ธนาคารสิงคโปร์เตรียมเลิกใช้ OTP แก้ปัญหาลูกค้าโดน phishing

By: lew

on 15 July 2024 - 11:37 Tags:

Topics:

Singapore

Banking

Security

สมาคมธนาคารสิงคโปร์ประกาศมาตรการเตรียมนำไปสู่การยกเลิกใช้งาน OTP ทั้งระบบ โดยเริ่มจากผู้ใช้ที่เปิดแอป digital token ไว้แล้วภายในสามเดือนข้างหน้าจะไม่สามารถใช้งาน OTP ได้อีก แต่สำหรับผู้ที่ยังไม่ได้ลงแอปนั้นธนาคารจะพยายามผลักดันให้ติดตั้งแอปต่อไป

One-Time Passwords (OTPs) เคยเป็นมาตรฐานที่ดีสำหรับการล็อกอินขั้นที่สอง มันช่วยลดความเสี่ยงที่ผู้ใช้จะถูกขโมยรหัสผ่านได้อย่างมาก อย่างไรก็ดี คนร้ายปรับรูปแบบการโจมตีโดยอาศัยเว็บ phishing ที่สามารถหลอกเหยื่อให้ใส่ OTP ไปยังคนร้าย หรือหากใช้ SMS OTP ก็มีความเสี่ยงที่จะถูกขโมยหมายเลขโทรศัพท์เพิ่มเข้ามา ทุกวันนี้แนวทางการล็อกอินขั้นที่สองต้องพิจารณาถึงการโจมตตี phishing เสมอ เช่น U2F หรือ FIDO ที่ตรวจสอบ URL ของเว็บที่ใช้งานอยู่ตลอดเวลา

Digital Token เปิดทางให้ผู้ใช้สามารถยืนยันการล็อกอินหรือธุรกรรมอื่นๆ ผ่านทางแอปพลิเคชั่นธนาคารได้ โดยผู้ใช้เพียงกดยืนยันการทำธุรกรรมผ่านหน้าจอแอปพลิเคชั่น โดยตัวแอปพลิเคชั่นสามารถยืนยันตัวตนผู้ใช้ที่กดอนุญาตการทำธุรกรรมด้วยลายนิ้วมือ, ใบหน้า, หรือ PIN ได้อีกชั้น ผู้ใช้จะเห็นว่าธุรกรรมที่กำลังยืนยันนั้นเป็นอะไร ทำให้ลดความเสี่ยงในการถูก phishing ที่คนร้ายสามารถนำ OTP ไปทำธุรกรรมอะไรก็ได้

แม้ว่าทางสมาคมธนาคารสิงคโปร์จะขีดเส้นตายไว้ที่สามเดือนข้างหน้า แต่แต่ละธนาคารอาจจะมีกำหนดการต่างกันไป เช่น UOB นั้นกำหนดยกเลิกการใช้ OTP สิ้นเดือนกรกฎาคมนี้

ที่มา - Association of Banks in Singapore

No Description

Hiring! บริษัทที่น่าสนใจ

Fastwork Technologies

Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน

Data Wow Co.,Ltd

We enable our clients to realize increased productivity by solving their most complex issues by Data

Band Protocol 🔥

Band is a protocol for managing and governing data in the Web3 technology stack.

Comments

By: KuLiKo

on 15 July 2024 - 12:17 #1316851

น่าสนใจ แต่ถ้ามือถือพังไปก็ลาก่อย

By: lew

on 15 July 2024 - 12:35 #1316856 Reply to:1316851

กลับไปสาขาครับ เช่นเดียวกับ HW OTP พัง

lewcpe.com, @wasonliw

By: forl on 15 July 2024 - 12:37 #1316857 Reply to:1316851

ต่อให้ยังมี otp แต่ถ้ามีเหตุเช่น มือถือพัง ซิมหาย เบอร์หาย ก็ต้องไปธนาคารไม่ต่างกันครับ

