ธนาคารสิงคโปร์เตรียมเลิกใช้ OTP แก้ปัญหาลูกค้าโดน phishing

By: lew

on 15 July 2024 - 11:37 Tags:

Topics:

Singapore

Banking

Security

สมาคมธนาคารสิงคโปร์ประกาศมาตรการเตรียมนำไปสู่การยกเลิกใช้งาน OTP ทั้งระบบ โดยเริ่มจากผู้ใช้ที่เปิดแอป digital token ไว้แล้วภายในสามเดือนข้างหน้าจะไม่สามารถใช้งาน OTP ได้อีก แต่สำหรับผู้ที่ยังไม่ได้ลงแอปนั้นธนาคารจะพยายามผลักดันให้ติดตั้งแอปต่อไป

One-Time Passwords (OTPs) เคยเป็นมาตรฐานที่ดีสำหรับการล็อกอินขั้นที่สอง มันช่วยลดความเสี่ยงที่ผู้ใช้จะถูกขโมยรหัสผ่านได้อย่างมาก อย่างไรก็ดี คนร้ายปรับรูปแบบการโจมตีโดยอาศัยเว็บ phishing ที่สามารถหลอกเหยื่อให้ใส่ OTP ไปยังคนร้าย หรือหากใช้ SMS OTP ก็มีความเสี่ยงที่จะถูกขโมยหมายเลขโทรศัพท์เพิ่มเข้ามา ทุกวันนี้แนวทางการล็อกอินขั้นที่สองต้องพิจารณาถึงการโจมตตี phishing เสมอ เช่น U2F หรือ FIDO ที่ตรวจสอบ URL ของเว็บที่ใช้งานอยู่ตลอดเวลา

Digital Token เปิดทางให้ผู้ใช้สามารถยืนยันการล็อกอินหรือธุรกรรมอื่นๆ ผ่านทางแอปพลิเคชั่นธนาคารได้ โดยผู้ใช้เพียงกดยืนยันการทำธุรกรรมผ่านหน้าจอแอปพลิเคชั่น โดยตัวแอปพลิเคชั่นสามารถยืนยันตัวตนผู้ใช้ที่กดอนุญาตการทำธุรกรรมด้วยลายนิ้วมือ, ใบหน้า, หรือ PIN ได้อีกชั้น ผู้ใช้จะเห็นว่าธุรกรรมที่กำลังยืนยันนั้นเป็นอะไร ทำให้ลดความเสี่ยงในการถูก phishing ที่คนร้ายสามารถนำ OTP ไปทำธุรกรรมอะไรก็ได้

แม้ว่าทางสมาคมธนาคารสิงคโปร์จะขีดเส้นตายไว้ที่สามเดือนข้างหน้า แต่แต่ละธนาคารอาจจะมีกำหนดการต่างกันไป เช่น UOB นั้นกำหนดยกเลิกการใช้ OTP สิ้นเดือนกรกฎาคมนี้

ที่มา - Association of Banks in Singapore

No Description

Hiring! บริษัทที่น่าสนใจ

Bangkok Bank

Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking

CDG GROUP

Provider of IT solutions to public, state, and private sectors in Thailand for over 56 years

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

Comments

By: KuLiKo

on 15 July 2024 - 12:17 #1316851

น่าสนใจ แต่ถ้ามือถือพังไปก็ลาก่อย

By: lew

on 15 July 2024 - 12:35 #1316856 Reply to:1316851

กลับไปสาขาครับ เช่นเดียวกับ HW OTP พัง

lewcpe.com, @wasonliw

By: forl on 15 July 2024 - 12:37 #1316857 Reply to:1316851

ต่อให้ยังมี otp แต่ถ้ามีเหตุเช่น มือถือพัง ซิมหาย เบอร์หาย ก็ต้องไปธนาคารไม่ต่างกันครับ

By: tom789

on 15 July 2024 - 12:55 #1316861 Reply to:1316851

เคยมือถือพังนะครับ แล้วทุกแอพต้องยืนยันผ่านมือถือหมด ต้องไปซื้อเครื่องใหม่เลย

By: hisoft

on 15 July 2024 - 13:44 #1316868 Reply to:1316851

การไปธนาคารเลยก็ปลอดภัยดี แต่ถ้ามีเหตุให้ไปธนาคารไม่ได้ สาขาอยู่ไกล (เช่น ไม่ได้อยู่ในไทย) นี่ก็จอดเหมือนกัน

จริงๆ ประเทศเล็กๆ แบบสิงคโปร์น่าจะพอเอาระบบ National Digital ID ไปใช้ได้บ้าง (e.g.)

