แบงค์ชาติออกประกาศมาตรฐานความปลอดภัยแอปธนาคาร หนึ่งบัญชีหนึ่งเครื่อง, ต้องทำ Certification Pinning

By: lew
FounderJusci's WriterMEconomicsAndroid
on 13 February 2025 - 21:06 Tags:
Topics: 
Bank of Thailand
Security
Mobile Banking
Node Thumbnail

ธนาคารแห่งประเทศไทยประกาศแนวทางการรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนโทรศัพท์มือถือ เป็นการรวบรวมข้อกำหนดต่างๆ จากประกาศของธนาคารแห่งประเทศไทยเองที่มีมาก่อนหน้านี้ให้เป็นประกาศเดียวกัน

แนวทางบังคับให้สถาบันการเงินต้องมีมาตรการ ได้แก่

  1. ห้ามส่งลิงก์ทั้งผ่าน SMS และอีเมล สำหรับการโพสข้อมูลบน social media ห้ามโพสลิงก์ที่มีการขอข้อมูลสำคัญ แต่สามารถส่งลิงก์ได้เมื่อผู้ใช้ขอเป็นรายครั้ง
  2. ธนาคารต้องติดตามการสร้างแอปปลอมทั้งบนสโตร์และนอกสโตร์
  3. แอปธนาคารใช้ได้ 1 อุปกรณ์ต่อ 1 บัญชี ลงสองเครื่องใช้โทรศัพท์มือถือและไอแพดไม่ได้
  4. ต้องมีการยืนยันตัวตนด้วย biometric เพิ่มเติม เมื่อมีธุรกรรมเกิน 50,000 บาท, ธุรกรรมทั้งวันเกิน 200,000 บาท, และปรับวงเงินเกิน 50,000 บาท
  5. กำหนดเพดานวงเงินตามความเสี่ยงของผู้ใช้บริการ ทั้งกรณีผู้ใช้เป็นเหยื่อ หรือผู้ใช้เป็นบัญชีม้า

มาตรการบนตัวแอป มีมาตรการเพิ่มเติมอีกหลายประการ ทั้งการเข้ารหัสข้อมูล, แสดงผลข้อมูลอย่างปิดบังข้อมูลสำคัญ รวมถึงการทำ "certification pinning หรือวิธีอื่นที่เทียบเท่า", ทำ source code obfuscation ป้องกันการอ่านโค้ด, ตรวจจับเครื่อง root, ห้ามใช้แอปเมื่อติดตั้งแอปขอสิทธิช่วยเหลือคนพิการหรือแอปควบคุมเครื่องระยะไกล, ตลอดจนห้ามใช้แอปธนาคารในเครื่องที่เก่าจนมีความเสี่ยงที่ TB-CERT ประกาศแจ้งเตือน หรือหากจะให้เครื่องเก่าใช้งานได้ก็ต้องปรับวงเงินไม่เกินวันละ 5,000 บาท

มาตรการในประกาศจำนวนมากเป็นมาตรการที่หลายธนาคารใช้มาก่อนหน้านี้แล้ว ความเปลี่ยนแปลงกับคนทั่วไปจึงไม่มากนัก ที่น่าแปลกใจคือประกาศยังคงสนับสนุนให้ทำ certification pinning (แกมบังคับ แม้จะระบุว่าใช้วิธีเทียบเท่าได้) โดยกระบวนการนี้เป็นกระบวนการลดความเสี่ยงที่ใบรับรองจะถูกออกโดย certification authority ที่ไม่ได้รับอนุญาต แต่เนื่องจากช่วงหลังมีกระบวนการตรวจสอบที่ดีขึ้นผ่านทาง CT log ทำให้กูเกิลที่เป็นผู้ใช้วิธีนี้เป็นวงกว้างคนแรกๆ เลิกใช้งานไปเมื่อปี 2018 ฝั่ง Let's Encrypt ก็เริ่มบีบทำให้ทำได้ลำบากขึ้น รวมถึง Cloudflare ออกมาขอร้องให้ลูกค้าเลิกทำ

