By: nismod 
on 17 October 2021 - 23:19
Tags:
Topics:
จากที่ในช่วงหัวค่ำมีประเด็นผู้เสียหายหลายราย ถูกตัดเงินจากบัตรเครดิตและเดบิตจำนวนมาก ล่าสุดธนาคารแห่งประเทศไทยชี้แจงแล้วว่า ไม่ได้เกิดจากการรั่วไหลข้อมูลของธนาคาร และไม่ใช่แอปดูดเงิน แต่เป็นรายการที่เกิดจากการทำธุรกรรมกับร้านค้าออนไลน์ที่จดทะเบียนในต่างประเทศ
นอกจากธนาคารแห่งประเทศไทยยืนยันว่า ธนาคารเจ้าของบัตรได้ดำเนินการระงับการใช้บัตรของลูกค้าที่ผิดปกติ รวมทั้งอยู่ระหว่างดำเนินการตรวจสอบร้านค้าที่มีธุรกรรมที่ผิดปกติเหล่านี้ และจะเร่งคืนเงินให้กับลูกค้าที่ได้รับความเสียหายตามขั้นตอนของธนาคารโดยเร็วต่อไป
ที่มา - Bank of Thailand
ภาพโดย flyerwerk
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Urgent Jobs
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
พี่จะบอกว่าเราไม่ผิดแต่ User Error ว่างั้น
I need healing.
ยังไม่เห็นธนาคารพูดแบบนั้นนะ แค่บอกว่าถูกตัดจากระบบออนไลน์ต่างประเทศ ซึ่งอาจเกิดจากการแฮก หรือซื้อข้อมูลบัญชีหลุดๆ เอาไปผูกกับระบบก็ได้
ตอบคำถามด้วยคำถาม
พยายามไปนั่งไล่อ่านในกลุ่มแชร์ข้อมูลแล้ว ทุกคนบอกแต่ว่าโดนของธนาคารไหน แต่แทบไม่มีใครบอกว่าเป็นบัตรของ Scheme ไหน (Visa / Master / JCB / Unionpay / AMEX) เลย อยากรู้เหมือนกันว่าเป็นปัจจัยด้วยมั้ย
น่าจะหลากหลายกันไปนะครับ แต่ละเจ้าเดบิต ตั้งต้นต่างกัน
เขียว visa ม่วง MasterCard ฟ้า unionpay
เข้าไปแก้วงเงินโอนไปต่างประเทศเป็น 0 เพื่อความชัวร์ก่อนดีกว่าแฮะ
โชคดีใช้แต่การ์ดเสมือนของ airpay และ true จะหักเงินเมื่อไหร่ค่อยเติมเงินเอา
ทำไมเรื่องนี้ผมไม่ได้ให้น้ำหนักว่าธนาคารโดนแฮกเลย น่าจะเป็น User หรือไม่โดนเอาข้อมุลจากที่อื่นมากกว่าอีก ฮ่า ๆ
+1
แต่การที่ธนาคารไม่มอนิเตอร์หรือแจ้งเตือนเจ้าของบัญชีเลย ปล่อยให้หักเงินรัวๆ ยอดละ 30 บาทไปจนเต็มหน้ากระดาษนี่มันก็น่าคิดนะครับ
ไม่รู้เกี่ยวกันมั้ยแต่เดือนที่แล้วผมได้รับ SMS จาก KTC ว่า "บัตรอยู่ในกลุ่มที่อาจจะถูกนำมาทำรายการทุจริตได้ จึงจำเป็นต้องทำการเปลี่ยนบัตรใหม่ ในช่วงนี้จะส่งผลให้บัตรเดิมของท่านไม่สามารถทำรายการออนไลน์ต่างประเทศบางประเภทได้เพื่อระงับความเสี่ยง"
หลังโทรไปถาม call center เค้าก็บอกเหมือข้อความด้านบน ก็คงโดนแฮ้คล่ะมั้ง สรุปก็เปลี่ยนบัตรใหม่
