ธนาคารของฉันกำลังบ่อนทำลายการอบรมป้องกันฟิชชิงอย่างต่อเนื่อง

 (moritz-mander.de)
3 คะแนน โดย GN⁺ 2025-07-19 | 2 ความคิดเห็น | แชร์ทาง WhatsApp
  • ธนาคารส่ง อีเมลโปรโมตกิจกรรมที่คล้ายอีเมลฟิชชิงที่ไม่น่าเชื่อถือ
  • ลิงก์และโดเมนของเว็บไซต์ในเนื้อหา ดูเหมือนไม่เกี่ยวข้องกับธนาคาร และมีการขอกรอกข้อมูลส่วนบุคคล ทำให้ แยกแยะว่าเป็นฟิชชิงได้ยาก
  • แม้จะตรวจสอบจนยืนยันได้แล้วว่า เป็นกิจกรรมทางการจริง ก็ยิ่งทำให้เกิดความสับสนและความไม่ไว้วางใจ
  • การกระทำเช่นนี้ บ่อนทำลายเป้าหมายของการอบรมเรื่องฟิชชิง และเพิ่มความเสี่ยงที่ธนาคารจะต้องรับผิดทางกฎหมาย
  • เพื่อ แก้ปัญหา ควรเน้นการ ใช้โดเมนที่น่าเชื่อถือ และการทำขั้นตอนดังกล่าวภายในแอป

บทนำ

ฉันได้พบกับความจริงที่ว่าธนาคารของฉันกำลังบ่อนทำลายการอบรมป้องกันฟิชชิงเสียเอง อีเมลเกี่ยวกับกิจกรรมที่ธนาคารส่งมามีลักษณะน่าสงสัยจนแทบจะแยกไม่ออกจากการหลอกลวงแบบฟิชชิง โดยให้กรอกข้อมูลส่วนบุคคลลงในเว็บไซต์ที่ไม่ใช่โดเมนทางการของธนาคาร พร้อมชี้ให้เห็นปัญหาในสภาพความปลอดภัยและความเป็นจริงของการอบรมด้านความปลอดภัยของธนาคารและหน่วยงานสาธารณะทั้งในและต่างประเทศ

บทที่ 1: อีเมลน่าสงสัยมาถึง

  • ได้รับอีเมลจากธนาคารเกี่ยวกับ “Wero-Win-Wochen(กิจกรรมชิงรางวัล)”
  • ประกาศในอีเมลเชิญชวนให้เข้าร่วมกิจกรรม พร้อมข้อมูลว่ามีสิทธิ์ลุ้นรับเงินสูงสุด 7,000 ยูโรต่อสัปดาห์
  • มีการกล่าวถึง Sparkasse (เครือข่ายธนาคารท้องถิ่นของเยอรมนี) และ Wero (ระบบชำระเงินดิจิทัลยุโรปที่เพิ่งเริ่มต้น) ในอีเมล
  • ลิงก์ในอีเมลชี้ไปที่ “gewinnen-mit-wero.de” ซึ่งต่างจากโดเมนทางการของธนาคาร
  • เนื้อหาและน้ำเสียงคล้ายอีเมลฟิชชิงทั่วไป โดยมีเพียงที่อยู่อีเมลเท่านั้นที่เป็นที่อยู่อย่างเป็นทางการของ Sparkasse
  • ต้องเข้าไปตรวจสอบในเว็บไซต์ทางการของธนาคารเองว่าเป็นกิจกรรมจริงหรือไม่

Sparkasse คืออะไร?

  • เป็นธนาคารออมทรัพย์ที่อิงตามภูมิภาค โดยแต่ละพื้นที่ดำเนินงานอย่างอิสระ
  • เป็นหนึ่งในกลุ่มผู้ให้บริการทางการเงินที่ใหญ่ที่สุดในยุโรป

Wero คืออะไร?

