การใช้ Internet Banking ให้ปลอดภัย หายห่วง

June 1, 2013 12:17 pm Facebook, Hack, PHP

ตอนนี้เชื่อว่าหลายๆ คนคงจะรู้จักและใช้งาน Internet Banking กันเยอะขึ้นแล้วนะครับ แต่อย่างที่รู้กัน หลายๆคนคงได้รับข่าวเรื่องเงินหาย โดนแฮกกันเยอะและหนาหูเหมือนกัน วันนี้ผมจะมาเสนอแนวทางในการแนะนำการใช้ Internet Banking ให้ปลอดภัยกันครับ

ผมก็เป็นคนนึง ที่ต้องทำธุรกรรมทางการเงินผ่าน Internet บ่อยเหมือนกัน ไม่ว่าจะเป็นซื้อสินค้าผ่าน ebay จ่ายค่า domain name เว็บไซต์ และอีกหลายๆบริการ แต่อย่างที่เรารู้ๆกันครับ อะไรที่อยู่บนโลกอินเตอร์เนต มักจะไม่ปลอดภัย เราจะมาดูวิธีการป้องกันและสังเกตุกันครับ

SSL Certificate

อันดับแรก ก่อนที่เราจะใช้งาน เราจะต้องดูสิ่งที่เป็นใบรับรองความปลอดภัยและแสดงถึงการเข้ารหัสข้อมูลก่อน นั่นก็คือ SSL และ SSL Certificate ครับ การสังเกตุนั้น ดูง่าย คือตรงแถบ Address bar จะมี https อยู่ด้านหน้า แทบ http ครับ

2556-06-01 at 10.41.01 AM

ตัวอย่างการใช้งาน SSL เว็บไซต์ ibanking ของธนาคารกรุงเทพ

ต่อมาคือการตรวจสอบใบรับรอง หรือ SSL Certificate โดยวิธีการสังเกตุ ให้คุณกดบนแถบสีเขียว ตรง Address Bar มันจะแสดงข้อมูลการรับรองว่า เป็น Certificate ของอะไร บริษัทไหนเป็นคนออก ออกให้กับอะไร

2556-06-01 at 10.46.49 AM

ตัวอย่างการแสดงรายละเอียด SSL Certificate ของธนาคารกรุงเทพ ออกโดยบริษัท VeriSign, Inc

แต่ถ้าหากท่านพบหน้าต่างการแจ้งเตือน SSL จาก Browser ของท่าน แสดงว่า ใบรับรองที่ทางเว็บมีหรือใช้งานอยู่นั้น ไม่สามารถตรวจสอบ หรือได้รับการตรวจสอบแล้วไม่น่าเชื่อถือ ทำให้เสี่ยงต่อการโดนขโมยข้อมูลได้ครับ ให้ท่านออกจากหน้าเว็บนั้นทันที (ยกเว้นบางเว็บ ที่ทางผู้ดูแลแจ้งแล้วว่ายังไม่ได้ติดตั้ง Certificate)

2556-06-01 at 10.55.12 AM

หน้าแสดงแจ้งว่า SSL Certificate นั้นไม่ถูกต้องหรือไม่น่าเชื่อถือ บน Web Browser Firefox ปกติ Internet Banking จะไม่ขึ้นแบบนี้

หากเข้า Internet Banking แล้วขึ้นหน้าตาด้านบน ให้คุณปิด Web Browser ทันที เพราะเชื่อได้ว่า การเชื่อมต่อนั้น ไม่ปลอดภัยแน่นอน หรือเพื่อไม่ให้เกิดความผิดพลาด ให้คุณติดต่อธนาคารของคุณทันทีครับ

WiFi สาธารณะ

การใช้ WiFi สาธารณะ อาจจะทำให้คุณถูกดักฟัง (Sniffer) ได้ เพราะบางทีผู้ให้บริการ WiFi ดังกล่าว จะทำการ SSLStrip ได้ หากเป็นการทำธุรกรรมทางคอมพิวเตอร์ ให้ทำการสังเกตุสัญลักษณ์ SSL บนแถบ Address Bar ดู ว่ากำลังใช้ WiFi ที่มีการ Strip SSL Connection หรือไม่

2556-06-01 at 10.41.01 AM

Address bar แสดงการใช้งานการเชื่อมต่อแบบ SSL ที่ถูกต้อง

2556-06-01 at 11.13.15 AM

Address bar แสดงการเชื่อมต่อที่ไม่ผ่าน SSL ถ้าเป็นเว็บพวก Internet Banking แสดงว่าโดน Strip SSL Connection

หากพบว่า เมื่อคุณเข้าเว็บพวก Internet Banking แล้ว ไม่มีการเชื่อมต่อ SSL ให้คุณออกจากเว็บไซต์และยกเลิกการใช้งาน WiFi นั้นทันที เพราะถ้าหากท่านยังใช้งานต่อไป อาจจะทำให้โดนขโมย Username และ Password ที่เข้าใช้งานได้ครับ

ทางที่ดี ไม่ควรทำธุรกรรมการเงิน ผ่าน WiFi สาธารณะเลยจะเป็นการดีมาก เพราะถ้าท่านทำธุรกรรมทางการเงินผ่าน SmartPhone ด้วย Application ของธนาคาร คุณจะไม่มีวันรู้เลยว่า การเชื่อมดังกล่าว ปลอดภัยหรือไม่ แนะนำให้ทำธุรกรรมผ่าน 3G หรือพวก Mobile Connection อื่นๆ จะปลอดภัยกว่าครับ

wp_ss_20130601_0001

Application ของธนาคารกสิกรไทย ไม่อนุญาตให้ทำธุรกรรมผ่าน WiFi เพื่อเพิ่มความปลอดภัยให้ผู้ใช้งาน

