้าเดิม ๆ นี่แหละที่ทำเว็บตรงส่วนนั้น
ธนาคารคงไม่น่าจะไปจ้าง outsource มาทำเฉพาะส่วนที่เอาไว้โอนบัญชีบุคคลอื่นหรอกครับ
แล้วตอนนั้นถ้าโดนแฮคขึ้นมาอีกจะเป็นยังไง

By: LazarusSP1

on 6 July 2013 - 11:30 #594230 Reply to:593847

ตอนนั้น ME เพิ่งเปิดตัวได้ 2 อาทิตย์เลยนะครับ

By: Architec

on 5 July 2013 - 09:33 #593870 Reply to:593820

+1 ผมเห็นแล้วขำอ่ะ แต่ระดับการเงินการธนาคารถ้ามาทำแบบชุ่ยๆนี่ผมก็ไม่ไว้ใจแล้วแหละ

บริษัทที่ผมทำ(เกี่ยวกับเงินโดยตรง)มีแต่พวกมั่นใจเกินเหตุ ผมไปเช็คดูพวก injection, ไม่มี SSL, ช่องโหว่อื่นๆ เพียบ (ตอนนี้ยังไม่มี two factor authen เลย) โดนผมด่ากระจาย ถ้าเป็นไปได้ให้จ้างพวกโปรแกรมเมอร์มีexp+ขี้ระแวงไว้ครับ

By: UltimaWeapon

on 5 July 2013 - 11:49 #593926 Reply to:593870

คนเก่งๆไม่มีใครมองเห็นหรอกคับ

By: tanapon000 on 5 July 2013 - 00:36 #593801

เวปธนาคารมีไว้โฆษณาอย่างเดียว ก็ไม่แปลกที่เขาไม่เน้นความปลอดภัยเท่าไร
แต่ถ้าธนาคารไหนมี Internet banking แล้วโดนแฮกนี่ผมคงเลิกใช้

By: heart

on 5 July 2013 - 01:22 #593813

ถึงหลายคนบอกว่า มันแค่แฮกเว็ปปรกติ แต่ผมว่า มันมีผลต่อความน่าเชื่อถือครับ

By: mr.zatanx

on 5 July 2013 - 08:52 #593861

ที่สุดเลย....

By: cku

on 5 July 2013 - 09:05 #593863 Reply to:593861

นึกถึงเสียงเจมส์จิที่โฆษณาวุฒิศักดิ์

By: oakkyza

on 5 July 2013 - 09:30 #593869

ฉลอง ๑๐๐ ปีเลย ...

By: nrml

on 5 July 2013 - 09:49 #593881

มันคือมาตรการรักษาความปลอดภัยที่วางไว้ตั้งแต่ต้นแล้วครับ ถึงแม้ว่า Hacker จะสามารถแฮคเข้ามาในเว็บได้ แต่คุณสามารถมั่นใจได้ว่าเขาเหล่านั้นจะไม่สามารถเข้าถึงเงินของคุณได้แน่นอน - โปรดไว้วางใจให้เราดูแลเงินของท่านเถิดครับ

By: ChoruS

on 5 July 2013 - 10:02 #593886

ออมสินกำลัง Implement SAP ครับ

By: iammeng

on 5 July 2013 - 10:36 #593893

Font กับ Theme สวยดีนะ

By: ilakya

on 5 July 2013 - 11:12 #593914

ดีนะคนแฮคแค่โชวพาว ลองนึกนะครับ ถ้าเขาแฮคแล้วเปลี่ยนหน้าเว็บ แล้วหลอกว่ามีการเปิดบริการ internet banking ทำหน้าสมัครปลอมๆมาให้กรอกรายละเอียดสำคัญในการยืนยันตัวตนต่อธนาคาร โดย domain ก็เป็นของตัวธนาคารเองแท้ๆ ต่อให้เป็นเว็บโฆษณาเฉยๆก็หลอกคนได้ไม่น้อยหรอกนะครับ

By: hisoft

on 5 July 2013 - 12:04 #593931 Reply to:593914

ถ้าทำหน้าแรกให้เหมือนเดิมเด๊ะ เปลี่ยนแค่ลิงค์ไป internet banking ให้ไปเซอร์เวอร์ตัวเองแทน จากนั้นก็ดักรหัสก่อนส่งผู้ใช้ต่อไปที่ระบบจริง อันนี้คงกินได้ยาวครับ เพราะการใช้งานเหมือนเดิม ไม่มีคนสังเกต ไม่มีคนแจ้ง กว่าจะรู้ตัวก็คงมีคนกดไปเข้าระบบหลายแล้ว

By: mk

on 8 July 2013 - 11:30 #594558

By: Bank14

on 9 July 2013 - 15:53 #595048

คนที่ทำงานสายเรา ก็พอเข้าใจกันครับว่าตรงเว็บไม่เน้นความปลอดภัยเท่าไหร่ แต่คนทั่วๆไปที่เขาไม่มีความรู้ทางเทคนิคพวกนี้ เขาก็เข้าใจว่าโดนแฮคหมดแหละครับ ความน่าเชื่อถือหายหมดเกลี้ยง

By: nrml

on 9 July 2013 - 16:41 #595058 Reply to:595048

ผมว่าคนทั่วไปเข้าใจว่าโดนแฮ็คก็ถูกแล้วครับ เข้าไปเปลี่ยนหน้าเว็บไซต์ซะขนาดนั้น ส่วนจะเข้าถึงข้อมูลอะไรยังไงบ้างก็คงต้องแยกไปเป็นอีกประเด็นหนึ่ง

Main menu