By: lew

on 15 July 2024 - 14:22 #1316873 Reply to:1316868

จริงๆ หลายเคสยอมให้ยืนยันตัวตนใหม่ออนไลน์นะครับ อาจจะเป็น video call แต่ IAL อาาจจะต่ำกว่า ทำธุรกรรมบางประเภทไม่ได้

lewcpe.com, @wasonliw

By: hisoft

on 15 July 2024 - 15:12 #1316878 Reply to:1316873

ตอนที่เพิ่งเปลี่ยนโทรศัพท์ตอนเดือน 3 นี่เข้าสาขาถี่มากเลยฮะ หลายธนาคารเรียกให้เข้าไปเพื่อยืนยัน บางธนาคารถึงกับต้องเข้าไป dip บัตรประชาชนใหม่เพราะเปลี่ยนบัตรมาปีที่แล้ว ธนาคารไม่มีข้อมูลล่าสุดก็ไม่ยอมให้ทำอะไรเลยจนกว่าจะเข้าไปเอาบัตรเสียบที่สาขา

By: forl on 15 July 2024 - 12:38 #1316858

มันเป็นความสะดวกที่มาพร้อมความเสี่ยงล่ะนะ ถ้า OTP มันก็สะดวกดี แต่มันก็เสี่ยงตามความสะดวกที่ได้มา

By: FutureLifePlus

on 15 July 2024 - 12:41 #1316859

ในเมืองไทยเห็นหลัก ๆ ก็ UCHOOSE มี ไม่แน่ใจว่าแอปธนาคารอื่นมีแบบนี้เหมือนกันมั้ย

By: Iamz

on 15 July 2024 - 15:27 #1316880

ผมอยากให้ธนาคารไทยรองรับ 2FA แบบ hardware token มาก จะเอาให้ทุกคนในบ้านใช้เลย

By: Ooh

on 15 July 2024 - 15:46 #1316884 Reply to:1316880

ลงทุนสูงไปหน่อย

Ooh

By: Iamz

on 15 July 2024 - 18:04 #1316891 Reply to:1316884

หมายถึงต้นทุนฝั่งธนาคารหรือลูกค้าครับ ฝั่งธนาคารแค่ทำให้รองรับไม่น่าต้นทุนสูง ส่วนฝั่งลูกค้าก็ให้เป็นทางเลือก ใครมีก็เพิ่มเข้าไปได้ ใครไม่มีก็ใช้แบบตอนนี้เหมือนเดิม

By: Ford AntiTrust

on 15 July 2024 - 21:38 #1316908 Reply to:1316891

ลงทุนสูงเลยหล่ะ เพราะมันต้องซื้อ license ตัว iam เพิ่มสำหรับส่วนนี้ เพราะระบบ iam พวกนี้คิด license เป็นจำนวน user ครับ ไม่ใช่แบบเหมา (ยังไม่รวม M/A รายปีอีก ราคาก็ตามจำนวน user ใน iam ด้วย)

By: hisoft

on 15 July 2024 - 17:29 #1316889 Reply to:1316880

นี่อยู่เอสโตเนีย ระบบ national ID คือบัตรประจำตัว (smartcard เหมือนๆ ของไทย) และแอปโทรศัพท์ (มีระบบซิมโทรศัพท์ด้วยแต่ยังไม่เคยใช้) เป็น 2FA อัตโนมัติที่มีทุกคนเลย (2FA เพราะนอกจากมีของอย่างตัวบัตรหรือแอปที่ติดตั้งไว้แล้วต้องมี PIN ด้วย PIN1 - สำหรับยืนยันตัว PIN2 สำหรับลงลายเซ็น) เข้าแอปธนาคารไม่ว่าเจ้าไหนก็ใช้อันนี้ login (รวมไปถึงสารพัดระบบ แอป supermarket หรือเลือกตั้งออนไลน์ก็ยังใช้)