By: tom789

on 15 July 2024 - 12:55 #1316861 Reply to:1316851

เคยมือถือพังนะครับ แล้วทุกแอพต้องยืนยันผ่านมือถือหมด ต้องไปซื้อเครื่องใหม่เลย

By: hisoft

on 15 July 2024 - 13:44 #1316868 Reply to:1316851

การไปธนาคารเลยก็ปลอดภัยดี แต่ถ้ามีเหตุให้ไปธนาคารไม่ได้ สาขาอยู่ไกล (เช่น ไม่ได้อยู่ในไทย) นี่ก็จอดเหมือนกัน

จริงๆ ประเทศเล็กๆ แบบสิงคโปร์น่าจะพอเอาระบบ National Digital ID ไปใช้ได้บ้าง (e.g.)

By: lew

on 15 July 2024 - 14:22 #1316873 Reply to:1316868

จริงๆ หลายเคสยอมให้ยืนยันตัวตนใหม่ออนไลน์นะครับ อาจจะเป็น video call แต่ IAL อาาจจะต่ำกว่า ทำธุรกรรมบางประเภทไม่ได้

lewcpe.com, @wasonliw

By: hisoft

on 15 July 2024 - 15:12 #1316878 Reply to:1316873

ตอนที่เพิ่งเปลี่ยนโทรศัพท์ตอนเดือน 3 นี่เข้าสาขาถี่มากเลยฮะ หลายธนาคารเรียกให้เข้าไปเพื่อยืนยัน บางธนาคารถึงกับต้องเข้าไป dip บัตรประชาชนใหม่เพราะเปลี่ยนบัตรมาปีที่แล้ว ธนาคารไม่มีข้อมูลล่าสุดก็ไม่ยอมให้ทำอะไรเลยจนกว่าจะเข้าไปเอาบัตรเสียบที่สาขา

By: forl on 15 July 2024 - 12:38 #1316858

มันเป็นความสะดวกที่มาพร้อมความเสี่ยงล่ะนะ ถ้า OTP มันก็สะดวกดี แต่มันก็เสี่ยงตามความสะดวกที่ได้มา

By: FutureLifePlus

on 15 July 2024 - 12:41 #1316859

ในเมืองไทยเห็นหลัก ๆ ก็ UCHOOSE มี ไม่แน่ใจว่าแอปธนาคารอื่นมีแบบนี้เหมือนกันมั้ย

By: Iamz

on 15 July 2024 - 15:27 #1316880

ผมอยากให้ธนาคารไทยรองรับ 2FA แบบ hardware token มาก จะเอาให้ทุกคนในบ้านใช้เลย

By: Ooh

on 15 July 2024 - 15:46 #1316884 Reply to:1316880

ลงทุนสูงไปหน่อย

Ooh

By: Iamz

on 15 July 2024 - 18:04 #1316891 Reply to:1316884

หมายถึงต้นทุนฝั่งธนาคารหรือลูกค้าครับ ฝั่งธนาคารแค่ทำให้รองรับไม่น่าต้นทุนสูง ส่วนฝั่งลูกค้าก็ให้เป็นทางเลือก ใครมีก็เพิ่มเข้าไปได้ ใครไม่มีก็ใช้แบบตอนนี้เหมือนเดิม

By: Ford AntiTrust

on 15 July 2024 - 21:38 #1316908 Reply to:1316891

ลงทุนสูงเลยหล่ะ เพราะมันต้องซื้อ license ตัว iam เพิ่มสำหรับส่วนนี้ เพราะระบบ iam พวกนี้คิด license เป็นจำนวน user ครับ ไม่ใช่แบบเหมา (ยังไม่รวม M/A รายปีอีก ราคาก็ตามจำนวน user ใน iam ด้วย)

