ภัยคุกคามบนระบบเครือข่ายคอมพิวเตอร์ หัวข้อ Phishing & Vishsing & Skimming วิชา BIT 2224 อ.กิตติศักดิ์ โชติกิติพัฒน์

ภัยคุกคามบนระบบเครือข่ายคอมพิวเตอร์ หัวข้อ Phishing & Vishsing & Skimming

Phishing
Phishing คือคำที่ใช้เรียกเทคนิคการหลอกลวงโดยใช้อีเมลหรือหน้าเว็บไซต์ปลอมเพื่อให้ได้มาซึ่งข้อมูล เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่น ๆ เพื่อนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบโดยไม่ได้รับอนุญาต หรือสร้างความเสียหายในด้านอื่น ๆ เช่น ด้านการเงิน เป็นต้น

คำว่า Phishing เป็นคำพ้องเสียงจากคำว่า Fishing ซึ่งหมายถึงการตกปลา หากจะเปรียบเทียบง่าย ๆ ผู้อ่านสามารถจินตนาการได้ว่า เหยื่อล่อที่ใช้ในการตกปลา ก็คือกลวิธีที่ผู้โจมตีใช้ในการหลอกลวงผู้เสียหาย ซึ่งเหยื่อล่อที่เด่น ๆ ในการหลอกลวงแบบ Phishing มักจะเป็นการปลอมอีเมล หรือปลอมหน้าเว็บไซต์ที่มีข้อความซึ่งทำให้ผู้เสียหายอ่านแล้วหลงเชื่อ เช่น ปลอมอีเมลว่าอีเมลฉบับนั้นถูกส่งออกมาจากธนาคารที่ผู้เสียหายใช้บริการอยู่ โดยเนื้อความในอีเมลแจ้งว่า ขณะนี้ธนาคารมีการปรับเปลี่ยนระบบรักษาความมั่นคงปลอดภัยของข้อมูลลูกค้า และธนาคารต้องการให้ลูกค้าเข้าไปยืนยันความถูกต้องของข้อมูลส่วนบุคคลผ่านทางลิงก์ที่แนบมาในอีเมล เป็นต้น เมื่อผู้เสียหายคลิกที่ลิงก์ดังกล่าว ก็จะพบกับหน้าเว็บไซต์ปลอมของธนาคารซึ่งผู้โจมตีได้เตรียมไว้ เมื่อผู้เสียหายเข้าไปล็อกอิน ผู้โจมตีก็จะได้ชื่อผู้ใช้และรหัสผ่านของผู้เสียหายไปในทันที ในหลาย ๆ ครั้งการหลอกลวงแบบ Phishing จะอาศัยเหตุการณ์สำคัญที่เกิดในช่วงเวลานั้น ๆ เพื่อเพิ่มโอกาสของการหลอกลวงสำเร็จ เช่น อาศัยช่วงเวลาที่มีภัยธรรมชาติหรือโรคระบาด โดยปลอมเป็นอีเมลจากธนาคารเพื่อขอรับบริจาค เป็นต้น

หน้าเว็บไซต์ปลอมบางหน้าจะใช้วิธีการที่แยบยล นั่นคือการฝังโทรจันที่สามารถขโมยข้อมูลที่ต้องการมากับหน้าเว็บไซต์ปลอมนั้นด้วย เช่น โทรจันที่ทำหน้าที่เป็น Key-logger ซึ่งจะคอยติดตามว่าผู้เสียหายพิมพ์คีย์บอร์ดอะไรบ้าง เป็นต้น เมื่อผู้เสียหายหลงกล กดลิงก์ตามเข้ามาที่หน้าเว็บไซต์ปลอมก็จะติดโทรจันชนิดนี้ไปโดยอัตโนมัติ และหากผู้เสียหายทำการล็อกอินเข้าใช้งานระบบใด ๆ ข้อมูลชื่อผู้ใช้ และรหัสผ่าน ของระบบนั้นก็จะถูกส่งไปยังผู้ไม่ประสงค์ดี

ตัวอย่างของอีเมลและหน้าเว็บไซต์หลอกลวง มีอยู่มากมายเต็มไปหมดในโลกอินเทอร์เน็ต เช่นรูปด้านล่าง เป็นรูปของสถาบันทางการเงินแห่งหนึ่ง หากสังเกตดีๆ จะเห็นว่า URL ที่แสดงขึ้นมา ไม่ใช่ URL ที่ถูกต้องของสถาบันการเงินนั้น