ประกาศฉบับนี้มีผลจริงในเดือนมีนาคม 30 วันหลังประกาศ ยกเว้นการบังคับระบบปฎิบัติการเก่าให้มีผลใน 60 วัน

ที่มา - Bank of Thailand

Get latest news from Blognone

Comments

By: hisoft
ContributorWindows PhoneWindows
on 13 February 2025 - 21:19 #1333484
hisoft's picture

ของเอสโตเนียนี่ยังไม่เคยเจอข้อจำกัดอะไรเลย เข้าผ่านแอปเข้าผ่านเว็บก็ได้ แต่เหมือนจะมีข้อจำกัดยอดสูงสุดอยู่มั้ง ตอนทำธุรกรรมยอดสูงหน่อยจะมีให้เซ็นด้วย private key ของรัฐเพิ่มมา 🤔 แต่มันก็กดไม่กี่ที ของธนาคารไทยยอดเกิน 50k นี่เคยแบบทำเกือบสิบรอบ ปรับไฟส่องไฟกันไม่รู้กี่ที
แต่เหตุที่ทำได้ก็เพราะ national digital ID นั่นแล 😩 อันนี้ยากจริง

By: peakna
Android
on 13 February 2025 - 22:13 #1333487
peakna's picture

ทำไมบางข้อจำกัดเหมือนโยนภาระมาที่ประชาชน เหมือนวางระบบไม่รัดกุมพอมีปัญหาไม่แก้ผลักภาระไปที่ประชาชนใครที่ไม่รู้ไม่อ่านข่าวติดตามข่าวก็รับกรรมไป

By: lew
FounderJusci's WriterMEconomicsAndroid
on 13 February 2025 - 22:21 #1333488 Reply to:1333487
lew's picture

ข้อไหนหรือครับ

ส่วนตัวข้อที่ขัดใจผมคงมีข้อเดียวคือ accessibility ที่มีคนต้องใช้จริง แต่ถ้ามีแนวทางชัดเจน (ติดต่อธนาคารของ exempt) โดยทั่วไปก็น่าจะไม่ได้กระทบกับ end user นัก

lewcpe.com, @wasonliw

By: ipats
ContributorNOOBIn Love
on 13 February 2025 - 23:36 #1333494 Reply to:1333488

1 บัญชี 1 อุปกรณ์ คนทั่วไปใช้ในชีวิตประจำวันคงไม่กระทบอะไร แต่คนที่กระทบก็คงไม่น้อย โดยเฉพาะปัจจุบันที่หลายธนาคารเลิกให้บริการบนเว็บไปแล้ว

iPAtS

By: lew
FounderJusci's WriterMEconomicsAndroid
on 13 February 2025 - 23:45 #1333495 Reply to:1333494
lew's picture

อันนี้ไม่แน่ใจ แต่ถ้ามัน provision บนเครื่องใหม่ได้ไม่ยากมากก็ไม่น่ามีปัญหา? เพราะแค่ login ใหม่ยาวๆ หน่อย สแกนหน้า ใส่เลขบัตร ฯลฯ

lewcpe.com, @wasonliw

By: skycreeper
iPhoneBlackberryUbuntu
on 14 February 2025 - 01:26 #1333498 Reply to:1333494

คนที่กระทบ อย่างน้อยก็สำหรับ SCB แล้วกัน:
1. คนที่ไม่สะดวกไปสาขา (เช่นอยู่นอกไทย) แล้วเปลี่ยนเครื่องใหม่
2. (1) + คนที่ยังไม่แสกนหน้าที่สาขา
3. (1) + คนที่แสกนหน้าที่สาขาเป็นสิบๆ รอบแล้ว ยังไงก็ไม่ผ่านสักที