By: hisoft

on 15 July 2024 - 17:29 #1316889 Reply to:1316880

นี่อยู่เอสโตเนีย ระบบ national ID คือบัตรประจำตัว (smartcard เหมือนๆ ของไทย) และแอปโทรศัพท์ (มีระบบซิมโทรศัพท์ด้วยแต่ยังไม่เคยใช้) เป็น 2FA อัตโนมัติที่มีทุกคนเลย (2FA เพราะนอกจากมีของอย่างตัวบัตรหรือแอปที่ติดตั้งไว้แล้วต้องมี PIN ด้วย PIN1 - สำหรับยืนยันตัว PIN2 สำหรับลงลายเซ็น) เข้าแอปธนาคารไม่ว่าเจ้าไหนก็ใช้อันนี้ login (รวมไปถึงสารพัดระบบ แอป supermarket หรือเลือกตั้งออนไลน์ก็ยังใช้)

แล้วถึงเอาไป login แอปธนาคารได้ (ไม่ว่าด้วยช่องทางใด) พอจะโอนเงินไปที่แปลกก็ต้องลงลายเซ็นด้วย PIN2 อีก (เหมือนเวลาเราไปสาขาแล้วต้องเซ็นใบถอนเพราะลายเซ็นจาก PIN2 มีกำกับว่ามีผลในทางกฎหมาย แต่ออนไลน์)

แล้วแอปไม่ใช่ login แบบกดยืนยันเฉยๆ เป็นการ generate public/private keypair เหมือนในตัว smartcard เลยแล้วมี certificate chain ไล่มาจากทางรัฐอีกที เวลาจะเอาแอปนี้ไปลงเครื่องใหม่ login ด้วย user/password ไม่ได้ต้องเอาบัตรไป login แล้วใช้ PIN2 ลงลายเซ็นด้วยว่าจะสร้าง keypair & cert ใหม่มาใช้

เนี่ย แล้วคือมีทั้งแอปทั้งเว็บ ไม่ตรวจแคปจอ ไม่ตรวจ accessibility service จะใช้อะไรจะทำกันยังไงก็ทำไป ช่องทางดัก login ไปใช้ขโมยเงินนี่กันได้ค่อนข้างดีจากตัวโครงสร้างพื้นฐานเค้า
ถึงอย่างนั้น scammer ก็ยังเยอะนะฮะไม่ใช่ไม่มี แต่เป็นหลอกให้โอนเงินดื้อๆ 🥲 เผลอไม่มีสติไป login online ให้เค้าก็เสียได้เหมือนกัน

By: Tasksenger on 15 July 2024 - 18:18 #1316893 Reply to:1316889

อยู่เอสโตเนีย นี่เทพด้านระบบสารสนเทศภาครัฐเลยนี่ครับ เขามีระบบอะไรน่าสนใจที่แตกต่างจากที่ไทยบ้างครับ เคยดูข่าวเรื่องสังคมดิจิทัลในเอสโตเนีย แต่มันเป็นภาพรวมๆ ไม่ได้ลงรายละเอียด มีอะไรที่น่าสนใจที่ทำให้ประเทศเขาพัฒนาได้เร็วได้ในระยะแค่ 30 ปีบ้างครับ แชร์หน่อยจะเป็นพระคุณอย่างสูง

By: hisoft

on 15 July 2024 - 19:22 #1316896 Reply to:1316893

เยอะมากจนยังหาเวลาเล่าเป็นเรื่องเป็นราวไม่ได้ฮะ 😅 แต่ถ้าสรุปสั้นๆ (จะพยายาม)

