หลังจากเมื่อวานมีข่าวพ่อค้าถูกขโมยเงินจากบริกาธนาคารออนไลน์ ผมติดต่อทางธนาคารกสิกรไทยไปเมื่อสอบถามข้อมูลในประเด็นนี้ และได้รับคำชี้แจงเพิ่มเติม โดยระบุว่าจุดโหว่ของการโจรกรรมครั้งนี้มาจากการออกซิมการ์ดเพื่อรับหมายเลข OTP ทำให้สามารถทำธุรกรรมได้ และนอกจากนี้คนร้ายยังเข้าถึงอีเมลของผู้เสียหายได้ทำให้จนนำไปสู่การเข้าถึงบัญชี K-Cyber ได้ในที่สุด
ทางธนาคารแนะนำให้ลูกค้ารักษาข้อมูลความลับ โดยเฉพาะ ชื่อล็อกอิน และรหัสผ่านของบัญชี และไม่มอบเอกสารข้อมูลส่วนตัวให้กับผู้อื่นโดยง่าย
จากการพูดคุยกับทางฝ่ายสื่อสารของธนาคารได้แจ้งผมว่าตอนนี้ทางธนาคารปรับมาตรการความปลอดภัยเพื่อไม่ให้มีกรณีแบบนี้อีกแล้ว อย่างไรก็ดี รายละเอียดกรณีนี้มีข้อมูลเฉพาะของลูกค้าที่ไม่สามารถเปิดเผยได้ และยังมีความเสี่ยงที่จะเป็นการเปิดทางให้อาชญากรรายอื่นเลียนแบบ
ที่มา - แถลงการณ์จากธนาคารกสิกรไทย
นายอดิศวร์ หลายชูไทย รองกรรมการผู้จัดการอาวุโส ธนาคารกสิกรไทย ได้ชี้แจงกรณีมีข่าวเกี่ยวกับลูกค้าถูกทุจริตผ่านบริการเค-ไซเบอร์ แบงกิง จนมีความเสียหายเกิดขึ้นว่า ธนาคารไม่ได้นิ่งนอนใจในการติดตามผู้ทุจริตและดูแลลูกค้าอย่างเต็มที่ โดยที่ผ่านมาได้มีการพูดคุยกับผู้เสียหายแล้ว
สำหรับปัญหาการให้บริการเค-ไซเบอร์ แบงกิง ที่เกิดขึ้นในกรณีนี้ ขอยืนยันว่าไม่ได้เป็นการโจรกรรมระบบรักษาความปลอดภัยของธนาคารแต่อย่างใด ในเบื้องต้นทราบว่ามีสาเหตุมาจาก ผู้ทุจริตนำข้อมูลส่วนตัวของลูกค้าของเคไซเบอร์ไปขอออกซิมการ์ดโทรศัพท์มือถือใหม่ที่ศูนย์บริการเครือข่ายโทรศัพท์มือถือ เพื่อรอรับข้อความเอสเอ็มเอสที่เป็นโอทีพี หรือรหัสผ่านที่ใช้ครั้งเดียว ในการใช้เบิกถอนหรือโอนเงิน จนทำให้มีความเสียหายเกิดขึ้น
ส่วนแนวทางในการป้องกันปัญหาการทุจริตต่างๆ ธนาคารกสิกรไทยขอแนะนำให้ลูกค้ารักษาข้อมูลที่เป็นความลับ ไม่ว่าจะเป็น ชื่อในการใช้ลงทะเบียน ยูสเซอร์ ไอดี, รหัสผ่าน หรือล็อกอิน พาสเวิร์ด ในการเข้าใช้บริการ รวมไปถึงไม่มอบเอกสารสำคัญส่วนตัวให้กับบุคคลที่ไม่รู้จัก เพื่อป้องกันการแอบอ้างโดยกลุ่มผู้ไม่ประสงค์ดี ก็จะสามารถช่วยป้องกันปัญหาไม่ให้เกิดขึ้นได้
อย่างไรก็ตาม ธนาคารพร้อมจะนำเรื่องดังกล่าวมาพิจารณาตามข้อเท็จจริง และหากพบว่า เป็นความบกพร่องของระบบของธนาคาร ทางธนาคารยินดีจะช่วยเหลือชดเชยความเสียหายให้แก่ลูกค้าตามนโยบายของธนาคารแห่งประเทศไทย
Comments
แล้วประเด็นเรื่องเปลี่ยน pass ผ่าน call center ง่ายๆ นี้ไม่เกี่ยวเหรอ?
เปลี่ยนผ่านอีเมล์รึเปล่าครับ
จากข่าวเก่าครับ
ตกลงว่าถ้าเป็นแบบนี้จริงก็ไม่ได้เป็นความผิดธนาคารสิครับ ได้ทั้งอีเมล์ทั้งเบอร์ไป กด Reset Password รหัสผ่าน Internet Banking ก็พอแล้ว
ฝั่งทรูล่ะ....