By: cultural-foam-knee on 14 February 2025 - 04:32 #1333501 Reply to:1333487

น่าจะเป็นการจี้พวกบัญชีม้า ที่จับต้นตอไม่ได้เพราะม้าเยอะเปิดง่ายใช้ง่าย พอเขาจี้ให้เงื่อนไขเยอะขึ้นยากขึ้น เมื่อต้นทุนสูงถึงจุดนึงที่ไม่คุ้มมันจะเลิกทำไปเอง

By: moonoiz on 13 February 2025 - 22:22 #1333489

ปัจจุบันปัญหาแทบทั้งหมดเกิดจากผู้ใช้ทั้งนั้นเลยที่สมัครใจโอนเงินให้มิจฉาชีพ ไม่ว่าตัว OS จะอัพเดท security patch ล่าสุดหรือไม่ก็ตาม

By: lew
FounderJusci's WriterMEconomicsAndroid
on 13 February 2025 - 22:25 #1333490 Reply to:1333489
lew's picture

แต่ถ้าปล่อยอีกแอปดูดเงินก็น่าจะกลับมาครับ การที่เราแก้ปัญหาเดิมได้แล้วจนปัจจุบันอยุ่กับปัญหาอื่น ของเดิมก็ต้องอุดต่อ

lewcpe.com, @wasonliw

By: iqsk131 on 14 February 2025 - 01:07 #1333497 Reply to:1333490

อันนี้ผมแอบสงสัยครับ ว่าเหยื่อที่โดนแอปดูดเงินเนี่ย มันเคยเยอะขนาดนั้นจริงๆเหรอ

เพราะผมไม่เคยเห็นสถิติในไทยเลยว่าเหยื่อที่โดนแอปดูดเงินจริงๆ (ที่ไม่ใช่พูดเองว่าโดนแอปดูดเงินนะ) มีเยอะขนาดไหนและเป็นแอปดูดเงินประเภทไหน ก็เลยรู้สึกว่าจริงๆมันไม่น่าจะเยอะและเรากำลังเน้นป้องกันผิดจุดอยู่หรือเปล่า (ไม่ได้บอกว่าไม่ดีหรือไม่ควรทำนะ)

แต่ผมอาจจะอคติไปเองก็ได้ พอดีเป็นคนที่ได้รับผลกระทบจากการป้องกันแอปดูดเงิน ลึกๆเลยอาจจะแค่อยากหาเรื่องพาลก็ได้ 55+

By: lew
FounderJusci's WriterMEconomicsAndroid
on 14 February 2025 - 08:13 #1333505 Reply to:1333497
lew's picture

ตัวเลขของแบงค์ชาติเก็บแค่ปี 2023 ไตรมาสละ 6000-8000 เคสครับ ก่อนลดลงมา ถ้าคิดก็ประมาณวันละ 70-90 คดี ความเสียหาย เดือนละ 100-200 ล้านบาท

ส่วนตัวมีคนใกล้ชิดโดน ก็รู้สึกว่าเยอะครับ

lewcpe.com, @wasonliw

By: YongZ on 14 February 2025 - 14:02 #1333530 Reply to:1333489

มันก็จริง แต่คิดแบบนี้นอกจากปัญหาไม่บรรเทาจำนวนผู้เสียหายก็มีแต่จะเพิ่มขึ้นเรื่อยๆเพราะโจรหากินง่าย สำหรับผมยังไงแบงค์กับค่ายมือถือต้องร่วมแก้ปัญหาถ้าพวกคุณไม่ทำก็จะไม่มีใครทำเพราะไม่ใช่ธุรกิจเปิดเสรีให้คนอื่นเข้ามาแข่งขัน

By: Freedomlover
AndroidRed HatUbuntuWindows
on 13 February 2025 - 22:33 #1333491

ข้อ 3 หมายถึง บัญชีเข้าใช้งานใช่ไหมครับ ไม่ใช่บัญชีธนาคาร

By: Elysium
ContributorWindows PhoneSymbianWindows
on 13 February 2025 - 23:32 #1333493 Reply to:1333491
Elysium's picture

