ผมได้เปิดบัญชีกับทาง ธนาคารกสิกรไทย ทางอินเตอร์เนต เป็นจำนวน 4 บัญชี ได้ถูกโจรกรรมเมื่อวานเริ่มตั้งแต่เวลาตีสี่ถึงประมาณเจ็ดโมงเช้า ของวันที่ 26 มิถุนายน 2556 ซึ่งผู้ร้ายได้โทรไปยืนยันตัวตนเพื่อเปลี่ยนแนวทางการรับ otp จากทางมือถือผ่านทางอีเมล์แทนในเวลาตีสี่สิบห้านาที ซึ่งทำให้ผมได้รับผลกระทบโดยเงินถูกโอนออกไปเป็นจำนวนเงิน 78,324บาท ทางธนาคารได้ให้แจ้งความซึ่งผมได้ลงบันทึกประจำวันไว้ที่ สภอ ปากเกร็ดเรียบร้อยแล้ว แต่สิ่งหนึงที่ผมตั้งข้อสังเกตุคือทำไมบุคคลอื่นสามารถยืนยันตัวตนเป็นผมได้เพื่อเปลี่ยนแปลงการรับ OTP เป็นทางอีเมล์ได้ง่ายโดยตอบคำถามเพียงสองสามคำถามซึ่งสามารถเข้าถึงข้อมูลเหล่านี้ได้ง่ายอยู่แล้วทางอินเตอร์เนต คำถามที่ถูกถามคือ เบอร์โทรศัพท์แล้วก็บัญชีออมทรัพย์ในระบบ cycber banking ผมได้แจ้งไปทางคอลเซ็นเตอร์ของธนาคารเรียบร้อยแล้วแต่ทางธนาคารก็บอกว่าทำเป็นมาตรฐานเพียงพอแล้ว ซึ่งหมายความว่าจะไม่มีการปรับปรุงใดๆเกิดขึ้น ซึ่งถ้าทางธนาคารมีมาตรการที่ดีพอจะต้องถามคำถามในเชิงลึกมาขึ้นเช่น รหัสบัตรเอทีเอ็ม, เลขบัตรเอทีเอ็ม, สาขาที่เปิดบัญชี ซึ่งไม่สามารถหาได้ตามอินเตอร์เนตแล้วทุกคนต้องรู้หรือติดตัวและซึ่งจะทำให้การดำเนินการยากยิ่งขึ้น
ผมไม่รู้ว่าจะสามารถทำให้ทราบว่าทางธนาคารจะมีส่วนรับผิดชอบความเสียหายที่เกิดขึ้นกับผมได้อย่างไรและจะมีวิธีการป้องกันได้อย่างไร เพราะถ้าทางคนร้ายไม่สามารถดำเนินการเปลี่ยนการรับ OTP ได้ผมก็ไม่เสียหายมากขนาดนี้
ถ้าเป็นทางอเมริกาเค้าจะชดเชยเงินให้ก่อนค่อยตรวจสอบแต่เหมือนทางเราต้องรอการตรวจสอบก่อนซึ่งผมไม่ได้รับการบอกกำหนดระยะเวลาที่แน่นอนจากทางแบงค์ได้รับคำตอบว่าให้คอยโทรมาสอบถามเรื่อยๆเหมือนกับเป็นการผลักลูกค้าให้เป็นหน้าที่ของแต่ละคนเอง ซึ่งระบบของแบงค์ที่ทำขึ้นมาไม่ปลอดภัยเพียงพอ แต่ลูกค้าต้องยอมรับความเสี่ยงเองถ้าต้องการใช้บริการ
ถ้าใครมีความคิดเห็นเพิ่มเติมหรือวิธีการดำเนินการอะไรช่วยแนะนำกันเข้ามาด้วยนะครับ
ไว้ผมจะมาอธิบายเพิ่มเติมต่อว่าคนร้ายเอาเงินออกไปได้ยังไงหลังจากเปลี่ยนเป้นรับ OTP ทางอีเมล์ซึ่งจะจำกัดการโอนเงินเฉพาะที่มีอยู่ในลิสเท่านั้น
ปล.ผมยังไม่เห็นประโยชน์ของการับ OTP ทางอีเมล์ซึ่งไม่มีความปลอดภัยเลย
********ข้อมูลเพิ่มเติมเกี่ยวกับการเข้าถูกเข้าถึงบัญชี K-Cyber Banking ของผม********
ผมโดนเข้าถึง hotmail โดยผู้ไม่ประสงค์ดีซึ่งเมล์นี้ผมรีจิสเตอร์ไว้กับทางธนาคารกสิกร KCyber banking(ซึ่งผมได้รับข้อมูลเวลาจาก sms ที่เข้ามาโทรศัพท์ผมพร้อมระบุเวลาดั่งรายละเอียดด้านล่าง)
เวลาตี 3:44am hotmail ของผมถูกรีเซท password ซึ่งข้อมูลการโอนเงินที่ส่งมาจากธนาคารอยู่ในนั้นทั้งหมดแต่ทางผู้ไม่ประสงค์ดีเข้ามากระทำด้วยวิธีการใดนั้นผมยังไม่ทราบ
