วันนี้มีประเด็นคุณชิงชัย ชาติมหาเจริญ (@oathth) แจ้งไปยังทาง AIS ว่ากำลังซื้อของจาก AIS Online Store แต่พบว่าเว็บไม่เข้ารหัส ทำให้เบราว์เซอร์ขึ้นเตือนว่าเว็บไม่ปลอดภัยจึงแจ้งทาง @AIS_Thailand ไปแต่ได้รับคำยืนยันว่าเว็บมีความปลอดภัย
ประเด็นเรื่องความปลอดภัยเว็บอาจจะเกินขอบเขตของเจ้าหน้าที่ที่ตอบปัญหาทั่วไปเสียหน่อย แต่เพื่อไม่ให้เกิดความสับสนจาก คงเตือนผู้อ่านทุกคนว่าการกรอกหมายเลขบัตรเครดิตบนเว็บเข้ารหัส เป็นมาตรการความปลอดภัยขั้นต่ำสุดในสมัยนี้แล้ว การพิมพ์ข้อความลงในเว็บ HTTP ที่ไม่เข้ารหัส ควรถือว่าทุกคนที่อยู่ระหว่างเราและเซิร์ฟเวอร์ (รวมถึงคนรอบตัวเราในกรณีใช้ Wi-Fi ไม่เข้ารหัส) จะสามารถอ่านข้อความได้ทุกคน เมื่อข้อมูลสำคัญเช่นนี้หลุดออกไป ความเสี่ยงจะตกกับตัวผู้ใช้ที่หมายเลขบัตรอาจจะถูกนำไปใช้งานโดยอาชญากร แม้โดยทั่วไปธนาคารจะปกป้องผู้ใช้ แต่การเดินเรื่องและการออกบัตรใหม่ก็เป็นความลำบากอยู่ดี
ตั้งแต่ Chrome 56 เป็นต้นมา ก็เริ่มมีการเตือนเมื่อผู้ใช้กรอกข้อมูลสำคัญ ว่ากำลังใช้เว็บที่ไม่ปลอดภัย
สำหรับ AIS Online Store ผมตรวจสอบดูพบว่าที่จริงแล้วเว็บสามารถใช้ HTTPS ได้ครบถ้วนดี แต่ไม่ได้บังคับใช้ในหน้ากรอกหมายเลขบัตรเครดิต สามารถเข้าได้ทั้ง https://store.ais.co.th/th/onepage/ และ http://store.ais.co.th/th/onepage/ แม้ว่าตัวฟอร์มจะโค้ดไว้ให้ส่งข้อมูลทาง HTTPS เสมอก็ตาม แต่ก็ยังมีความเสี่ยงอยู่ในกรณีที่ข้อมูลเว็บถูกดัดแปลงแก้ไขระหว่างทาง
ผู้ใช้ที่ต้องการซื้อของทาง AIS Online Store มีทางเลือกที่จะใช้งานเว็บผ่าน HTTPS ตลอดเวลาด้วยการติดตั้ง KB SSL Enforcer
@oathth สำหรับการชำระค่าบริการมีความปลอดภัย และเชื่อถือได้แน่นอนค่ะ
— AIS (@AIS_Thailand) May 23, 2017
Get latest news from Blognone
Follow @twitterapi
Comments
แบบนี้ต้องให้ผู้เชี่ยวชาญจัดให้ AIS ดูหน่อยว่า "สำหรับการชำระค่าบริการมีความปลอดภัย และเชื่อถือได้แน่นอนค่ะ" เป็นอย่างไร
คิดว่า พรบ. มันป้องกันการ hack ได้หรือไง
I need healing.
อันนี้ผมสอบถามนะครับอยากถามมานานละ
กรณีเช่นนี้ การใช้แท็บเว็บไม่ระบุตัวตนเช่น incogtino mode
หรือการใช้ โปรแกรม safe pay อย่างของ Bittdefender หรือ ของ Kaspersky
ช่วยลดความเสี่ยงในกรณีนี้ได้หรือไม่?
