เห็นข่าวทางช่อง 3 เมื่อเช้านี้เรื่องโดนแก๊งขโมย User และ Password เข้า i-Banking โดยการปล่อย Trojan (โปรแกรมจำพวก virus Computer อย่างนึง) แล้วโดนกดเงินไป 7 แสนบาท น่ากลัวจังครับ กลัวซักวันจะเจอกับตัวเอง
แบบนี้ผมว่า Bank จะโยนให้เป็นความผิดของทางลูกค้าอย่างเดียวก็ไม่ได้หรอก Bank ก็ต้องรับผิดชอบด้วย เพราะถือว่าระบบของ Bank รักษาความปลอดภัยให้ลูกค้าไม่ได้
ผมขออธิบายแนวทางป้องกันง่ายๆให้เพื่อนได้ระวังตัวกันนะครับ เผื่อจะเป็นประโยชน์กันบ้าง
หลักการการทำงานของ Trojan นั้น ผู้เขียนโปรแกรม Trojan จะทำการกระจาย Trojan ไปใส่เครื่องต่างๆโดยมีวิธีรูปแบบการกระจายหลายแบบ ...แนะนำให้เวลาเพื่อนๆเล่น Web ถ้าเห็น Link แปลกๆ หรือให้โหลดไฟล์แปลก อย่าไปโหลด หรืออย่าไป Click เพราะหากเรา Click ไปแล้วครั้งนึง มันจะติดตั้งตัว Trojan ไว้ในเครื่องเราโดยเราไม่รู้ตัวเลย (Restart ก็ไม่หาย เพราะมันจะทำให้ถูกโหลดใหม่ทุกครั้งที่เราเปิดเครื่อง) ยกตัวอย่างเช่น ถ้าเป็นพวกไฟล์รูป พอโหลดมาแล้วชื่อไฟล์เป็นชื่อรูป แต่นามสกุลไม่ได้เป็น .jpg แต่เป็น .exe นั่นแหล่ะ Trojan ห้าม Click เด็ดขาด ให้สังเกตง่ายๆ ไฟล์พวกนี้ถ้าเรา Click ไปแล้วไม่มีอะไรเกิดขึ้น นั่นแหล่ะ แสดงว่าเราโดนแล้ว
เมื่อ Trojan เข้ามาในเครื่องเราได้แล้ว ผู้เขียน Trojan สามารถสั่งให้ Trojan ขโมยข้อมูลในเครื่องเราได้หมด ทั้งไฟล์ โปรแกรม ข้อมูลสำคัญๆ หรือแม้แต่สั่งปิดเครื่องเราก็ยังได้ แต่ที่มีผู้เสียหายโดนไป 7 แสน ที่เป็นข่าวอยู่ตอนนี้ ผมว่า Trojan จะทำตัวเหมือนพวก KeyLogger คือ ทำการบันทึกการกด Keyboard ของเครื่องที่โดน Trojan ว่ามีการกดปุ่มอะไรบ้าง เวลาเข้า Web Site อะไร ใส่ Username และ Password อะไร จะถูกบันทึกลงไฟล์เอาไว้หมด แล้ว Trojan ก็จะทำการส่งไฟล์นี้ ไปเข้า mail ของผู้เขียนโปรแกรม Trojan .... เจ้าของ Trojan คอยเปิด mail เพื่อรับ Username และ Password อย่างเดียว พอได้ Username และ Password มา ก็สามารถเข้า i-Banking ได้
อยากให้ Bank ทุกๆ Bank มีการป้องกันตรงจุดนี้ เรามาช่วยกันเสนอความคิดกันเล่นๆดีกว่า ..ในความคิดผม ขอเสนอแนวทางป้องกันดังนี้
หลักการป้องกันของผม อยากให้มีการยืนยันว่าตอน Login เข้า i-Banking ว่าเป็นการ Login จากเจ้าของบัญชีโดยตรง โดยมีวิธีดังนี้
1. การ Login เข้า i-Banking ในแต่ละครั้ง จะต้องมีการ Login 2 ครั้ง โดยครั้งแรกจะมีการกรอกข้อมูลแค่ Username กับ Password เหมือนปกติทั่วไป เมื่อ Login เสร็จแล้ว ให้ระบบทำการส่ง OTP มาที่มือถือเจ้าของบัญชี (ตรงจุดนี้ ถ้าเป็นการ Login จากมิจฉาชีพที่ได้ Username ,Password เราไป เราก็จะรู้ตัวได้ทันที ว่ามีการ Login เข้า i-Banking บัญชีของเรา)
2. เมื่อผ่านการ Login ครั้งแรกและได้ OTP มาแล้ว จะต้องทำการ Login ครั้งที่ 2 ...โดยครั้งที่ 2 นี้ จะต้องกรอกข้อมูล Username , Password และ OTP ที่ได้จากการ Login ครั้งแรก
การทำแบบนี้ เป็นวิธีการยืนยันว่าการ Login เข้า i-Banking นั้น มาจากเจ้าของบัญชีจริงๆ ผมว่าน่าจะป้องกันพวก Trojan ได้ เพราะถึงแม้ว่ามีคนได้ Username และ Password เราไป ก็ Login เข้า i-Banking เราไม่ได้อยู่ดี และเป็นการแก้ที่ต้นเหตุ จะมาแก้ที่ปลายเหตุให้ลูกค้าป้องกันการติด Trojan ทุกคนได้คงจะยาก
ส่วนในระหว่างนี้ที่ทาง Bank ยังไม่มีการแก้ไขการป้องกันผมแนะนำให้ Login เข้า Web ด้วยการใช้ Software Keyboard ที่ชื่อ "On-Screen Keyboard" ที่ Windows ให้มาอยู่แล้ว แต่เราไม่เคยรู้ และไม่เคยได้ใช้กัน
สำหรับ Windows XP นะครับ
ให้ Click ที่ปุ่ม Start ->Accesories -> Accessibility -> On Screen Keyboard
เวลาใช้งาน ก็เปิด Program On-Screen Keyboard แล้วเข้า Web i-Banking แล้ว Click ในช่อง Username
จากนั้นเวลา Key User ให้ใช้ Mouse กดปุ่มที่ On-Screen Keyboard แทนนะครับ อย่ากดแป้น Keyboard
Password ก็ทำเช่นเดียวกัน
ช่วยป้องกันการถูกดักจับการกด Keyboard ได้ครับ
หรือเพื่อนๆคนไหนมี Idea ดีๆบ้างไหมครับ
แก้ไขเมื่อ 10 ส.ค. 53 09:02:25
แก้ไขเมื่อ 10 ส.ค. 53 09:01:44
แก้ไขเมื่อ 10 ส.ค. 53 09:01:08
แก้ไขเมื่อ 10 ส.ค. 53 09:00:08
แก้ไขเมื่อ 10 ส.ค. 53 08:40:35
แก้ไขเมื่อ 10 ส.ค. 53 08:34:03
เห็นข่าวทางช่อง 3 เมื่อเช้านี้เรื่องโดนแก๊งขโมย User และ Password เข้า i-Banking แล้วโดนกดเงินไป 7 แสนบาท น่ากลัวจัง....
... i-Banking ของ BBL ใช้ FireFox เข้าได้นะครับ
