แคสเปอร์สกี้เผยผู้ใช้ในอาเซียน 67% ต้องการ OTP ผ่าน SMS ในทุกธุรกรรมการเงินออนไลน์ การศึกษาล่าสุดชี้ผู้ใช้อินเทอร์เน็ตอยากได้ความปลอดภัยจากบริการธนาคารและการชำระเงินผ่านมือถือในภูมิภาคเอเชียตะวันออกเฉียงใต้
นายเซียง เทียง โยว ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า ขนาดของตลาดการชำระเงินดิจิทัลที่แท้จริงในภูมิภาคนี้ยังสามารถขยายตัวได้อีกมากในภาคธุรกิจที่มีการแข่งขันสูง บริษัทด้านการชำระเงินควรได้รับการประเมินนวัตกรรมและพิจารณาถึงจุดยืนด้านความปลอดภัยด้วย
"เราสามารถดึงข้อมูลที่ค้นพบว่าลูกค้าเริ่มตระหนักถึงคุณค่าของเทคโนโลยีเพื่อปกป้องการเงินทางออนไลน์มากขึ้น โดยทั่วไป คุณลักษณะด้านความปลอดภัยเหล่านี้เป็นมาตรการป้องกันที่มีประโยชน์ ซึ่งสามารถปรับปรุงมาตรฐานความปลอดภัยทางไซเบอร์ในส่วนการชำระเงินดิจิทัลได้ อย่างไรก็ตาม ควรพิจารณาตัวเลือกเหล่านี้โดยถือว่าเป็นส่วนหนึ่งของกรอบความปลอดภัยทางไซเบอร์แบบองค์รวม”
การวิจัยล่าสุดของแคสเปอร์สกี้ พบว่า ผู้ใช้ e-payment ในภูมิภาคเอเชียตะวันออกเฉียงใต้ (SEA) เริ่มตระหนักถึงความสำคัญของการปกป้องข้อมูลทางการเงินของตนมากขึ้นเรื่อยๆ ท่ามกลางกระแสการใช้การชำระเงินดิจิทัลที่เพิ่มขึ้นอย่างรวดเร็วในภูมิภาค และผู้ใช้มีความชัดเจนเรื่องคุณสมบัติด้านความปลอดภัยเพิ่มเติมที่หวังว่าจะได้รับจากธนาคารและผู้ให้บริการวอลเล็ตหรือกระเป๋าเงินออนไลน์
งานวิจัยเรื่อง “Mapping a secure path for the future of digital payments in APAC” พบว่าผู้ใช้ธนาคารดิจิทัลและแอป วอลเล็ตในภูมิภาคเอเชียตะวันออกเฉียงใต้จำนวนมากกว่าสามในห้าคน (67%) อยากได้รับบริการการใช้รหัสผ่านแบบใช้ครั้งเดียว (one-time-password หรือ OTP) ผ่าน SMS สำหรับธุรกรรมทุกรายการ
ผู้ตอบแบบสอบถามส่วนใหญ่ (57%) ต้องการเห็นการใช้งานการรับรองความถูกต้องด้วยสองปัจจัย หรือ 2FA เช่นเดียวกับคุณสมบัติความปลอดภัยไบโอเมตริกซ์ เช่น การจดจำใบหน้าหรือลายนิ้วมือ (56%)
ข้อมูลที่น่าสนใจคือ การใช้ OTP มีความสำคัญสูงสุดสำหรับผู้บริโภคในประเทศส่วนใหญ่ในเอเชียตะวันออกเฉียงใต้ รวมถึงอินโดนีเซีย (67%) มาเลเซีย (66%) ฟิลิปปินส์ (75%) ไทย (63%) และเวียดนาม (74%) ยกเว้นสิงคโปร์ที่การตรวจสอบสิทธิแบบสองปัจจัยเป็นปัญหาเร่งด่วนที่สุด (65%)
ลูกค้าที่ใช้การชำระเงินดิจิทัลยอมรับการใช้แมชชีนเลิร์นนิ่งในการรับมือกับการโจมตีทางวิศวกรรมสังคม ลูกค้าจำนวนเกือบครึ่ง (40%) ตั้งข้อสังเกตว่า บริษัทต่างๆ ควรเริ่มป้องกันการฉ้อโกงหลอกลวงอัตโนมัติ โดยอิงตามพฤติกรรมการใช้จ่ายและ/หรือประวัติการโอนเงิน