incogtino mode มีไว้แค่ไม่บันทึกประวัติที่เราอยู่ในโหมดในเครื่องเท่านั้นครับ ไม่ได้ทำให้ปกปิดตัวตนหรืออะไรที่คล้ายๆกันทั้งสิ้น ส่วนพวก safe pay ก็มีฟีเจอร์พยามให้เราเข้าเว็บที่เข้ารหัสเสมอ และตรวจใบรับรองให้ครับ ถ้าคนที่มีความรู้ก็ไม่มีความจำเป็น แต่ก็เหมาะกับคนที่ไม่ค่อยรู้ แต่ก็ต้องระวังช่องโหว่อื่นๆจากตัวเบราเซอร์พวกนี้อีกทีครับ ดังนั้นศึกษาเรื่องพวกนี้ไว้สบายใจกว่า
ที่ว่ามามันเป็นเพียงวิธีป้องกันตัวเองเวลาใช้เครื่องคนอื่น
เพราะหากใช้ browser ของคนอื่น อาจจะถูกเก็บ auto collect, cookie, หรือข้อมูลอื่นๆที่กรอกบนหน้าเวป ถูกเก็บบันทึกลงเครื่องได้ (ไม่นับกรณีมี keylogger)
แต่ประเด็นของข่าวนี้คือ ข้อมูลที่จะถูกส่งออกไปยัง internet กว่าจะไปถึงปลายทางไม่รู้เลยว่ามันจะผ่านอะไรไปบ้าง เอาง่ายๆเลยถ้าผมเป็น network admin ผมต้องเก็บ log การใช้งาน internet ตามพรบ.อยู่แล้ว พอผมเปิด log ดูก็เห็นข้อมูลครบเลย เพราะมันไม่มีเข้ารหัสอะไรไว้เลย
ยังไม่รวมถึงโดนดักข้อมูลกลางทาง ซึ่งไม่ได้ยากอะไรเท่าไรเลย
และยังไม่รวมถึงปลายทางที่จะต้องเก็บข้อมูลไว้ ซึ่งเก็บเป็นข้อมูลที่ไม่ได้เข้ารหัส คนในจะดูข้อมูลก็ได้ และถ้าโดนเจาะฐานข้อมูลก็ไม่เหลือ เห็นหมด
ผมหละเบื่อเวปต่างๆที่ชอบให้ทำขั้นตอนการชำระเงินผ่านหน้าเวปของตัวเอง ไม่ยอม redirect ไปที่ portal ของทาง bank
มี DTAC สมัยก่อนชำระผ่าน Portal ของแบงค์ได้
และก็มี AIS เจ้าเดียวที่ช่องทางการรับชำระห่วยสุด
ไปๆ มาๆ DTAC ยกเลิก Portal ซะงั้น แล้วก็เหลือช่องทางการชำระเท่า AIS
แทนที่จะเพิ่มช่องทางการจ่ายเงินให้ได้มากนี่สุด กลายเป็นว่าไม่มีใครสนเรื่องนี้เลย ทั้งที่เป็นปี 2017 แล้ว
ผมไม่เคยกรอกตามเว็บต่างๆเลย ของเมืองนอกถ้าไม่มีไป paypal ก็ไม่ซื้อ(เว้นเว็บใหญ่จริงๆ พวก Amazon, Google, Appleฯ) เว็บไทยก็มองหา paypal ถ้าไม่มีก็โอนเงินหรือเก็บปลายทางเอา
+1
ผมชอบเว็บที่ Reditect ไปจ่ายที่ 2C2P นะ ดูเป็นเว็บสมัยใหม่ ไม่โบราณเหมือนของธนาคาร
oxygen2.me, panithi's blog
Device: ThinkPad T480s, iPad Pro, iPhone 11 Pro Max, Pixel 6
ถ้าผมจำไม่ผิด TVDirect กับ iTruemart มั้งครับ ผมซื้อของครั้งเดียว ไม่ไปซื้ออีกเลย พี่แกเล่นไม่ถามอะไรเลย กรอกเสร็จกด submit ปุ๊บ ตัดบัตรเลย ไม่มี OTP ด้วย อย่างโหด (แต่จำไม่ได้ละว่า https มั้ย)
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
FYI จะบอกว่า OTP แบบพวก VBV/MSC นี่ไม่ได้เพิ่มความปลอดภัยให้ลูกค้านะครับ กลับกันเลยคือเพิ่มความปลอดภัยให้ร้านค้าว่าจะได้เงินแน่ๆเพราะลูกค้าจะปฏิเสธยอดไม่ได้