ผมว่าวิธีที่จะลดความเสียหายได้ จากกรณีแบบนี้ น่าจะเก็บเงินใว้ในบัญชีที่ไม่ได้ผูกกับบริการ K-Cyber มากว่า
เมื่อก่อนผมก็กล้วแบบนี้ครับ มียอดเงินเกิน 2000 ผมรีบถอนออก แต่ผมใช้มาตั้งแต่ปี 2008 จนป่านนี้ยังไม่อะไรเกิดขึ้นก็เลยปล่อยมันเกินล้านแล้ว
ผมสงสัยว่าทำไมธนาคารในไทยยังไม่มีเจ้าไหนใช้ Token Security เลยครับ มีใครพอทราบไหม ?
มีแต่ biz ibanking ของธ.กรุงเทพครับ แต่มีบางรายโดนฉกเงินไปได้ http://pantip.com/topic/33856873
ถ้าเปลี่ยน username / password ใด้ถึงเอา Token มาไช้ก็ไร้ประโยชน์ เพราะคงหาทางเปลี่ยน Token ใด้
samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo
UOB Internet Banking มีให้บริการครับ
ผมใช้ของ K-Cyber banking อยู่ครับ
บริการ K-Secure ใช้แทน SMS-OTP
K-Secure นี้จะคล้ายๆกับ Google Authenticator และของ FB (2-step verification) ครับ
โดยแอพ K-Secure จะ generate OTP ออกมา ไม่ต้องต่อ 3G แต่อย่างใด
คาดว่าคงอ้างอิงกับเวลามั้งนะครับ
ใครรู้ algorithm generate OTP ง่าย ๆ เลยสิ!
ไม่ครับ ถ้า implement อย่างถูกต้องและข้อความลับถูกรักษาอย่างถูกต้อง กระบวนการนี้มีใช้งานเป็นเรื่องปกติ
อ่านบทความเก่าทำความเข้าใจการทำงานได้
lewcpe.com, @wasonliw
มันมี RFC หมายเลข 6238 และ 4226 เป็นเหมือนสเปคในการ implement อ้างอิงอยู่นะครับ
6238 - TOTP: Time-Based One-Time Password Algorithm https://tools.ietf.org/html/rfc6238
4226 - HOTP: An HMAC-Based One-Time Password Algorithm
https://tools.ietf.org/html/rfc4226
Google Authenticator ก็ใช้ RFC ข้างต้นในการนำมาใช้เช่นกัน และบริการต่างๆ ที่ใช้ Authenticator ก็มักจะใช้พวกนี้เหมือนกัน ขอแค่อยากให้ private key หลุดก็พอ
ถ้าสังเกตกันนะครับ การโจรกรรมจาก interenet banking มักเกิดจากคนใกล้ตัว และเป็นความประมาทเลินเล่อของเจ้าของเองซะเป็นส่วนใหญ่ ทำให้ข้อมูลส่วนตัวบางอย่างถูกขโมยและทำให้เกิดปัญหาแบบนี้ขึ้น
ระบบ security ธนาคารพยายามทำทุกวิถีทางแล้วที่จะพัฒนาให้มันปลอดภัยที่สุด แต่ความปลอดภัยที่มากไปก็ไม่มีความสะดวกสบาย และจะเป็นผลเสียต่อลูกค้าแทน เช่น Token เนี่ย สำหรับบริษัทอาจจะเป็นเรื่องปรกติ แต่จะให้รายย่อยมาถือ token แทน OTP คงไม่มีใครสนใจ และ Token เองก็มีค่าใช้จ่ายที่ผู้บริโภคไม่ต้องการด้วย
คนเราถ้ามันตั้งใจจะโกง มันก็หาวิธีโกงได้หมดแหละครับ เจ้าของเงินต้องระมัดระวังข้อมูลตัวเองด้วย