  • เป็นระบบชำระเงินดิจิทัลใหม่ที่สร้างโดย European Payments Initiative (EPI)
  • พัฒนาขึ้นเพื่อรวมระบบการชำระเงินในท้องถิ่นเข้าด้วยกัน (ระยะแรกเน้นการชำระเงินแบบ P2P)
  • คล้าย PayPal แต่มีโครงสร้างแบบกระจายไปตามแต่ละธนาคาร

บทที่ 2: สถานการณ์ยิ่งแย่ลง – เว็บไซต์น่าสงสัย

  • เว็บไซต์สำหรับเข้าร่วมกิจกรรมที่เปิดขึ้นเมื่อคลิกลิงก์ในอีเมล มีทั้งดีไซน์และโครงสร้างที่คล้ายเว็บไซต์ฟิชชิงอย่างมาก
  • ไม่มีการระบุสาขา Sparkasse หรือการแยกตามแต่ละธนาคารเลย (มองข้ามความเป็นอิสระของแต่ละธนาคาร)
  • ตัวโดเมนเองก็ ไม่เกี่ยวข้องกับโดเมนทางการของธนาคาร และใช้ชื่อทั่วไปที่ใครก็จดทะเบียนได้
  • ใบรับรอง SSL ก็ใช้ Let’s Encrypt แบบฟรี ทำให้ความน่าเชื่อถือลดลง
  • แทบไม่มีคำอธิบายบริบทหรือเหตุผลของกิจกรรม มีแต่การเน้นว่า “เป็นโอกาสที่จะได้เงิน”
  • เพื่อเข้าร่วม ต้องกรอกข้อมูลส่วนบุคคล/การเงิน เช่น ชื่อ วันเดือนปีเกิด IBAN และที่อยู่อีเมล
  • โดยทั่วไปกิจกรรมด้านการเงินดิจิทัลสมัยใหม่มักถูกออกแบบให้ เข้าร่วมได้ภายในแอปเท่านั้น ซึ่งกรณีนี้สวนทางกับแนวทางดังกล่าว

ผลลัพธ์คือสถาบันการเงินกำลังทำให้การอบรมด้านความปลอดภัยของผู้ใช้กลายเป็นเรื่องไร้ความหมายโดยตั้งใจหรือไม่ก็ตาม

ปัญหาของประสิทธิผลในการอบรมด้านความปลอดภัยที่ลดลง

  • หากแม้แต่ธนาคารจริงยังใช้วิธีการที่คล้ายอีเมล/เว็บไซต์ฟิชชิง ผู้ใช้ก็จะเลิกเชื่อถือการอบรมการตรวจจับฟิชชิงไปเอง
  • เกิดการรับรู้ว่า “สิ่งนี้ดูเหมือนสแปม แต่จริง ๆ อาจถูกกฎหมายก็ได้”
  • ในอดีตธนาคารนี้ก็เคยส่ง SMS ทางการที่มี ข้อความและโดเมนน่าสงสัย มาก่อนแล้ว (เช่น ลิงก์ paperless.io)
  • แม้แต่ศูนย์สนับสนุนก็ยังไม่เข้าใจว่าทำไมสิ่งนี้จึงอาจดูเหมือนสแปมได้

บทที่ 3: แล้วทางแก้คืออะไร?

  • วิธีที่ปลอดภัยที่สุดคือ ทำขั้นตอนเข้าร่วมกิจกรรมไว้ภายในแอปโดยตรง
  • หากหลีกเลี่ยงไม่ได้ ก็ควรใช้โดเมนทางการ (เช่น sparkasse.de) หรือซับโดเมนของแต่ละสาขา เพื่อคงความน่าเชื่อถือ
  • รัฐบาลเยอรมนีก็มีกรณีตัวอย่างที่เสริมความน่าเชื่อถือของบริการผ่าน นโยบายดิจิทัลแบรนด์ gov.de ในเหตุการณ์คล้ายกัน

บทที่ 4: ความประมาทอาจลุกลามเป็นปัญหากฎหมายได้

  • ระยะหลังมี คำพิพากษาให้ธนาคารชดเชยความเสียหายแก่เหยื่อฟิชชิง เพิ่มขึ้น
  • ในการพิจารณาว่ามี “ความประมาท” ในการรั่วไหลของข้อมูลส่วนบุคคลหรือไม่ หากศาลเห็นว่าผู้ใช้ไม่ได้ประมาท ก็มักสรุปให้ธนาคารต้องรับผิด
  • หากมีการโจมตีแบบฟิชชิงโดยใช้โครงสร้างอีเมล/เว็บไซต์แบบปัจจุบันนี้ ธนาคารคงพิสูจน์ได้ยากว่าเหยื่อไม่ได้ระมัดระวังเพียงพอ
  • เพราะ อีเมล/เว็บไซต์ทางการของธนาคารจริงกับฟิชชิงมีความคล้ายกันมากเกินไป จึงยิ่งเพิ่มความเสี่ยงทางกฎหมาย

