สาเหตุของปัญหา
ตั้งแต่ e-commerce บูมเมื่อ 10-20 ปีก่อน เว็บไซต์ต่างๆ โดยเฉพาะที่เป็นเจ้าใหญ่ มีการสั่งตัดเงินจากบัตรเครดิตได้โดยไม่จำเป็นต้องอาศัยรหัส OTP ยืนยันจากมือถือ แต่อาศัยข้อมูลเพียง 1) เลขบัตรเครดิต 2) ชื่อ-นามสกุล 3) วันที่หมดอายุบัตร 4) CVV (เลข 3 ตัวด้านหลังบัตร)
เท่าที่รู้จักอย่างน้อยมี 3 เจ้าใหญ่ที่ไม่มีการใช้งาน OTP ในการซื้อของ คือ
1. App Store ของ Apple
2. Amazon.com: เว็บ e-commerce online ใหญ่ที่สุดในโลกก่อตั้งโดย Jeff Bezos
3. Steam: เว็บซื้อเกม online ใหญ่ที่สุดในโลก
สาเหตุที่ในยุคก่อนออกแบบง่ายๆ แบบนี้ เข้าใจว่าเป็นเพราะ
1. การ hack ยังไม่เกิดบ่อยนัก
2. ถ้าถูก hack บริษัทบัตรก็รับความเสี่ยงไปในการคืนเงินให้ลูกค้า และตาม reverse ยอดคืนกับเว็บที่มาตัดเงิน
3. เว็บที่โดนเอาเลขบัตรมาใช้ซื้อของก็ต้องยึดสินค้าคืน (ถ้าเป็นสินค้าพวก software จะยึดคืนได้ง่าย) หรือแบนบัญชีลูกค้า
แต่ในช่วงหลังมีเว็บ e-commerce มากขึ้น การเก็บรักษาเลขบัตรเครดิตบางเว็บทำได้ไม่ดี เมื่อหมายเลขบัตรรั่วออกมาจากเว็บใดเว็บนึงเพียงเว็บเดียว hacker ก็สามารถนำเลขนั้นไปซื้อของในเว็บอื่นๆ ได้เลย
ช่วงหลังหลายเว็บจึงใช้วิธีใหม่ ให้มี OTP (One time password) ส่งเข้ามือถือลูกค้า ให้ลูกค้านำมากรอกก็จะลดปัญหาไปได้มาก แต่บางเว็บโดยเฉพาะเจ้าใหญ่อย่าง app store, amazon.com และ steam ยังไม่ใช้ระบบ OTP
หนทางแก้ไข
1. (เว็บ) ควรเปิดใช้ OTP 100%
วิธีที่ดีสุดแต่ยากสุดคือ เว็บเจ้าใหญ่ทั้งหมดควรปรับมาใช้ OTP ก่อนตัดเงินก็จะแก้ปัญหาได้เกือบ 100%
ที่ยากเพราะเว็บเจ้าใหญ่ อำนาจต่อรองสูง ยากที่จะไปบังคับเขาได้
2. (แบงค์) ส่ง Alert แจ้งเตือน เมื่อมีการตัดยอดทุกครั้ง
เมื่อมีการตัดยอดบัตรเครดิตทุกครั้ง ควรแจ้งไปที่มือถือของลูกค้า (ไม่ต้องกลัวลูกค้ารำคาญ เพราะคนเราไม่ได้ใช้บัตรกันบ่อยขนาดนั้น)
โดยอาจแจ้งผ่าน SMS (มีค่าใช้จ่ายกับทางแบงค์) หรือแจ้งผ่าน Alert ของ App ในมือถือ (ไม่มีค่าใช้จ่ายเพิ่มกับทางแบงค์)
3. (แบงค์) ทำระบบ monitor ธุรกรรมแปลกๆ เช่นการตัดบัตรผ่านเว็บที่ลูกค้าไม่เคยตัดบัตรมาก่อน
ผมเคยมีประสบการณ์ที่ดี คือธ.กรุงศรีโทรมาหาทันทีตอนที่ใช้บัตรซื้อสินค้า online จากเว็บนึง อันนี้นับเป็นการกระทำที่ proactive มากๆ
4. (ลูกค้า) อย่าใส่เลขบัตรเครดิตกับเว็บใดๆ ที่เราไม่มั่นใจในความปลอดภัยของ IT
เพราะถ้ารหัสรั่วออกไปแค่จากเว็บเดียว ก็สามารถนำไปใช้กับเว็บอื่นได้ทั้งหมด
