ACIS Research LAB – Information Security Research on Thailand’s Internet Banking/Mobile Banking (Part II ตอนจบ) | ACIS Professional Center Co., Ltd.

ACIS Research LAB – Information Security Research on Thailand’s Internet Banking/Mobile Banking (Part II ตอนจบ)

Dec, 03

2206 Views
0 Likes

บทความนี้ เป็นบทความที่ต่อจากฉบับที่แล้ว โดยทาง ACIS Research LAB ขอนำเสนอผลการสำรวจวิจัย และ ข้อเสนอแนะในการปรับปรุงมาตรการรักษาความปลอดภัยของระบบ Internet Banking และระบบ Mobile Banking ของธนาคารในประเทศไทย เพื่อเป็นแนวทางในการแก้ปัญหาและป้องกันภัยอันเกืดจากการใช้งาน Internet Banking และ Mobile Banking ในปัจจุบันและอนาคต

ความเป็นมาของงานสำรวจวิจัย

วัตถุประสงค์ของ การสำรวจวิจัย และ ข้อเสนอแนะในการปรับปรุงมาตรการรักษาความปลอดภัยของระบบ Internet Banking และ ระบบ Mobile Banking ของธนาคารในประเทศไทย ไม่ได้เป็นการทดสอบการเจาะระบบ (Penetration Testing) แต่เป็นการสำรวจระบบในส่วนที่ธนาคารให้บริการแก่ผู้ใช้งานทั่วไปเท่านั้น โดยไม่รวมถึงระบบหรือเครื่องมือที่ธนาคารจัดเตรียมไว้สำหรับลูกค้าในระดับองค์กร ทั้งนี้เพื่อเป็นประโยชน์ต่อผู้ใช้งาน Internet Banking และ Mobile Banking โดยการให้ความรู้และการเตือนภัย ตลอดจนเป็นการศึกษาข้อมูลเพื่อเป็นประโยชน์ต่อธนาคารในประเทศไทยในการปรับปรุงการให้บริการแก่ประชาชน และ เป็นประโยชน์ต่อธนาคารแห่งประเทศไทยในการออกแนวนโยบายในการกำกับต่อไป

ทีมงาน ACIS Research LAB ได้ดำเนินการศึกษาวิจัยมาตรการการรักษาความมั่นคงปลอดภัยระบบ Internet Banking และ Mobile Banking ในประเทศไทย จำนวนทั้งสิ้น 8 ระบบ 7 ธนาคาร โดยดำเนินการสำรวจในระหว่างวันที่ 1-31 มกราคม 2556 ตามเกณฑ์ในการวิเคราะห์การทำงานทั้งหมด 16 ข้อ ดังที่นำเสนอในบทความฉบับที่แล้ว ข้อมูลที่ได้จากการสำรวจครั้งนี้อาจมีการเปลี่ยนแปลงตามการพัฒนาปรับปรุงระบบที่เกิดขึ้นเป็นระยะ โดยระหว่างที่ผมเขียนบทความฉบับนี้ พบว่ามีการประกาศแจ้งปรับปรุงระบบของบางธนาคารที่ดำเนินการสำรวจไปแล้วหลายธนาคาร ถือเป็นนิมิตรหมายที่ดี

ในการนำเสนอผลการสำรวจวิจัยนั้น ทีมงานจะนำเสนอข้อมูลของทั้ง 8 ระบบเป็น ระบบ A, B, C, D, E, F, G และ H ตามลำดับ ซึ่งผลการสำรวจนั้นสรุปได้ดังนี้

จากผลการสำรวจวิจัยดังกล่าว สามารถสรุปผลได้ดังนี้

พบว่ามี 5 ระบบจาก 8 ระบบที่มีการพัฒนาโปรแกรมสำหรับ Smartphone โดยเฉพาะ (Native Application) ซึ่งการใช้ Internet Banking ที่เป็น Web Application ที่ไม่มีการป้องกันการเจาะ SSL (https) จาก โปรแกรม SSLStripจะทำให้ผู้ใช้งานมีความเสี่ยงมากขึ้นในการใช้งาน Internet Banking ใน Smartphone และอาจมีผู้ไม่หวังดีพัฒนาแอพพลิเคชั่นปลอมมาหลอกลูกค้าธนาคารได้ เพื่อป้องกันเหตุการณ์ดังกล่าว ธนาคารควรพัฒนาโปรแกรมสำหรับ Smartphone โดยเฉพาะ (Native Application) และ โปรแกรมควรมีความสามารถในการตรวจสอบการถูกโจมตีด้วยเทคนิค SSLStripซึ่งขณะนี้ยังไม่มีทั้ง Native Application และ Web Application ของธนาคารใดเลยที่มีความสามารถในการตรวจสอบการถูกโจมตีด้วยเทคนิค SSLStripแต่มีเพียงหนึ่งระบบที่สามารถป้องกันการโจมตีจากโปรแกรม SSLStripได้ โดยธนาคารควรพัฒนาให้มีความสามารถในการตรวจสอบการถูกโจมตีด้วยเทคนิค SSLStripหรือ มีความสามารถในการป้องกันการโจมตีจากโปรแกรม SSLStripโดยควรพัฒนาให้ครอบคลุมทุก Platform หรืออย่างน้อยก็ควรจะมีการพัฒนาใน Platform ที่ได้รับความนิยม เช่น Android และ iOS (แสดงดังรูปที่ 1)