บทสรุป

  • แม้ ความปลอดภัยเชิงเทคนิค จะพัฒนาไปมาก แต่ ความปลอดภัยด้านประสบการณ์ผู้ใช้ (USABLE SECURITY) ยังมีช่องโหว่อยู่มาก
  • กรณีลักษณะนี้บ่อนทำลายความน่าเชื่อถือของการอบรมป้องกันฟิชชิง และส่งผลเสียทั้งต่อภาระทางกฎหมายของธนาคารและต่อภาคการเงินโดยรวม
  • ปัญหานี้เป็น ปัญหาเชิงโครงสร้างของระบบ ที่ยากจะแก้ได้ด้วยฟีดแบ็กรายกรณี
  • จำเป็นต้องตระหนักอย่างจริงจังมากขึ้นว่า นี่คือปัญหาที่เกิดขึ้นได้แม้ในกลุ่มการเงินที่ใหญ่ที่สุดแห่งหนึ่งของยุโรป
  • บทเรียนที่ทิ้งท้ายคือ “อย่าบ่อนทำลายการอบรมด้านความปลอดภัย อย่างน้อยช่วยใส่ใจให้มากกว่านี้หน่อย”

บทความที่เกี่ยวข้อง

2 ความคิดเห็น

 
unsure4000 2025-07-19

ดูเหมือนว่าความรู้สึกเดจาวูจะไม่ใช่เรื่องมโนไปเอง 🤣
 
GN⁺ 2025-07-19
ความเห็นจาก Hacker News

  • ธนาคารของฉันใช้ระบบตรวจจับการฉ้อโกงที่โทรหาฉันเมื่อพบกิจกรรมต้องสงสัยในบัญชี แล้วขอให้ฉันโทรกลับไปยังหมายเลขหนึ่ง แต่ปัญหาคือทุกครั้งจะให้หมายเลขโทรกลับไม่ซ้ำกัน พอลองค้นหาเบอร์นั้นออนไลน์ก็เจอผลลัพธ์แค่อย่างเดียว คือหน้าเว็บทางการของระบบตรวจจับการฉ้อโกงที่บอกว่าอย่าเชื่อถือการโทรใด ๆ เลย (คำแนะนำนี้สมเหตุสมผล แต่ก็น่าขันตรงที่เท่ากับบอกให้เพิกเฉยแม้แต่การติดต่อที่ถูกต้องของตัวเอง)

    • ฉันเคยมีประสบการณ์ที่ระบบตรวจจับการฉ้อโกงทำงานกับบัตรอยู่ครั้งเดียว ตอนนั้นได้รับข้อความจากธนาคารว่า “บัตรของคุณถูกระงับเนื่องจากการใช้งานที่น่าสงสัย กรุณาโทรไปที่หมายเลขต่อไปนี้” และเบอร์นั้นก็เป็นเบอร์สุ่มที่ไม่ได้ลงทะเบียนเหมือนกัน เหตุผลเดียวที่ฉันไม่เมินมันคือก่อนหน้านั้นฉันเพิ่งจ่ายเงินบนเว็บไซต์ใหม่พอดี เลยโทรตรงไปที่ธนาคารท้องถิ่นของฉันเพื่อยืนยันว่าเป็นเรื่องจริงหรือไม่ แล้วก็ได้รับคำยืนยันว่าใช่จริง ๆ เกือบจะระบายด่าขั้นตอนที่มันแย่มากนี้ออกมาแล้ว

    • ดูเหมือนจะไม่มีใครรับผิดชอบดูแลภาพรวมของประสบการณ์ผู้ใช้ (UX) ของธนาคารเลย ธนาคารของฉันก็ทำอะไรประหลาดคล้ายกัน เช่น ทุกครั้งที่โอนเงินให้ภรรยา มันจะถามคำถามยืนยันหลายข้อเพื่อป้องกันการฉ้อโกง แต่พอตอบเสร็จก็ยังขึ้นข้อความอีกว่า “เพราะคุณโอนบ่อย เราจะไม่ขอรหัส 2FA หรือการยืนยันเพิ่มเติม” UX แบบไร้เหตุผลนี้น่าจะเกิดจากการไม่มีคนหรือทีมใดคอยดูทั้งโฟลว์แบบครบวงจร

    • ธนาคารไม่ทำตามกฎที่ตัวเองตั้งไว้ ครั้งหนึ่งธนาคารโทรมาหาฉันเรื่องการเปลี่ยนแปลงประกันที่ฉันเคยขอไว้เมื่อหนึ่งเดือนก่อน แล้วให้ฉันยืนยันตัวตนด้วย security dongle ทำกันแบบนี้ก็ไม่แปลกที่คนจะโดนหลอก

