วันนี้เป็นวันสุดท้ายก่อนการยกเลิกบัตรเอทีเอ็มแบบแม่เหล็กในประเทศไทย หลังจากธนาคารแห่งประเทศไทยเริ่มบังคับธนาคารทุกแห่งต้องให้บริการบัตรชิปมาตั้งแต่ปี 2016 นับเป็นการอัพเกรดเทคโนโลยีความปลอดภัยครั้งใหญ่ที่สุดครั้งหนึ่งในประเทศไทย แม้จะเป็นเรื่องน่ายินดีที่มีการปรับปรุงและจะไม่มีใครเป็นเหยื่อที่ต้องสูญเสียเงิน (อย่างน้อยก็ช่วงเวลาหนึ่ง) ให้กับอาชญากรอีก แต่เราไม่ควรลืมว่าการเปลี่ยนแปลงครั้งนี้เกิดขึ้นหลังมีประชาชนตกเป็นเหยื่อจำนวนมาก, กระบวนการเปลี่ยนผ่านใช้เวลาหลายปี, และในวันนี้เองก็ยังมีบัตรที่ยังไม่ได้เปลี่ยนอีกนับล้านใบ
บัตรแม่เหล็กเป็นเครื่องมือสำหรับยืนยันตัวตนผู้ใช้แบบพิสูจน์จากสิ่งที่ผู้ใช้มี (something you have) โดยที่มาตรฐานการให้บริการ ATM นั้นคือการยืนยันตัวตนสองชั้น คือบัตรร่วมกับรหัสผ่านสี่ตัว แต่ตัวบัตรแม่เหล็กเองเป็นเทคโนโลยีเก่า 50 ปีแล้ว การใช้ยืนยันว่าเป็นสิ่งที่ผู้ใช้มีแทบไม่มีผลในข่วงสิบกว่าปีที่ผ่านมา แต่การขาดการกำกับดูแลทิศทางที่ชัดเจนก็ทำให้ธนาคารในประเทศไทยใช้บัตรแม่เหล็กเป็นวงกว้างโดยไม่มีการเปลี่ยนผ่าน
ในห้วงสิบปีที่ผ่านมา มีผู้คนตกเป็นเหยื่อของการทำสำเนาบัตรแม่เหล็กจำนวนมาก ตั้งแต่บัตรเครดิตไปจนถึง skimmer ที่ติดตั้งบนตู้เอทีเอ็ม แม้เหยื่อทั้งหมดจะได้เงินคืน แต่แต่ละคนก็ต้องฝ่าฟันกระบวนการของแต่ละธนาคารด้วยตัวเอง หากเป็นคนที่มีความลำบากทางการเงินอยู่แล้ว การตกเป็นเหยื่อเหตุเหล่านี้สร้างความเสียหายได้ร้ายแรงจากการขาดเงินหมุนเวียน แม้เราจะเห็นข่าวอยู่เป็นระยะ แต่เรากลับไม่เคยเห็นการเปิดเผยจำนวนตัวเลขผู้เสียหายหรือการประเมินประสิทธิภาพว่าธนาคารสามารถจัดการปัญหาได้เร็วแค่ไหน แม้ธนาคารจะมีการแจ้งเตือนกันเองว่ามีตู้เอทีเอ็มถูกโจมตีแต่ก็ไม่เปิดเผยให้คนภายนอกรู้ถึงระดับอันตรายที่เพิ่มขึ้น มีเพียง เอกสารหลุดออกมาเป็นครั้งคราวเท่านั้น
การที่ธนาคารแห่งประเทศไทยสนับสนุนสังคมไร้เงินสดอย่างเต็มที่ในช่วงหลายปีที่ผ่านมา และประสบความสำเร็จค่อนข้างดี ความสำเร็จนี้จะทำให้ช่องโหว่ความปลอดภัยในอนาคตสร้างความเสียหายเป็นวงกว้างได้มากกว่าเดิมเสียอีก หากยังขาดกระบวนการกำกับดูแลอย่างเป็นรูปธรรม มีการเปลี่ยนผ่านที่ชักช้าไม่ทันการเหมือนการเลิกใช้บัตรแม่เหล็กครั้งนี้
