1 ตุลาคม 2568

กระบวนการกู้คืนบัญชีมักเป็นหนึ่งในจุดอ่อนที่สุดของความปลอดภัยทางดิจิทัล แม้ว่าองค์กรต่างๆ จะลงทุนอย่างหนักเพื่อรักษาความปลอดภัยให้กับกระบวนการยืนยันตัวตนหลัก แต่กลไกการกู้คืนมักอาศัยวิธีการที่พิสูจน์แล้วว่าสามารถถูกบุกรุกได้ง่าย ซึ่งอาชญากรมักใช้ประโยชน์อย่างแข็งขัน:

  • คำถามด้านความปลอดภัยที่สามารถค้นคว้าได้ผ่านโซเชียลมีเดีย
  • รหัส SMS เสี่ยงต่อการถูกสลับซิม
  • กระบวนการกู้คืนอีเมลจะถือว่ามีบัญชีและอุปกรณ์ที่ไม่ถูกบุกรุก

ความพยายาม เข้าควบคุมบัญชี มักมุ่งเน้นไปที่การกู้คืนข้อมูล ซึ่งเป็นเส้นทางที่มีอุปสรรคน้อยที่สุด ลูกค้าธนาคารมักละทิ้งกระบวนการกู้คืนที่ซับซ้อน ส่งผลให้ต้นทุนการสนับสนุนสูงขึ้น เนื่องจากองค์กรต่างๆ ต้องจัดการการแทรกแซงด้วยตนเอง

บล็อกนี้จะสำรวจว่าไบโอเมตริกซ์ที่อิงตามหลักวิทยาศาสตร์จะช่วยให้กระบวนการกู้คืนบัญชีของคุณปลอดภัย และ ใช้งานง่ายอย่างแท้จริงได้อย่างไร เราจะใช้กรณีศึกษาจากธนาคารไรฟไฟเซนเพื่อเน้นย้ำว่าการช่วยให้ผู้ใช้จริงสามารถกู้คืนบัญชีได้อย่างง่ายดายและป้องกันมิจฉาชีพได้อย่างไร

วิกฤตการกู้คืนบัญชี: กรณีศึกษาในโลกแห่งความเป็นจริงกับ Raiffeisen Bank

ธนาคารไรฟไฟเซน ซึ่งเป็นลูกค้าของ iProov ในสาธารณรัฐเช็ก ให้บริการผู้ใช้บริการโมบายแบงก์กิ้งรายเดือนมากกว่า 1.2 ล้านคนในสาธารณรัฐเช็ก ธนาคารต้องเผชิญกับปัญหาการดำเนินงานที่หนักหน่วง โดยมีลูกค้าประมาณ 50,000 คนที่ต้องเปิดใช้งานโมบายแบงก์กิ้งอีกครั้งทุกเดือน หรือคิดเป็น 4% ของฐานลูกค้าทั้งหมด

ในช่วงแรก กระบวนการกู้คืนดูเหมือนจะแข็งแกร่ง ลูกค้าจะเข้าสู่ระบบอินเทอร์เน็ตแบงก์กิ้งผ่าน SMS OTP กรอกรหัส PIN และเปิดใช้งานโมบายแบงก์กิ้งบนอุปกรณ์ใหม่ กระบวนการนี้ดูเหมือนจะปลอดภัยและสะดวกสบาย จนกระทั่งอาชญากรได้ใช้ประโยชน์จากจุดอ่อนพื้นฐานของระบบอย่างเป็นระบบ

มิจฉาชีพได้เปิดแคมเปญหลอกลวงทางสังคมที่ซับซ้อน โดยปลอมตัวเป็นเจ้าหน้าที่ธนาคารและตำรวจเพื่อโน้มน้าวลูกค้าให้ใช้บริการธนาคารทางอินเทอร์เน็ต จากนั้นพวกเขาจะเปิดใช้งานโมบายแบงก์กิ้งบนอุปกรณ์ของผู้โจมตีจากระยะไกล ทำให้สามารถเข้าถึงบัญชีได้โดยตรงและขโมยเงินได้

มาตรการรับมือแรกของไรฟไฟเซนคือการเพิ่มหน้าจอเตือนที่ชัดเจนเพื่อขอให้ลูกค้ายืนยันว่าต้องการเปิดใช้งานโมบายแบงก์กิ้งอย่างแท้จริง การป้องกันนี้ใช้เวลาเพียงหนึ่งเดือนพอดี ก่อนที่อาชญากรจะปรับเปลี่ยนสคริปต์เพื่อแก้ไขความลังเลของลูกค้า

