ธนาคารกลางสิงคโปร์ (MAS) เผยแพร่แนวทาง Shared Responsibility Framework กำหนดความรับผิดชอบของธนาคารและผู้ให้บริการโทรศัพท์มือถือในกรณีที่ลูกค้าถูกหลอกลวง โดยมุ่งเป้าการหลอกลวงในกลุ่มการปลอมตัวแบบ phishing และแอปดูดเงินก่อน แต่การหลอกลวงที่เหยื่อตกลงโอนเงินด้วยตัวเอง เช่น การหลอกลงทุน ยังไม่เข้าข่ายประกาศนี้
แม้ประกาศจะครอบคลุมถึงผู้ให้บริการโทรศัพท์มือถือ แต่ก็มีความรับผิดชอบเพียงแค่คัดกรอง SMS, ตรวจสอบและบล็อคข้อควาามเสี่ยงสูงเท่านั้น ความรับผิดชอบส่วนใหญ่อยู่กับธนาคาร โดยประกาศบังคับให้ธนาคารหรือสถาบันการเงินอื่น ต้องวางมาตรการเพิ่มเติม ได้แก่
- หน่วงเวลาลง digital token ใหม่ 12 ชั่วโมง ใช้ป้องกันกรณีคนร้ายได้รหัสผ่านเหยื่อไปแล้ว จากนั้นไปลงแอปที่เครื่องของคนร้ายเองและต้องการโอนเงินออกจำนวนมากๆ การหน่วงเวลานี้จะทำให้คนร้ายทำงานช้าลง
- แจ้งเตือนเมื่อมีกาารลง digital token ใหม่ หรือเกิดธุรกรรมความเสี่ยงสูง
- แจ้งเตือนเงินออกจากบัญชีทันที
- เปิดช่องทางล็อกบัญชีเร่งด่วน ให้ลูกค้าล็อกเงินออกได้ทันทีตลอด 24 ชั่วโมง
ก่อนหน้านี้ MAS เคยบังคับให้ธนาคารต้องรายงานธุรกรรมรายวันให้ลูกค้าฟรีมาก่อนแล้ว แต่ยังไม่ได้บังคับให้รายงานธุรกรรมทันทีเช่นนี้ การที่มีประกาศนี้เพิ่มเข้ามา แม้ว่าธนาคารจะวางมาตรการต่างๆ ไม่ครบก็ยังให้บริการต่อไปได้ แต่หากลูกค้าถูกหลอกขึ้นมาก็ต้องรับผิดชอบค่าเสียหายทั้งหมด
แนวทางนี้ยังค่อนข้างจำกัดมากโดยยังไม่ครอบคลุมการหลอกลวงผ่านช่องทางอื่นๆ ที่ไม่ใช่ช่องทางดิจิทัล เช่น คนร้ายโทรมาหลอกถามรหัสผ่าน ระหว่างการขอความเห็น มีผู้เสนอให้ MAS ขยายขอบเขตของประกาศแต่ MAS ก็ยืนยันจะเริ่มเท่านี้ก่อน แต่ไม่ขัดข้องหากธนาคารจะช่วยเหลือลูกค้ามากกว่าประกาศนี้
ที่มา - MAS
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
ค่อดดี
ต้องทำงานเชิงรุกแบบนี้สิ
..: เรื่อยไป
ของไทยจริงๆก็ป้องกันล่วงหน้าพอสมควรนะ อย่างล็อคบัญชีเร่งด่วนก็ไวถ้าแจ้งความไว แต่ปัญหาจริงๆคือกว่าเหยื่อจะรู้ตัวว่าโดนหลอก น่าจะใช้เวลาหลายวันจนถึงหลายสัปดาห์ โดยเฉพาะกรณีโดนหลอกลวงให้โอนไปพักเงินเพื่อหวังผลตอบแทน(อ้างว่าโดนตรวจสอบฟอกเงิน ให้โอนไปพักฝากไว้แต่จะได้ดอกเบี้ยสูงมากๆ) หรือโอนเพื่อจ่ายสินบนเพราะโดนขู่ว่ามีคดี