+10 คับ
+10
+0.5 ครับ
แต่ระบบที่ดีก็ต้องสามารถป้องกันสิ่งที่เกิดจากความผิดพลาด หรือความประมาทของผู้ใช้งานด้วยครับ
+1 ครับ Foolproof
คิดถึงเวลาถูกโทรเข้ามาขายของ สุ่มมายังไงข้อมูลแน่นเชียว
ถึงตอนนี้นี้ยังสงสัยแบงค์อยู่นะ
Pin 6 หลักโทรเข้า call centre ก็เปลี่ยนได้ แบบนี้ก็ไม่เกี่ยวกับธนาคารสิครับ
โอนเงินโดยใชช่องทางออนไลน์ของธนาคารโอนเงิน
แสดงว่าก็ต้อองรู้ user และ password น่ะสิ
หรือว่า น่าจะรู้อีเมล แล้วรีเช็ตรหัสเมล ด้วยเบอร์ที่ผูกกับเมล
จากนั้นก็ไปรีเซ็ตพาสใน K-Cyber
น่าจะเป็นอย่างนี้ครับ (ผมไม่เคยไช้ k bank)
samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo
ผมว่าเพราะเชื่อมั่นระบบ OTP มากเกินไป
ที่เข้าถึงอีเมล์ได้ คิดว่า ก็คงเพราะ รีเซ็ต Password อีเมล์ผ่าน OTP เหมือนกัน
พอมีทั้ง SIM และ อีเมล์ ทีนี้ก็ Reset รหัสอื่นๆได้สบาย
ว่าแต่คนร้ายกดเงินออกไปได้ยังไง กดจากบัญชีใคร แล้วเอาบัตรATM จากไหนมากด มันต้องมีร่องรอยอะไรบ้างซิ
แต่ก่อนผมลืม password e-banking ของ bbl callcenter ก็ไม่ reset ให้นะครับ
ให้ทำผ่านเครื่อง ATM หรือติดต่อตรงที่ธนาคาร ผมก็ไป reset ผ่าน ATM แทน
ปัจจุบันไม่แน่ใจ
ถ้า reset ผ่าน callcenter ได้ก็คิดว่าเสี่ยงอยู่เหมือนกันนะ ถ้ามีข้อมูลหน้าบัตรครบแล้ว ไม่รู้ว่าถามอะไรบ้าง
มันน่าจะมีฝ่ายใดฝ่ายหนึ่งให้ข้อมูลไม่หมด เช่น
User k-cyber banking เอามาจากไหน (ใช้เบอร์โทรไปขอจาก ธนาคารโดยบอกเลขบัญชี ?)
จากข้อความ "นอกจากนี้คนร้ายยังเข้าถึงอีเมลของผู้เสียหายได้" (ตรงนี้ได้มายังงัย ทั้ง Password Username ? รู้ Username จากเหยื่อ แล้วขอ Reset Password ผ่านเบอร์เดิมซิมไหม่ ที่ทรูออกให้ ?)
ทรูผิดตรงที่ออกซิมไหม่เบอร์เดิมโดยไม่ตรวจสอบข้อมูลให้เพียงพอ (สำเนาปิดเลขบัตรประชาชนอีกต่างหาก แต่อาจเปิดวันเกิดไว้ ?)
เหมือนข่าวเก่าจะกล้องธนาคารเสียด้วยนิ ... ไม่ใช่ความผิดธนาคารแบบประจวบเหมาะ
my blog
แอฟ k mobile ไม่จำเป็นต้องรู้ user pass อะไรเลย ตอนเปลี่ยนเครื่อง แค่ใช้เน็ตจากมือถือเบอร์เดิม ตอนเข้าใช้แค่มี เลขที่บัญชี กับรหัสปชช แค่รู้รหัสพิน 6 หลัก ก็คือจบเข้าใช้งานได้เลย เหมือนโจรโทรไปรีเซ็ทรหัสพินตรงนี้หรือเปล่า คือมีข้อมูลหมด ทั้งเลขที่บัญชี จากที่แสดงให้โอนเงิน ทั้งสำเนาบัตรปชช ที่ใช้อ้างอิงเวลาซื้อขายของ น่าจะโดนจากตรงนี้ไหม ?
