คำตอบที่ได้รับเลือกจากเจ้าของกระทู้
ความคิดเห็นที่ 10
ตอบคำถาม จขกท. สามารถเขียน Apps ธนาคารให้ปลอดภัยขึ้นได้ครับ
โดยจะต้องเปลี่ยนวิธีคิดเสียใหม่ คือจะทำอย่างไรไม่ให้โจรที่รู้ PIN Apps ธนาคารไปแล้ว ใช้งาน Apps ธนาคารได้ ?
ต้องเริ่มจากการตั้งคำถามนี้ครับ และใส่สิ่งเหล่านี้ลงไปใน App ธนาคาร
1. ตรวจสอบ Client Version ล่าสุดของ App ธนาคารเมื่อเริ่มใช้งานถ้าใช้ Version ที่เก่ากว่า จะต้อง Update ก่อน
2. ตรวจ Apps ที่มีการ Remote ที่ทำงานอยู่เบื้องหลัง เมื่อตรวจเจอบังคับ Exit App ในทันที ไม่ให้ใช้งานต่อ โดยสิ่งที่ควรตรวจสอบ เช่น
- BIND_ACCESSIBILITY_SERVICE Permission สำหรับช่วยเหลือผู้พิการหรือ ผู้มีปัญหาด้านสายตาผ่านทางการรับคำสั่งผ่านเสียง หรืออ่านออกเสียงข้อความบนหน้าจอให้ผู้ใช้ฟัง
- ตรวจสอบว่ามี Screen Recording Activity กำลังทำงานอยู่เบื้องหลังหรือเปล่า
หากตรวจเจอ Exit App ในทันที
3. ทำจอดำในทุก ๆ หน้าจอ ไม่ใช่เฉพาะหน้าจอที่มีข้อมูลส่วนบุคคล เพื่อป้องกันกรณีมี App Remote บางตัวที่ตรวจไม่เจอ ซึ่งจะสามารถใช้งาน App ธนาคารได้อยู่ การทำจอดำในทุก ๆ หน้าจะทำให้มิจฉาชีพไม่รู้ว่าตอนนี้อยู่ที่หน้าไหน
4. เลิกทำหน้าจอและปุ่ม แบบเส้นตรง ที่รู้ลำดับการเรียงหน้าจอ การเรียงปุ่ม เพราะสามารถเขียน Script ให้ใช้งาน Auto ในหน้าจอดำได้ เช่น ก่อนหน้าโอนเงิน อาจมีหน้าจอประชาสัมพันธ์ขึ้นมาคั่น 1 - 2 หน้าจอ โดยตำแหน่งปุ่ม OK เพื่อกดผ่าน จะปรากฎบนหน้าจอแบบ Random ทำให้โจรที่ Remote ไม่สามารถไปต่อได้
5. หน้าจอใส่ PIN ต้องเป็น Secure Keyboard หมายถึง Keyboard ที่จะไม่แสดงหน้าจอในฝั่ง Remote และปุ่มกดต้องเป็น Full Random เพื่อไม่ให้โจรคลิกใส่ PIN เข้าไปได้ << ต่อให้โจรรู้ PIN ก็กดใส่ PIN ไม่ได้ เพราะปุ่มมัน Random แถมกว่าจะมาถึงหน้าจอใส่ PIN มันมีหน้าจออื่น ๆ ดักเข้ามา เพื่อป้องกันการตั้ง Script
6. ใช้ Captcha พิเศษ โดยใช้ Sensor ต่าง ๆ ที่มีในมือถือ เพื่อตรวจสอบว่าเป็นการใช้งานหน้าเครื่องจริง ๆ เช่น ตรวจสอบระยะห่างของผู้ใช้กับหน้าจอเครื่อง, ใช้ Gyro Sensor ในการเอียงเครื่องตามรูปแบบที่กำหนดในหน้าจอเพื่อยืนยันว่าใช้งานหน้าเครื่อง, ใช้การตรวจจับแรงกดหน้าจอ ฯลฯ
7. ใส่ If เพื่อตรวจสอบเงื่อนไขการโอนเงินที่ผิดปกติ เช่นโอนทีเดียวหมดบัญชี หรือเกือบหมดบัญชี หรือโอนเงินจำนวนมากไปยังบัญชีที่ไม่รู้จัก ซึ่งเป็นกรณีผิดปกติ จะต้องใช้ Bio metric คือ Scan หน้าคนโอนด้วย จึงจะทำรายการสำเร็จ
ถ้าทำได้ตาม 7 ข้อนี้ ผมเชื่อว่าถึงโจรรู้ PIN ไปก็โอนเงินออกไปไม่ได้ครับ เพราะมันเขียน Script ล่วงหน้าไม่ได้ ไม่รู้ลำดับหน้าจอ มองไม่เห็น Captcha ที่ต้องทำตามเพื่อยืนยันการทำธุรกรรม และไปตกม้าตายตอนจบที่ต้อง Scan หน้าคนโอนเมื่อมีการโอนเงินมาก ๆ ดังนั้น โจรจะตีเนียนแอบ Remote มาโอนตอนวางเครื่องชาร์จไว้ หรือตอนนอนหลับไม่ได้แล้ว