ยังไงครับ รบกวนขยายคาวมหน่อยครับ ตอนที่ผมใช้ ผมมีความรู้สึกว่า "เฮ้ย ถ้าบัตรตูหาย (หรือบังเอิญเจอบัตรใคร) งี้เข้าเว็บพวกนี้ รูดปรื้ด ๆ เจ้าของบัตรก้ไม่รู้ตัวเลยสิฟระ"
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
การจ่ายผ่านกระบวนการพวก 3-D Secure (พวก Verified by VIS) มันมีขั้นตอนยืนยันตัวตนมากกว่าแค่ข้อมูลหน้าบัตรหรือรูปผ่านบัตรปรกติ ใช้ควบคู่กับพวก OTP, PIN หรือ Token ทำให้เราปฏิเสธจ่ายเงินไม่ได้ หรือยากกว่ามาก และร้านมักชอบการจ่ายแบบนี้ พวกตั๋วเครื่องบินที่ซื้อผ่านหน้าเว็บ มักยอมรับการจ่ายแบบนี้มากกว่าและมักไม่ตรวจบัตรเครดิตเพิ่มเติมเวลา check-in
3DS มีไว้เพื่อปกป้องทั้งร้านค้าและลูกค้าครับ ได้ประโยชน์ทั้งสองฝ่าย
การที่จะมีหน้าเพจขอ OTP นั่นหมายความว่า ธนาคารผู้ออกบัตรและะนาคารผู้ให้บริการ Payment Gateway กับร้านค้านั้น มีระบบ 3DS เพื่อ Protect Fraud
หากขาใดขานึง ไม่มีระบบ 3DS ขานั้นจะต้องรับคววามเสี่ยงจากธุรกรรมนั้น
การที่หน้าเพจให้คุณกรอก OTP นั่นหมายความว่า ธนาคารเจ้าของบัตรได้ป้องกันคุณจากการถูกขโมยบัตร และร้านค้าก็ป้องกันตัวเองจากลูกค้าที่ขโมยบัตรคนอื่นมา แล้วโดนลูกค้าปฏิเสธการทำรายการในภายหลัง
ลูกค้าสามารถกรอก OTP ถูกต้องและทำรายการผ่าน
แสดงว่าลูกค้าเป็นตัวจริง และ ร้านค้าก็มั่นใจ
3-D Secure มีประโยชน์แค่ฝั่งร้านค้าเท่านั้นครับ ทางฝั่งของเจ้าของบัตรมีแต่ข้อเสีย เพราะจะการเสียสิทธิ์ในการปฏิเสธรายการหนึ่งๆ ไปเมื่อการยืนยันตัวตนผ่าน 3-D Secure สำเร็จ ส่วนใหญ่มักจะเข้าใจผิดในข้อนี้กันว่ามีแล้วมันปลอดภัยกว่า เนื่องจากการใช้งาน OTP โดยทั่วไปเป็นการเพิ่มความปลอดภัยจริง เนื่องจากในกรณีเหล่านั้น OTP ถูกใช้มีโดยพื้นฐานว่าการยืนยันตัวตนปัจจัยที่สองจำเป็นต้องทำถึงสามารถทำธุรกรรมได้
แต่ในกรณีของบัตรเครดิต ถึงคุณจะยืนยันตัวตนผ่าน 3-D Secure สำเร็จในบริการหนึ่งๆ เลขบัตรเดียวกันยังจะสามารถนำไปใช้ในบริการที่ไม่ใช้งาน 3-D Secure ได้อยู่ดี ทำให้การยืนยันตัวตนดังกล่าวไม่ช่วยทำให้ปลอดภัยขึ้นสำหรับตัวผู้ใช้ ให้ยกตัวอย่างก็เหมือนกับเว็บหนึ่งสามารถให้เปิดใช้งาน 2-Factor Authentication ได้ แต่เวลาเข้าสู่ระบบ จะกรอกหรือไม่กรอกก็สามารถเข้าสู่ระบบได้ (ถึงแม้จะตั้ง 2FA ไว้) ถ้าหากถึงตรงนี้คิดว่าแล้วจะให้เซ็ท 2FA ไปทำไม นั่นคือหลักการเดียวกันกับ 3-D Secure ครับ
ช่วยยกตัวอย่างกรณีแบบนี้หน่อยได้ไหมครับ
ไม่ใช่ตัวอย่างซะทีเดียว แต่อธิบายวิธีการทำงานแบบละเอียดๆ ให้ฟังครับ