อ่านเจอเคสแปลกๆ แบบ โดนหักเงินจาก Facebook โดยการแฮคเพื่อนก่อนแล้วเพิ่ม ADMIN ด้วย
https://www.facebook.com/groups/1555785341424628/posts/1557386511264511/
ของผมก็โดนครับ เป็น visa ของ KTC แต่ธนาคารดีมากเลยครับ โทรมาถามว่าผมใช้หรือเปล่าผมก็ตอบว่าไม่ได้ใช้หลายเดือนแล้ว เขาจึงระงับบัตรและส่งใบใหม่มาให้แต่ผมไม่เปิดบัตรใช้เลยกลัวโดนอีก แต่จำได้ว่าผมใช้ซื้อออนไลน์และจ่ายอยู่ไม่กี่อย่างคือ shopee ,lazada,3bb ที่ผูกไว้จ่ายและชำระค่าสินค้าและบริการ ตอนนี้เลิกใช้บัตรเครดิตซื้อของออนไลน์ไปแล้วครับ ใช้พวก true wallet แทน อยากใช้เมื่อไหร่ก็เติมเงินเข้าไป
ไม่ใช่มาจากบรรดา website ที่รั่วทั้งหลาย ที่เป็นข่าวกันมาตั้งแต่ช่วงต้นปีนี้เหรอครับ? เห็นแต่ละเจ้ามีแต่บอกว่า ไม่มีข้อมูลทางการเงินรั่วไหล (แต่จริงๆ อาจจะมีก็ได้) เพราะว่าบาง site ผมก็ไม่ค่อยจะแน่ใจว่าข้อมูลบัตรที่กรอกไปเนี่ย เก็บไว้ที่ไหนเอาไปฝากไว้ที่ payment gateway หรือว่าเก็บไว้ในฐานข้อมูลของ website นั้นๆ เอง
คิดว่าน่าจะไม่ใช่ครับ เพราะ พวกที่กรอกผ่านเว็บไซต์ ส่วนใหญ่จะโดนติด otp หมด แต่กรณีนี้บัตรที่ไม่ติด otp เลยโดน
ส่วนสาเหตุ ที่บัตรไม่ otp นั้นหลุดมาจากไหนน่าจะต้องสืบต่อไป
ส่วนตัว ยังไม่เชื่อว่าหลุดมาจาก gateway ของเครื่อง รูด edc เพราะมันน่าจะเป็นไปได้ยากมาก
แต่กรณีมีคนจดเลขบัตรเป็นหมื่นๆใบก็เป็นไปได้ยากเหมือนกัน
ถ้าไม่ใช่ข้อมูลหลุดเฉยๆ แต่เป็น "โดนแฮก" ทำให้เก็บข้อมูลได้ทั้งหมด (เลขบัตร 16 หลัก, ชื่อ, วันหมดอายุ, CVV) แบบนั้นก็ยังเป็นไปได้นะครับ แม้เว็บอีคอมเมิร์ชจะห้ามเก็บหมายเลข 16 บัตรเอง แต่ถ้าถูกแฮกก็ดักข้อมูลระหว่างทางได้
lewcpe.com, @wasonliw
opt ต้องเปิดใช้ที่ฝังรับเงินครับ ถ้าจิ๊กข้อมูลบัตรไปกรอกเว็ปที่ไม่ได้เปิดใช้ opt ก็ตัดเงินได้เหมือนกัน
ถ้าจำไม่ผิด เลข OTP จะถูกส่งให้เบอร์ที่เจ้าของบัตรผูกไว้ก็ต่อเมื่อผู้ตัดบัตรตั้งค่าให้ส่งครับ
รวมถึงกรณีที่ยอดเงิน (ที่เรียกเก็บ) ไม่ถึงจำนวน XY฿ ก็จะไม่มีการขอรหัส OTP ด้วย
คนขี้ลืม | คนบ้าเกม | คนเหงาๆ
แต่รู้สึกเจ้าที่ ใช้ตัดเงินไป เป็นรายการต้องใส่ otp รึเปล่า (พวกเติมเหม จ่าย ads)
เรารู้สึกรอบนี้ไม่เหมือนกับที่โดนรูดที่เมืองนอกที่ บัตร otp ก็โดนรูดออกไปได้