แต่ก็ใช่ว่าจะปลอดภัย 100% นะครับ เพราะก็ยังหลอกลวงด้วยวิธี Social Engineering ได้อยู่ดี เช่น
1. โทรมาหลอกให้กลัวว่าทำผิดกฎหมาย จะโดนหมายจับ ถ้าไม่ได้ทำความผิดให้แสดงความบริสุทธิ์ใจโดยโอนเงินมาให้ตรวจสอบ ซึ่งถ้าผู้ใช้เป็นคนโอนด้วยตัวเอง ก็จะผ่าน 7 ข้อข้างบนได้อย่างง่ายดาย
2. หากมีโปรแกรม Remote ที่ตรวจสอบไม่เจอ และโจรทำ App ปลอมที่สามารถคลิกเพื่อให้เจ้าของมองเห็นหน้าจอที่โจรต้องการให้มองเห็นได้ และหลอกให้เจ้าของเครื่องเป็นผู้ดำเนินการ ก็จะผ่านได้อยู่ดี เช่น มี Capcha ให้เอียงเครื่อง โจรก็หลอกให้ผู้ใช้เป็นคนทำด้วยตัวเอง โดยอ้างว่าเป็นการยืนยันตัวตน หรือถ้าถึงขั้นตอนถ่ายรูป โจรก็แค่หลอกให้ผู้ใช้ถ่ายรูปหน้าตน โดยอ้างว่าเป็นการยืนยันตัวตน เพื่อลงทะเบียนใช้งาน App ปลอม
สรุปก็คือ การพัฒนา Security เพิ่มจะสามารถป้องกันได้ในบางส่วน เช่น สามารถป้องกันการแอบใช้งานมือถือในตอนที่ผู้ใช้งานไม่อยู่หน้าเครื่อง เช่น ตอนนอนหลับ หรือ ตอนชาร์จแบต แต่ก็ไม่สามารถป้องกันการถูกหลอกให้ผู้ใช้งานเป็นคนดำเนินการด้วยตัวเองได้อยู่ดีครับ
ดังนั้น Awareness เป็นสิ่งสำคัญ เพื่อจะได้รู้ทันโจร ไม่ถูกหลอกด้วยวิธีการ Social Engineering และไม่เกิดปัญหา User Error ครับ
โดยจะต้องเปลี่ยนวิธีคิดเสียใหม่ คือจะทำอย่างไรไม่ให้โจรที่รู้ PIN Apps ธนาคารไปแล้ว ใช้งาน Apps ธนาคารได้ ?
ต้องเริ่มจากการตั้งคำถามนี้ครับ และใส่สิ่งเหล่านี้ลงไปใน App ธนาคาร
1. ตรวจสอบ Client Version ล่าสุดของ App ธนาคารเมื่อเริ่มใช้งานถ้าใช้ Version ที่เก่ากว่า จะต้อง Update ก่อน
2. ตรวจ Apps ที่มีการ Remote ที่ทำงานอยู่เบื้องหลัง เมื่อตรวจเจอบังคับ Exit App ในทันที ไม่ให้ใช้งานต่อ โดยสิ่งที่ควรตรวจสอบ เช่น
- BIND_ACCESSIBILITY_SERVICE Permission สำหรับช่วยเหลือผู้พิการหรือ ผู้มีปัญหาด้านสายตาผ่านทางการรับคำสั่งผ่านเสียง หรืออ่านออกเสียงข้อความบนหน้าจอให้ผู้ใช้ฟัง
- ตรวจสอบว่ามี Screen Recording Activity กำลังทำงานอยู่เบื้องหลังหรือเปล่า
หากตรวจเจอ Exit App ในทันที
3. ทำจอดำในทุก ๆ หน้าจอ ไม่ใช่เฉพาะหน้าจอที่มีข้อมูลส่วนบุคคล เพื่อป้องกันกรณีมี App Remote บางตัวที่ตรวจไม่เจอ ซึ่งจะสามารถใช้งาน App ธนาคารได้อยู่ การทำจอดำในทุก ๆ หน้าจะทำให้มิจฉาชีพไม่รู้ว่าตอนนี้อยู่ที่หน้าไหน
4. เลิกทำหน้าจอและปุ่ม แบบเส้นตรง ที่รู้ลำดับการเรียงหน้าจอ การเรียงปุ่ม เพราะสามารถเขียน Script ให้ใช้งาน Auto ในหน้าจอดำได้ เช่น ก่อนหน้าโอนเงิน อาจมีหน้าจอประชาสัมพันธ์ขึ้นมาคั่น 1 - 2 หน้าจอ โดยตำแหน่งปุ่ม OK เพื่อกดผ่าน จะปรากฎบนหน้าจอแบบ Random ทำให้โจรที่ Remote ไม่สามารถไปต่อได้