ใช่ครับ ส่วนตัวก็เข้าใจอย่างนั้น

แต่เท่าที่ไปดูในเพจและเว็บต่างๆ เหมือนจะมีคนเข้าใจว่า 1 บัญชีธนาคาร, ต่อ 1 ธนาคาร, ต่อ 1 เครื่อง

ใดๆ ไม่ใช่ว่า (ปัจจุบัน) มันเป็นมาตราฐานปรกติอยู่แล้วหรือเปล่า ถ้ามีการลงชื่อเข้าใช้ (เปิดใช้งานแอพ) ในเครื่องที่สอง จะระงับการใช้งาน (ลงชื่อเข้าใจไม่ได้) ในเครื่องที่ 1 โดยอัตโนมัติ

คนขี้ลืม | คนบ้าเกม | คนเหงาๆ

By: Freedomlover
AndroidRed HatUbuntuWindows
on 14 February 2025 - 11:33 #1333525 Reply to:1333493

ใช่ครับ ผมอ่านจากบางเพจ หรือบาง tiktok บอก เหมือนเลือกได้แค่ 1 บัญชีธนาคาร ผมก็ งงๆ

By: iqsk131 on 14 February 2025 - 00:53 #1333496

ยังบังคับตรวจจับ bootloader อยู่ไหมนะ ส่วนตัวชอบลงรอมโม (แต่ไม่ root) แต่เพราะช่วงที่ผ่านมาแอปธนาคารทั้งหลายดันดัก bootloader ด้วยเลยต้องยอมกลับไปใช้ stock

By: 白羊
In Love
on 14 February 2025 - 02:57 #1333500
白羊's picture

ขัดใจข้อสามนะ แอปธนาคารใช้ได้ “1 อุปกรณ์ต่อ 1 บัญชี ลงสองเครื่องใช้โทรศัพท์มือถือและไอแพดไม่ได้” นี่มีแอป BOFA ทั้งมือถือ ไอแพด แมค ในแอปเปิลวอชก็มีเช็คยอดเงินตลอด สแปมส่งมาที มิจจี้ส่งมา โทรมาทีเช็คยอดตลอด เพราะเคยไปงาน fair เอาบัตรรูดซื้อของกิน โดน wire transfer หมดบัญชี ธนาคารเร็วกว่าเราอีก ระงับทุก transaction ส่งเมสเสจมาเตือน มิจจี้ก็ไฟท์ wire ไม่ได้ เปลี่ยนเป็นซื้อกิฟการ์ดทีละยี่สิบห้า ห้าสิบ ธนาคารระงับหมด ส่งเมล์มาเตือนมัวแต่นั่งกิน ยังไม่เช็คอะไรเลย ฮาาาาา สรุปธนาคารฟรีซให้หมด ทุกอย่าง ทำบัตรใหม่ จบ เพราะ suspicios activities ที่เราไม่เคยทำ BOFA ไวมากกกก ไอเลิฟ

By: readonly
iPhone
on 14 February 2025 - 05:43 #1333502
readonly's picture

ข้อ 2 มันควรมีมาตั้งนารแล้วไม๊

By: lew
FounderJusci's WriterMEconomicsAndroid
on 14 February 2025 - 08:14 #1333506 Reply to:1333502
lew's picture

หลายข้อยกมาจากประกาศเก่ามารวมที่เดียวกันครับ บางข้อมีมา 6 ปีแล้ว ผมยังไม่ได้เช็คว่าข้อไหนเริ่มปีไหน

lewcpe.com, @wasonliw

By: orchidkit on 14 February 2025 - 07:34 #1333504

ที่เป็นเหยื่อนี่คือโอนเองซะ 99% ไม่ได้เป็นที่ระบบเลย

นี่จำกัดจนใช้งานลำบาก ปกติผมลง anydesk ไว้บนมือถือด้วย นี่ใช้อะไรไม่ได้เลย

ยิ่งห้ามฟังชั่น accessibility ต่างๆ คนพิการต้องพึ่งพาคนอื่นเพิ่มขึ้นอีก ทั้งที่เรื่องการเงินควรเป็นส่วนตัว