ตรงนี้ผมไม่ทราบ แต่เดิมทีมันสามารถตัดบัตรโดยไม่ต้องกรอกรหัสอะไรเพิ่มเติมนอกจากเลขหน้าบัตร CVV และชื่อหน้าบัตร ส่วน OTP มันถูกเพิ่มมาทีหลัง แถมถูกปิดเป็นค่าเริ่มต้นครับ
ปล. พูดถึง OTP ก็อยากถามทุกธนาคารในไทยว่าเมื่อไรจะมีช่องทางอื่นสำหรับรับ OTP หรือเปิดใช้งาน 2FA เพราะตอนนี้ผมกล้าพูดเลยว่าบัญชี Steam Origin Uplay และ EGS ที่ผมมีอยู่ วิธีรับ OTP ของเค้าดีกว่าของธนาคารในไทย (เพราะเลือกรับผ่านทางพวก authenticator app ได้ ยกเว้น Steam ที่ต้องรับผ่าน app ของมันเอง หรือรับทาง email ก็ได้ ส่วน SMS มีแค่ไม่กี่เจ้าที่มี) แถม Origin และ EGS ก็รองรับ Yubikey ด้วยครับ
otp เป็น optional โดย standard ครับ บางทีก็รู้สึกสะดวกดี แต่ใจลึกๆ ผมก็รู้ดีว่ามันต้องเปืดตลอดสิวะ
ผมเดาว่ามันคงไม่ make sense กับการที่ user ต้องมากรอก otp เวลาที่ netflix หรือค่าน้ำค่าไฟที่เราสั่งตัดบัตรเอาไว้ทุกเดือนมั้งครับ
อยากบอกว่า OTP มีไว้ protect ร้านค้าครับ คือถ้าผ่านขั้นตอนนั้นมาได้แปลว่าลูกค้าไม่มีสิทธิ์โต้แย้งการรูด ต้องจ่ายเงินสถานเดียว ไม่ได้ทำให้ลูกค้าปลอดภัยขึ้นซักเท่าไหร่
คำชี้แจงเขียนแบบคลุมเครือนะ
เขียนเหมือนว่าข้อมูลบัตรหลุดจากต่างประเทศ (พร้อมกันเป็นหมื่นราย ?) แต่ในความจริงคือยังไม่รู้ว่าข้อมูลบัตรหลุดจากที่ไหน แต่โดนมิจฉาชีพเอาไปทำรายการที่ต่างประเทศต่างหาก
That is the way things are.
นั่นดิ ผมว่าหน่วยงานของรัฐ มีวิธีการตอบคำถามที่แปลกๆ
ดูเหมือนไม่มีความรู้เลย
ซ้ำ
That is the way things are.
มีใครในนี้โดนบ้างไหมครับ
ผมโดนครับ
ธนาคารระงับแล้วเปลี่ยนบัตรใหม่ให้ ได้รับบัตรใหม่ เปิดบัตรปั๊บ โดนอีกทันทีเป็นรายการแรกเลย (ตามด้วยการใช้จ่ายจริงของผมอีกไม่กี่รายการ)
ตอนนี้ระงับบัตรใหม่ไปอีกแล้ว กำลังรอธนาคารส่งบัตรใหม่มาอีกเป็นครั้งที่สองครับ
บัตรเปิดใหม่สดๆไม่ได้เอาไปผูกบริการที่ไหนแต่ยังโดนนี่แปลกมากนะครับ น่าสนใจว่ามีโอกาสโดนจากทางไหนบ้าง
เลขบัตรก็ใหม่ด้วยหรือเปล่าครับ
ใช่ครับ หลักฐาน → http://image.free.in.th/v/2013/iy/211019011913.jpg
ตอบคุณ checkmate95 ผมไม่อาจทราบได้ว่าเกิดจากอะไรนะครับ ธนาคารก็ให้การตอบสนองดี เปลี่ยนให้ทันทีไม่อิดออด
แต่จากที่ผมโดนเอง คุณคงเดาออกกันว่าผมจะเชื่อที่ ธปท. ชี้แจงหรือไม่?