5. หน้าจอใส่ PIN ต้องเป็น Secure Keyboard หมายถึง Keyboard ที่จะไม่แสดงหน้าจอในฝั่ง Remote และปุ่มกดต้องเป็น Full Random เพื่อไม่ให้โจรคลิกใส่ PIN เข้าไปได้ << ต่อให้โจรรู้ PIN ก็กดใส่ PIN ไม่ได้ เพราะปุ่มมัน Random แถมกว่าจะมาถึงหน้าจอใส่ PIN มันมีหน้าจออื่น ๆ ดักเข้ามา เพื่อป้องกันการตั้ง Script
6. ใช้ Captcha พิเศษ โดยใช้ Sensor ต่าง ๆ ที่มีในมือถือ เพื่อตรวจสอบว่าเป็นการใช้งานหน้าเครื่องจริง ๆ เช่น ตรวจสอบระยะห่างของผู้ใช้กับหน้าจอเครื่อง, ใช้ Gyro Sensor ในการเอียงเครื่องตามรูปแบบที่กำหนดในหน้าจอเพื่อยืนยันว่าใช้งานหน้าเครื่อง, ใช้การตรวจจับแรงกดหน้าจอ ฯลฯ
7. ใส่ If เพื่อตรวจสอบเงื่อนไขการโอนเงินที่ผิดปกติ เช่นโอนทีเดียวหมดบัญชี หรือเกือบหมดบัญชี หรือโอนเงินจำนวนมากไปยังบัญชีที่ไม่รู้จัก ซึ่งเป็นกรณีผิดปกติ จะต้องใช้ Bio metric คือ Scan หน้าคนโอนด้วย จึงจะทำรายการสำเร็จ
ถ้าทำได้ตาม 7 ข้อนี้ ผมเชื่อว่าถึงโจรรู้ PIN ไปก็โอนเงินออกไปไม่ได้ครับ เพราะมันเขียน Script ล่วงหน้าไม่ได้ ไม่รู้ลำดับหน้าจอ มองไม่เห็น Captcha ที่ต้องทำตามเพื่อยืนยันการทำธุรกรรม และไปตกม้าตายตอนจบที่ต้อง Scan หน้าคนโอนเมื่อมีการโอนเงินมาก ๆ ดังนั้น โจรจะตีเนียนแอบ Remote มาโอนตอนวางเครื่องชาร์จไว้ หรือตอนนอนหลับไม่ได้แล้ว
แต่ก็ใช่ว่าจะปลอดภัย 100% นะครับ เพราะก็ยังหลอกลวงด้วยวิธี Social Engineering ได้อยู่ดี เช่น
1. โทรมาหลอกให้กลัวว่าทำผิดกฎหมาย จะโดนหมายจับ ถ้าไม่ได้ทำความผิดให้แสดงความบริสุทธิ์ใจโดยโอนเงินมาให้ตรวจสอบ ซึ่งถ้าผู้ใช้เป็นคนโอนด้วยตัวเอง ก็จะผ่าน 7 ข้อข้างบนได้อย่างง่ายดาย
2. หากมีโปรแกรม Remote ที่ตรวจสอบไม่เจอ และโจรทำ App ปลอมที่สามารถคลิกเพื่อให้เจ้าของมองเห็นหน้าจอที่โจรต้องการให้มองเห็นได้ และหลอกให้เจ้าของเครื่องเป็นผู้ดำเนินการ ก็จะผ่านได้อยู่ดี เช่น มี Capcha ให้เอียงเครื่อง โจรก็หลอกให้ผู้ใช้เป็นคนทำด้วยตัวเอง โดยอ้างว่าเป็นการยืนยันตัวตน หรือถ้าถึงขั้นตอนถ่ายรูป โจรก็แค่หลอกให้ผู้ใช้ถ่ายรูปหน้าตน โดยอ้างว่าเป็นการยืนยันตัวตน เพื่อลงทะเบียนใช้งาน App ปลอม
สรุปก็คือ การพัฒนา Security เพิ่มจะสามารถป้องกันได้ในบางส่วน เช่น สามารถป้องกันการแอบใช้งานมือถือในตอนที่ผู้ใช้งานไม่อยู่หน้าเครื่อง เช่น ตอนนอนหลับ หรือ ตอนชาร์จแบต แต่ก็ไม่สามารถป้องกันการถูกหลอกให้ผู้ใช้งานเป็นคนดำเนินการด้วยตัวเองได้อยู่ดีครับ
ดังนั้น Awareness เป็นสิ่งสำคัญ เพื่อจะได้รู้ทันโจร ไม่ถูกหลอกด้วยวิธีการ Social Engineering และไม่เกิดปัญหา User Error ครับ
แสดงความคิดเห็น
เราสามารถเขียนแอฟห้ามรีโมทเครื่องมือถือได้ไหม
ถ้าได้ก็น่าจะมีคนทำ รัฐบาลทำ แล้วให้ประชาชนโหลดเข้ามือถือ จะได้จบปัญหามิจฉาชีพดูดเงินในมือถือ
หรือขอให้ผู้ผลิตมือถือ มีตัวเลือกนี้ หรือ เป็นเจ้าแรกเลย มาขายว่า มือถือยี่ห้อตน ไม่โดนบังคับใช้ทางไกลจากมิจฉาชีพ