Sunday, 27 April 2014

"โชคดีที่เกิดเป็นคนไทย" ธนาคารในไทยไม่สนเลยว่าลูกค้าที่ถือบัตรเอทีเอ็ม บัตรเดบิต บัตรเครดิตจะปลอดภัยแค่ไหน

เมื่อคืน ผมได้คุยกับเพื่อน ๆ บน Twitter เกี่ยวกับกรณีที่มีคนทำ "บัตรเดบิตการ์ดหาย" แล้วจากนั้นพอรู้ตัวอีกที พบว่าได้สูญเงินไปแล้วหลายแสน (ตามภาพประกอบด้านล่างนี้) ซึ่งกรณีนี้ผมต้องบอกเลยว่ามันเป็นอีกปัญหาของระบบการเงินผ่านบัตรในประเทศไทย ที่ผู้ประกอบการแทบจะไม่ใส่ใจเรื่องการพัฒนาระบบ ให้ปลอดภัยยิ่งขึ้นสำหรับผู้ใช้เลย

โพสต์นี้ ผมเลยขอเขียนว่าการใช้บัตรเอทีเอ็ม เดบิตการ์ด หรือเครดิตการ์ดในไทย มันไม่ปลอดภัยอย่างไร และประเทศทางฝั่งออสเตรเลียและยุโรปเขา "ปลอดภัยกว่าเรา" อย่างไร


ก่อนอื่น ผมขอเริ่มก่อนว่า ปัญหาที่เกิดขึ้นได้ในเมืองไทย จากการทำธุระทางการเงินผ่านบัตรเอทีเอ็ม เดบิตการ์ด และเครดิตการ์ดในเมืองไทยมันมีอะไรบ้าง ผมพอสรุปเป็นข้อ ๆ ง่าย ๆ ตามนี้ครับ

  • ลูกค้าบัตรเอทีเอ็มในไทย ซึ่งไม่มีการติดชิป EMV เสี่ยงต่อการโดนขโมยข้อมูลในบัตร เพราะโจรติดอุปกรณ์อ่านข้อมูลจากแถบแม่เหล็กไว้ตามตู้เอทีเอ็ม
  • ลูกค้าบัตรเครดิตที่มีการติดชิปไว้แล้ว หรือบัตรเดบิต ซึ่งยังไม่ติดชิป เมื่อทำบัตรหาย ก็เสี่ยงต่อการโดนเอาบัตรไปใช้รูดโน้นนี้ได้ เพราะเมืองไทยบัตรเครดิตและเดบิตต้องการแค่ลายเซ็นต์เท่านั้น ซึ่งใคร ๆ ก็ปลอมได้ แถมพนักงานก็แทบไม่ใส่ใจเลย ไม่ต้องใช้รหัส PIN หรือต้องโชว์ ID (บัตรประจำตัวประชาชน)
  • ลูกค้าบัตรเครดิต แม้ว่าจะมีการติดชิปแล้ว ยังเสี่ยงต่อการโดนก็อปปี้ข้อมูลผ่านแถบแม่เหล็ก ให้โจรไปใช้กดเงินได้ แต่จะยากหน่อยเพราะว่าโจรจะยังไม่รู้รหัส PIN เว้นแต่ว่าโดนก็อปปี้ผ่านตู้เอทีเอ็มที่มีการดักจับรหัส PIN ไว้แล้ว
  • ผู้ใช้บัตรเครดิต หรือเครดิตในประเทศไทย เวลาจะจ่ายเงินตามร้านอาหาร ลูกค้าจะต้องเอาบัตรให้แก่พนักงาน และพนักงานจะเอาบัตรไปรูดที่หลังร้าน ซึ่งในจุดนี้ลูกค้าไม่มีทางรู้เลย ว่าพนักงานเอาบัตรเราไปทำอะไรบ้าง เช่น ถ่ายรูปหน้าหลังเอาไปซื้อของออนไลน์ต่อ หรือเอาไปก็อปข้อมูล ทำลาย ฯลฯ 
สำหรับผม ผมเชื่อว่าการเปลี่ยนมาใช้บัตรเดบิตการ์ด หรือเครดิตการ์ด มันควรจะปลอดภัยกว่าการใช้เงินสด เพราะว่าอย่างน้อยถ้าเราทำบัตรหาย เราก็สามารถที่จะยกเลิกตัวบัตร ไม่ให้เกิดการใช้งานที่เราไม่ได้รับรู้ได้ ต่างกับเงินสด ที่เมื่อเราทำหายแล้ว คือหายเลย ตามตัวเจ้าของไม่ได้

