ผมว่าหลายท่านอาจจะเคยมีประสบการณ์ ที่ชำระเงิน จ่ายผ่านบัตรเครดิตในแพลตฟอร์มออนไลน์ หรือเว็บไซต์ช็อปปิ้งออนไลน์ชื่อดังต่าง ๆ แล้วสงสัยว่า ทำไมมันชำระเงินได้ง่ายถึงเพียงนี้ แค่กรอก ๆ รายละเอียดเลขบัตร ชื่อ วันหมดอายุบัตร และ รหัส CVV สามตัวท้ายหลังบัตร ก็สามารถทำรายการได้ผ่านแบบฉลุย
ความจริงประเด็นที่เป็นข่าวในตอนนี้ มีเหตุการณ์เกิดขึ้นอยู่เรื่อย ๆ นะครับ มันไม่ได้เพิ่งเกิด แต่มันไม่ได้โดนพร้อมกันเยอะขนาดนี้มาก่อน เรียกได้ว่ากลายเป็นข่าวใหญ่ ที่คนหลายหมื่นคนโดนพร้อม ๆ กัน ถือว่าเป็นเรื่องใหญ่มาก ๆ
ตัวผมเองก็เคยโดนในลักษณะดังกล่าวคล้าย ๆ กัน คือ โดนนำบัตรเครดิตไปใช้ในการซื้อโฆษณา facebook โดยจะทำเป็นรายการย่อย ๆ จำนวนเงินครั้งละไม่มาก และจะไม่มีการแจ้งจากบัตรเครดิต เช่น น้อยกว่าครั้งละ 500 บาท ซึ่งทำให้เล็ดรอดสายตา คนส่วนใหญ่ไปได้ แต่ ในกรณีบัตรเครดิตนั้น น่าจะสามารถทำรายการคืนเงินได้หมด ซึ่งผมเองก็ได้คืนมาหมดครบทุกบาททุกสตางค์หลังจากโดนแฮก แต่สำหรับกรณีบัตรเดบิต น่าจะยากกว่าในการได้เงินคืน
3D Secure (Verified by VISA/ MasterCardSecureCode)
3D Secure (Verified by VISA/ MasterCardSecureCode) เป็นระบบที่พัฒนาขึ้นเพื่อยกระดับความปลอดภัยให้กับผู้ใช้บัตรเครดิตชำระเงินค่าสินค้า/บริการผ่านทางออนไลน์ ด้วยขั้นตอนยืนยันตัวตนผ่านรหัสการทำรายการแบบใช้ครั้งเดียว หรือ OTP (One-Time-Password)
โดยจะถูกส่งไปยังหมายเลขโทรศัพท์มือถือของเจ้าของบัตรฯ เพื่อป้องกันผู้อื่นที่ไม่ใช่เจ้าของลักลอบนำบัตรฯไปใช้เพื่อกระทำทุจริตและฉ้อโกงต่างๆผ่านทางออนไลน์ จึงทำให้ผู้ใช้บัตรเครดิตรู้สึกปลอดภัยมากยิ่งขึ้น โดยสามารถนำรหัส OTP ที่ได้รับไปลงทะเบียนใช้งานได้ทันทีในระหว่างทำรายการซื้อขาย ฟรี ไม่มีค่าใช้จ่ายเพิ่มเติมใดๆ
เมื่อความสะดวกอยู่เหนือความปลอดภัย
เมื่อการใช้การยืนยันตัวตนสองชั้น มันกลับทำให้เป็นเรื่องวุ่นวาย หลาย ๆ บริการใหญ่ ๆ จึงเลือกที่จะ implement ระบบ payment gateway ที่ใช้ในการชำระเงินผ่านบัตรเครดิต โดยไม่ใช้การยืนยันตัวตนสองชั้น
แน่นอนว่า เหล่าเว็บพวกนี้ก็จะมีการรักษาความปลอดภัยในระดับสูงในเว็บของพวกเขา จนผ่านมาตรฐาน ที่สามารถทำให้ไม่ต้องมีการยืนยันตัวตนสองชั้น และชำระเงินแบบสะดวกสบาย ไม่ต้องสร้างความยุ่งยากให้กับลูกค้าของเขาได้
นั่นเอง ที่แม้ลูกค้า จะไปสมัคร Verified by VISA สำหรับบัตรเครดิตจากธนาคารต่าง ๆ มันก็ไม่ได้เกิดผลอะไรอยู่ดี เพราะอยู่ที่แพลตฟอร์มต่างหากว่าพวกเขาต้องการเลือกให้มีการยืนยันตัวตนสองชั้นแบบนี้หรือไม่
