ธนาคารในสิงคโปร์จะเลิกใช้ OTP ภายใน 3 เดือน

252/67 (IT) ประจำวันอังคารที่ 16 กรกฎาคม 2567

สำนักงานการเงินสิงคโปร์ (MAS) ประกาศข้อกำหนดใหม่ที่มีผลต่อธนาคารรายย่อยหลัก ๆ ทั้งหมดในประเทศ เพื่อให้ยุติการใช้รหัสผ่านแบบใช้ครั้งเดียว (one-time passwords  : OTP) ภายใน 3 เดือนข้างหน้า

รัฐบาลและสมาคมธนาคารในสิงคโปร์ ( ABS ) ตกลงกันในแผนริเริ่มนี้เพื่อปกป้องผู้บริโภคจากการถูกโจมตีแบบฟิชชิ่งและเป็นการป้องกันการหลอกลวงอื่น ๆ จากประกาศของ MAS ระบุว่า “การใช้ OTP ถูกนำมาใช้ในช่วงปี 2000 เพื่อเป็นตัวเลือกการตรวจสอบปัจจัยหลายประการเพื่อเสริมสร้างความปลอดภัยออนไลน์  แต่อย่างไรก็ตาม การพัฒนาด้านเทคโนโลยีและกลวิธีโจมตีโดยใช้ social engineering ที่ซับซ้อนยิ่งขึ้น ทำให้ผู้หลอกลวงสามารถหลอกเอารหัส OTP ของลูกค้าได้ง่ายขึ้น เช่น การสร้างเว็บไซต์ธนาคารปลอมให้มีลักษณะคล้ายคลึงกับเว็บไซต์จริง” นอกเหนือจากเว็บไซต์ฟิชชิ่งแล้ว OTP ยังเป็นเป้าหมายของมัลแวร์ในระบบ Android มาหลายปี โดยช่วยให้ผู้ให้บริการหลีกเลี่ยงการป้องกันการตรวจสอบสิทธิ์แบบสองปัจจัยในบัญชีเป้าหมายได้ เหตุการณ์นี้ทำให้ Google ต้องดำเนินการที่เข้มงวดยิ่งขึ้นต่อการละเมิดสิทธิ์ ‘RECEIVE_SMS’ ‘READ_SMS’ และ ‘BIND_Notifications’ ในปีนี้ โดยมีประเทศสิงคโปร์เป็นหนึ่งในประเทศแรก ๆ ที่ได้รับการคุ้มครองใหม่นี้    

นอกจากนี้ OTP สามารถถูกดักจับโดยการโจมตีแบบ man-in-the-middle ได้ และหากเป็นการใช้ SMS ก็สามารถถูกดักจับโดยผู้คุกคามที่ดำเนินการโจมตีโดยการสลับซิมได้ ลูกค้าธนาคารสิงคโปร์จะใช้โทเค็นดิจิทัลแทน OTP ซึ่งพวกเขาจะต้องเปิดใช้งานบนอุปกรณ์มือถือของตนเอง ตามข้อมูลของ ABS โทเค็นดิจิทัล ได้ถูกเปิดใช้งานแล้ว สำหรับลูกค้าของสามธนาคารหลักของประเทศ ได้แก่ DBS, OCBC และ UOB ประมาณ 60-90% ดังนั้น MAS จึงแนะนำให้ผู้ที่ยังไม่ได้เปิดใช้งานโทเค็นดิจิทัลดำเนินการโดยเร็วที่สุด เพื่อให้ได้รับประโยชน์จากความปลอดภัยที่ดีขึ้นในการป้องกันผู้หลอกลวงและผู้โจมตีด้วยฟิชชิ่ง ทั้งนี้ ลูกค้าที่ไม่เปิดใช้งานโทเค็นดิจิทัลจะยังคงใช้งาน OTP ได้เหมือนเดิม แต่คาดว่าจะมีจำนวนลดลงเรื่อย ๆ

แหล่งข่าว https://www.bleepingcomputer.com/news/security/banks-in-singapore-to-phase-out-one-time-passwords-in-3-months/