By: lew
FounderJusci's WriterMEconomicsAndroid
on 14 February 2025 - 11:01 #1333521 Reply to:1333504
lew's picture

ถ้าก่อนมาตรการต่างๆ คดีแอปดูดเงิน 6000-8000 คดีต่อไตรมาส โอนไปเอง 22000-25000 คดีต่อไตรมาส

แอปดูดเงินเป็นส่วนน้อย แต่ก็ระดับ 20-30% นะครับ เพิ่งมาหายไปหมดช่วงหลังนี่เอง

lewcpe.com, @wasonliw

By: suriyan2538 on 14 February 2025 - 10:33 #1333518
suriyan2538's picture

เรื่องจำกัด accessibility นี่โคตรไม่เห็นด้วยครับ

ผมใช้ไอโฟนไม่กระทบ แต่สำหรับคนตาบอดที่ใช้แอนดรอย (ซึ่งเป็นส่วนใหญ่) กระทบแน่นอน

อ่านแล้วก็ท้อใจจริงๆ ส่วนใหญ่ถูกหลอกโอนเองแท้ๆ แต่มาตรการที่ออกมา ดันกระทบกับคนพิการทางสายตาซะงั้น

โอเคแหละ สามารถแจ้งข้อยกเว้นไปที่ธนาคารได้ แต่ก่อนหน้านั้นก็ต้องอาศัยคนตาดีหลายอย่าง รวมถึงมีขั้นตอนเพิ่มมาอีก ทั้งที่เดิมทีกว่าคนตาบอดจะเปิดบัญชีได้ เปิดแอปธนาคารได้ บ่อยครั้งก็ต้องไปเถียงเอากับพนักงานธนาคารกันอยู่แล้ว พอมาเคสนี้ ก็ต้องเพิ่มประเด็นการเจรจาเข้ามาอีก เป็น "คนกลุ่มน้อย" ลำบากแท้

By: tisana
iPhoneAndroidUbuntuWindows
on 14 February 2025 - 11:49 #1333526

สิ่งหนึ่งที่รอแต่ไม่เคยได้ซักทีคือ 2FA เนี่ยแหละ optional ก็ได้

By: IDCET
Contributor
on 14 February 2025 - 12:53 #1333527

ผมว่าเครื่อง root, custom bootloader หรือ custom rom มันควรจะมีทางเลือกกับทางธนาคารเพื่อให้ white list เป็นรายเครื่องบ้าง แลกกับยอมรับความเสี่ยงที่จะเกิดขึ้นก็น่าจะดีนะ โดยเฉพาะ rom ที่น่าเชื่อถือหรือ rom ที่ผู้ใช้งานทำเอง เพราะผมว่าทางเลือกนี้ ก็เป็นที่ข้อที่เกิด e-Waste โดยไม่มีความจำเป็น

ความล้มเหลว คือจุดเริ่มต้นสู่ความหายนะ มีผลกระทบมากกว่าแค่เสียเงิน เวลา อนาคต และทรัพยากรที่เสียไป - จงอย่าล้มเหลว

By: specimen
Windows PhoneAndroid
on 14 February 2025 - 14:23 #1333533
specimen's picture

พึ่งเจอกับตัวเอง สด ๆ ร้อน ๆ เลย เมื่อเช้านี้

เปิดบัญชีใหม่ เริ่มใช้งาน app สแกนหน้าไม่ผ่าน ทำอยู่เกือบสิบนาที กว่าจะผ่าน พนักงานก็ไม่ต้องมาบริการคนอื่นเลย มายืนช่วย บางที ขึ้นกรอบเขียวแล้ว มือขยับนิดนึงกรอบหาย บางทีกรอบขึ้นสีเขียว แต่ไม่เห็นว่า app ให้ทำอะไรต่อ เพราะว่า เวลาถอดแว่น จะอ่านข้อความใน app ไม่เห็น ว่าให้กระพริบตา ซ้ายหัน ขวาหัน พนักงานต้องคอยมายืนเฝ้า รอว่ากรอบขึ้นเขียวเมื่อไหร่ แล้วอ่านข้อความจากหน้าจอว่าให้ทำอะไรต่อ

