252/67 (IT) ประจำวันอังคารที่ 16 กรกฎาคม 2567
สำนักงานการเงินสิงคโปร์ (MAS) ประกาศข้อกำหนดใหม่ที่มีผลต่อธนาคารรายย่อยหลัก ๆ ทั้งหมดในประเทศ เพื่อให้ยุติการใช้รหัสผ่านแบบใช้ครั้งเดียว (one-time passwords : OTP) ภายใน 3 เดือนข้างหน้า
รัฐบาลและสมาคมธนาคารในสิงคโปร์ ( ABS ) ตกลงกันในแผนริเริ่มนี้เพื่อปกป้องผู้บริโภคจากการถูกโจมตีแบบฟิชชิ่งและเป็นการป้องกันการหลอกลวงอื่น ๆ จากประกาศของ MAS ระบุว่า “การใช้ OTP ถูกนำมาใช้ในช่วงปี 2000 เพื่อเป็นตัวเลือกการตรวจสอบปัจจัยหลายประการเพื่อเสริมสร้างความปลอดภัยออนไลน์ แต่อย่างไรก็ตาม การพัฒนาด้านเทคโนโลยีและกลวิธีโจมตีโดยใช้ social engineering ที่ซับซ้อนยิ่งขึ้น ทำให้ผู้หลอกลวงสามารถหลอกเอารหัส OTP ของลูกค้าได้ง่ายขึ้น เช่น การสร้างเว็บไซต์ธนาคารปลอมให้มีลักษณะคล้ายคลึงกับเว็บไซต์จริง” นอกเหนือจากเว็บไซต์ฟิชชิ่งแล้ว OTP ยังเป็นเป้าหมายของมัลแวร์ในระบบ Android มาหลายปี โดยช่วยให้ผู้ให้บริการหลีกเลี่ยงการป้องกันการตรวจสอบสิทธิ์แบบสองปัจจัยในบัญชีเป้าหมายได้ เหตุการณ์นี้ทำให้ Google ต้องดำเนินการที่เข้มงวดยิ่งขึ้นต่อการละเมิดสิทธิ์ ‘RECEIVE_SMS’ ‘READ_SMS’ และ ‘BIND_Notifications’ ในปีนี้ โดยมีประเทศสิงคโปร์เป็นหนึ่งในประเทศแรก ๆ ที่ได้รับการคุ้มครองใหม่นี้
นอกจากนี้ OTP สามารถถูกดักจับโดยการโจมตีแบบ man-in-the-middle ได้ และหากเป็นการใช้ SMS ก็สามารถถูกดักจับโดยผู้คุกคามที่ดำเนินการโจมตีโดยการสลับซิมได้ ลูกค้าธนาคารสิงคโปร์จะใช้โทเค็นดิจิทัลแทน OTP ซึ่งพวกเขาจะต้องเปิดใช้งานบนอุปกรณ์มือถือของตนเอง ตามข้อมูลของ ABS โทเค็นดิจิทัล ได้ถูกเปิดใช้งานแล้ว สำหรับลูกค้าของสามธนาคารหลักของประเทศ ได้แก่ DBS, OCBC และ UOB ประมาณ 60-90% ดังนั้น MAS จึงแนะนำให้ผู้ที่ยังไม่ได้เปิดใช้งานโทเค็นดิจิทัลดำเนินการโดยเร็วที่สุด เพื่อให้ได้รับประโยชน์จากความปลอดภัยที่ดีขึ้นในการป้องกันผู้หลอกลวงและผู้โจมตีด้วยฟิชชิ่ง ทั้งนี้ ลูกค้าที่ไม่เปิดใช้งานโทเค็นดิจิทัลจะยังคงใช้งาน OTP ได้เหมือนเดิม แต่คาดว่าจะมีจำนวนลดลงเรื่อย ๆ