national digital ID ที่เล่าไปคร่าวๆ แล้ว หลังได้บัตรแล้วแทบทำทุกอย่างออนไลน์ได้ นี่คือตั้งบริษัทและเซ็นสัญญาเช่าที่และอื่นๆ ออนไลน์ได้หมด พวกสัญญาก็อย่างที่บอกว่า back โดยเทค รัฐไม่ได้เก็บไม่ได้รับผิดชอบให้ ไม่ได้ผูกอยู่กับรัฐ (จริงๆ บัตรนี่ใช้ลงลายเซ็นใน Microsoft Word ได้เลยด้วยซ้ำ แต่ไม่มีผลทางกฎหมาย สาเหตุหลักเค้าบอกเพราะไม่มี server timestamp)
การกระจายป้องกันการผูกขาดค่อนข้างสูง
- สมมติไปรพ. ที่รพ. เหมือนจะออกใบสั่งยาให้อย่างเดียว ไม่ได้ขายยาตรงๆ (แต่ไม่แน่ใจขนาดนั้น ยังไม่เคยฮะ) ตัวใบสั่งยาจะอยู่ในระบบของภาครัฐ เราไปร้านยาแล้วบอกมาซื้อยาตามใบสั่ง ร้านยาจะ query ข้อมูลเราออกมา เราเองก็ดูข้อมูลพวกนี้ได้ที่ระบบกลางของรัฐเหมือนกัน (น่าจะ https://eesti.ee จะเห็นข้อมูลเกือบทั้งหมดของเราที่รัฐมี ชื่อ รูป ที่อยู่ ใบยา ประกัน ใบขับขี่ บัตร พาสปอร์ต บริษัท ภาษีก็เหมือนจะเห็นไม่รู้ต้องไปดูอีกเว็บมั้ย)
- ไม่ต้องห่วงว่าเจ้าตัวจะต้องไปเอง เราเซ็นให้สิทธิ์คนอื่นได้ แบบเรื่องข้อมูลมิเตอร์ไฟข้างล่างนี่เจ้าของบ้านก็มอบสิทธิ์ให้เรามาดูเองได้เลย
- โครงข่ายอินเทอร์เน็ต fiber optic มาถึงตึก ผ่านอะไรไม่รู้มาถึงห้องมีช่องแลนอยู่แล้ว เวลาจะติดก็กดเลือกแพ็คเกจออนไลน์ รอไม่เกิน 15 นาทีเสียบ LAN เข้า router (หรือคอม) ใช้ได้เลย เป็นโครงข่ายกลาง เลือกผู้ให้บริการเองอีกที แบบละเอียดหน่อย
- ไฟฟ้า คล้ายๆ กัน มีโครงข่ายกลางในพื้นที่ เลือกคนขายไฟฟ้าต่างหาก อันนี้ยาวมาก

คลิปนี้ไม่ได้ละเอียดแต่คิดว่าเข้าใจง่าย

By: Tasksenger on 15 July 2024 - 19:51 #1316899 Reply to:1316896

ขอบคุณมากครับ

By: lew

on 15 July 2024 - 19:22 #1316897 Reply to:1316880

OTP พวกนี้ยกเลิกหมดเลยครับ เพราะเลขจาก token ก็โดนคนร้ายหลอกไปใส่เว็บ phishing อยู่ดี

lewcpe.com, @wasonliw

By: Holy

on 15 July 2024 - 21:24 #1316907 Reply to:1316880

ดันอันนี้เหมือนกัน เมื่อไหร่จะมี จะให้คนที่บ้านใช้เป็นบัญชีหลักเลย

By: sMaliHug on 15 July 2024 - 19:09 #1316894

ผมว่าช่องโหว่ของ SMS คือแอฟที่ใช้จัดการsms มันไม่ปลอดภัย เช่นแอฟอื่นเข้าถึงได้ การเข้าไปอ่านเอา SMS ทำได้ง่าย ที่จริงถ้าเจอกันครึ่งทางก็น่าจะทำsmsให้แข่งแกร่ง และไม่มีการเปิดช่องให้allowเลยจะดีกว่า คือทำเหมือนแอฟ authen ไปเลย

By: hisoft

on 15 July 2024 - 19:24 #1316898 Reply to:1316894

แอปไม่ปลอดภัย โปรโตคอลไม่ปลอดภัย ขั้นตอนการขโมยซิมไม่ปลอดภัย หลายชั้นมากไปแหละฮะ ไม่น่าแก้ได้

By: crisis_xiii

on 16 July 2024 - 11:34 #1316941

คนไทยน่าจะยังไม่ชินกับ digital token เท่าไร ต้อง run parallel กันไปซักพัก ก่อนจะ notice ล่วงหน้าว่าจะยกเลิก

By: Guidenogo

on 17 July 2024 - 10:17 #1316986

วนไปเรื่อย ขึ้นอยู่กับมิจฉาชีพถนัดแบบไหน ก็หนีไปอีกทาง

Main menu