นี่คือใบใหม่ เปลี่ยนใหม่สดๆ โดนก่อนการใช้จริง (เป็นรายการแรกหลังจากเปิดบัตรใหม่ด้วยแอปธนาคาร)
ธนาคารรับทราบกรณีผมไปแล้ว ผมเชื่อว่าเขาคงกำลังพยายามตรวจสอบอยู่ครับ
บัตรใหม่คงจะมาถึงในสัปดาห์นี้แหละครับ คราวนี้ผมจะจับตาแล้ว เริ่มจากทันที่ที่เปิดบัตรเลย จะเช็คทุก 12 ชั่วโมงไปเลย โดยไม่ทำอะไรกับบัตรนี้เลยไป 1 รอบเครดิต (เปิดบัตรเฉยๆ) จะได้เหมือนเป็นการช่วยธนาคาร debug ไปในตัวครับ เพราะถ้าผมร่วมมือแบบนี้แล้ว ยังมีรายการใช้จ่ายเกิดขึ้นได้อีก ก็.... นะ...
ดีที่ผมเป็นคนคุมวงเงินเสมอ บัตรผมมี credit line ถึงห้าแสน เคยใช้จ่ายทางธุรกิจถึง 2 ล้านในวันเดียว (5 แสน 4 ครั้ง) แต่ผมไม่ประมาทมานานแล้ว เพราะตั้งวงเงินไว้ให้เหลือแสนเดียว ถ้าจะใช้ทางธุรกิจก้อนใหญ่ค่อยเพิ่มเมื่อจะใช้
ไม่งั้นคงโดนเยอะ (ที่โดนไปก็คงถือว่าเยอะอยู่สำหรับหลายคน ไม่ใช่ยอดเล็กๆ แบบในข่าวครับ)
รายการที่โดนตาม statement ที่แสดงในแอป (ผมพบในแอปธนาคารนะครับ เพราะ statement แรกของบัตรใบนี้ยังไม่มีเลย ก็บัตรใหม่ยังไม่ครบรอบ) เป็นรายการชำระค่าสินค้าปลอดภาษีบนเครื่องบินสายการบินหนึ่งครับ ซึ่งไม่ใช่ flight ที่บินแถวนี้ด้วยซ้ำ
บัตรใบที่แล้ว (ก่อนเปลี่ยนเป็นใบนี้) มีรายการชำระค่าบริการ Netflix โผล่มาอื้อเลย มาจากหลายประเทศด้วยครับ ซึ่งผมติดต่อ Netflix ทันทีก่อนติดต่อธนาคาร ทาง Netflix จัดการทุกบัญชีที่ใช้เลขบัตรผมชำระและ refund ให้ทันที เสร็จแล้วผมจึงติดต่อธนาคาร ธนาคารจึงอายัดบัตรและเปลี่ยนบัตรใหม่ให้เป็นใบนี้ครับ
ที่จริงผมสงสัย VISA มากกว่า เพราะผมมีบัตรครบทุกค่ายนะ แม้กระทั่งบัตรเครือข่ายของจีน แต่ที่โดนคือ VISA ใบเดียวครับ ความคิดส่วนตัว ผมไม่สงสัยธนาคารไทยครับ รั่วได้เป็น mass แบบนี้ ผมสงสัยเครือข่ายของบัตรครับ ซึ่งการกล่าวหาเครือข่ายบัตรนี่ เรื่องใหญ่ยิ่งกว่าธนาคารเสียอีก
ส่วนคำชี้แจงของ ธปท. ผมเห็นว่าชี้แจงแบบปัดสวะออกไปก่อน โดยที่จริงก็ยังไม่รู้อะไรเลย
ขอบคุณครับ เคสแปลกมากเลย
บัตรใหม่มาถึงมือแล้ว เมื่อสักครู่เอง เรื่องเลขใหม่ "ไม่ใหม่ทั้งหมด" นะครับ
ผมแนบหลักฐานให้เพิ่มครับ → http://image.free.in.th/v/2013/it/211019054356.jpg
จะเห็นว่า โดนทันทีเป็นรายการแรก ซึ่งธนาคารคืนเงินเข้าบัตรให้แล้ว (แคปมาเพราะใบแจ้งหนี้รอบแรกของบัตรใบนี้ยังไม่มีเลย)