นั่นเองที่ตอนนี้ ทำให้เราแทบจะไว้ใจใครไม่ได้เลย หากเราไปรูดบัตรเครดิตที่ไหน แค่โดน copy ข้อมูลเบื้องต้นที่อยู่บนบัตรทั้งหมดไป บัตรเครดิตเราก็อยู่ในสถานการณ์ที่เสี่ยงทันที
บทสรุป
ตอนนี้โลกมันเปลี่ยนไปอย่างชัดเจนมาก ๆ มีเรามีการผูกบริการต่าง ๆ ไว้ด้วยกันมากมาย ทั้งการชำระเงิน ทั้งช็อปปิ้ง ทั้งบริการสังคมออนไลน์ เอาจริง ๆ ตอนนี้ หลายคนก็น่าจะลืมไปแล้ว ว่าเราได้ไปผูกบริการอะไรไว้กับอะไรบ้าง เพราะมันเยอะมาก ๆ
เมื่อข้อมูล transaction online เหล่านี้มีมากขึ้น มันก็เป็นช่องโหว่ให้เหล่าแฮกเกอร์ สามารถทำวิธีการต่าง ๆ มากมาย สารพัดวิธีในปัจจุบัน เพราะแม้แพลตฟอร์ม จะมีความปลอดภัยสูง แต่ พวกโจร ก็อาจจะใช้วิธีอื่น เช่นการ Phishing การสร้างหน้าเว็บไซต์ปลอมที่มีความแนบเนียนแทบไม่รู้ตัวมากในยุคปัจจุบัน
หรือการใช้โทรจันที่ทำหน้าที่เป็น Key-logger ซึ่งจะคอยติดตามว่าผู้เสียหายพิมพ์คีย์บอร์ดอะไรบ้าง เป็นต้น เมื่อผู้เสียหายหลงกล กดลิงก์ตามเข้ามาที่หน้าเว็บไซต์ปลอมก็จะติดโทรจันชนิดนี้ไปโดยอัตโนมัติ และหากผู้เสียหายทำการล็อกอินเข้าใช้งานระบบใด ๆ ข้อมูลชื่อผู้ใช้ และรหัสผ่าน รหัสบัตรเครดิต ของระบบนั้นก็จะถูกส่งไปยังแฮกเกอร์ทันที
ปัญหามันจึงไม่ได้อยู่ที่ ความปลอดภัยของแพลตฟอร์มแต่อย่างใด เพราะแฮกเกอร์สามารถโจมตีได้จากรอบด้าน โดยที่เรายังไม่ได้เข้าถึงแพลตฟอร์มหลักที่เราจะจ่ายเงินเลยด้วยซ้ำไป หรือ ข้อมูลหลุดต่างๆ มากมายที่เป็นข่าวดังไปก่อนหน้านี้ ซึ่งผมว่าของไทยก็มีมากโข ซึ่งแน่นอนว่าหนึ่งในข้อมูลที่หลุดไปก็คงเป็นข้อมูลบัตรเครดิตคงอย่างแน่นอน
ผมมองว่าแม้ระบบการยืนยันตัวตนสองชั้นหรือ OTP นั้น ยังไม่ใช้มาตรฐานการชำระด้วยบัตรเครดิตแบบสากล แต่นวัตกรรมบัตรเครดิต มันถูกคิดค้น ตั้งแต่โลกเรายังไม่มี internet เลยด้วยซ้ำ มันควรถึงเวลาเปลี่ยนให้กลายเป็นมาตรฐานได้แล้ว ซึ่งมันช่วยลดความเสียหายไปได้อีกมาก แม้จะไม่ 100% ก็ตาม
หรือบางทีมันอาจจะถึงเวลาที่ต้องจัดการด้วยกฏหมาย ที่บังคับให้แพลตฟอร์มเหล่านี้โดยเฉพาะแพลตฟอร์มใหญ่ ๆ ที่คนไทยใช้เยอะ ๆ มีการเพิ่มมาตรการในการรักษาความปลอดภัยแบบบังคับ ผมคิดว่าน่าจะเป็นประโยชน์ต่อทุกฝ่ายนะครับผม
References :
https://themerkle.com/top-3-ways-criminals-use-stolen-credit-card-information/
https://www.cardservice.co.jp/service/creditcard/3d_en.html