    • ธนาคารที่ฉันทำงานอยู่ส่งข้อความถามว่า “คุณได้ออกเช็คมูลค่า $x หรือไม่” เพื่อเช็กความผิดปกติ แต่ปัญหาคือการโกงเช็คที่พบบ่อยที่สุดคือ “check washing” ซึ่งปลอมแค่ชื่อผู้รับโดยยอดเงินยังเท่าเดิม แบบนี้มันก็จะดูเหมือนธุรกรรมถูกต้องเพราะจำนวนเงินตรง แต่ไม่ได้ยืนยันเลยว่าจ่ายให้ใครจริง

    • ต่อให้โทรไปที่หมายเลขหลักของธนาคารทั่วไป รอสายนานมากจนได้คุยกับเจ้าหน้าที่แล้ว สุดท้ายเขาก็ยังบอกว่าแม้จะเป็นหมายเลขจริง แต่เขาไม่สามารถยืนยันหมายเลขนั้นได้ ที่ปวดหัวกว่านั้นคือถ้าเป็นธนาคารที่ฉันไม่ได้ใช้อยู่ โทรไปยังหมายเลขบนหน้าเว็บก็จะเจอระบบตอบรับอัตโนมัติทันที และถ้าไม่มีเลขบัญชีก็เข้าอะไรไม่ได้เลย กลายเป็นว่าต้องหาหมายเลขอื่นที่ติดต่อได้เพื่อให้ได้คุยกับคนจริง ๆ

  • ธนาคารของฉัน (USAA) เคยนำข้อเสนอที่ฉันแนะนำไปใช้จริงด้วย แต่เมื่อไม่นานมานี้ฉันได้รับอีเมลที่ดูเหมือนปกติส่งมาที่อีเมลเฉพาะของฉัน ทว่าโดเมนไม่เหมือนที่เคยใช้ (ยิ่งน่าสงสัยเพราะเพิ่งทำธุรกรรมอะไรบางอย่างไปพอดี) ฉันเลยโทรหาธนาคารทันทีและคุยกับเจ้าหน้าที่ฝ่ายฉ้อโกง อธิบายว่ามันอาจหมายถึงระบบภายในโดนแฮ็ก หรือไม่ก็พวกเขากำลังฝึกลูกค้าให้คุ้นกับ phishing โดยไม่รู้ตัว แล้วขอให้เปิด ticket ให้ เจ้าหน้าที่บอกว่าโดเมนนั้นไม่ได้เป็นของ USAA และพวกเขาใช้แค่ usaa.com เท่านั้น จากนั้นก็ล็อกบัญชีฉันไปเฉย ๆ สุดท้ายฉันต้องโทรกลับไปอีกครั้งเพื่อปลดล็อกบัญชี และเจ้าหน้าที่บอกว่าได้เปิด ticket ไว้แล้ว ตอนนี้คงต้องรอดูความคืบหน้า

    • ฉันเคยสัมภาษณ์ตำแหน่งวิศวกรซอฟต์แวร์ที่ USAA ด้วย หลังจากเห็นความไร้ความสามารถของคนสัมภาษณ์แล้ว เรื่องเหลวไหลที่เกิดในบริษัทก็ไม่ได้น่าแปลกใจอีกต่อไป

  • เทคโนโลยีด้านประสบการณ์ผู้ใช้และแนวทางการตลาดของธนาคารนี่แย่มาก ฟอร์มล็อกอินของทุกธนาคารอินเดียที่ฉันเคยใช้ล้วน

    • ไม่เป็นมิตรกับ password manager
    • ไม่ให้ copy/paste รหัสผ่าน
    • ใช้การแฮชรหัสผ่านฝั่ง client
    • มีข้อกำหนดแปลก ๆ เช่น ห้ามเกิน 15 ตัวอักษร และใช้ได้เฉพาะตัวอักษรที่ whitelist ไว้ (HDFC หนักเป็นพิเศษ)
    • ส่งข้อความสแปมเพิ่มขึ้นเรื่อย ๆ ทั้งหมดนี้ให้ความรู้สึกเหมือนยังติดอยู่กับ UX ต้นยุค 2000