รูปที่ 1: อัตราส่วนยอดขาย Smartphone ในไตรมาสที่ 4 ปี ค.ศ. 2012

  • ไม่มีระบบใดเลยที่มีความสามารถในการตรวจสอบการเจาะ SSL Protocol (Hack https) โดยการถูกโจมตีด้วยเทคนิค SSLStripทั้งระบบ Internet Banking และระบบ Mobile Banking ดังนั้นจึงมีโอกาสที่ผู้ใช้งานจะถูกดักจับเพื่อขโมยชื่อผู้ใช้และรหัสผ่าน โดยไม่รู้ตัว ตัวอย่างการตรวจสอบแสดงดังรูปที่ 2

รูปที่ 2: ตัวอย่างของระบบที่สามารถตรวจสอบการโจมตีด้วยเทคนิค SSLStrip โดยโปรแกรม SSLStripGuard

  

App Store | Play Store

  • มีเพียงระบบเดียวที่มีการสร้าง Dynamic URL ทุกครั้งที่มีการเรียกใช้ OTP ทำให้ระบบดังกล่าวสามารถป้องกันการโจมตีจาก Zeus Liked Trojan Program ได้
  • มีเพียง 1 ระบบจาก 9 ระบบเท่านั้น ที่สามารถป้องกันการโจมตีจากโปรแกรม SSLStripได้ ซึ่งผมขอเขียนถึงแนวทางป้องกันการโจมตีจากโปรแกรม SSLStripในบทความครั้งต่อไปนะครับ
  • มี 2 ระบบที่มีอายุการใช้งานของ One Time Password มากกว่า 10 นาที ซึ่งมีความเสี่ยงและเป็นการเพิ่มโอกาสให้แฮกเกอร์สามารถนำ OTP ที่ดักจับได้ไปใช้งานจนสำเร็จ (แสดงดังรูปที่ 3)

รูปที่ 3: ตัวอย่างระบบที่มีอายุการใช้งาน OTP มากกว่า 10 นาที

  • พบว่ามี 3 ระบบจาก 9 ระบบที่ไม่มีการแสดงชื่อผู้รับโอนใน SMS ที่ส่ง OTP มาให้ผู้ใช้งานระบบ แม้ว่าจะเป็นการโอนเงินในธนาคารของผู้ให้บริการเอง โดยปกติแล้วเราจะพบว่าระบบจะแสดงชื่อบัญชีผู้รับโอนเฉพาะกรณีที่เป็นบัญชีของธนาคารเดียวกันเท่านั้น เนื่องจากเข้าถึงชื่อเจ้าของบัญชีของธนาคารอื่นนั้นจะมีค่าใช้จ่ายในการเข้าถึงข้อมูล ซึ่งเป็นต้นทุนหนึ่งของการให้บริการระบบ หากแต่การแสดงชื่อเจ้าของบัญชีผู้รับโอนในทุก ๆ ครั้งของการทำธุรกรรมมีความจำเป็น เนื่องจากจะสามารถแจ้งให้ลูกค้าทราบได้ว่าเป็นบัญชีผู้รับโอนที่ผู้ใช้รู้จักหรือไม่ หรือเป็นบัญชีที่แฮกเกอร์จัดเตรียมไว้ (แสดงดังรูปที่ 4)

รูปที่ 4: ตัวอย่างของระบบที่มีการแสดงชื่อผู้รับโอนใน SMS และไม่แสดงชื่อผู้รับโอนใน SMS

 นอกจากประเด็นดังกล่าวแล้ว ACIS Research Team ยังเห็นว่าระบบของธนาคารควรจะมีคุณสมบัติอื่น ๆ เพิ่มเติม เช่น การเรียก OTP ในทุก ๆ การทำธุรกรรม (แสดงดังรูปที่ 5) จากการสำรวจพบว่าบางระบบ จะมีการเรียก OTP ในกรณีที่เพิ่มบัญชีใหม่เท่านั้น

รูปที่ 5: ตัวอย่างระบบที่เรียก OTP ในทุก ๆ การทำธุรกรรม และระบบที่เรียก OTP ในกรณีที่เพิ่มบัญชีใหม่เท่านั้น