ก่อนอื่นต้องเข้าใจนิดนึงว่า 3-D Secure มันเป็นขั้นตอนเพิ่มเติมก่อนการกันวงเงินบัตรปกติ โดยวิธีการทำงานของมันเป็นการส่งเลขบัตรไปคุยกับ MPI (Merchant Plug-In) เพื่อเอา payload ชุดหนึ่งที่ต้องส่งแนบไปกับขั้นตอนการกันวงเงิน (UCAF/CAVV) ขั้นตอนนี้เรียกว่า Payer Authentication
เมื่อได้ payload ดังกล่าวมาแล้ว ขั้นตอนต่อไปคือการกันวงเงิน ซึ่งทำเหมือนปกติทุกอย่าง คือส่งเลขบัตรและจำนวนที่จะกันวงเงินไปยังธนาคารที่รับชำระ โดยมีข้อแตกต่างเพียงแค่เพิ่ม payload ที่ว่านี้ขึ้นมา นั่นหมายถึงในด้านตัวระบบ ขั้นตอนการชำระไม่ได้ปลอดภัยขึ้นเลยสำหรับเจ้าของบัตร ร้านค้าหรือผู้ให้บริการรับชำระยังจำเป็นต้องมีการเก็บเลขบัตร 16 หลัก ดังนั้นหมายความว่าเลขบัตรยังสามารถหลุดได้หากระบบโดนเจาะหรือไม่ปลอดภัยพอ
และมันก็เข้าไปยังเรื่องที่ชี้แจงข้างบนว่า ขั้นตอน 3-D Secure นี้เป็น optional คือจะส่ง payload ไปตอนกันวงเงินหรือไม่ก็ได้ ทำให้ในกรณีที่เลขบัตรหลุดไม่ว่าจาก party ใดๆ เลขบัตรนั้นๆ ก็ยังจะสามารถนำไปใช้ในร้านค้าที่ไม่มีการใช้ 3-D Secure ได้อยู่ดี ซึ่งผลมันก็คือไม่ได้ทำให้เจ้าของบัตรปลอดภัยขึ้น มีผลดีเฉพาะฝั่งร้านค้าเพราะผู้ซี้อปฏิเสธรายการไม่ได้
ตัวอย่างของเคสที่ใช้ 3-D Secure แล้วต้องการปฏิเสธรายการก็เช่น ลูกขโมยบัตรแม่ไปซื้อบัตรเกม มือถือส่วนมากเวลา SMS เข้ามันก็แสดงให้เลยแม้เครื่องจะล็อคอยู่ และเนื่องจากการซื้อบัตรเกมครั้งนั้นใช้ 3-D Secure จึงไม่สามารถปฏิเสธรายการนั้นๆ ได้
ในกรณีของบัตรเครดิต การปฏิเสธรายการเป็นปัญหาของผู้รับชำระกับร้านค้า ร้านค้ามีหน้าที่ในการหาหลักฐานว่าผู้ใช้บริการเป็นเจ้าของบัตรตัวจริง ซึ่งเกณฑ์การตัดสินใจเข้มงวดมาก การใช้ 3-D Secure จะเปลี่ยนให้กลายเป็นปัญหาของบริษัทผู้ออกบัตรกับเจ้าของบัตรไปครับ
ส่วนกรณีของการกรอกบัตรที่อยู่ภายใต้เว็บไซต์ของผู้ให้บริการที่น่าเชือถือ (hosted payment page) อันนี้ปลอดภัยกว่าจริง แต่เป็นคนละเรื่องกับ 3-D Secure (แม้ผู้ให้บริการในลักษณะนี้จะเปิดใช้ 3-D Secure ตลอดก็ตามที) แต่ในแง่ความปลอดภัย การกรอกบัตรในลักษณะนี้ไม่ต่างจากการใช้ iframe ที่บริการรับชำระที่ออกแบบเพื่อแยกขอบเขตรับผิดชอบของร้านค้าก็ใช้อยู่เสียเท่าไหร่ (อาจจะดูยากนิดนึง และต้องอาศัยการ audit ที่ฝั่งผู้รับชำระเล็กน้อยด้วย)
ข้อมูลเปิดเผย: เคยดูแลในส่วนนี้ในบริษัทรับชำระมาก่อน ตอนนี้ออกมาแล้วครับ
มีคำถามครับว่าถ้าเว็บนั้นบังคับใช้ 3-D Secure เราจะจ่ายเงินด้วยบัตรที่ไม่ได้ลงทะเบียนไม่ได้เลยใช่ไหมครับ?