    • ห้ามเกิน 15 ตัวอักษรเหรอ! ธนาคารของฉันกำหนดให้ต้องเป็นตัวเลข 6 หลักเป๊ะ ๆ ไม่ใช่ตัวอักษรและต้องเป็นตัวเลขเท่านั้น ใช้ password manager ไม่ได้ และยังห้าม copy/paste อีก ต้องคลิกช่องตัวเลขด้วยเมาส์เท่านั้น หมกมุ่นกับ “ความปลอดภัย” มากจนระบบยืนยันตัวตนชั้นที่สองก็เปลี่ยนจาก physical token ไปเป็นแอป แล้วสุดท้ายก็จบที่ SMS ที่นี่ไม่ใช่ธนาคารท้องถิ่นเล็ก ๆ แต่เป็นหนึ่งในธนาคารที่ใหญ่ที่สุดของฝรั่งเศส

    • เมื่อไม่กี่สัปดาห์ก่อน มีดราม่าบน Reddit จากภาพแคปหน้าจอที่แสดงว่าแอปของธนาคารรัฐวิสาหกิจในอินเดียบล็อกการใช้งานแอปเพียงเพราะผู้ใช้ติดตั้ง Firefox ไว้ ธนาคารและเว็บไซต์ภาครัฐไม่เป็นมิตรกับผู้ใช้อย่างมาก แต่เมื่อก่อนฉันคิดว่าวิธีแบบนี้มีเจตนาปกป้องผู้ใช้ที่ไม่ชำนาญเทคโนโลยี ตอนนี้กลับรู้สึกว่ามันเป็นข้ออ้างเพื่อหลีกเลี่ยงการนำ framework ที่ปลอดภัยและใช้งานสะดวกจริง ๆ มาใช้มากกว่า

    • แอปของธนาคารรัฐวิสาหกิจอินเดียบางแห่งจะไม่ยอมทำงานเลย ถ้าไม่อนุญาตสิทธิ์ที่สำคัญอย่างกล้องหรือทั้งไฟล์ซิสเต็ม แต่สำหรับธนาคารของฉัน ฉันไม่เคยได้รับสแปมแบบที่ OP เจอ อย่างไรก็ตาม ในการรับรู้ของสาธารณะมีข่าวลือว่าพนักงานระดับล่างมักเอาข้อมูลบัญชีไปปล่อยให้พวกมิจฉาชีพเป็นประจำ

    • ธนาคารของฉันบังคับให้เปลี่ยนรหัสผ่านทุก 180 วัน และรหัสผ่านยาวได้แค่ 6–11 ตัว แถมยังจำกัดชุดอักขระที่ใช้ได้อีกด้วย พอจะล็อกอินก็โดนบอกให้เปลี่ยนรหัสผ่านอีก แล้วรหัสผ่านที่ Firefox สุ่มให้อัตโนมัติก็ไม่ตรงตามกฎของธนาคาร สุดท้ายเลยต้องไปสร้างรหัสผ่านสุ่มเองในเทอร์มินัลให้ตรงเงื่อนไข

    • ฉันไม่ค่อยเข้าใจว่าทำไมการใช้การแฮชรหัสผ่านฝั่ง client ถึงเป็นปัญหา

  • ตอนซื้อขายบ้านปัญหานี้หนักกว่าเดิมอีก เพราะมีหลายหน่วยงานย่อยใช้คนละโดเมน ทำให้ซับซ้อนมาก ฉันเองก็เคยลำบากเพราะต้องเชื่อถือโดเมนที่ดูน่าสงสัยในเรื่องการเรียกคืนเครื่องมือแพทย์ เรื่องแบบนี้แก้ง่ายมาก แค่ลงรายชื่อโดเมนพาร์ตเนอร์ที่เชื่อถือได้ไว้บนหน้าเว็บหลักก็พอ โปรโตคอลความปลอดภัยส่วนตัวของฉันคือค้นหาข้อมูลติดต่อสถาบันการเงินจากเว็บไซต์ .gov จากนั้นเข้าไปที่โดเมนนั้นเพื่อดูเบอร์บริการลูกค้า แล้วโทรไปถามว่าโดเมนไหนที่เชื่อถือได้จริง เจ้าหน้าที่บริการลูกค้ามักคิดว่าฉันแปลก ครั้งหนึ่งถึงขั้นมีเจ้าหน้าที่บอกว่า “ถ้าใน LinkedIn ขึ้นว่าคนนั้นทำงานที่ <Bank Name> ก็รู้ได้ว่าเขาเป็นของจริง”