เวลาตี 3:49am ผู้ไม่ประสงค์ดีทำการแอดเบอร์ใหม่ที่สองตัวท้ายเหมือนเบอร์ที่ผมใช้อยู่ซึ่งเป็นเบอร์เดียวกันกับที่ผมลงทะเบียนไว้ใน K-Cyber banking เข้าไปใน hotmail อาจจะเพื่อเหตุผลใดเหตุผลนึง ซึ่งตรงนี้พิสูจน์แล้วว่าทางผู้ไม่ประสงค์ดีได้รับรู้เบอร์โทรศัพท์แล้ว
เวลาตี 3:53am มีข้อความส่งมาที่มือถือเพื่อทำการลบเบอร์มือถือของผมทิ้งใน hotmail แต่ไม่สำเร็จเพราะผมยังสามารถรีเซ็ต password ของ hotmail แล้วส่งข้อความกลับมาที่เบอร์มือถือผมได้ตอน 13:04 เพื่อกลับเข้าไปในบัญชีของตัวผมเองได้หลังจากนั้น
การกระทำอันนี้อาจจะมีจุดประสงค์เพื่อป้องกันผมเข้าถึง hotmail นี้ได้และเห็นความเคลื่อนไหวของรายการโอนเงิน
ข้อสังเกตุ ข้อมูลตรงนี้ผู้ไม่หวังดีจะได้ข้อมูลโทรศัพท์มือถือแล้วก็จำนวนบัญชีที่อยู่ใน KCyber Banking แล้วอย่างที่ผมเน้นย้ำว่าข้อมูลพวกนี้ไม่เพียงพอต่อการยืนยันตัวตนเพราะมันมีอยู่ในอินเตอร์เนต
ทางธนาคารได้บอกว่ามีผู้ไม่ประสงค์ดี โทรเข้ามาเพื่อทำการรีเซ็ตพาสเวิร์ด K-Cyber Banking ของผมแล้วรับรหัสผ่านใหม่ทาง hotmail ของผมหลังจากที่ผู้ไม่ประสงค์ดีสามารถเข้าถึงอีเมล์ผมได้แล้ว (ซึ่งธนาคารบอกว่าเจ้าของบัญชีเท่านั้นที่จะรู้ แต่ทำไมเคสนี้คนอื่นกลับมายืนยันความเป็นตัวผมได้ คำถามที่ถามยืนยันตัวตนดีเพียงพอแล้วหรือยัง อย่างที่ทางธนาคารบอกว่ามีมาตรฐานและกระบวนการตรวจสอบ)
เวลาตี 4:15am (ทางธนาคารบอกเวลามา) ว่ามีการโทรเข้ามาเพื่อปรับเปลี่ยนวิธีการส่ง OTP จากทาง sms ไปเป็นรับทาง email แทนโดยมีการยืนยันตัวบุคคลซึ่งทางธนาคารก็ยืนยันว่าใช้คำถามที่มีมาตรฐานและกระบวนการตรวจสอบ(เพียงพอแล้วหรือยัง????????)
เวลาตี 5:00am(ข้อความเข้ามือถือ) OTP เพื่อโอนเงิน 4,000บาทไปอีกธนาคารนึงของผม
เวลาตี 5:08am(ข้อความเข้ามือถือ) OTP เพื่อโอนเงิน 10,000บาทไปอีกธนาคารนึงของผม
เวลาตี 5:24am(ข้อความเข้ามือถือ) OTP เพื่อโอนเงิน 49,900บาทไปอีกธนาคารนึงของผม
เวลาตี 6:27am(ข้อความเข้ามือถือ) OTP ทำรายการ K-Web Shopping card (ไม่รู้จำนวนเงิน)และผมไม่เคยใช้บริการ
เวลาตี 6:27am(ข้อความเข้ามือถือ) OTP ทำรายการ K-Web Shopping card (ไม่รู้จำนวนเงิน) อีกครั้งนึง
เวลาตี 6:43am(ข้อความเข้ามือถือ) OTP เพื่อโอนเงิน 950บาทไปอีกธนาคารนึงของผม
บัญชีปลายทางเป็นหนึ่งในบัญชีที่อยู่ในรายชื่อของ K-Cyber banking ซึ่งบัญชีนั้นผมก็ถูกโจรกรรมไปด้วยเหมือนกันซึ่งทำให้ความเสียหายรวมเป็นจำนวนเงิน 78,324บาท ซึ่งความเสียหายส่วนใหญ่เกิดจาก K-Cyber banking ประมาณหกหมื่นกว่าบาท(ตามข้อความเข้ามือถือ)
***ข้อสังเกตุ***
Hotmail ถูกแฮกไม่เสียหายทางด้านการเงิน
แต่ความเสียหายที่เกิดขึ้น เกิดจากการยืนยันตัวตนที่ทางธนาคารกสิกรบอกว่ามีมาตรฐานและกระบวนการตรวจสอบ
ผมยอมรับว่าตัวผมเองอาจจะหละหลวมไม่ระวังเพียงพอ แต่ทางธนาคารที่บอกว่ามีมาตรฐานและกระบวนการตรวจสอบก็หละหลวมไม่ต่างกัน จึงก่อให้เกิดความเสียหายขึ้นกับลูกค้า
ดังนั้นที่ทางธนาคารย้ำว่ามี มาตรฐานและกระบวนการตรวจสอบ มันเพียงพอแล้วจริงหรือ????????
