ช่วงนี้มีข่าวคราวที่เกี่ยวข้องกับวงการธนาคารบ่อยนะครับ กรณีล่าสุดที่เกิดขึ้นคือเจ้าของบัญชีธ.กรุงเทพตั้งกระทู้ในพันทิปว่าถูกแฮกเงินในบัญชีออกไป แม้ว่าบัญชีนี้จะรักษาความปลอดภัยอย่างดีด้วยเครื่อง Token แล้วก็ตาม
เมื่อวันที่ 30 มิถุนายน 2558 คุณ FilmTepGano ได้ตั้งกระทู้ในพันทิปว่า “ผมโดนแฮคเงินในบัญชีผ่านระบบ Biz iBanking ของธนาคารกรุงเทพ” ซึ่งบริการ Biz iBanking คือบริการธนาคารผ่านระบบออนไลน์สำหรับผู้ใช้ในภาคธุรกิจ จึงทำให้กรณีนี้เป็นที่จับตาของคนที่อยู่ในแวดวงธุรกิจทันทีว่าจะดำเนินการกับบัญชีของธ.กรุงเทพอย่างไร
ข้อมูลจากฝั่งคุณ FilmTepGano ระบุว่ามีการโอนเงิน 2 ครั้งในวันที่ 10/6/58 ไปที่ธนาคารกสิกรไทยจำนวน 2.8 ล้านบาท และ 26/6/58 ไปที่ธนาคารกรุงเทพจำนวน 2.75 ล้านบาท รวมมูลค่าความเสียหายเป็นเงินกว่า 5.55 ล้านบาท โดยเจ้าของกระทู้บอกว่าที่รู้ตัวช้าเพราะเป็นบัญชีของบริษัทที่มีเงินเข้าออกหลายรายการทุกๆ วัน จึงทำให้ล่วงเลยมาหลายวันจึงจะรู้ตัว
แต่เป็นประเด็นที่ลูกค้าธ.กรุงเทพให้ความสนใจคือการเข้าใช้บัญชี Biz iBanking นอกจากมาตรการรักษาความปลอดภัย อย่าง SSL, เข้ารหัสที่ 256-bit, firewall หรือการพิสูจน์ตัวตนตามปกติของธนาคารแล้ว ยังมีการใช้เครื่อง Token เพื่อออกรหัสอีกด้วย ผู้ใช้จึงไม่สามารถเข้าระบบได้ด้วยรหัสผ่านอย่างเดียว แต่ต้องนำตัวเลข 6 หลักจากเครื่อง Token ที่เปลี่ยนทุกๆ นาทีไปใส่ด้วย
เมื่อดูจากข้อมูลทั้งหมดแล้ว อุปกรณ์ที่ธ.กรุงเทพใช้น่าจะเป็นระบบ Time-synchronized one-time passwords คล้ายๆ กับระบบ 2-step verification ที่ Google ใช้ คือ Server ของธนาคารกับเครื่อง Token จะซิงค์กันครั้งเดียวตอนเริ่มใช้ เพื่อให้ Server คิดเลขเหมือนที่เครื่อง Token คิด แล้วหลังจากนั้น Server กับเครื่อง Token จะไม่ต้องติดต่อกันอีก เพราะใช้เวลาเป็นตัวกลางในการซิงค์กันเรียบร้อยแล้ว
ในเมื่อระบบที่มีการป้องกันสูงกว่าระบบทั่วไปมีรูรั่ว ซึ่งตอนนี้ยังไม่ทราบว่าเป็นรูรั่วจากฝั่งธนาคาร รูรั่วที่ฝั่งผู้ใช้ หรือมีคนเก็บเอาเครื่อง Token ไปใช้เข้าระบบได้โดยที่เจ้าของกระทู้ไม่รู้ตัว หรือจะมีใครที่สามารถเลียนแบบชุดตัวเลขที่เครื่อง Token ของเจ้าของกระทู้คิดออกมาได้ งานนี้ต้องรอฟังคำตอบจากธ.กรุงเทพเร็วๆ นี้
ที่มา: Pantip
