Thursday, November 21, 2024
ArticlesColumnistPairoj Waiwanijchakij

การป้องกันภัยบน iBanking ให้ความไว้วางใจได้สูงสุดหรือยัง

iBanking

ประสบการณ์ตรงจากการใช้แอปพลิเคชันการเงิน ที่เดินตามแนวปฏิบัติการรักษาความปลอดภัยไซเบอร์อย่างเข้มงวด ทั้งการตั้งค่าของเครื่องผนวกกับแอปพลิเคชันด้าน Security แต่ยังพบผลลัพธ์ที่ต่างกันของแต่ละธนาคาร ไม่เป็นมาตรฐาน อดคิดไม่ได้ว่าเราใช้งานแอปพลิเคชันการเงินอย่างปลอดภัยจริงหรือ

มื่อต้นเดือนเมษายนที่ผ่านมา ผู้ที่ใช้งานแอปพลิเคชันประเภท iBanking ซึ่งให้บริการทำธุรกรรมทางธนาคารผ่านสมาร์ทโฟนของหลายธนาคารจะพบว่า แอปพลิเคชันได้รับการอัพเดตให้เพิ่มกลไกในการตรวจจับการตั้งค่าในหมวดผู้ยืนยันตัวตน (Authenticator) บนสมาร์ทโฟนของตนเอง

ซึ่งโดยเนื้อแท้แล้วก็คือ ความพยายามในการปิดช่องว่างของบรรดาอาชญากรไซเบอร์ที่จะ “บุก” เข้ามาและดำเนินการใดๆ ก็ตามแต่ ทั้งการอ่านค่า login และ password ในการเข้าถึงแอปพลิเคชันต่างๆ โดยเฉพาะแอปพลิเคชันประเภท iBanking ไปจนถึงขั้นที่ว่าเข้ามาควบคุมการเข้าถึงแอปพลิเคชันและแอบดำเนินธุรกรรมทางธนาคาร โดยเฉพาะการเงินในบัญชีออกไปยังบัญชีของตนเองหรือบัญชีอื่นๆ ดังที่มีผู้คนจำนวนหนึ่งต้องสูญเสียเงินในบัญชีไปโดยไม่ได้รู้ตัวเลยว่าเกิดขึ้นเมื่อใด

ต้นเหตุของการชักศึกเข้าบ้าน ทำไมแฮกเกอร์จึงสามารถเข้ามาดำเนินการอุกอาจแบบนี้ได้ ก็เป็นที่ทราบกันว่ามาจากบรรดาโฆษณาเชิงเนื้อหา (Advertorial) ต่างๆ ที่หลอกให้ผู้บริโภคคลิกลิงค์ไปยังเว็บไซด์ต่างๆ ไปจนถึงบรรดาแอปพลิเคชันลวงที่หลอกให้ผู้ใช้งานสมาร์ทโฟน กดติดตั้งเข้ามายังโทรศัพท์ของตน

บทความโดย: ไพโรจน์ ไววานิชกิจ นักวิชาการผู้เชี่ยวชาญด้านโทรคมนาคม ธุรกิจดิจิทัล อุตสาหกรรมสตาร์ทอัพ ธุรกิจพลังงาน ลอจิสติก และเทคโนโลยีสารสนเทศ

พูดให้ง่ายๆ ก็คือทำอย่างไรก็ได้ให้ผู้ใช้งานติดตั้ง coding ที่สร้างขึ้นมาเข้าไปในโทรศัพท์ ซึ่งเมื่อติดตั้งไปแล้วบรรดา coding เหล่านั้นก็จะทำตัวเป็นเสมือน Trojan หรือแอปพลิเคชันลูกที่ทำหน้าที่สำคัญ 2 ประการ

อย่างแรกก็คือ เปิดช่องทางในการติดต่อสื่อสารแบบออนไลน์กับตัวแฮกเกอร์เอง ไม่ว่าจะรอให้แฮกเกอร์ login เข้ามาใน Smartphone หรือไม่รอแต่ทำหน้าที่สแกนตรวจสอบในโทรศัพท์ว่ามีการติดตั้งแอปพลิเคชัน iBanking ของธนาคารใดบ้าง

กับอีกหน้าที่หนึ่งก็คือ การอ่านการพิมพ์ การตำแหน่งต่างๆ บนหน้าจอ การพิมพ์ การป้อนข้อมูลต่างๆ และที่ร้ายที่สุดก็คือการเข้าถึงฟังก์ชันของสมาร์ทโฟนที่เกี่ยวกับการรับส่งข้อความ SMS ชี้ให้ตรงจุดที่สุดก็คือ การอ่านค่า OTP (One-time-password) ที่เซิร์ฟเวอร์ iBanking ส่งมาถึงผู้ใช้งานเพื่อให้ป้อนยืนยันก่อนทำธุรกรรมต่างๆ