K-Cyber Banking ไม่ปลอดภัย เสียหาย78,324บาท โดยมีผู้ไมประสงค์ดีโทรไปเปลี่ยนแปลงการรับOTPทางมือถือไปเป็นทางอีเมล์ได้ง่าย
ผมไม่รู้ว่าจะสามารถทำให้ทราบว่าทางธนาคารจะมีส่วนรับผิดชอบความเสียหายที่เกิดขึ้นกับผมได้อย่างไรและจะมีวิธีการป้องกันได้อย่างไร เพราะถ้าทางคนร้ายไม่สามารถดำเนินการเปลี่ยนการรับ OTP ได้ผมก็ไม่เสียหายมากขนาดนี้
ถ้าเป็นทางอเมริกาเค้าจะชดเชยเงินให้ก่อนค่อยตรวจสอบแต่เหมือนทางเราต้องรอการตรวจสอบก่อนซึ่งผมไม่ได้รับการบอกกำหนดระยะเวลาที่แน่นอนจากทางแบงค์ได้รับคำตอบว่าให้คอยโทรมาสอบถามเรื่อยๆเหมือนกับเป็นการผลักลูกค้าให้เป็นหน้าที่ของแต่ละคนเอง ซึ่งระบบของแบงค์ที่ทำขึ้นมาไม่ปลอดภัยเพียงพอ แต่ลูกค้าต้องยอมรับความเสี่ยงเองถ้าต้องการใช้บริการ
ถ้าใครมีความคิดเห็นเพิ่มเติมหรือวิธีการดำเนินการอะไรช่วยแนะนำกันเข้ามาด้วยนะครับ
ไว้ผมจะมาอธิบายเพิ่มเติมต่อว่าคนร้ายเอาเงินออกไปได้ยังไงหลังจากเปลี่ยนเป้นรับ OTP ทางอีเมล์ซึ่งจะจำกัดการโอนเงินเฉพาะที่มีอยู่ในลิสเท่านั้น
ปล.ผมยังไม่เห็นประโยชน์ของการับ OTP ทางอีเมล์ซึ่งไม่มีความปลอดภัยเลย
********ข้อมูลเพิ่มเติมเกี่ยวกับการเข้าถูกเข้าถึงบัญชี K-Cyber Banking ของผม********
ผมโดนเข้าถึง hotmail โดยผู้ไม่ประสงค์ดีซึ่งเมล์นี้ผมรีจิสเตอร์ไว้กับทางธนาคารกสิกร KCyber banking(ซึ่งผมได้รับข้อมูลเวลาจาก sms ที่เข้ามาโทรศัพท์ผมพร้อมระบุเวลาดั่งรายละเอียดด้านล่าง)
เวลาตี 3:44am hotmail ของผมถูกรีเซท password ซึ่งข้อมูลการโอนเงินที่ส่งมาจากธนาคารอยู่ในนั้นทั้งหมดแต่ทางผู้ไม่ประสงค์ดีเข้ามากระทำด้วยวิธีการใดนั้นผมยังไม่ทราบ
เวลาตี 3:49am ผู้ไม่ประสงค์ดีทำการแอดเบอร์ใหม่ที่สองตัวท้ายเหมือนเบอร์ที่ผมใช้อยู่ซึ่งเป็นเบอร์เดียวกันกับที่ผมลงทะเบียนไว้ใน K-Cyber banking เข้าไปใน hotmail อาจจะเพื่อเหตุผลใดเหตุผลนึง ซึ่งตรงนี้พิสูจน์แล้วว่าทางผู้ไม่ประสงค์ดีได้รับรู้เบอร์โทรศัพท์แล้ว
เวลาตี 3:53am มีข้อความส่งมาที่มือถือเพื่อทำการลบเบอร์มือถือของผมทิ้งใน hotmail แต่ไม่สำเร็จเพราะผมยังสามารถรีเซ็ต password ของ hotmail แล้วส่งข้อความกลับมาที่เบอร์มือถือผมได้ตอน 13:04 เพื่อกลับเข้าไปในบัญชีของตัวผมเองได้หลังจากนั้น
การกระทำอันนี้อาจจะมีจุดประสงค์เพื่อป้องกันผมเข้าถึง hotmail นี้ได้และเห็นความเคลื่อนไหวของรายการโอนเงิน