การโจมตีรุนแรงถึงขนาดที่ Raiffeisen ต้องปิดการเปิดใช้งานบริการธนาคารทางอินเทอร์เน็ตระยะไกลโดยสมบูรณ์ในเดือนตุลาคม 2022 บังคับให้ลูกค้าทุกคนที่ต้องการเปิดใช้งานอีกครั้งต้องไปที่สาขาจริง ซึ่งเป็นวิธีแก้ปัญหาที่ยุ่งยาก ทำให้เกิดความเครียดในการดำเนินงานและความหงุดหงิดของลูกค้าอย่างมาก

เหตุใดวิธีการกู้คืนแบบดั้งเดิมจึงล้มเหลว

สถานการณ์ของไรฟไฟเซนเผยให้เห็นช่องโหว่ที่เกิดขึ้นซ้ำๆ ในวิธีการกู้คืนบัญชีแบบเดิม วิธีการแบบดั้งเดิมมีข้อบกพร่องสำคัญประการหนึ่งร่วมกัน นั่นคือ การตรวจสอบสิทธิ์การเข้าถึงปัจจัยการครอบครองหรือความรู้ต่างๆ แทนที่จะตรวจสอบการมีอยู่และตัวตนที่แท้จริงของบุคคล

ข้อมูลไบโอเมตริกซ์เฉพาะอุปกรณ์สร้างปัญหาเพิ่มเติมที่ทีมรักษาความปลอดภัยมักเข้าใจผิด โด มินิก ฟอร์เรสต์ ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ iProov ค้นพบ เมื่อลูกสาววัยรุ่นลงทะเบียนลายนิ้วมือบนโทรศัพท์ของเขาโดยใช้รหัส PIN ที่เขารู้จักว่า "สิ่งที่คุณกำลังพิสูจน์จริงๆ ไม่ใช่ข้อมูลไบโอเมตริกซ์ แต่มันคือหลักฐานที่ยืนยันการรู้รหัสปลดล็อกของโทรศัพท์ ณ เวลานั้น"

ผลลัพธ์การเปลี่ยนแปลงของไรฟไฟเซน

Raiffeisen ร่วมมือกับผู้เชี่ยวชาญด้านการต้อนรับลูกค้าใหม่ผ่านมือถือ อย่าง Wultra และผู้ให้บริการการถ่ายทอดสดชั้นนำอย่าง iProov เพื่อพัฒนากระบวนการเปิดใช้งานใหม่ที่ครอบคลุมซึ่งตรวจสอบบุคคลผ่านหลายชั้น โดยสร้างขั้นตอน IDV หลัก 5 ขั้นตอนดังนี้:

  1. การระบุตัวตนลูกค้าเบื้องต้น (หมายเลขลูกค้าและวันเดือนปีเกิด)
  2. SMS OTP สำหรับการควบคุมคำขอ
  3. การตรวจสอบเอกสารต้องใช้การสแกนบัตรประชาชนและหนังสือเดินทางหรือใบขับขี่
  4. การตรวจจับความมีชีวิตแบบไดนามิกของใบหน้าเพื่อให้แน่ใจว่ามีตัวตนจริง โดยเปรียบเทียบผู้ใช้จริงกับรูปถ่ายเอกสาร
  5. SMS OTP สุดท้ายที่รวมกับโทเค็นยืนยันข้อมูลชีวภาพเพื่อการปฏิบัติตามกฎระเบียบ

ดูแผนภาพกระบวนการแบบ "เรียบง่าย" ด้านล่าง:

ภาพที่ 01 10 2025 เวลา 15.34 น.

กระบวนการทั้งหมดเป็นแบบระยะไกลและเสร็จสิ้นในเวลาประมาณ 80 วินาที และสามารถดำเนินการได้ทันทีเมื่อลูกค้าจำเป็นต้องเชื่อมโยงอุปกรณ์ใหม่

คำตอบอยู่ที่การสร้างความไว้วางใจในตัวบุคคล มากกว่าอุปกรณ์หรือสิ่งที่พวกเขาอาจ "รู้" การยืนยันใบหน้าตามหลักวิทยาศาสตร์ ด้วย เทคโนโลยี Dynamic Liveness และ Flashmark™ ช่วยให้ยืนยันตัวตนได้อย่างแท้จริง ตอบโจทย์ความต้องการสำคัญ 3 ประการ ได้แก่ บุคคลที่ใช่ บุคคลจริง และปัจจุบัน

 ทั้งหมดนี้ได้รับการสนับสนุนโดยการตรวจจับภัยคุกคามแบบไดนามิกของ iProov ผ่าน ศูนย์ปฏิบัติการด้านความปลอดภัย (iSOC ) ของ iProov ที่ คอยตรวจสอบปริมาณข้อมูลสำหรับการโจมตีอย่างต่อเนื่อง และเปิดตัวการอัปเดตมากกว่า 120 รายการต่อปีโดยไม่รบกวนลูกค้า ช่วยให้การรักษาความปลอดภัยพัฒนาอย่างต่อเนื่อง