แต่เมืองไทย ไม่รู้ทำไม บัตรเดบิตการ์ดของเรา นอกจากจะไม่มีการติดชิปเพื่อลดความเสี่ยงในการถูกก็อปปี้ข้อมูลในบัตรไปแล้ว ยังไม่มีระบบ PIN ซึ่งจะเป็นรั้วสุดท้าย ที่ป้องกันไม่ให้คนที่ขโมยบัตรของเราไปได้ สามารถกดเอาเงินในบัตรของเราไปรูดใช้ตามร้านค้า

ไม่แปลก ทำไมคนไทยไม่นิยมบัตรเดบิต เพราะประโยชน์ของมันเมื่อเทียบกับเงินสดแล้ว น้อยมาก ถ้าทำบัตรหายแล้วรู้ตัวก็ไม่เป็นไร ยกเลิกทัน แต่ถ้าทำหายแล้วไม่รู้ตัว ซวยพอ ๆ กับทำเงินสดหายเลยทีเดียว

แล้วที่ยุโรป หรือออสเตรเลีย ระบบการเงินผ่านบัตรเขาปลอดภัยกว่าในประเทศไทยอย่างไร?


ทางฝั่งยุโรป และออสเตรเลีย หรือแม้กระทั่งประเทศเพื่อนบ้านของเราอย่างสิงคโปร์ ได้มีการเปลี่ยนมาใช้บัตรเอทีเอ็ม เดบิต และเครดิตแบบ Chip and PIN แบบเต็มตัวแล้ว ซึ่งหมายความว่าทุกครั้งที่จะมีการรูดบัตรใช้เงิน หรือกดเงินออกจากตู้ ลูกค้าจะต้องกดรหัส PIN ณ จุดจ่ายเงินทุกครั้ง (ผมเคยเขียนเรื่องนี้ไปแล้ว) โดยตัวบัตรเองจะเป็นบัตรแบบติดชิป EMV เรียบร้อยแล้วทั้งสิ้น

ข้อดีของการติดชิป EMV หลัก ๆ คือมันจะทำให้การก็อปปี้ข้อมูลไปทำซ้ำ หรือใช้ต่อยากขึ้นมากครับ ซึ่งในจุดนี้เมืองไทยก็ได้มีการเปลี่ยนบัตรเครดิตมาเป็นชิป EMV แล้ว (แต่ไม่รู้ทำไมยังไม่มีการใช้ PIN ว่าง่าย ๆ บัตรเครดิตในเมืองไทย ไม่เสี่ยงต่อการโดนก็อปปี้ข้อมูล แต่ถ้าทำหายเจ้าของก็ซวยอยู่ดีเพราะแค่ปลอมลายเซ็นก็ใช้ได้แล้ว)

บัตรที่ติดชิป EMV

ในยุโรป หลายประเทศได้มีการใช้ระบบ Chip and PIN คือนอกจากจะก็อปปี้ข้อมูลยากแล้ว ถ้าหากลูกค้าทำบัตรหาย ถ้ากดรหัสผิด 3 ครั้ง บัตรก็จะโดนระบบอายัดโดยทันที คือไม่เหมือนเมืองไทยตรงที่ว่าถ้าทำบัตรหายแล้ว ลูกค้าแทบไม่ต้องกลัวเลยว่าจะโดนขโมยเงินไปใช้ ถ้าหากโจรไม่รู้ว่าเราใช้รหัส PIN บัตรอะไร เมืองไทยแค่ขโมยบัตรปลอมลายเซ็นต์ได้ก็โอเคแล้ว

ทีนี้ นอกจากระบบ Chip and PIN แล้ว ในยุโรป กรณีที่ลูกค้าเป็นลูกค้าแบบคนไทยไปเที่ยวยุโรป แล้วเอาบัตรเครดิตแบบติดชิปโง่ๆที่ไม่มี PIN ของเราไปใช้ กรณีนี้คนไทยหลายคนจะพบว่าคนขายของ มักจะถามหาว่าเรามีบัตรประชาชน พาสปอร์ต หรือ ID จะโชว์เขา ณ จุดขายได้ไหมว่าเรามีชื่อและหน้าตาที่ตรงกับชื่อบนบัตรเครดิตจริง