ข้อเสนอแนะจากทีมงาน ACIS Research LAB สรุปสาระสำคัญได้ดังนี้

  • บางระบบควรปรับปรุงการให้ความรู้หรือข้อแนะนำในการรักษาความปลอดภัยให้กับผู้ใช้งานหรือการจัดหาเครื่องมือให้การทำธุรกรรมมีความมั่นคงปลอดภัย อันเป็นข้อกำหนดข้อหนึ่งของธนาคารแห่งประเทศไทยใน สนส. 26/2551 (ประกาศธนาคารแห่งประเทศไทย ที่ สนส. 26/2551 เรื่อง การอนุญาตให้ธนาคารพาณิชย์ให้บริการการเงินทางอิเล็กทรอนิกส์) ในช่วงเวลาที่ดำเนินการสำรวจ พบว่าการให้ข้อแนะนำของบางระบบไม่สามารถตอบสนองต่อภัยคุกคามที่เกิดขึ้นในปัจจุบันและอนาคต
  • ระบบควรมีความสามารถในการตรวจจับการถูกถอดรหัส SSL protocol (hack http) โดยโปรแกรม SSLStripเพื่อป้องกันผู้ใช้งานถูกดักจับชื่อผู้ใช้และรหัสผ่าน (username and password sniffing)
  • ระบบควรมีอายุการใช้งานของ One Time Password (OTP) น้อยกว่า 10 นาที
  • ลักษณะของการเรียกใช้ One Time Password (OTP) ควรมีการเรียกใช้ OTP ในทุก ๆ ธุรกรรม ไม่ใช่เฉพาะแต่การเพิ่มบัญชีที่จะโอนเงิน
  • ระบบควรมีการแสดงชื่อเจ้าของบัญชีที่จะโอนเงินในข้อความเดียวกับการส่งรหัส One Time Password (OTP) ทั้งธนาคารเดียวกันและต่างธนาคาร โดยทุกธนาคารควรให้ความร่วมมือ เพราะหากผู้ใช้มีความมั่นใจในระบบ Internet Banking และ Mobile Banking ก็จะทำให้มีการทำธุรกรรมมากขึ้น โดยปัจจุบันมีการโอนเงินข้ามธนาคารผ่านระบบ Internet Banking และระบบ Mobile Banking ถึง 1 ใน 3 ของการทำธุรกรรมผ่าน ATM (แสดงดังรูปที่ 6) (ข้อมูลสถิติธนาคารแห่งประเทศไทย http://www2.bot.or.th)
  • ระบบควรมีการสร้าง Link แบบ Dynamic Path ในส่วนที่มีการเรียกใช้ One Time Password (OTP) เพื่อป้องกัน แฮกเกอร์นำ Static Link ไป Hardcode ในโทรจันหรือมัลแวร์ ยกตังอย่าง เช่น Zeus, SpyEye, Silentbanker Trojan

รูปที่ 6

ภายหลังจากการสำรวจวิจัย ทางทีมงาน ACIS Research LAB ได้ค้นพบ Link ของมัลแวร์ที่โจมตีผู้ใช้งาน Mobile Banking ในประเทศไทย (อ้างอิงข้อมูลจาก http://www.thaicert.or.th) ซึ่งพบว่าธนาคารต่าง ๆ มีการแจ้งเตือนผู้ใช้งานในรูปแบบต่าง ๆ เช่นภาพ Infographics, การประชาสัมพันธ์ทางอีเมล และการแจ้งประชาสัมพันธ์เป็นต้น สำหรับกรณีมัลแวร์ดังกล่าวนั้นถูกพบในยุโรปตั้งแต่ปลายปี ค.ศ. 2012 ดังนั้นหากธนาคารมีการแจ้งข่าวสารให้กับผู้ใช้งานมากขึ้นดังกล่าวก็จะสามารถป้องกันภัยคุกคามต่าง ๆ ที่จะเกิดขึ้นในอนาคต

สรุปผลการสำรวจวิจัย ทางทีมงาน ACIS Research LAB มีข้อเสนอแนะให้ธนาคารในประเทศไทยทำการปรับปรุงมาตรการรักษาความปลอดภัยของระบบ Internet Banking และระบบ Mobile Banking ดังผลการวิเคราะห์ดังที่กล่าวมาแล้ว และ ทางทีมงานจะนำเสนอธนาคารแห่งประเทศไทยเพื่อเป็นประโยชน์ในการออกแนวนโยบายในการกำกับต่อไป ทั้งนี้วัตถุประสงค์ของการสำรวจวิจัย ต้องการเพิ่มจำนวนผู้ใช้งานให้กับธนาคารในประเทศไทย เพราะถ้ามีความมั่นคงปลอดภัยมากขึ้น ผู้ใช้งาน Internet Banking และ Mobile Banking ก็จะเพิ่มขึ้นโดยลำดับ ทั้งยังเป็นประโยชน์ในการค้นหาแนวทางและวิธีการในการแก้ปัญหาและป้องกันภัยอันอาจเกิดจากการใช้งาน Internet Banking และ Mobile Banking ในปัจจุบันและอนาคตอีกด้วย

Messenger
Messenger