มีการเปลี่ยนผ่านอีกมาก ที่รอการกำหนดแนวทาง หลังจากที่ปลายปีที่แล้วมีการ กำหนดห้ามเครื่องที่ root หรือ jailbreak ใช้งาน หรือจำกัดการใช้ระบบปฎิบัติการเก่า คำถามในวงการอีกจำนวนมาก เช่น การใช้ SMS เพื่อยืนยันตัวตนถือว่าปลอดภัยพอหรือ หลังจาก NIST ระบุว่าไม่ปลอดภัยพอ และธนาคารควรเสนอทางเลือกอื่นให้ผู้ใช้ได้หรือยัง, กระบวนการตรวจสอบการฉ้อโกงของธนาคารในประเทศไทยล่าช้าเกินไปหรือไม่ หลังจากมีเหตุผู้ใช้ถูกขโมยข้อมูลบัตรหลายครั้ง แต่ call center บางธนาคารแทบติดต่อไม่ได้ กระบวนการแก้ไขใช้เวลานานนับเดือนไม่มีการติดต่อกลับภายใน 7 วันอย่างที่ธนาคารแห่งประเทศไทยประกาศไว้ หรือการแจ้งเตือนการใช้งานยังไม่ครอบคลุมทุกบริการ
หรือเราต้องรอให้มีผู้เสียหายเป็นวงกว้างอีกหลายๆ รอบแล้วจึงมีมาตรการแบบครั้งนี้
Comments
"วัวหายล้อมคอก อย่างมั่งคง ยั่งยืน" คติประจำใจทุกหน่วยงานในประเทศไทย
พื้นฐานความคิดต่อปัญหาของคนไทยเรา มักจะอยู่ในรูปแบบหาว่า "ตีตนก่อนไข้" ถ้าออกมาตรการเร็วไป
ต้องรอให้มันเสียหายชัดเจนเป็นวงกว้างก่อน จึงค่อยออกมาตรการออกมา
พร้อมเสียงด่าว่า "วัวหายล้อมคอก"
...?
+1 เห็นด้วยเลยครับ
+100
อยากให้ต่อด้วยบัตรเครดิตด้วย Chip and PIN ต่อเลยได้มั้ยครับ
อาจจะต้องเป็น Chip and Dale มีสองพี่น้องไปก่อนซักพักแหละท่าน
Chip & fish ก็อร่อยดีนะ ถ้ากินกับ sour creame ครับ
ขอความรู้ได้ไหมครับว่าตอนนี้คือใช้อะไรอยู่ ต่างจากชิพที่ใช้ๆ กันยังไงบ้าง
[S]
ปกติตอนรูดบัตรในไทยจะใช้ Chip & Signature เอา (บัตรกับลายเซ็นต์) ส่วน Chip & PIN คือเปลี่ยนจากลายเซ็นต์เป็นรหัส PIN แทน ซึ่งมันทำให้คนรับเงินไม่ต้องมาตรวจสอบลายเซ็นต์ครับ
ก็เปลี่ยนจากเซ็นมาใช้ รหัสกดเอาครับ เหมือนตอนนี้ที่ใช้กับบ้ตรเดบิตแล้วแต่บัตรเครดิตยังเซ็นเหมือนเดิม ซึ่งใครเก็บบัตรได้ ก็เอาไปรูดเลยครับ เซ็นๆไปเถอะ จากการสังเกตุ 90% ไม่มีร้านไหนเช็คว่าลายเซ็นหลังบัตรตรงไหม
ที่เมืองนอกอย่าง อเมริกา เมื่อก่อนถ้ามีบัตรแบบต้องเซ็นต์มา เค้าจะขอดู ID ด้วยเพื่อความชัวร์อีกทีครับ แต่บ้านเรา ไม่เคยมีตรวจอะไรเลย มันคือช่องโหว่ขนาดมหึมาขอคนใช้บัตรเครดิตครับ
อเมริกาเช็คจริงจังมาก เค้าดูหลังบัตรแทบจะทุกครั้งเลยครับแต่ยังไม่เคยเจอขอดู ID ครับ
[deleted]
BBL ที่ทำเจ้าแรกๆ จนลูกค้าช่วงนึงกดเงินตู้ธนาคารอื่นไม่กด้ ยังมีบัตรตกค้างเลย
[S]
สงสัยว่าตอนนี้ถ้าผมลบหรือแก้ไขข้อมูลในแถบแม่เหล็กของบัตร มันจะถือว่าบัตรนั้นเป็นบัตรเสียหรือเปล่าน่อ?