เมื่อรวมหน้าที่การทำงาน 2 อย่างนี้เข้าด้วยกัน ก็เท่ากับแฮกเกอร์สามารถล่วงรู้ข้อมูลการใช้งานและเข้ามาควบคุมการใช้งานแอปพลิเคชัน iBanking ต่างๆ ของผู้ใช้งานที่โชคร้ายได้ทันที ซึ่งอันที่จริงแล้วไม่ใช่เฉพาะแอปพลิเคชัน iBanking แต่เป็นทุกๆ การใช้งาน ทุกๆ แอปพลิเคชัน เท่ากับเป็นการ “แก้ผ้า” แบบที่ผู้บริโภคไม่ทันได้รู้ตัวเสียด้วย

ส่องมาตรการแก้ไขของธนาคาร

การแก้ไข ของธนาคารและสถาบันการเงินต่างๆ เกิดขึ้นเมื่อต้นเดือนที่ผ่านมาก็คือ การอัพเดตแอปพลิเคชัน iBanking ของตนให้ตรวจสอบว่ามีผู้ใช้สมาร์ทโฟน ไม่ว่าจะเป็นระบบปฏิบัติการ Android หรือ iOS มีการปิด “ช่องโหว่” ที่แฮกเกอร์จะอาศัยในการเข้าถึงโทรศัพท์ของตนหรือไม่

โดยมุ่งไปที่การตั้งค่าของสมาร์ทโฟนที่อนุญาตให้มีการเข้าถึงและควบคุมโทรศัพท์ของตนจากระยะไกล ซึ่งโดยปกติโทรศัพท์แต่ละรุ่นจะมีการตั้งค่าพื้นฐานให้เปิดการใช้งาน

สำหรับรายละเอียดว่าจะเข้าไปเปิดหรือปิดการตั้งค่าต่างๆ อย่างไรนั้น ผู้อ่านสามารถไปที่การตั้งค่า (Setting) บน สมาร์ทโฟนของท่าน และพิมพ์ค้นหาคำว่า Authenticator ที่อยู่ในหมวด Accessibility ก็จะพบรายการตั้งค่าที่เกี่ยวข้อง โดยโทรศัพท์แต่ละแบรนด์ก็อาจจะมีรายละเอียดแตกต่างกันไปบ้าง

ทั้งนี้แอปพลิเคชัน iBanking_ของหลายๆ ธนาคารจะแจ้งบนหน้าจอว่าไม่ให้ดำเนินรายการทางธุรกรรมใดๆ อีกจนกว่าจะปิดฟังก์ชันที่อนุญาตให้ควบคุมการทำงานของสมาร์ทโฟนไปก่อน ทั้งนี้ฟังก์ชันต่างๆ ที่กลายเป็นผู้ต้องหาโดยหลักก็จะมีอยู่ 2 ส่วน

ส่วนแรกคือ Authenticator ซึ่งหากเปิดให้ทำงาน แอปพลิเคชันใดๆ ก็ตามที่ติดตั้งอยู่บนโทรศัพท์สามารถอ่านและควบคุมการทำงานบนโทรศัพท์หรือกับแอปพลิเคชันอื่นๆ ได้ กับทั้งยังสามารถติดตามและบันทึกการใช้งานโทรศัพท์และการใช้งานแอปพลิเคชันอื่นๆ ของผู้ใช้งาน

กับอีกส่วนหนึ่งก็คือ Link to Windows ซึ่งทำให้สมาร์ทโฟนยอมรับการเชื่อมต่อจากระยะไกลจากอุปกรณ์คอมพิวเตอร์ (PC) เครื่องอื่นๆ สาเหตุที่ต้องมีการกำหนดฟังก์ชันเหล่าขึ้นมาก็เพื่ออำนวยความสะดวกในการนำอุปกรณ์หรือสมาร์ทโฟนเหล่านี้ไปประยุกต์ใช้งาน เช่น การนำติดตั้งเป็นอุปกรณ์สื่อสารสำหรับระบบ IoT (Internet of Thing) หรือการใช้งานอื่นใด ที่ต้องมีการเข้าถึงและควบคุมการสั่งงานจากระยะไกล แต่มาถึงวันนี้ฟังก์ชันนี้กลับกลายเป็นช่องโหว่ให้บรรดามิจฉาชีพ

การที่ธนาคารต่างๆ ตัดสินใจเพิ่มการตรวจสอบและสั่งให้ผู้ใช้งานปิดฟังก์ชันทั้ง Authenticator และ Link to Windows ฟังดูแล้วก็ตรงประเด็นดี เพราะเป็นการปิดประตูไม่ให้มิจฉาชีพสามารถเข้าถึงแอปพลิเคชันของตนได้ แต่สิ่งที่ต้องตระหนักมีต่อไปอยู่ 2 ประการ