วิธีป้องกันต่อไปนี้ สามารถลดโอกาสไม่ให้ถูกหลอกลวงแบบ Phishing ได้

¢ไม่เปิดลิงก์ที่แนบมาในอีเมล เนื่องจากมีโอกาสสูงที่จะถูกหลอกลวง เพราะบางครั้งลิงก์ที่มองเห็นในอีเมลว่าเป็นเว็บไซต์ของธนาคาร แต่เมื่อคลิกไปแล้วอาจจะไปที่เว็บไซต์ปลอมที่เตรียมไว้ก็เป็นได้ เนื่องจากในการสร้างลิงก์นั้นสามารถกำหนดให้แสดงข้อความหรือรูปภาพได้ตามต้องการ ดังนั้นบางเว็บไซต์ปลอมจึงทำ URL ให้สังเกตความแตกต่างจาก URL จริงได้ยาก

¢พึงระวังอีเมลที่ขอให้กรอกข้อมูลส่วนบุคคล โดยเฉพาะหากเป็นอีเมลที่มาจากสถาบันการเงิน ทั้งนี้ธนาคารหลายแห่งได้แจ้งอย่างชัดเจนว่า ธนาคารไม่มีนโยบายในการขอให้ลูกค้าเปิดเผยเลขประจำตัว หรือข้อมูลที่มีความสำคัญอื่น ๆ ผ่านทางอีเมลโดยเด็ดขาด

¢ไม่เปิดลิงก์ที่แนบมาในอีเมล เนื่องจากในปัจจุบัน ผู้โจมตีมีเทคนิคมากมายในการปลอมชื่อผู้ส่งให้เหมือนมาจากองค์กรนั้นจริง ๆ หากต้องการเข้าใช้งานเว็บไซต์นั้น ขอให้พิมพ์ URL ด้วยตัวเอง

¢สังเกตให้แน่ใจว่าเว็บไซต์ที่ใช้งานเป็น HTTPS ก่อนให้ข้อมูลส่วนบุคคลที่สำคัญ เช่น เลขบัตรเครดิต หรือข้อมูลส่วนตัวอื่น ๆ

¢ลบอีเมลน่าสงสัยออกไป เพื่อไม่ให้พลั้งเผลอกดเปิดครั้งถัดไป

¢ติดตั้งโปรแกรม Anti-Virus, Anti-Spam และ Firewall เนื่องจากผลพลอยได้อย่างหนึ่งของการติดตั้ง Firewall คือสามารถทำการยับยั้งไม่ให้โทรจันแอบส่งข้อมูลออกไปจากระบบได้ นอกจากนี้ ผู้ใช้ควรหมั่นศึกษาและอัพเดทโปรแกรมดังกล่าวให้เป็นรุ่นปัจจุบันเสมอ

  Vishing       

         Vishing หลายคนคงเคยได้ยินหรือเคยประสบกับแก๊งคอลเซ็นเตอร์อยู่บ้าง พฤติกรรมของแก๊งเหล่านี้เข้าข่ายของ Vishing โดยตัวอักษร ‘V’ นี้มาจากคำว่า Voice ซึ่งแปลว่าเสียง ดังนั้น Vishing จึงเป็นการใช้ Voice ร่วมกับ Phishing ซึ่งมักเป็นการหลอกลวงให้ได้มาซึ่งข้อมูลส่วนบุคคลผ่านทางโทรศัพท์นั่นเอง แต่หากเป็น Smishing ก็จะเป็นการหลอกลวงโดยใช้ SMS เช่น การได้รับ SMS อ้างว่ามาจากธนาคารเพื่อแจ้งลูกค้าว่าบัญชีของท่านถูกระงับ กรุณาติดต่อกลับที่หมายเลข ดังต่อไปนี้ ซึ่งเมื่อโทรตามหมายเลขที่ระบุไว้ ก็จะเข้าสู่กระบวนการ Vishing ต่อไป เป็นต้น

นอกจากนี้บางกรณีอาจหลอกลวงสองชั้น โดยที่ผู้ไม่ประสงค์ดีเองปลอมเป็นเหยื่อโทรศัพท์ไปหาธนาคารเพื่อขอกู้ยืม เงิน ซึ่งธนาคารก็มีการยืนยันแล้วพบว่าเป็นเจ้าของบัญชี จึงโอนเงินให้เหยื่อ (ในกรณีนี้ผู้ไม่ประสงค์ดีจะต้องมีข้อมูลส่วนบุคคลของเหยื่อมากพอสมควร) จากนั้นผู้ไม่ประสงค์ดีจะโทรศัพท์ไปหาเหยื่อโดยครั้งนี้จะหลอกลวงว่าตนเอง นั้นเป็นพนักงานธนาคารทำการโอนเงินให้ผิดบัญชี ขอให้โอนกลับไปยังบัญชีอื่น ซึ่งบัญชีนั้นเป็นของผู้ไม่ประสงค์ดี พอสิ้นเดือนทางธนาคารแจ้งยอดการกู้เงินมาให้เหยื่อ ส่งผลให้เหยื่อนั้นต้องสูญเสียเงินไปอย่างง่ายดาย