ผลลัพธ์แสดงให้เห็นถึงการปรับปรุงด้านความปลอดภัยและการปฏิบัติการที่สำคัญ:

การปรับปรุงความปลอดภัย:

  • อัตราความสำเร็จ 97-98% สำหรับลูกค้าที่ถูกกฎหมายในการยืนยันตัวตนด้วยข้อมูลชีวภาพ
  • กระบวนการที่ทนต่อการฟิชชิ่งซึ่งผู้โจมตีที่มีข้อมูลประจำตัวถูกบุกรุกไม่สามารถดำเนินการจากระยะไกลได้
  • การป้องกันทั้ง การโจมตีการฉีดดิจิทัล และการโจมตีการนำเสนอทางกายภาพ

ประสิทธิภาพการดำเนินงาน:

  • ผู้ใช้ 25,000 รายต่อเดือนทำการโอนการเปิดใช้งานจากอุปกรณ์หนึ่งไปยังอีกอุปกรณ์หนึ่งสำเร็จ
  • ผู้ใช้ 10,000-12,000 รายต่อเดือน กรอกเอกสารและเปิดใช้งานไบโอเมตริกซ์ให้ครบถ้วน
  • การลดการเยี่ยมชมสาขาเพื่อจุดประสงค์ในการเปิดใช้งานอย่างมาก

ประสิทธิภาพของโซลูชันนี้ครอบคลุมมากกว่าแค่ความปลอดภัยที่เพิ่มขึ้นในทันที โครงสร้างพื้นฐานด้านไบโอเมตริกซ์ช่วยให้สามารถใช้งานกรณีต่างๆ เพิ่มเติมได้ เช่น การยืนยันตัวตนธุรกรรมสำหรับกิจกรรมที่มีมูลค่าสูง เช่น การสมัครสินเชื่อ การยืนยัน ตัวตนแบบขั้นบันได สำหรับกิจกรรมที่น่าสงสัย และ การปรับปรุงระบบต้อนรับ ลูกค้าใหม่ ผ่านระบบดิจิทัล

ความจำเป็นเชิงกลยุทธ์

การเปลี่ยนจากการพิสูจน์ตัวตนที่เน้นอุปกรณ์เป็นหลักไปสู่การเน้นบุคคลเป็นศูนย์กลางนั้นไม่ใช่ทางเลือก แต่เป็นสิ่งจำเป็นอย่างยิ่ง เนื่องจากเทคโนโลยีดีปเฟกเข้าถึงได้ง่ายขึ้น และวิธีการกู้คืนข้อมูลแบบดั้งเดิมต้องเผชิญกับการโจมตีที่ซับซ้อน การยืนยันตัวตนด้วยข้อมูลชีวภาพตามหลักวิทยาศาสตร์จึงเป็นแนวทางป้องกันเดียวที่ปรับขนาดได้

เส้นทางของ Raiffeisen จากการบังคับให้ไปพบสาขาด้วยตนเอง สู่การกู้คืนข้อมูลทางไกลด้วยตนเอง แสดงให้เห็นว่าความปลอดภัยและประสบการณ์ของผู้ใช้สามารถสอดคล้องกันได้มากกว่าการแข่งขันกัน ด้วยจำนวนลูกค้า 50,000 รายที่ต้องเปิดใช้งานใหม่ทุกเดือน พวกเขาจึงต้องการโซลูชันที่ทำงานได้ในระดับขนาดใหญ่โดยไม่กระทบต่อความปลอดภัย

อาชญากรได้ปรับตัวเพื่อใช้ประโยชน์จากช่องโหว่ของกระบวนการกู้คืนแล้ว คำถามไม่ใช่ว่าการโจมตีที่ซับซ้อนจะมุ่งเป้าไปที่องค์กรของคุณหรือไม่ แต่อยู่ที่ว่าระบบป้องกันของคุณจะมีประสิทธิภาพเพียงพอหรือไม่เมื่อเกิดขึ้น

ไปอัมสเตอร์ดัมไม่ได้เหรอ? ธนาคารไรฟไฟเซนและ iProov เพิ่งเปิดเผยแผนงานด้านความปลอดภัยไบโอเมตริกซ์ยุคใหม่ในงาน I dentity Management Europe 2025 เราจะมาแบ่งปัน สรุปฉบับเต็มได้ที่นี่ ระหว่างรอ ลองมาดูกันว่าความร่วมมือนี้เริ่มต้นขึ้นอย่างไร — ชมบทสนทนาก่อนหน้าของเราเกี่ยวกับ การเปลี่ยนแปลงความปลอดภัยด้านการธนาคารสำหรับยุคดิจิทัลได้แล้ววันนี้

ภาพหน้าจอ 2025 10 01 เวลา 15.44.23 น.
สารบัญ

อ่านต่อ