เรื่องแรกก็คือ สิ่งเรายังคงมีความเสี่ยงในการเผลอกด link จากเว็บไซด์ จากอีเมล จาก SMS แล้วเป็นการเรียกติดตั้งแอปพลิเคชันที่มีความเสี่ยงอยู่เหมือนเดิม และเราก็ไม่ทราบว่าเมื่อไรแฮกเกอร์เหล่านี้จะกลับลำหาทางเขียน code เพื่อไปสั่งเปิดฟังก์ชัน Authenticator และ Link to Windows ได้อีก

วันนี้ยังดูเหมือนไม่ได้ แต่เราก็ไม่ทราบว่าในการ update OS ทั้ง Android และ iOS ในครั้งต่อๆ ไปอาจมีช่องโหว่ใด ๆ เกิดขึ้น เอาเป็นว่ามาตรการที่เกิดขึ้นในวันนี้ก็พออุ่นใจแก่เราบ้าง แต่ก็ไม่ควรประมาท หากเป็นไปได้ก็ควรซื้อและติดตั้งแอปพลิเคชัน Security ที่ทำหน้าที่ป้องกันภัยทางไซเบอร์ แต่ต้องเลือกรายที่ไว้ใจได้เป็นสำคัญ

Image by Freepik

การทำงานที่ยังไม่สอดประสานกัน

เมื่อพูดถึงเรื่องแอปพลิเคชันด้าน Security ก็นำไปสู่ประเด็นที่สอง ซึ่งผู้เขียนเองมีการติดตั้ง Bitdefender mobile security บนสมาร์ทโฟนที่ใช้งานส่วนตัวอยู่ ปัญหาที่พบก็คือ แอปพลิเคชัน_iBanking ของบางธนาคารที่ตนเองใช้งานอยู่บังคับว่าจะต้องปิดการทำงานของ Bitdefender ในส่วนของ Accessibility

กลายเป็นว่ากลไกการป้องกันภัยคุกคามบนสมาร์ทโฟนของผู้เขียน ซึ่งปกติผู้เขียนอุ่นใจกับฟังก์ชัน Web Protection ที่ระบบเซิร์ฟเวอร์ของ Bitdefener จะทำงานร่วมกับแอปพลิเคชัน Bitdefender บน Smartphone เพื่อตรวจสอบ แจ้งเตือน และดำเนินการบล็อกภัยคุกคามต่างๆ บนโทรศัพท์ บัดนี้ต้องถูกสั่งให้หยุดทำงาน กลายเป็นว่าแก้ปัญหาเรื่อง iBanking_ไปได้

แต่กลับทำให้เกิดความรู้เสี่ยงว่าระบบป้องกันภัยแบบออนไลน์ของตนเองไม่สามารถทำงานได้ ที่สำคัญก็คือ ผู้เขียนทดลองเปิดใช้งาน Authenticator, Link to Windows และ Bitdefender ทิ้งไว้เหมือนเดิม แล้วลองเปิดใช้งานแอปพลิเคชัน_iBanking ของธนาคารรายใหญ่อีก 2 ราย กลับพบว่าสามารถใช้งานแอปพลิเคชันได้ตามปกติ ขณะที่แอปพลิเคชันของธนาคารเก่าแก่แห่งหนึ่งและธนาคารอีกแห่งหนึ่งยังคงยืนกรานว่าจะต้องปิดการใช้งานฟังก์ชันทั้ง 3 ตัวบน Smartphone ของผู้เขียน

คำถามที่คาใจในเวลานี้ ทั้งที่เป็นมุมมองส่วนตัวและมองต่อออกไปแทนผู้บริโภคทั่วไปก็คือ ตกลงแล้วเราปลอดภัยจากภัยด้านไซเบอร์บนแอปพลิเคชัน_iBanking ไปเปลาะหนึ่งแล้วจริงหรือ อีกคำถามหนึ่งก็คือ ผู้เชี่ยวชาญด้านไอทีของธนาคารยักษ์ใหญ่สองรายมีกลวิธีอื่นใดที่พิเศษในการช่วยป้องกันภัยด้านไซเบอร์ที่เหนือกว่ารายอื่นๆ หรือไม่ ทำไมมาตรการจึงไม่เหมือนกัน และต่อไปข้างหน้าประเทศไทยจะมีมาตรการร่วมหนึ่งเดียวในการป้องกันภัยจากไซเบอร์สำหรับธุรกรรมทางธนาคารอย่างไร

พบกับเรื่องราวของเทคโนโลยีและรูปแบบธุรกิจทันยุคอื่นๆ ได้ใหม่ในบทความตอนต่อไป

อ่านบทความทั้งหมดของ ไพโรจน์ ไววานิชกิจ

Featued Image: Image by rawpixel.com on Freepik