วิธีป้องกันต่อไปนี้ สามารถลดโอกาสไม่ให้ถูกหลอกลวงแบบ Vishing ได้

¢ผู้ใช้งานโทรศัพท์มือถือควรมีความตระหนักต่อความเสี่ยงของการหลอกลวงนี้ และตรวจสอบความน่าเชื่อถือของคู่สนทนาว่ามีความน่าเชื่อถือหรือไม่

¢ห้ามรับสายโทรศัพท์ที่ไม่แน่ใจผู้โทรศัพท์

¢เก็บข้อมูลการโทรศัพท์ เช่น หมายเลขโทรศัพท์ วันและเวลาที่ใช้ เพื่อใช้อ้างอิงเวลาเกิดเหตุการณ์การละเมิดความปลอดภัย

¢หากไม่แน่ใจว่าถูกล่อลวงทางการเงินหรือไม่ ให้ทำการติดต่อไปยังธนาคารผ่านทาง Call Center เพื่อตรวจสอบ และหาทางระงับการโอนเงินในกรณีที่พบว่าถูกหลอกลวง

¢ติดตามข่าวสารและการแจ้งเตือนทางด้านการรักษาความมั่นคง ปลอดภัยคอมพิวเตอร์ ผ่านทางอีเมล์ และเว็บไซต์ของศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย (ThaiCERT)

¢ศีกษาข้อมูลเพิ่มเติม พร้อมแนวทางป้องกัน เพราะว่าตราบใดที่เทคโนโลยียังพัฒนาก้าวต่อไปก็จะมีวิธีการหลอกลวงใหม่ ๆ เกิดขึ้นได้เสมอครับ

Skimming

          Skimming  คือรูปแบบของการดักข้อมูลชนิดหนึ่ง ซึ่งอาศัยหลักการของ เครื่องอ่านข้อมูลการ์ด หรือ card reader กับวิธีการขโมยรหัสผ่าน ซึ่งมีเทคนิคในการขโมยรหัสผ่านได้หลายรูปแบบ ทุกวันนี้เราใช้บัตรเบิกเงินสดหรือ ATM เป็นบัตรชนิด แถบแม่เหล็ก หรือ Magnetic stripes cards ที่มีแถบแม่เหล็กสีดำคาดอยู่ด้านหลังบัตร บัตรแบบนี้ในปัจจุบันถือเป็นบัตรเก็บข้อมูลที่มีความจุต่ำครับ คือมันเป็นข้อมูลเป็นเลขฐานสองได้แค่จำนวนนึงเท่านั้น (ข้อมูล2-16หลัก) แล้วที่สำคัญคือบัตรแบบนี้มันมีความปลอดภัยต่ำมาก เพราะมีการนำเอาบัตรชนิดนี้ไปใช้ในรูปแบบอื่นๆเป็นจำนวนมาก เช่นเป็นบัตรสมาชิก บัตรสะสมแต้ม หรือ บัตรพนักงาน ทำให้มีการสร้างเครื่องเขียนบัตร และเครื่องอ่านบัตรออกมาจำหน่ายแบบทั่วไป เครื่องอ่านข้อมูลบัตรชนิดนี้ สามารถหาซื้อมาใช้ได้ในราคาไม่แพง การรักษาความปลอดภัยให้กับข้อมูลในบัตรแบบนี้ก็คือการเข้ารหัส คือทำให้ข้อมูลที่อ่านได้ ต้องถูกนำไปถอดรหัสอีกที แต่เพื่อให้ใช้กับการพาณิชย์ได้ การเข้ารหัสก็ต้องถูกกำหนดเป็นมาตรฐาน เพื่อให้สร้างเครื่องอ่านข้อมูลที่ถูกต้องได้ นั่นก็หมายความว่า ข้อมูลที่ถูกเข้ารหัส ก็มีเครื่องถอดรหัสอยู่ดี เพราะไม่งั้น คนอื่นจะใช้งานมันได้ยังไง และอาจมีเจ้าหน้าที่ธนาคารบางท่านออกมาแย้งว่า เรามีระบบเข้ารหัสเป็นของเราเองครับ ไม่ใช่มาตรฐานทั่วไป ถ้าเป็นเช่นนั้นจริงก็ดีครับ คุณคุยได้เลยว่าบัตรคุณไม่โดน Skimming แน่นอน

                     เครื่องอ่านข้อมูลบัตร มีหน้าตาแบบนี้ครับ เมื่อมันมีขนาดเล็ก แก๊งโจรก็สามารถดัดแปลงรูปทรงของมันให้เหมือนกับช่องเสียบบัตรบนตู้เอทีเอ็มได้ โดยทำรูปทรงให้เหมือน ทำสีให้เหมือน แล้วนำไปครอบทับช่องเสียบบัตรเดิมในตู้เอทีเอ็ม ทีนี้พอเราเสียบบัตรเข้าไปในตู้ บัตรของเราก็จะโดนเครื่องอ่านบัตรตัวนี้ดักเอาข้อมูลไปด้วย