ผู้ตอบแบบสอบถามจำนวนมากกว่าหนึ่งในสี่ (28%) ยังกล่าวอีกว่า Tokenization ซึ่งเป็นกระบวนการในการปกป้องข้อมูลที่ละเอียดอ่อนโดยแทนที่ด้วยหมายเลขที่สร้างตามอัลกอริทึมที่เรียกว่าโทเคน สามารถเพิ่มความปลอดภัยให้ธนาคารบนมือถือและแอปพลิเคชันการชำระเงินทางอิเล็กทรอนิกส์ในภูมิภาคได้
ตัวอย่างเช่น การใช้การตรวจสอบสิทธิแบบสองปัจจัย (2FA) ซึ่งมีข้อจำกัด โดยเฉพาะอย่างยิ่งเมื่อกล่าวถึงการตรวจสอบสิทธิผ่าน SMS
ข้อความ SMS ที่มีรหัสผ่านอาจถูกดักจับโดยโทรจันที่อยู่ในสมาร์ทโฟน หรือโดยข้อบกพร่องในโปรโตคอล SS7 ที่ใช้ในการส่งข้อความ ทำให้ 2FA ที่ใช้ SMS ไม่น่าเชื่อถือในบางครั้ง ในกรณีเช่นนี้ ขอแนะนำให้ใช้แอปตัวตรวจสอบสิทธิในตัว (authenticator apps) โดย SMS ถูกใช้เป็นทางเลือกสุดท้ายในการจำกัดช่องโหว่ของบริษัทต่อการละเมิดข้อมูล
ด้วยลักษณะที่ซับซ้อนของการรักษาความปลอดภัยของแอปและการเงินออนไลน์ จึงไม่น่าแปลกใจที่ผู้ตอบแบบสอบถามจำนวนมากกว่าสามในห้า (65%) กล่าวว่า ธนาคารและบริษัทวอลเล็ตควรโน้มน้าวลูกค้าในการรักษาความปลอดภัยมากขึ้น เช่น การเปลี่ยนรหัสผ่านเป็นประจำ ผู้ตอบแบบสอบถาม 60% ตั้งข้อสังเกตว่าผู้ให้บริการควรให้ความรู้ผู้ใช้เพิ่มเติมเกี่ยวกับภัยคุกคามทางออนไลน์
เมื่อต้องเลือกผู้ให้บริการวอลเล็ตบนมือถือ การรักษาความปลอดภัยยังคงเป็นเรื่องสำคัญสำหรับผู้ใช้บริการชำระเงินดิจิทัลในเอเชียตะวันออกเฉียงใต้
ผู้ตอบแบบสอบถามมากกว่าครึ่ง (58%) ระบุว่าจะใช้ e-wallet ที่มีฟีเจอร์ความปลอดภัยเพิ่มเติม เช่น ลายนิ้วมือและ 2FA ในขณะที่ผู้ใช้มากกว่าหนึ่งในสาม (37%) กล่าวว่า จะใช้แอปธนาคารหรือกระเป๋าเงินออนไลน์จากผู้ให้บริการที่ไม่ได้ถูกละเมิดข้อมูลหรือโจมตีความปลอดภัยทางไซเบอร์ก่อนหน้านี้
ผู้ตอบแบบสอบถามจำนวนหนึ่งยังตั้งข้อสังเกตว่า e-wallet บนมือถือจะต้องเป็นอิสระ (42%) สามารถใช้ได้โดยตรงจากธนาคารหรือผ่านบุคคลที่สาม หรือ e-wallet ที่จำกัดการเชื่อมโยงกับร้านค้าเฉพาะ (35%) ซึ่งผู้ใช้สามารถใช้เงินเพื่อชำระเงินสำหรับธุรกรรมกับผู้ค้ารายใดรายหนึ่งเท่านั้น
อีกข้อควรพิจารณาในการเลือกบริษัทกระเป๋าเงินดิจิทัลและแอป คือ 49% ควรเสนอโปรโมชันเงินคืน ค่าธรรมเนียมการโอนที่ต่ำกว่า 35% ให้ใช้บริการไม่เปิดเผยตัวตน ผู้ใช้ไม่จำเป็นต้องเปิดเผยรายละเอียดบัตรเครดิตกับผู้ค้าจำนวนมากเกินไป 25% ไม่ต้องการรายละเอียดบัญชีธนาคาร และ 16% เป็นบริการในท้องถิ่น