แล้วแต่ร้านค้าหรือบริการรับบัตรเครดิตที่ใช้ครับ เวลาส่งเลขบัตรที่ไม่ได้ลงทะเบียนไปให้ MPI มันจะทำการคืนค่ามาชุดหนึ่ง บอกถึงสถานะของบัตรและสถานะว่าความรับผิดชอบตกอยู่กับใคร (ร้านค้าหรือธนาคารผู้ออกบัตร) ตรงนี้ร้านค้าหรือบริการรับบัตรฯ สามารถตัดสินใจได้ว่าจะดำเนินการกันวงเงินต่อหรือไม่
SMS มันไม่เข้ารหัส และขโมยกันได้ครับ
คนใช้อาจซวยเพราะปฏิเสธยอดไม่ได้ (แต่ hacker เขาเอา OTP เราไปใช้ได้ครับ)
Lazada ด้วยรึป่าวครับ เคยรูดซื้อ Nubia Z9 Max มันตัดบัตรเลย
อ่านเพิ่มเติมข่าวนี้ครับ ทั้งข่าวและเม้นได้ความรู้ดี
ขอบคุณสำหรับคำอธิบายของทุกท่านนะครับ
แต่ผมขอเห็นแย้งขึ้นนิดนึง ผมว่ามี OTP มันก็ปลอดภัยขึ้นนะครับ แต่อาจจะต้องใช้คำว่าปลอดภัยขึ้นนิดนึง (เพราะแฮกเกอร์ต้องไปแฮก SMS หรือ email ด้วย) แต่ในแง่การทวงเงินคืนกรณีถูกแฮกไปได้ ไม่ว่ากรณีใด กลับส่งผลเสียต่อผู้ใช้ เพราะถือว่าโดนยืนยันตัวตนไปแล้ว
ผมเข้าใจถูกมั้ยครับ?
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
ประเด็นคือมันปลอดภัยแค่เว็บนั้นๆ ครับ แต่มันมีเว็บอีกมากมายที่ซื้อได้โดยไม่ต้องใช้ OTP ซึ่งข้อมูลเราก็หลุดไปได้จากเว็บที่ต้องใช้ OTP นั่นแหละครับ แฮกเกอร์ก็ไม่จำเป็นต้องมาแฮกเมลแฮกมือถือเราครับแค่ไปจ่ายกับเว็บที่ไม่ต้องใช้ OTP ก็พอ
เออ จรืงด้วย! ไม่พร้อมใจกันใช้ก็ไม่มีประโยชน์เท่าไหร่เลย = =a
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
คนที่มาตอบ tweet คงไม่มีความรู้ด้าน security สักเท่าไหร่
เขาบอกมาว่าปลอดภัยก็ตอบไปตามนั้น
บางอย่างก็ต้องทำความเข้าใจว่า cc คงไม่เข้าใจล่ะครับ
ผมเองเคยเจอssl certificate บนเวบ ACS ของบัตรเครดิตธนาคารเจ้านึงหมดอายุ ทำให้รับ OTP ตอนซื้อ ของonline ไม่ได้(ต้องเปลี่ยนไปใช้บัตรเจ้าอื่นแทน) แจ้งทาง call center ก็รับเรื่องแบบงงๆ แต่รออีกวันกว่าๆก็หาย
จะเป็นแบบกรณี Orami อีกหรือเปล่า
Coder | Designer | Thinker | Blogger
เรื่องอะไรหรอครับ
Coder | Designer | Thinker | Blogger
สงสัยว่า HTTPS Everywhere กับ KB SSL Enforcer แตกต่างกันอย่างไร?
HTTPS เหมือนตอนนี้จะมีปัญหา กินแรมอยู่นะ จากที่อ่านรีวิว ในส่วยขยาย
น่ากลัวเหมือนกันแฮะ จริงๆ ก็ซื้อของออนไลน์บ่อย แล้วก็จ่ายเงินผ่านบัตรเครดิตทุกครั้งเลย แต่ไม่เคยสังเกตเลยว่ามี HTTPS รึเปล่า ชักกังวลเหมือนกันแล้วนะเนี่ย