เมื่อโจรขโมยข้อมูลได้ข้อมูลเลขประจำตัวของบัตรมาแล้ว เค้าก็สามารถนำข้อมูลนั้นไปทำบัตรATM ปลอม ขึ้นมาได้ เครื่องทำบัตรแบบนี้ ไม่ต้องพูดถึง หาซื้อได้ในร้านเดียวกันกับเครื่องอ่านบัตรนั่นเอง  วิธีการต่อไปคือ ขโมยรหัสผ่าน ซึ่งจากข้อมูลที่ค้นมาพบว่า มีเทคนิคการขโมยข้อมูล 2 วิธี คือ 1. แอบดูการกดรหัส 2. ดักข้อมูลการกดรหัส

วิธีแรก แอบดูการกดรหัส คือการใช้กล้องรูเข็ม ติดตั้งไว้บริเวณใกล้ๆแป้นใส่รหัส เพื่อบันทึกภาพการกดรหัสของผู้ใช้ แล้วเอามาดูอีกทีว่าเลขรหัส 4 ตัวคืออะไร กล้องรูเข็มนี้จะถูกซ่อนอยู่ในแผงหน้ากากของเครื่องเอทีเอ็ม ซึ่งทำแนบเนียนเหมือนเครื่องอ่านข้อมูลบัตรเลย คือทำฝาครอบมาปิดทับแล้วมีรูเล็กๆให้กล้องเก็บภาพไว้ได้ วิธีนี้ถือเป็นวิธีโบราณและมีโอกาสประสบความสำเร็จน้อย เกิดคนกดรหัสเอามือมาบัง หรือมีแสงสะท้อนเข้ามาก็จะทำให้ภาพที่ได้ไม่ชัดเจน จึงมีการพัฒนาวิธีที่ 2 ขึ้น

วีธีที่สองคือ ดักข้อมูลการกดรหัส วิธีนี้ถ้าใครเคยใช้ซอฟแวร์บนคอมพิวเตอร์ที่เรียกว่า Key logger จะเข้าใจทันที Key logger คือซอฟแวร์ ที่ทำหน้าที่จดจำการกดแป้นพิมพ์ และบันทึกเอาไว้ให้เราดูภายหลังได้ แก๊งโจรก็จะใช้ซอฟแวร์ตัวนี้ ต่อเข้ากับแป้นคีย์บอร์ดปลอม ที่ทำขึ้นมาเหมือนแป้นที่อยู่บนเครื่อง ATM เป๊ะ!เลย แล้วเอาไปครอบทับของเดิมในตู้ โดยเจ้าแป้นนี้มันจะส่งผ่านแรงกดไปยังแป้นจริงที่อยู่ด้านล่างด้วยนะ เพื่อให้การทำธุรกรรมการเงินของเราเหมือนปกติไม่ติดขัดอะไร เรากด ATM ได้เหมือนเดิม แต่มันได้บันทึกข้อมูลการกดแป้นของเราไปแล้วว่าเรากดปุ่มไหนไปบ้าง ก็เอาไปค้นดูรหัสผ่านได้ทันที วิธีนี้แม่นยำเหมือนจับวาง ไม่มีอุปสรรคเหมือนการติดกล้อง พอได้บัตรATMปลอมพร้อมรหัสผ่านแล้ว คราวนี้จะเหลืออะไรครับ

วิธีป้องกันต่อไปนี้ สามารถลดโอกาสไม่ให้ถูกหลอกลวงแบบ Skimming ได้

¢ต้องสังเกตที่ตู้เอทีเอ็มก่อนการกด มองดูรอบๆตัวเครื่องก่อนว่า มีร่องรอยการติดตั้งเครื่อง Skimming หรือไม่

¢ให้ตั้งความไม่ไว้วางใจ ตู้ ATM ที่อยู่ตามที่มืดๆเปลี่ยวๆ โดยเฉพาะตามปั้มน้ำมัน เพราะมันเป็นที่ที่โจรอาจจะไปติดตั้งเครื่อง Skimmingได้โดยง่าย

¢ควรศึกษาหาความรู้เกี่ยวกับเรื่องเครื่อง Skimming ให้ดีพอ และถ้าโจรดันใช้วิธีเก่า อย่างการติดตั้งกล้องรูเข็มไว้ส่องรหัส คุณก็อาจจะสังเกตเห็นรูเล็กๆ ใกล้ๆแป้นพิมพ์ แต่ผมว่าเดี๋ยวนี้โจรมันใช้ Key logger กันหมดแล้วครับ