ส่วนเคสโดนhackแบบจริงๆโดยเฉพาะที่หลอกให้ลงแอพนอกstore น่าจะเหลือน้อยมาก(ไม่นับแอพหลอกลงทุน ทำงาน พนันออนไลน์ที่ลงเอง ล่าสุดเห็นคนโพสแอพหลอกว่าเป็นร้านในtiktok) ตัวแอพธนาคารเองก็ป้องกันเยอะมากจนคนใช้บ่นกันซะอีก
เรื่องรายงานธุรกรรมนี่บ้านเราทำผ่าน Line notificationกัน แต่เห็นเรื่องจะยกเลิกของฟรีแล้วบริการพวกนี้จะยังอยู่ไหมหว่า ปกติเสียเงินรับsmsรายงานรายเดือนอยู่เจ้านึงอยู่แล้ว แต่จะให้จ่ายเงินทุกเจ้าก็คงเปลืองไปหน่อย
ของไทยนี่ชิวๆ SMS Gateway ทั้งหลายลอยตัวสบายๆ ทั้งๆที่พวก Spam ทั้งหลาย ก็มาจาก SMS gateway พวกนี้แหละ
อย่างว่า กสทช. บ้านเรามันก็ทำหน้าที่ PR ให้ Operator ดีๆนี่เอง
เคยเฉียดใกล้ๆวงการนี้ เลยได้รู้มาบ้างว่า มันมีผลประโยชน์กันเยอะ operator ก็ได้เงินจาก sms กสทช. ก็รู้ๆ กันหลับหูหลับตาในสิ่งที่ operator ทำ(รับเงินไปแล้ว) วันนึงเป็นล้านจากพวก sms gateway เจ้าเดียว แล้วมีตั้งกี่เจ้า เดือนเท่าไหร่ก็คูณกันเอา ดังนั้นเราคงทำอะไรกันไม่ได้ ตราบเท่าที่กสทช. ยังรู้เห็นเป็นใจ operator ยังเห็นเงินสำคัญกว่าความถูกต้อง และ sms gateway ที่ยังไม่มีจิตสำนึก
กฎหมายทำอะไรได้มั้ย ทำได้ แต่ไม่ทำ ก็แค่นั้น
ซ้ำ
บ้านเรา
เกิดเรื่องขึ้นมาจะให้ ธนาคารรับผิดชอบฝ่ายเดียว
ส่วนค่ายมือถือก็ขายแพกเก็จ โทรไม่อั้น/SMS ล๊อตใหญ่ๆ
รับเงินจาก มิจฯ สบายๆฝ่ายเดียว ไม่ต้องรับผิดชอบอะไร
ไทยคือ ธนาคารยังไม่ใส่ใจมากพอ อยากให้ธนาคารใส่ใจมากกว่านี้และรัฐบาลควรกำหนดค่าเสียหายชดใช้แบบนี้บ้าง ไม่ใช่ไม่รับผิดชอบอะไรเลย ทั้งที่เรื่องทั้งหมดเกิดจากธนาคาร ทั้งบัญชีม้าต่างๆ เกิดจากความหละหลวมของธนาคารทั้งนั้นแต่ไม่ต้องรับผิดชอบอะไรเลย
พอจะทราบมั้ยครับว่า ทำไมธนาคารส่วนใหญ่ของไทยยังไม่นำฮาร์ดแวร์โทเคนมาใช้ให้แพร่หลาย นอกเหนือจากต้นทุนที่เพิ่มขึ้นนิดหน่อยกับการให้ความรู้ผู้ใช้งาน
เพิ่งเห็นอันนี้แหละ ที่น่าจะช่วยอะไรได้บ้าง