    • พอได้ยินว่า “ถ้า LinkedIn ระบุว่า <Bank Name> เป็นที่ทำงาน ก็เชื่อถือได้” ฉันก็สวนกลับไปว่า “ให้เวลาฉัน 2 นาที ฉันก็ใส่อย่างนั้นในโปรไฟล์ตัวเองได้ แล้วคุณจะยอมให้ข้อมูลส่วนตัวฉันด้วยไหม”

    • ตอนซื้อบ้านของฉันกลับไม่ได้ซับซ้อนอะไรเลย ฉันทำสินเชื่อจำนองผ่านนายหน้าและคุยแบบตัวต่อตัวกับคนคนเดียวตลอด

  • คนไร้เดียงสาที่มีอำนาจตัดสินใจมักไม่รับรู้ความเสี่ยงพวกนี้อย่างจริงจัง จนกว่าตัวเองหรือคนใกล้ตัวจะเจอปัญหาถูกหลอกหรือมีคดีความแล้วถึงจะเข้าใจ สหรัฐฯ เองก่อนปี 2012 ก็มีคนแบบนี้บริหารบริษัทอยู่มาก แต่เพราะการแฮ็กแบบ white-hat/black-hat แพร่กระจายเร็ว ปัญหาเหล่านี้เลยถูกแก้ค่อนข้างไว

    • ฉันเคยทำงานในบริษัทการเงินที่มีวัฒนธรรมความปลอดภัยข้อมูลแข็งแรงมาก หลังบริษัทถูกซื้อกิจการ ก็มีอีเมลคำขอต่าง ๆ จากผู้ให้บริการภายนอกส่งมาในนามผู้บริหารสำนักงานใหญ่เรื่อย ๆ แต่ตามนโยบายความปลอดภัยเดิมของเรา ห้ามดำเนินการกับอีเมลแบบนี้ พวกเราเลยคุยกันใน Slack ว่าแม้มันจะเป็นอีเมลจริง แต่ตามนโยบายก็ควรรายงานว่าเป็น phishing ไปเลย สุดท้ายมันเป็นการไม่ให้ความร่วมมือโดยไม่ได้มีเจตนาร้าย แต่จริง ๆ แล้วนี่แหละคือแนวปฏิบัติที่ถูกต้อง ต่อมาผู้บริหารสำนักงานใหญ่ก็เริ่มส่งอีเมลแจ้งล่วงหน้าว่า “จะมีอีเมลแบบนี้ไปนะ ช่วยตอบสนองแบบนี้ด้วย” แล้วพวกเราก็กลับมาคุยกันอีกว่า “แล้วจะรู้ได้อย่างไรว่าอีเมลแจ้งล่วงหน้านั้นเป็นของจริง” สุดท้ายทุกคนก็เหนื่อยและค่อย ๆ ยอมรับแนวทางความปลอดภัยที่หละหลวมแบบสำนักงานใหญ่

    • ฉันคิดว่าองค์กรแบบนี้มีโครงสร้างทางสังคมที่ทำให้คนเก่ง ๆ ซึ่งสามารถตัดสินใจได้ถูกต้อง ขึ้นไปอยู่ในตำแหน่งที่มีอำนาจตัดสินใจจริงได้ยาก การจะทำนโยบายดี ๆ ต้องพูดคำว่า “ไม่ได้” กับหลายฝ่าย และระหว่างทางสิ่งที่ยากที่สุดคือการไม่ขัดใจคนที่มีอำนาจเรื่องบุคลากร

    • บนกระดาษมีทั้ง CISO, EVP, SVP, director ด้านความปลอดภัย เต็มไปหมด แต่ฉันก็ยังไม่เข้าใจว่าทำไมถึงตัดสินใจอะไรเพี้ยน ๆ แบบนี้ได้ บางครั้งก็แยกไม่ออกว่าเป็นความไร้ความสามารถหรือความจงใจ ถ้าจะเรียกมันอย่างอ้อม ๆ ว่า “ไร้เดียงสา” ก็เหมือนเป็นการหาข้อแก้ตัวให้การกระทำที่ดูแคลนลูกค้า การใส่ใจความปลอดภัยก็มีต้นทุน และการไม่ใส่ใจก็มีความเสียหาย แต่ดูเหมือนอย่างน้อยในตอนนี้ การสูญเสียผู้ใช้ยังมีต้นทุนน้อยกว่าค่าใช้จ่ายในการทำระบบให้ปลอดภัยและถูกต้องจริง ๆ วิธีแบบนี้เลยยังอยู่ต่อไป สุดท้ายก็เป็นความจริงที่น่าเศร้าสำหรับทุกฝ่าย