ข้อสังเกตุ ข้อมูลตรงนี้ผู้ไม่หวังดีจะได้ข้อมูลโทรศัพท์มือถือแล้วก็จำนวนบัญชีที่อยู่ใน KCyber Banking แล้วอย่างที่ผมเน้นย้ำว่าข้อมูลพวกนี้ไม่เพียงพอต่อการยืนยันตัวตนเพราะมันมีอยู่ในอินเตอร์เนต
ทางธนาคารได้บอกว่ามีผู้ไม่ประสงค์ดี โทรเข้ามาเพื่อทำการรีเซ็ตพาสเวิร์ด K-Cyber Banking ของผมแล้วรับรหัสผ่านใหม่ทาง hotmail ของผมหลังจากที่ผู้ไม่ประสงค์ดีสามารถเข้าถึงอีเมล์ผมได้แล้ว (ซึ่งธนาคารบอกว่าเจ้าของบัญชีเท่านั้นที่จะรู้ แต่ทำไมเคสนี้คนอื่นกลับมายืนยันความเป็นตัวผมได้ คำถามที่ถามยืนยันตัวตนดีเพียงพอแล้วหรือยัง อย่างที่ทางธนาคารบอกว่ามีมาตรฐานและกระบวนการตรวจสอบ)
เวลาตี 4:15am (ทางธนาคารบอกเวลามา) ว่ามีการโทรเข้ามาเพื่อปรับเปลี่ยนวิธีการส่ง OTP จากทาง sms ไปเป็นรับทาง email แทนโดยมีการยืนยันตัวบุคคลซึ่งทางธนาคารก็ยืนยันว่าใช้คำถามที่มีมาตรฐานและกระบวนการตรวจสอบ(เพียงพอแล้วหรือยัง????????)
เวลาตี 5:00am(ข้อความเข้ามือถือ) OTP เพื่อโอนเงิน 4,000บาทไปอีกธนาคารนึงของผม
เวลาตี 5:08am(ข้อความเข้ามือถือ) OTP เพื่อโอนเงิน 10,000บาทไปอีกธนาคารนึงของผม
เวลาตี 5:24am(ข้อความเข้ามือถือ) OTP เพื่อโอนเงิน 49,900บาทไปอีกธนาคารนึงของผม
เวลาตี 6:27am(ข้อความเข้ามือถือ) OTP ทำรายการ K-Web Shopping card (ไม่รู้จำนวนเงิน)และผมไม่เคยใช้บริการ
เวลาตี 6:27am(ข้อความเข้ามือถือ) OTP ทำรายการ K-Web Shopping card (ไม่รู้จำนวนเงิน) อีกครั้งนึง
เวลาตี 6:43am(ข้อความเข้ามือถือ) OTP เพื่อโอนเงิน 950บาทไปอีกธนาคารนึงของผม
บัญชีปลายทางเป็นหนึ่งในบัญชีที่อยู่ในรายชื่อของ K-Cyber banking ซึ่งบัญชีนั้นผมก็ถูกโจรกรรมไปด้วยเหมือนกันซึ่งทำให้ความเสียหายรวมเป็นจำนวนเงิน 78,324บาท ซึ่งความเสียหายส่วนใหญ่เกิดจาก K-Cyber banking ประมาณหกหมื่นกว่าบาท(ตามข้อความเข้ามือถือ)
***ข้อสังเกตุ***
Hotmail ถูกแฮกไม่เสียหายทางด้านการเงิน
แต่ความเสียหายที่เกิดขึ้น เกิดจากการยืนยันตัวตนที่ทางธนาคารกสิกรบอกว่ามีมาตรฐานและกระบวนการตรวจสอบ
ผมยอมรับว่าตัวผมเองอาจจะหละหลวมไม่ระวังเพียงพอ แต่ทางธนาคารที่บอกว่ามีมาตรฐานและกระบวนการตรวจสอบก็หละหลวมไม่ต่างกัน จึงก่อให้เกิดความเสียหายขึ้นกับลูกค้า
ดังนั้นที่ทางธนาคารย้ำว่ามี มาตรฐานและกระบวนการตรวจสอบ มันเพียงพอแล้วจริงหรือ????????