แล้วถึงเอาไป login แอปธนาคารได้ (ไม่ว่าด้วยช่องทางใด) พอจะโอนเงินไปที่แปลกก็ต้องลงลายเซ็นด้วย PIN2 อีก (เหมือนเวลาเราไปสาขาแล้วต้องเซ็นใบถอนเพราะลายเซ็นจาก PIN2 มีกำกับว่ามีผลในทางกฎหมาย แต่ออนไลน์)

แล้วแอปไม่ใช่ login แบบกดยืนยันเฉยๆ เป็นการ generate public/private keypair เหมือนในตัว smartcard เลยแล้วมี certificate chain ไล่มาจากทางรัฐอีกที เวลาจะเอาแอปนี้ไปลงเครื่องใหม่ login ด้วย user/password ไม่ได้ต้องเอาบัตรไป login แล้วใช้ PIN2 ลงลายเซ็นด้วยว่าจะสร้าง keypair & cert ใหม่มาใช้

เนี่ย แล้วคือมีทั้งแอปทั้งเว็บ ไม่ตรวจแคปจอ ไม่ตรวจ accessibility service จะใช้อะไรจะทำกันยังไงก็ทำไป ช่องทางดัก login ไปใช้ขโมยเงินนี่กันได้ค่อนข้างดีจากตัวโครงสร้างพื้นฐานเค้า
ถึงอย่างนั้น scammer ก็ยังเยอะนะฮะไม่ใช่ไม่มี แต่เป็นหลอกให้โอนเงินดื้อๆ 🥲 เผลอไม่มีสติไป login online ให้เค้าก็เสียได้เหมือนกัน

By: Tasksenger on 15 July 2024 - 18:18 #1316893 Reply to:1316889

อยู่เอสโตเนีย นี่เทพด้านระบบสารสนเทศภาครัฐเลยนี่ครับ เขามีระบบอะไรน่าสนใจที่แตกต่างจากที่ไทยบ้างครับ เคยดูข่าวเรื่องสังคมดิจิทัลในเอสโตเนีย แต่มันเป็นภาพรวมๆ ไม่ได้ลงรายละเอียด มีอะไรที่น่าสนใจที่ทำให้ประเทศเขาพัฒนาได้เร็วได้ในระยะแค่ 30 ปีบ้างครับ แชร์หน่อยจะเป็นพระคุณอย่างสูง

By: hisoft

on 15 July 2024 - 19:22 #1316896 Reply to:1316893

เยอะมากจนยังหาเวลาเล่าเป็นเรื่องเป็นราวไม่ได้ฮะ 😅 แต่ถ้าสรุปสั้นๆ (จะพยายาม)