  • ธนาคารโทรหาฉันด้วยสายการตลาดสุ่มบ่อยมาก และก่อนจะอธิบายข้อเสนอของตัวเองก็มักถามวันเกิดกับนามสกุลเดิมของแม่ฉันก่อน พอฉันย้อนถามว่า “พิสูจน์ก่อนสิว่าคุณคือธนาคารจริง” พวกเขาก็ดูงงทุกที

    • เวลาได้รับสายจากคนแปลกหน้าที่ขอให้ยืนยันข้อมูลส่วนตัว ฉันจะตอบเสมอว่า “ฉันไม่รู้ว่าคุณเป็นใคร จึงให้ข้อมูลส่วนตัวไม่ได้” ครึ่งหนึ่งก็วางสายไปเลย ที่เหลือก็เริ่มเข้าสคริปต์ขายทันที

    • ฉันเจอเรื่องเดียวกันในวงการแพทย์บ่อยมาก สำนักงานแพทย์เฉพาะทางโทรมาแล้วอย่างแรกที่ถามคือวันเกิดของฉัน พอฉันปฏิเสธ อีกฝ่ายก็ตกใจมาก ส่วนฉันก็มองเหมือนเดิมว่า ถ้าเป็นฝ่ายโทรมาเอง ก็ควรพิสูจน์ตัวตนก่อน

    • ในที่สุดธนาคารของฉันก็เข้าใจเรื่องนี้ เลยทำระบบที่ตอนนี้สามารถตรวจสอบผ่านแอปได้ว่าเจ้าหน้าที่คนนั้นกำลังทำงานขายอยู่จริง และเป็นพนักงานคนไหนแน่

  • ที่มีแนวคิดว่า “งั้นไปลงทะเบียนซับโดเมนสิ” ก็เพราะในฝ่าย IT จะมีคนที่รู้ว่าการปล่อยสิทธิ์ผ่านซับโดเมนเป็นเรื่องอันตราย เลยปฏิเสธไป สุดท้ายฝ่ายอื่นในบริษัท (เช่น การตลาด) จึงไปจดโดเมนเองแยกต่างหากเพื่อเลี่ยงข้อจำกัดแบบนี้ ฉันสงสัยว่าบริษัทอย่าง Google จัดการเรื่องนี้อย่างไร ทั้งที่การเจาะซับโดเมนของ google.com น่าจะเป็นเป้าหมายที่น่าดึงดูดสุด ๆ แต่ในทางปฏิบัติ Google เองก็ใช้ซับโดเมนค่อนข้างบ่อย ดูกรณีที่เกี่ยวข้องได้จาก ลิงก์ gist นี้

    • บ่อยครั้งจริง ๆ แล้วเรื่องพวกนี้ไปไม่ถึงฝ่าย IT ด้วยซ้ำ ฝ่ายการตลาดแยกโครงสร้างจาก IT และไม่อยากเปิดงานให้ IT ทำ เพราะ IT ใช้ระบบ ticket ที่ไม่มีประสิทธิภาพและเชื่องช้า แถมบางทียังชอบเสนอความเห็นที่ไม่จำเป็น จึงเป็นภาระน่ารำคาญสำหรับฝั่งการตลาด สุดท้ายงานโปรโมชันทางการตลาดก็ถูกโยนให้บริการ SaaS หรือบริษัทรับจ้างภายนอก ซึ่งพวกนี้แทบไม่เกี่ยวอะไรกับ IT ขององค์กรเลย คนทำการตลาดเองก็ไม่รู้ด้วยซ้ำว่าซับโดเมนคืออะไร และทำงานผ่านการค้นหา Google หรือการคลิกลิงก์เท่านั้น ไม่มีใครอ่านข้อความ URL จริงจังอยู่แล้ว จึงไม่รับรู้เลยว่าทำไมซับโดเมนถึงสำคัญ ถ้าดูพฤติกรรมการใช้อินเทอร์เน็ตของผู้ใช้จริง การสอนป้องกัน phishing แบบดั้งเดิมแทบไม่มีความหมาย “ค้นหาใน Google แล้วกดผลลัพธ์บนสุด” ยังเป็นวิธีป้องกัน phishing ที่สอดคล้องกับความจริงมากกว่า “อ่านข้อความโดเมนอย่างละเอียด”