“ในการพัฒนากลยุทธ์การเติบโตในระยะยาวและยั่งยืน บริษัทชำระเงินดิจิทัลจำเป็นต้องคำนึงถึงความต้องการและความจำเป็นบางอย่างของผู้ใช้ด้วย แม้ว่ามาตรการป้องกันบางอย่างจะไม่ใช่สิ่งใหม่ทั้งหมดและมีมาระยะหนึ่งแล้ว แต่สิ่งสำคัญคือต้องพิจารณาว่าคุณลักษณะด้านความปลอดภัยสามารถผสานรวมในลักษณะที่ไม่กระทบต่อประสบการณ์ของผู้ใช้ได้อย่างไร การศึกษาของเราแสดงให้เห็นว่าลูกค้ายึดถือผู้ให้บริการชำระเงินดิจิทัลที่รับผิดชอบต่อความปลอดภัยทางการเงินทางออนไลน์มากขึ้นอย่างไร ดังนั้น เราจึงแนะนำให้บริษัทต่างๆ พิจารณาช่องว่างความปลอดภัยทางไซเบอร์ในแต่ละขั้นตอนของกระบวนการชำระเงิน และเหมาะสมกับมาตรการด้านไอทีที่เหมาะสมในลักษณะที่ปรับเทียบ” นายเซียง เทียง โยว กล่าวเสริม
แคสเปอร์สกี้ แนะนำให้ผู้ให้บริการชำระเงินดิจิทัลใช้มาตรการเพื่อเป็นการป้องกันตัวเองจากการฉ้อโกงและเทคนิคอาชญากรรมทางอินเทอร์เน็ตที่เปลี่ยนแปลงตลอดเวลา โดยควรตรวจสอบแพตช์และอัปเดตซอฟต์แวร์อย่างรวดเร็ว เพื่อป้องกันมิให้ฝ่ายตรงข้ามเจาะระบบได้ ร่วมกับการใช้การเข้ารหัสระดับสูงสำหรับข้อมูลที่ละเอียดอ่อน และบังคับใช้ข้อมูลประจำตัวที่รัดกุมและการรับรองความถูกต้องแบบหลายปัจจัย
นอกจากนี้ ควรใช้โซลูชันการป้องกันเอ็นด์พอยนต์ที่มีประสิทธิภาพ พร้อมความสามารถในการตรวจจับภัยคุกคามและการตอบสนองเพื่อบล็อกความพยายามในการเข้าถึง และบริการป้องกันที่มีประสิทธิภาพ การตรวจสอบการโจมตีและการตอบสนองจากผู้เชี่ยวชาญ คู่กับการให้ความรู้แก่ลูกค้าและพนักงานเกี่ยวกับกลอุบายที่อาจเป็นไปได้ที่ผู้ร้ายอาจใช้ บริษัทต่างๆ ควรทำงานร่วมกับผู้ให้บริการที่เป็นที่ยอมรับทั่วโลก ซึ่งสามารถรับประกันกระบวนการเรียนรู้ที่มีประสิทธิภาพเพื่อประหยัดเวลาและรับบริการที่มีคุณภาพ
ขณะเดียวกัน ควรดำเนินการตรวจสอบความปลอดภัยประจำปี และทดสอบการเจาะระบบเพื่อค้นหาปัญหาด้านความปลอดภัยในเครือข่ายของบริษัท พร้อมกับติดตั้งโซลูชันป้องกันการฉ้อโกงที่สามารถปรับเปลี่ยนได้อย่างรวดเร็วเพื่อระบุรูปแบบและวิธีการโจมตีใหม่ๆ
สำหรับองค์กรที่มีโครงสร้างพื้นฐานด้านไอทีที่ครบถ้วน ให้ติดตั้งโซลูชัน anti-APT และ EDR ซึ่งช่วยให้สามารถค้นหาและตรวจจับภัยคุกคามขั้นสูง สอบสวน และแก้ไขปัญหาเหตุการณ์ได้ทันท่วงที ให้ทีม SOC เข้าถึงข่าวกรองภัยคุกคามล่าสุดและเพิ่มทักษะอย่างสม่ำเสมอด้วยการฝึกอบรมอย่างมืออาชีพ