ผลกระทบมันมี 2 ด้านเสมอถ้าจะมองว่าการเปลี่ยนแปลงช้าแล้วแย่โดยมีคนโดนโจมตี ก็ต้องมีข้อมูลว่าผลกระทบว่าถ้าเปลี่ยนเร็วจะเกิดความเสียหายอะไรบ้างมาเปรียบเทียบด้วยถ้าที่คิดว่ามันสมควรแล้วหรือความผิดพลาดมันจริงหรือเปล่า ยกตัวอย่าง
คนที่อยู่ไกลไม่สามารถเข้ามาที่ธนาคารได้ง่ายแต่ใช้ตู้ ATM เพื่อกดเงินที่ลูกๆส่งมาซื้อข้าวกิน รถก็ไม่มีร่างกายก็ไม่พร้อม แต่อยู่มาวันนึงกดเงินไม่ได้
การสือสารให้คนรับรู้ว่าต้องเปลี่ยนกับผู้สูงอายุสายตาไม่ดีหรืออ่านหนังสือไม่ได้
ทำยังไงให้ทั่วถึง ขนาด แค่ยกเลิกครื่นยังมีคนจำนวนมากที่ไม่ได้เปลี่ยนซิม
ระยะเวลาในการติดตั่ง และคิดว่าคงมีผลกระทบอื่นๆอีก
+10
ในข่วง => ในช่วง
ประกาศมาหลายปีมาก ไม่ทำก็ต้องยอมรับกติกา
ผมเข้าใจว่าประกาศให้เปลี่ยนมาปีกว่าเกือบสองปีนะครับ รวมถึงเข้าใจว่าสั่งให้ตู้ ATM แจ้งเตือนให้เปลี่ยนทุกครั้งด้วย แถมออกมาตรการเปลี่ยนฟรีอีก อันนี้คงจะเรียกว่านโยบายช้าไม่ได้
ที่ควรเสริมคือการทำให้ประชาชนตระหนักถึงปัญหาว่าทำไมต้องเปลี่ยนมากกว่าครับ ประชาชนรู้แค่ต้องเปลี่ยนใหม่ แต่ไม่รู้ว่าทำไมต้องเปลี่ยน ดีกว่าเดิมยังไง เมื่อไม่รู้ก็ขี้เกียจเปลี่ยน กลายเป็นบัตรตกค้างนี่แหละ
Russia is just nazi who accuse the others for being nazi.someone once said : ผมก็ด่าของผมอยู่นะ :)
ผมพยายามไปเปลี่ยนหลายที เจอธนาคารอ้างว่าบัตรธรรมดาหมดทุกครั้ง เหลืออยู่แต่บัตรแพงที่พ่วงสิทธิ พ่วงประกัน เลยไม่เปลี่ยนมันละ เลิกใช้ถาวรเลย
เชื่อว่าคนส่วนใหญ่ในประเทศก็คงเจอปัญหาคล้ายๆกับผมเลยไม่เปลี่ยนกัน
เป็นเหมือนกัน ผมมีบัตรของธ.กสิกรไทย บัตรเก่านี่โดนปีละ 100 บัตรใหม่นี่เริ่ม 250 แต่บัตรหมด มีแต่ 350 ก็เลยเดินออกมาอย่างมึน ๆ
สุดท้ายเข้าไปค้นเจอว่าสั่งอาญัติบัตรแล้วไม่ต้องเสียค่าธรรมเนียมต่อ เหมือนยกเลิกบัตรไปเลยผ่าน app K+ ได้ ก็เลยกดอาญัติไปซะ จบเรื่องไป ถอนผ่าน app แทน
พึ่งรู้ว่ายกเลิกผ่าน App ได้ ขอบคุณมากๆครับ
สิงคโปร์สั่งให้ธนาคารออกบัตรชิปทั้งหมดตั้งแต่ 2014 ครับ บัตร 20-40 ล้านใบ สั่งวันนี้ มันไม่หมดในวันนี้อยู่แล้ว
ต่อให้ออกบัตรชิป 2014 เท่ากัน วัน cut-off ก็อาจจะวันนี้เหมือนเดิม แต่ที่จะเกิดขึ้นคือ 1) การโจมตีแต่ละครั้งจะส่งผลกระทบน้อยลง คนที่กดประจำจะเปลี่ยนบัตรก่อน รวมถึงคนที่โดนโจมตีไปแล้วครั้งหนึ่งก็แปลี่ยน 2) การโจมตี "น่าจะ" น้อยลง เพราะข้อหนึ่ง effective ของการโจมตีต่ำลง 3) วัน cut-off วันนี้คนจะเหลือบัตรน้อยลง