วิเคราะห์ปัญหาบัตรเครดิตถูกแฮ็ก (และหนทางแก้ไข)
ตั้งแต่ e-commerce บูมเมื่อ 10-20 ปีก่อน เว็บไซต์ต่างๆ โดยเฉพาะที่เป็นเจ้าใหญ่ มีการสั่งตัดเงินจากบัตรเครดิตได้โดยไม่จำเป็นต้องอาศัยรหัส OTP ยืนยันจากมือถือ แต่อาศัยข้อมูลเพียง 1) เลขบัตรเครดิต 2) ชื่อ-นามสกุล 3) วันที่หมดอายุบัตร 4) CVV (เลข 3 ตัวด้านหลังบัตร)
เท่าที่รู้จักอย่างน้อยมี 3 เจ้าใหญ่ที่ไม่มีการใช้งาน OTP ในการซื้อของ คือ
1. App Store ของ Apple
2. Amazon.com: เว็บ e-commerce online ใหญ่ที่สุดในโลกก่อตั้งโดย Jeff Bezos
3. Steam: เว็บซื้อเกม online ใหญ่ที่สุดในโลก
สาเหตุที่ในยุคก่อนออกแบบง่ายๆ แบบนี้ เข้าใจว่าเป็นเพราะ
1. การ hack ยังไม่เกิดบ่อยนัก
2. ถ้าถูก hack บริษัทบัตรก็รับความเสี่ยงไปในการคืนเงินให้ลูกค้า และตาม reverse ยอดคืนกับเว็บที่มาตัดเงิน
3. เว็บที่โดนเอาเลขบัตรมาใช้ซื้อของก็ต้องยึดสินค้าคืน (ถ้าเป็นสินค้าพวก software จะยึดคืนได้ง่าย) หรือแบนบัญชีลูกค้า
แต่ในช่วงหลังมีเว็บ e-commerce มากขึ้น การเก็บรักษาเลขบัตรเครดิตบางเว็บทำได้ไม่ดี เมื่อหมายเลขบัตรรั่วออกมาจากเว็บใดเว็บนึงเพียงเว็บเดียว hacker ก็สามารถนำเลขนั้นไปซื้อของในเว็บอื่นๆ ได้เลย
ช่วงหลังหลายเว็บจึงใช้วิธีใหม่ ให้มี OTP (One time password) ส่งเข้ามือถือลูกค้า ให้ลูกค้านำมากรอกก็จะลดปัญหาไปได้มาก แต่บางเว็บโดยเฉพาะเจ้าใหญ่อย่าง app store, amazon.com และ steam ยังไม่ใช้ระบบ OTP
หนทางแก้ไข
1. (เว็บ) ควรเปิดใช้ OTP 100%
วิธีที่ดีสุดแต่ยากสุดคือ เว็บเจ้าใหญ่ทั้งหมดควรปรับมาใช้ OTP ก่อนตัดเงินก็จะแก้ปัญหาได้เกือบ 100%
ที่ยากเพราะเว็บเจ้าใหญ่ อำนาจต่อรองสูง ยากที่จะไปบังคับเขาได้
2. (แบงค์) ส่ง Alert แจ้งเตือน เมื่อมีการตัดยอดทุกครั้ง
เมื่อมีการตัดยอดบัตรเครดิตทุกครั้ง ควรแจ้งไปที่มือถือของลูกค้า (ไม่ต้องกลัวลูกค้ารำคาญ เพราะคนเราไม่ได้ใช้บัตรกันบ่อยขนาดนั้น)
โดยอาจแจ้งผ่าน SMS (มีค่าใช้จ่ายกับทางแบงค์) หรือแจ้งผ่าน Alert ของ App ในมือถือ (ไม่มีค่าใช้จ่ายเพิ่มกับทางแบงค์)
3. (แบงค์) ทำระบบ monitor ธุรกรรมแปลกๆ เช่นการตัดบัตรผ่านเว็บที่ลูกค้าไม่เคยตัดบัตรมาก่อน
ผมเคยมีประสบการณ์ที่ดี คือธ.กรุงศรีโทรมาหาทันทีตอนที่ใช้บัตรซื้อสินค้า online จากเว็บนึง อันนี้นับเป็นการกระทำที่ proactive มากๆ
4. (ลูกค้า) อย่าใส่เลขบัตรเครดิตกับเว็บใดๆ ที่เราไม่มั่นใจในความปลอดภัยของ IT
เพราะถ้ารหัสรั่วออกไปแค่จากเว็บเดียว ก็สามารถนำไปใช้กับเว็บอื่นได้ทั้งหมด