SmartPhone

นี่คืือ 1 ในปัญหาโลกแตกของการใช้ Internet Banking เลยก็ว่าได้ เพราะเดี่ยวนี้ มีการใช้งาน One-Time-Password (OTP) เพื่อเพิ่มความปลอดภัยให้กับผู้ใช้งานอีกระดับนึง โดยเจ้า OTP เนี่ย จะเป็น Password ที่ทางธนาคารออกให้ เพื่อใช้ในยืนยันการทำธุรกรรมทางการเงิน โดยจะส่งเข้าเบอร์โทรศัพท์มือถือที่ได้ลงทะเบียนกับทางธนาคารเอาไว้ โดยแต่ธุรกรรมจะได้รหัสผ่านต่างกัน และรหัสผ่านดังกล่าวจะใช้งานได้ครั้งเดียว แล้วทิ้ง โดยอายุของรหัสผ่าน จะไม่เกิน 5-15 นาที

WP_20130601_001

ตัวอย่าง OTP ที่ได้รับ จากธนาคารกสิกรไทย ในการทำธุรกรรมทางการเงิน

โดยอย่างที่กล่าวไปข้างต้น เมื่อ Hacker เข้าถึงบัญชีของคุณได้ เขาจะไม่สามารถทำธุรกรรมใดๆได้ เพราะการทำธุรกรรม จะต้องมีการรับ OTP ทุกครั้งที่มีการทำธุกรรมสำคัญๆ เช่น เพิ่มบัญชี โอนเงิน เป็นต้น

โดยกระบวนการในการ Hack ข้อมูล จะต้องทำการฝั่ง Software ในการขโมย SMS OTP ก่อน โดยจะทำการหลอกให้ผุ็ใช้งานดาวน์โหลดโปรแกรมจาก E-Mail หรือจากเว็บไซต์ต่างๆ เพื่อให้ผู้ใช้โทรศัพท์คนนั้นติด Virus ดังกล่าว แล้วทำการเข้าสู่ระบบ internet banking แล้วให้ธนาคารส่ง OTP มาที่เจ้าของเบอร์ที่มีการวาง Virus เอาไว้ แล้ว Forward มาหา Hacker แค่นี้ Hacker ก็สามารถทำธุรกรรมทางการเงินแทนคุณได้แล้ว ทางแก้ไขและป้องกันคือ “อย่าให้มีการติดตั้งโปรแกรม Virus ลงในเครื่อง” หรือ “แยกเบอร์ที่ใช้ทำธุรกรรมทางการเงิน ไปใช้มือถือที่ไม่ใช่ SmartPhone แทน”

การป้องกันที่ดีที่สุดบน SmartPhone คือ “ไม่ติดตั้งโปรแกรมจาก Source ที่ไม่น่าเชื่อถือ” โดยเฉพาะพวกที่ชอบหา Crack มาติดตั้ง อาจจะได้ของแถมมาด้วย มือถือ Android ให้ทำการปิดระบบ “Allow installation of non-Market application”

Pp2012te0003_2มือถือ Android ควรจะปิด Allow installation of non-Market application เอาไว้ เพื่อไม่ให้ติดตั้งโปรแกรมที่ไม่น่าเชื่อถือ

สำหรับ iPhone นั่น หากเป็นเรื่องที่ไม่ได้ Jailbreak นั้นก็หมดห่วงไปเลยครับ เพราะจะไม่สามารถเข้าถึง base system ของ iOS ได้ แต่สำหรับเครื่อง Jailbreak นั้น วิธีการป้องกันคือ “อย่าติดตั้งโปรแกรมจาก Custom Source ที่ไม่น่าเชื่อถือ” แนะนำให้ติดตั้ง Tweak จาก Source Cydia ที่ให้มาเท่านั้น

2012-12-26 08.38.32

Cydia.app โปรแกรมสำหรับเครื่อง Jailbreak ที่ใช้ในการปรับแต่งเครื่อง iPhone Jailbroken

Spyware Computer

ย้อนกลับมาดู Spyware ฝั่ง Windows กันบ้าง สำหรับฝั่ง Windows นั้นจะง่ายและป้องกันง่ายกว่าครับ แค่คุณติดตั้งโปรแกรม Anti Virus เอาไว้ พร้อมกับ Update โปรแกรมให้ทันสมัยอยู่ตลอด พร้อมกับ Update ระบบปฏิบัติการ Windows และ Web Browser ให้เป็นเวอร์ชันล่าสุด และอย่าลืมเปิด UAC (User Account Control) เอาไว้ด้วยนะครับ อาจจะรำคาญสักหน่อย แต่เพื่อความปลอดภัย ยอมๆไปเถอะ!

Windows_7_UAC_Signedcode

User Account Control ของ Windows 7 แสดงถึงโปรแกรมที่ต้องการเข้าปรับแต่งเครื่อง โดยโปรแกรมมีการลงนามความเป็นเจ้าของ (Signed Code) แล้วWindows_7_UACUser Account Control ของ Windows 7 แสดงถึงโปรแกรมที่ต้องการเข้าปรับแต่งเครื่อง โดยโปรแกรมไม่มีการลงนามความเป็นเจ้าของ (unSigned Code)

หวังว่า บทความที่ผมเขียน จะสร้างประโยชน์ไม่มากก็น้อยสำหรับผู้ที่ใช้งาน Internet Banking อย่างระวังมากกว่าที่ควรจะเป็นนะครับ 🙂