วันที่ 26 กันยายน ผมชำระค่าใช้จ่ายที่ค้างข้ามมาจากบัตรเก่า และ Activate บัตรใหม่ จากนั้นไม่ได้ใช้และไม่ได้เข้าแอปดูอีก ผมเริ่มใช้งานบัตรนี้จริงก็วันที่ 3 ตุลาคม หลังจากนั้นอีกไม่กี่วัน (6 หรือ 7) จึงเข้าแอปมาเห็นรายการผิดปกติของวันที่ 27 ครับ
โดยส่วนตัวผมจึงเชื่อว่ารั่วที่ VISA เองครับ ผมจึงไม่ติดใจอะไรกับธนาคาร
ถ้าเกิดขึ้นกับใบใหม่นี่อีก คงจะขอเลิกใช้ VISA ไปชั่วคราวก่อน รอดูให้ปัญหาจบก่อนค่อยว่ากันใหม่ครับ
bruh... รมต.DES หายไปไหนครับ
"ภารกิจหลักในการรับตำแหน่งรัฐมนตรีดิจิทัลคือการปกป้องสถาบันหลักของชาติ คือ ชาติ ศาสนา พระมหากษัตริย์"
https://www.blognone.com/node/124580
คือประชาชนเราไม่ได้อยู่ในภารกิจเค้าน่ะครับ
KTC JCB มี sms otp เข้ามาตอน 1.43 ของวันที่ที่ 8 ต.ค
ตื่นเช้ามาโทรหา KTC เจ้าหน้าที่แจ้งมีการพยายามตัดเข้ามาตอน ห้าทุ่มครึ่ง ของวันที่ 7 ต.ค ด้วยแต่ไม่สำเร็จ
จำนวนเงินประมาณ 13 บาท (เหมือนเป็นเว็ปไซต์ร้านอาหารต่างประเทศ) ส่วนยอดตอนตีหนึ่งไม่มีแจ้ง เจ้าหน้าที่เลยแนะนำอายัตบัตร แล้วส่งบัตรใหม่มาให้
บัตรนี่เปิดนานแล้วไม่ค่อยได้ใช้ ล่าสุดคือผูกเข้ากับแอป ชะ..ชะ..ชะ.... สีส้ม เมื่อเดือน ก.ย ที่ผ่านมาซื้อของไปได้ 2 ครั้ง ตอนนี้ลบบัตร JCB ทิ้งไปแล้ว แต่ KTC Mastercard ยังผูกอยู่ (ผูกนานมากแล้ว บัตรนี้ใช้มั่วไปทั่ว ทั้งออนไลน์ ออฟไลน์)
ธนาคารควรส่งเสริมการใช้ public-key cryptography ในการยืนยันการได้รับความยินยอมจากเจ้าของบัญชีในการจ่ายเงินเป็นครั้งๆ ไป SMS ไม่ปลอดภัยเพียงพอ
การสมัครบริการที่ชำระเป็นงวดควรให้ยืนยันแบบเจาะจงค่าอะไรอย่างใดอย่างหนึ่งเพียงรายการเดียว (เช่นค่าไฟฟ้า ค่าโทรศัพท์ ค่าอินเตอร์เน็ต ค่าเช่าห้อง) โดยไม่ให้นำไปใช้เบิกค่าอย่างอื่นได้ และให้กำหนดวงเงินว่าไม่เกินเท่าไรต่อเดือน
การผูกกับร้านค้าและอนุมัติล่วงหน้าให้กดซื้อของได้หลายอย่างแล้วร้านค้าแจ้งเบิกเงินจากธนาคารได้เลยเป็นความเสี่ยงสูงมาก ถ้าอนุญาตให้ทำ ธนาคารควรแจ้งเตือนความเสี่ยงก่อนให้เจ้าของบัญชีผู้จ่ายเงินยืนยันว่าจะยกเลิกหรือทำต่อ และควรแสดงรายการที่ยังมีผลทั้งหมดให้ตรวจสอบและยกเลิกได้ง่าย อาจจะให้เจ้าของบัญชีกำหนดวงเงินรายเดือนหรือเติมวงเงินเป็นครั้งๆ ไป
ขั้นตอนการรักษาความปลอดภัยที่ไม่สะดวก ธนาคารอาจไม่อยากทำให้ลูกค้ารู้สึกยุ่งยาก ถ้ามีกฎบังคับพร้อมๆ กันทุกธนาคาร อาจจะทำได้