นอกจากนี้ ในยุโรปยังมีกฎอยู่อีกว่า ร้านค้าส่วนใหญ่เวลาจะเก็บเงินลูกค้าผ่านบัตรต่าง ๆ เช่น บัตรเครดิต บัตรเดบิต ตัวลูกค้าจะต้องสามารถเห็นบัตรของตัวเองได้ตลอดเวลา นั่นก็คือพนักงานร้านอาหาร จะไม่สามารถเอาบัตรเราไปรูดที่หลังร้านได้เหมือนในเมืองไทย แต่จะต้องเอาบัตรเราไปรูดต่อหน้าต่อตาเราเลย โดยร้านอาหารส่วนใหญ่จะเอาเครื่องรูดบัตรเครดิตไร้สาย มารูดที่โต๊ะเราให้ดูเลย

เช่นกัน ถ้าลูกค้าไปซื้อของตามร้านค้า หรือซุปเปอร์มาร์เก็ต ลูกค้าจะต้องเป็นคนรูดบัตรเครดิตเอง ที่เค้าท์เตอร์จ่ายเงิน จะเห็นได้ว่ามันจะมีเครื่องให้ลูกค้าสอดบัตร และกดรหัสเอง โดยที่พนักงานไม่ได้แตะตัวบัตรของเราเลย

ลูกค้าต้องเสียบบัตรและกดรหัสเองที่จุดซื้อ

บัตรเดบิต และบัตรเครดิตเมืองไทย ไม่ต้องเป็นโจรมืออาชีพ ก็ขโมยเงินได้


ในเมื่อธนาคารในไทยแทบไม่ใส่ใจเรื่องความปลอดภัยของผู้ถือบัตร อยากขโมยเงินง่ายนิดเดียวครับ
  • เห็นบัตรเดบิต หรือเครดิตหล่นหาย หยิบมา ปลอมลายเซ็น แค่นี้ได้เลย
  • อยากขโมยเงินสด หาซื้อเครื่องดักข้อมูลบัตรกับกล้อง ติดตามตู้เอทีเอ็ม ผลิตบัตรใหม่ได้เลย
  • พนักงานร้านอาหารก็แอบขโมยข้อมูลบัตรได้ ตอนเอาบัตรเราไปรูดหลังร้าน
แต่ถ้าเป็นโจรในประเทศที่มีการใช้ Chip and PIN อยากจะขโมยเงินต้องมีอะไรบ้าง
  • เห็นบัตรเดบิต หรือเครดิตหล่นหาย หยิบมา ต้องรู้ว่ารหัส PIN บนบัตรนี้คืออะไรถึงจะใช้ได้ คนที่ไม่ใช่โจรเลยไม่เกิดความอยาก
  • อยากขโมยเงินสด แต่การจะดักข้อมูลบัตรติดชิป EMV ทำยากมาก และแพงด้วย
  • เห็นบัตรเดบิต หรือเครดิตหล่นหาย และเป็นบัตรแบบไม่มี PIN เช่นบัตรของคนไทย จะใช้ก็ใช้ไม่ได้ถึงแม้จะปลอมลายเซ็นต์ได้ เพราะร้านค้าขอเรียกดูบัตรประชาชนว่าชื่อตรงไหมก่อนให้ใช้
  • กฎที่ไม่ให้พนักงานเอาบัตรไปรูดหลังร้านได้ ทำให้พนักงานหมดสิทธิในการแอบเอาบัตรเราไปทำอะไรไม่พึงประสงค์
พนักงานร้านอาหารต้องรูดบัตรต่อหน้าลูกค้าเท่านั้น

แล้วเราคนไทยจะแก้ปัญหานี้ได้อย่างไร?