national digital ID ที่เล่าไปคร่าวๆ แล้ว หลังได้บัตรแล้วแทบทำทุกอย่างออนไลน์ได้ นี่คือตั้งบริษัทและเซ็นสัญญาเช่าที่และอื่นๆ ออนไลน์ได้หมด พวกสัญญาก็อย่างที่บอกว่า back โดยเทค รัฐไม่ได้เก็บไม่ได้รับผิดชอบให้ ไม่ได้ผูกอยู่กับรัฐ (จริงๆ บัตรนี่ใช้ลงลายเซ็นใน Microsoft Word ได้เลยด้วยซ้ำ แต่ไม่มีผลทางกฎหมาย สาเหตุหลักเค้าบอกเพราะไม่มี server timestamp)
การกระจายป้องกันการผูกขาดค่อนข้างสูง
- สมมติไปรพ. ที่รพ. เหมือนจะออกใบสั่งยาให้อย่างเดียว ไม่ได้ขายยาตรงๆ (แต่ไม่แน่ใจขนาดนั้น ยังไม่เคยฮะ) ตัวใบสั่งยาจะอยู่ในระบบของภาครัฐ เราไปร้านยาแล้วบอกมาซื้อยาตามใบสั่ง ร้านยาจะ query ข้อมูลเราออกมา เราเองก็ดูข้อมูลพวกนี้ได้ที่ระบบกลางของรัฐเหมือนกัน (น่าจะ https://eesti.ee จะเห็นข้อมูลเกือบทั้งหมดของเราที่รัฐมี ชื่อ รูป ที่อยู่ ใบยา ประกัน ใบขับขี่ บัตร พาสปอร์ต บริษัท ภาษีก็เหมือนจะเห็นไม่รู้ต้องไปดูอีกเว็บมั้ย)
- ไม่ต้องห่วงว่าเจ้าตัวจะต้องไปเอง เราเซ็นให้สิทธิ์คนอื่นได้ แบบเรื่องข้อมูลมิเตอร์ไฟข้างล่างนี่เจ้าของบ้านก็มอบสิทธิ์ให้เรามาดูเองได้เลย
- โครงข่ายอินเทอร์เน็ต fiber optic มาถึงตึก ผ่านอะไรไม่รู้มาถึงห้องมีช่องแลนอยู่แล้ว เวลาจะติดก็กดเลือกแพ็คเกจออนไลน์ รอไม่เกิน 15 นาทีเสียบ LAN เข้า router (หรือคอม) ใช้ได้เลย เป็นโครงข่ายกลาง เลือกผู้ให้บริการเองอีกที แบบละเอียดหน่อย
- ไฟฟ้า คล้ายๆ กัน มีโครงข่ายกลางในพื้นที่ เลือกคนขายไฟฟ้าต่างหาก อันนี้ยาวมาก

คลิปนี้ไม่ได้ละเอียดแต่คิดว่าเข้าใจง่าย

By: Tasksenger on 15 July 2024 - 19:51 #1316899 Reply to:1316896

ขอบคุณมากครับ

By: lew

on 15 July 2024 - 19:22 #1316897 Reply to:1316880

OTP พวกนี้ยกเลิกหมดเลยครับ เพราะเลขจาก token ก็โดนคนร้ายหลอกไปใส่เว็บ phishing อยู่ดี

lewcpe.com, @wasonliw

By: Holy

on 15 July 2024 - 21:24 #1316907 Reply to:1316880

ดันอันนี้เหมือนกัน เมื่อไหร่จะมี จะให้คนที่บ้านใช้เป็นบัญชีหลักเลย

By: sMaliHug on 15 July 2024 - 19:09 #1316894

ผมว่าช่องโหว่ของ SMS คือแอฟที่ใช้จัดการsms มันไม่ปลอดภัย เช่นแอฟอื่นเข้าถึงได้ การเข้าไปอ่านเอา SMS ทำได้ง่าย ที่จริงถ้าเจอกันครึ่งทางก็น่าจะทำsmsให้แข่งแกร่ง และไม่มีการเปิดช่องให้allowเลยจะดีกว่า คือทำเหมือนแอฟ authen ไปเลย

By: hisoft

on 15 July 2024 - 19:24 #1316898 Reply to:1316894

แอปไม่ปลอดภัย โปรโตคอลไม่ปลอดภัย ขั้นตอนการขโมยซิมไม่ปลอดภัย หลายชั้นมากไปแหละฮะ ไม่น่าแก้ได้

By: crisis_xiii

on 16 July 2024 - 11:34 #1316941

คนไทยน่าจะยังไม่ชินกับ digital token เท่าไร ต้อง run parallel กันไปซักพัก ก่อนจะ notice ล่วงหน้าว่าจะยกเลิก

By: Guidenogo

on 17 July 2024 - 10:17 #1316986

วนไปเรื่อย ขึ้นอยู่กับมิจฉาชีพถนัดแบบไหน ก็หนีไปอีกทาง

Main menu