ต้องมีบัตร ATM ของบัญชีนั้นๆด้วยนิครับ ถึงจะใช้ K mobile ได้
ใช้แค่เปิดใช้บริการครั้งแรกครับ กรณีนี้พ่อค้าเปิดใช้บริการไว้แล้วครับ แค่มีซิมก็ใช้ได้แล้วครับ
คือมันจะจับคู่ซิมกับเครื่อง ถ้าเปลี่ยนเครื่องถึงจะใช้ซิมเดิมก็ต้องสมัครใหม่ที่ตู้ ATM ครับ ผมโดนมาแล้วอันนี้ ตอนเปลี่ยนจาก iPad รุ่นที่ 3 ไปเป็น iPad Pro 9.7"ครับ เพราะฉะนั้นต้องมีบัตร ATM แล้วโจรต้องสมัครใหม่ที่ตู้ ATM อยู่ดีครับ สำหรับ K cyber mobile
ส่วน K cyber banking จะเข้าไปได้ต้องเข้าถึง Email ที่ผูกกับ user นั้นๆได้ครับ ประมาณว่าถ้าเข้าถึง Email ของผู้ใช้ได้ แถมมีซิมที่เป็นเบอร์ที่ผูกไว้กับ email หลักและบัญชีธนาคารของเจ้าของตัวจริง ก็จะมีโอกาศโดนสอยครับ ซึ่งเอาจริงๆระบบที่ใช้ user กับ password มันก็ใช้กับทุกธนาคารนั้นหล่ะ ถ้า email โดนแฮ็คแถมโดนขโมยเบอร์โทรยังไงก็เสร็จครับ ผมเลยให้ความสำคัญกับเบอร์ต้องไม่ถูกปล้นไปมากกว่า เพราะขนาดเบอร์โทรศัพย์ยังผูกกับ email เลย ไว้รับ OTP ในการเข้าใช้งาน ผมคาดว่า พ่อค้าท่านนี้คงไม่ได้ใช้ 2 factor authentication และ OTP ด้วยมั้งครับถ้า password เป็นแบบง่ายๆอีกก็จบ เพราะจะเหลือแค่ว่า จะรู้ password email ได้ยังไงแค่นั้นเอง ได้มาก็ขอกู้รหัสผ่านได้ทุกอย่างที่ email นี้ผูกไว้ ยิงมีเบอร์โทรไว้รับ sms ด้วยจะแทบไม่เจอปัญหาเลย
มายืนยันครับ เดี๋ยวนี้ถ้าเปลี่ยนเครื่องใหม่แค่กรอกเลขบัญชีกับบัตรปชช (กี่หลักผมจำไม่ได้) ในแอพก็ได้แล้วครับ
ง่างั้นผมยอมแระ ตอนผมย้ายจากเครื่องเก่าไปเครื่องใหม่ตอนกลางเดือน 6 ของปีนี้ครับ ตอนนั้นวุ่นวายกับพนักงานที่สาขาพอดูฮ่าๆๆโทรหาส่วนกลางด้วยเพราะผมลืมวิธีการสมัครไปแล้ว เพราะใช้ iPad เลยต้องบอกเขาว่ามันรับ OTP ไม่ได้ ทั้งตัวตัว App ตอนสมัครไม่จำเป็นต้องใช้ OTP หน้าแหกเลยครับตอนนั้น เลยจำได้ว่าตอนนั้นขั้นตอนยุ่งยากสุดๆ
ขั้นตอนแบบนี้อันตรายมากเลยนะ และไม่ควรที่จะมีบริการแบบนี้ด้วย
Get ready to work from now on.
Bank หล่ะหลวมมากครับ ทั้งที่รู้ว่า ข้อมูลเลขบัญชีกับบัตรปชช หาได้ทั่วไป เช่นเราสมัครทำบัตรเครดิตก็ต้องกรอกแล้ว
ธุรกิจการเงิน ที่ เข้มงวดเรื่อง ความปลอดภัยของเงิน/ข้อมูล ลูกค้า
ดัน ไว้วางใจ ระบบงานธรุการ ของ บริษัทมือถือ
ก็ไม่รู้จะ เรียกกว่า ห่วย แย่ เลอะเทอะ กระจอก หรือ อะไรดี
บริกา => บริการ
KBank พยายามแก้ตัวว่า ระบบตัวเองไม่ได้ถูก hack
แต่จริงๆ การที่มีคนโทรมาหลอก ก็เป็นการ hack ชนิดหนึ่งครับ
เขาเรียกว่า social engineering
เพราะฉะนั้น KBank จะปัดความรับผิดชอบไม่ได้เลย
ยืนยันครับว่าแอพ k-mobile ตอนนี้ เวลาเปลี่ยนมือถือใหม่ (พอดีเพิ่งเปลี่ยนเมื่อ 5 วันก่อน) ขอแค่เปิดแอพด้วยเน็ตจากมือถือเบอร์เดิม กรอกข้อมูล 3 อย่าง
ก็สามารถใช้งาน k-mobile ได้เต็มรูปแบบแล้วครับ เข้าถึงได้ทุกบัญชีที่ผูกไว้กับ k-mobile เลยด้วย
แล้วถ้าบัญชีใดๆ ยังไม่ได้ผูกกับ K-mobile เราก็เพิ่มได้ทันที ใช่ไหมครับ (พอดีไม่ได้ใช้ K-mobile)
ไม่ได้ครับ ต้องไปผูกที่ธนาคาร (ถือเป็นข่าวดี)
อะไรจะง่ายปานนั้น
ผมคุ้นๆว่าไม่ใช้ซิมเบอร์เดิม แต่เป็น "ซิมอันเดิม" นะครับ
เพราะเคยมีครั้งที่ซิมเสีย ผมไปออกซิมใหม่เบอร์เดิม ผมต้อง Activate ตัว K-Mobile ใหม่ ผ่านตู้เอทีเอ็ม
แต่นั้นก็นานมาแล้วนะครับ ไม่รู้ตอนนี้เปลี่ยนไปอีกหรือเปล่า