เราโชคดีที่เกิดเป็นคนไทยครับ ในเมื่อธนาคารไม่ใส่ใจความปลอดภัยของเรา ทางออกเดียวของเราคือป้องกันตัวเองให้ดีที่สุด ด้วยการ
  1. อย่าทำบัตรหายเป็นอันขาด
  2. เช็คบัตรตัวเองทุกวัน ว่ามันหายไปหรือยัง
  3. จำกัดวงเงินของตัวเองให้ต่ำ ๆ เข้าไว้
ซึ่งแต่ละทางที่ผมบอกไปข้างบน เป็นอะไรที่น่ารำคาญและเสียเวลา แต่ก็ช่วยไม่ได้ครับ

ผมอยากจะบอกให้ธนาคารในไทย ช่วยหน่อยเถอะครับ ช่วยกำชับพนักงานให้อย่างน้อยเรียกดูบัตรประชาชนทุกครั้ง ที่มีการใช้บัตรเครดิตในยอดที่สูงเกิน 10,000 บาท และให้ตรวจสอบลายเซ็นด้วยทุกครั้ง แค่นี้ก็อาจจะช่วยได้บ้าง แม้ว่าจะเสียเวลา

ส่วนเรื่องบัตรติดชิป EMV แบบ Chip and PIN ตอนนี้มีเพียงแค่ธนาคารกรุงเทพที่เดินหน้าทำไปก่อน แต่ Chip and PIN ของธนาคารกรุงเทพดันไม่สามารถนำไปใช้กับธนาคารอื่น ๆ ในประเทศไทยได้ เพราะว่าทุกธนาคารต้องเปลี่ยนระบบมาเป็นระบบเดียวกัน และบัตร Chip and PIN ของธนาคารกรุงเทพ ก็ดันไม่เชื่อมกับระบบ Chip and PIN ทั่วโลก เอาบัตรไปใช้กดตามตู้ Chip and PIN ที่ต่างประเทศไม่ได้อีกด้วย

5 comments:

  1. ในต่างประเทศใช่ว่าจะไม่มีปัญหานะครับ ตอนอยู่อเมริกาผมเคยใช้บัตรเครดิตของธนาคาร Citybank วันหนึ่งมีเซลโทรมาทีบ้านเพื่อขายประกันว่าจะช่วยป้องกันหากเกิดการขโมยเครดิต ....เหตุเพราะว่าคลังข้อมูลของบริษัทพึ่งถูก hack ข้อมูลลูกค้าไป....???....โดนผมด่าซะเละเลย.... ทำไมเราต้องเสียเงินเพื่อป้องกันเพราะความผิดพลาดของคนอื่น!!!

    ReplyDelete
  2. สวัสดีครับ อันนี้ผมเห็นด้วยครึ่งหนึ่งนะ บังเอิญว่าอเมริกาเป็นอีกประเทศที่ไม่มีการใช้ EMV หรือตรวจลายเซ็นแบบจริง ๆ จัง ๆ แต่เอาจริง ๆ แล้วบริษัทที่เขาขายประกันป้องกันเหล่านี้ เขาขายประกัน Credit / identity theft ซึ่งไม่เกี่ยวข้องกันครับ


    Identity theft นี่เป็นเรื่องไม่เกี่ยวข้องกับธนาคาร แต่เอาจริง ๆ ประกันลักษณะนี้ธนาคารน่าจะทำเป็น product พ่วงกับสินค้าของตัวเองอยู่แล้วมากกว่า

    ReplyDelete
  3. ไม่จริงนะ ผมสงสัยว่าคนเขียนบทความเคยไปเที่ยวตปท.ซักกี่ครั้งกัน

    ReplyDelete
  4. ที่ออสเตรเลียทุกวันนี้ใช้paypassอันตรายยิ่งกว่าอีกค่ะ เพราะส่วนมากแค่เอาบัตรแปะแถบแม่เหล็กไม่ต้องกดพินหรือเซ็นเลย มันไม่ได้ปลอดภัยกว่าเสมอไป ธนาคารบางที่่ก็ยังมีมั่วข้อมูลอยู่เหมือนกันค่ะ ส่วนตัวคิดว่าถ้าจะถือบัตรพวกนี้ต้องมีความสามารถในการดูแลของตัวเอง ธนาคารส่วนมากเค้าตั้งวงเงินได้ก็ควรทำ เทคโนโลยีมันไม่ใช่ปัญหา เพราะยังไงคนก็ฉลาดกว่า ควรจะมาแก้ปัญหาที่คนมากกว่าระบบค่ะ

    ReplyDelete
  5. อันนี้ผมเห็นด้วยครับ แต่พวก Paypass ปรกตินานๆทีมันจะถาม PIN และมีการจำกัดความเสียหายกรณีถูกขโมยด้วยการจำกัดยอดใช้งานได้ (ที่อังกฤษต้องต่ำกว่า £15)

    ReplyDelete