ซึ่งพนักงงานก็รู้ล่วงหน้าอยู่แล้ว ว่ามีปัญหาแน่ เพราะลูกค้ามีหนวด ต้องเจอปัญหาแน่นอน
ธนาคารนี้ ถ้าหากทำรายการปรับเพิ่มวงเงินใน app ไม่ได้ ไปทำเรื่องปรับเพิ่มวงเงินโอนที่สาขา ใช้เวลา 5 วันทำการจ้า

ถ้าเป็นคนไม่ประมาท จำกัดความเสียหาย ตั้งวงเงินไว้น้อย ๆ ก็ซวยไป เพราะถ้าปรับวงเงินไม่ผ่าน เวลาฉุกเฉินต้องโอนเงินยอดใหญ่ เช่นเข้าโรงพยาบาล แล้วสแกนหน้าไม่ผ่าน ก็แจ็คพ็อท คงไม่มีใครมาบอกให้ไปถอนที่สาขาตอนตีสองนะ
ดังนั้น เห็นอนาคตเลย ว่าจะเกิดไรขึ้น

มันน่าจะมีทางเลือกอื่นที่เป็นตัวเลือก นอกเหนือจากการสแกนหน้านะ ถ้าระบบสแกนหน้า ยังประสบปัญหาเยอะในระดับที่พนักงานธนาคารรู้ล่วงหน้าว่า มีปัญหาแน่ ควรจะมีทางออกที่สอง อาจจะเป็นการสแกนนิ้ว เป็นอีกทางเลือก สำหรับโทรศัพท์ที่สแกนนิ้วได้ เจ้าของโทรศัพท์ เป็นคนเลือกใช้ เลือกรับความเสี่ยงได้เอง

By: orchidkit on 14 February 2025 - 14:51 #1333536

ไม่ควรเป็นการบังคับ
แต่เป็นการสมัครใจว่าจะเปิดหรือปิดระดับความปลอดภัยแค่ไหน
บังคับให้ค้างหน้าจอคำเตือนเป็นลายลักษณ์อักษรและเสียงอ่านคำเตือนไปเลย บังคับให้ฟังจนจบแล้วถึงกด ยอมรับ ได้

แค่ระบุว่าให้รับความเสี่ยงเอง ธนาคารไม่รับผิดชอบ เพราะถือว่าทำ agreement ยอมรับใน app ด้วยตัวเอง

super user ที่ต้องใช้จริงๆจะได้มีทางเลือก

By: specimen
Windows PhoneAndroid
on 14 February 2025 - 15:01 #1333537 Reply to:1333536
specimen's picture

เห็นด้วยกับอันนี้นะ

ระบบความปลอดภัยสูง เปิดมาเป็นค่า default ถ้าต้องการปรับเปลี่ยน ต้องไปทำรายการที่สาขา ยืนยันตัวเอง เพื่อปรับเปลี่ยน หรือลด ระดับความปลอดภัย

By: iamfalan
iPhoneAndroidWindows
on 14 February 2025 - 18:50 #1333558

Cert pinning หรือเทียบเท่า มันก็น่าจะใช้ CT log ทดแทนได้หรือเปล่าครับ (แต่น่าจะระบุไปเลยว่า cert pinning หรือ ct log)

ว่าแต่ flutter มันมี plugin ct log ยังน่ะ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 15 February 2025 - 22:07 #1333627 Reply to:1333558
lew's picture

ทำไมต้องการที่ flutter หรือครับ

lewcpe.com, @wasonliw