    • Google เองก็น่าหงุดหงิดในเรื่องนี้ไม่ต่างกัน อีเมลแจ้งเตือนของพวกเขามักมีรูปแบบที่ชวนให้เข้าใจผิดว่าเป็น phishing และยังใช้งานโดเมนแปลก ๆ หลากหลาย นอกจาก google.com เช่น goo.gl, foobar.google ยุคที่เราจะเชื่อทุกอย่างตรง ๆ แบบเมื่อก่อนนั้นจบไปแล้ว

  • ฉันคิดว่าข้อ 4 คือประเด็นหลัก ธนาคารที่ส่งอีเมลให้ลูกค้าในลักษณะที่ดูเหมือน phishing ควรถูกถือว่าประมาทอย่างร้ายแรงและต้องรับผิดตามกฎหมาย

    • ฉันสงสัยว่าจะเอาผิดทางกฎหมายได้อย่างไร ในเมื่อยังไม่มีผู้เสียหายหรืออาชญากรรมที่ชัดเจน โดยเฉพาะถ้าจะเรียกว่า “ประมาทอย่างร้ายแรง” ความเลินเล่อที่เห็นในงานปฏิบัติจริงตอนนี้กลับดูเป็นเพียงระดับเล็กน้อย

  • นี่คือตัวอย่างของกฎของ Conway ที่เกิดขึ้นจริง ฝ่ายการตลาดมี IT ของตัวเองแยกจาก IT ที่ดูแลเว็บไซต์หลัก ดังนั้นจึงพัฒนาร่วมกันบนเว็บโดเมนเดียวกันไม่ได้ และสุดท้ายต้องออกมาเป็นเว็บแยก ประสบการณ์แยก

    • กรณีของ “Sparkassen” ในเยอรมนียิ่งปวดหัวยิ่งกว่า พวกเขาเป็นลักษณะคล้ายเครดิตยูเนียนตั้งแต่ขนาดเล็กถึงกลาง และองค์กรแม่จะให้บริการส่วนกลางอย่าง IT เพียงบางส่วน ธนาคารแต่ละแห่งเลือกเองได้ว่าจะดูแลอะไรเองบ้าง สาขาใหญ่ ๆ ยังพอไปได้ แต่สาขาเล็กขาดทั้งคนและแทบทำงานด้านความปลอดภัย IT ไม่ได้เลย ถึงอย่างนั้นธนาคารเหล่านี้ก็ยังสร้างความเชื่อมั่นผ่านการตลาดแบบ “ธนาคารประจำชุมชน” ทั้งที่ความจริงค่าธรรมเนียมแพงและผลตอบแทนผลิตภัณฑ์การลงทุนก็ย่ำแย่

  • บริษัทที่เพื่อนฉันทำงานอยู่ CISO เคยส่งจดหมายข่าวเรื่องความปลอดภัยถึงพนักงานทั้งบริษัท แต่อีเมลนั้นถูกส่งมาจากโดเมนภายนอก ไม่ใช่โดเมนบริษัท และลิงก์ก็ไปยังแพลตฟอร์มโฮสต์ภายนอกแทนที่จะเป็นเว็บไซต์ของบริษัทเอง จนดูเหมือนอีเมล phishing อยู่ตลอด โดยเฉพาะเวลามีกิจกรรมแจกของรางวัล ยิ่งทำให้คนเข้าใจผิดว่าเป็นของปลอมได้ง่าย (ด้วยชื่อเสียงของบริษัทแล้ว ของรางวัลใจกว้างขนาดนั้นฟังดูไม่น่าเป็นไปได้อยู่แล้ว)

    • จดหมายข่าวรายสัปดาห์ที่ฉันได้รับจากบริษัทก็ส่งมาจากผู้ส่งภายนอกเสมอ และลิงก์ก็ชี้ไปยังเว็บไซต์โฮสต์ภายนอก มี unique ID ติดมาด้วยเพื่อใช้ติดตามการคลิก และลิงก์นั้นยังถูก Outlook แปลงต่อจนยิ่งดูยากเข้าไปอีก ฉันลองหาบนเว็บไซต์ทางการของบริษัทที่ฉันทำงานอยู่ว่ามีการประกาศหรือยืนยันผู้ส่งและโดเมนโฮสต์นี้ว่าใช้งานอย่างเป็นทางการหรือไม่ ก็ไม่พบอะไรเลย เพราะงั้นฉันจึงไม่คลิกลิงก์เหล่านั้น และเคยลังเลว่าควรรายงานเป็น phishing ไปเลยดีไหม