ผมไม่ได้อยากให้เราเลิกใช้เทคโนโลยีเดิมเร็วๆ เท่าไหร่นะครับ โลกความเป็นจริงมันมีคนไม่ยอมเปลี่ยนนี่เรารู้อยู่แล้ว แต่เราจัดการได้ดีกว่านี้ถ้าเราเพิ่ม alternative เข้ามาเร็ว วันนี้ถ้าเรายังใช้บัตรแม่เหล็กอยู่เราอาจจะบีบกดเงินได้ไม่เกินวันละหมื่น แล้วใช้ต่อก็น่าจะพอไหว หรือแอนดรอยด์หมดซัพพอร์ตเราจะไม่ตัดเขาทั้งหมดแต่ลดการโอนออกเหลือวันละ 5000 อะไรแบบนั้นก็ว่าไป
อยากเรื่อง SMS การ มี/เสนอ ทางเลือกให้ลูกค้า อาจจะบังคับในบางกรณี (ขอเพิ่มวงเงินรายวันสูงมากๆ) ไว้ล่วงหน้า แล้วค่อยๆ เปลี่ยนผ่าน ถ้าพรุ่งนี้มีข่าวช่องโหว่ใหม่ (หรือช่องโหว่ SS7 เดิมๆ นี่ล่ะ) จาก SMS แล้วมีคนโดนขโมยเงินสักพันคน เรามีทางเลือกให้คน "เฮโล" กันไปหาช่องทางใหม่ได้นี่ดีกว่ามากๆ
ผมเองใช้บัตรชิปมานาน 15 ปีแล้ว มันก็ให้บริการกันมาได้ แสดงว่าต้นทุนไม่ได้สูงเกินไป (เช่นเดียวกัน HW/SW Token นี่หลายธนาคารก็ให้บริการกันแล้ว) แต่การไม่มีนโยบายเป็นศูนย์กลาง มันทำให้มีไม่กี่ธนาคารมีทางเลือก และคนจำนวนมากมันเปลี่ยนธนาคารไม่ได้
lewcpe.com , @wasonliw
ที่มันล่าช้า ส่วนนึงเพราะการกำหนดให้ใช้ Application ในชิพที่ไม่ใช่มาตรฐานสากล ไปใช้มาตรฐานจีน (UPI)แล้วก่อตั้งบริษัทชื่อ TPN ขึ้นมา ความเดือดร้อนจึงบังเกิด เพราะธนาคารส่วนใหญ่ไม่ได้เป็น member UPI และ TPN ทำให้เกิดดราม่าพอสมควรเพราะต้องสมัครเป็น member TPN
ต้องทำระบบให้รองรับ TPN ทั้งระบบการออกบัตร, ตู้ ATM, เครื่อง EDC
ถ้าใช้มาตรฐาน VISA/Mastercard ตั้งแต่แรกเรื่องนี้จะไม่เกิด
สุดท้ายทางออกคือ ITMX ออกบัตร Prompt Card เป็นอีก 1 ทางเลือก ไม่ให้ TPN ผูกขาด
และยังร่วมมือกับ Mastercard ในการออกบัตร Cobadge ในประเทศวิ่งผ่าน ITMX
เวลาไปใช้ต่างประเทศ ก็วิื่งผ่าน Mastercard
VISA ก็ทำการจดทะเบียนเป็น บริษัทไทย และ ใช้ network ITMX สำหรับรายการในประเทศ
TPN ใครถือหุ้นบ้างก็ไปลองหาข้อมูลละกันครับ
ผมเจออันนี้
https://www.thansettakij.com/content/33286
เลยตามไปอ่านประวัติของประธานฯ
รบวนถามครับผมเข้าใจว่า ตัวแปรของปัญหานี้ ก็คือบัวหลวงเอง ใช่หรือเปล่าครับ.